声明：本十大安全漏洞由NSFOCUS安全小组 (security@nsfocus.com)根据安全漏洞的严重程度、影响范围等因素综合评出，仅供参考

　　1. 2007-07-19 Oracle 2007年7月更新修复多个安全漏洞

　　 NSFOUCS ID: 10674

　　 综述:

　　 Oracle Database是一款商业性质大型数据库系统。

　　Oracle发布了2007年7月的紧急补丁更新公告，修复了多个Oracle产品中的多个漏洞。这些漏洞影响Oracle产品的所有安全属性，可导致本地和远程的威胁。其中一些漏洞可能需要各种级别的授权，但也有些不需要任何授权。最严重的漏洞可能导致完全入侵数据库系统。

　　 危害:

　　 远程或者本地的攻击者可能利用这些漏洞完全入侵数据库

　 2. 2007-07-10 Microsoft Windows活动目录LDAP请求验证远程代码执行漏洞（MS07-039）

　　 NSFOUCS ID: 10618

　　 综述:

　　 Microsoft Windows是微软发布的非常流行的操作系统。

　　Microsoft活动目录在处理畸形请求数据时存在漏洞，由于没有正确的验证LDAP请求中可转换属性的数量，攻击者可能通过向运行活动目录的服务器发送特制的LDAP请求来利用该漏洞，成功利用此漏洞的攻击者可以完全控制受影响的系统。

　　 危害:

　　 远程攻击者可能利用本漏洞以SYSTEM权限执行任意指令

　　3. 2007-07-10 Microsoft IIS 5.1远程缓冲区溢出漏洞（MS07-041）

　　 NSFOUCS ID: 8346

　　 综述:

　　 Microsoft IIS是Microsoft Windows自带的一个网络信息服务器，其中包含HTTP服务功能。

　 Microsoft IIS处理某些畸形的HTTP请求时存在漏洞。远程攻击者使用WEB浏览器发送特制的匿名HTTP请求将导致IIS服务进程inetinfo.exe崩溃。仅在文件夹的"执行权限"设置为"脚本和可执行程序"时才会出现这个漏洞。

　　此外如果提交恶意请求还可能会触发缓冲区溢出，导致在用户系统上执行任意代码。

　　 危害:

　　 远程攻击者可能利用该漏洞进行DoS攻击甚至执行任意代码

　　4. 2007-07-10 Adobe Flash Player SWF文件处理远程代码执行漏洞

　　 NSFOUCS ID: 10630

　　 综述:

　　 Flash Player是一款非常流行的FLASH播放器。

　　Flash Player在处理包含畸形数据的文件时存在漏洞，没有正确地验证某些用户输入。如果用户受骗访问了恶意站点或打开了恶意邮件消息并加载了畸形的SWF文件的话，就可能导致在用户浏览器会话中执行任意指令。

　　 危害:

　　 远程攻击者可能利用该漏洞以浏览者身份执行任意指令

　　5. 2007-07-05 SAP DB Web Server waHTTP.exe远程栈缓冲区溢出漏洞

　　 NSFOUCS ID: 10595

　　 综述:

　　 SAP DB是SAP AG推出的开源数据库服务器。

　　SAP DB的waHTTP.exe进程在处理畸形用户请求时存在漏洞，远程攻击者如果向SAP DB默认监听于TCP 9999端口的waHTTP.exe进程提交构造的畸形包，将触发栈溢出漏洞，导致任意指令的执行。

　　 危害:

　　 远程攻击者可能利用此漏洞以waHTTP身份执行任意指令

　　6. 2007-07-16 Trend Micro OfficeScan CGI模块栈溢出及绕过认证漏洞

　　 NSFOUCS ID: 10557

　　 综述:

[1] [2] 下一页