安全公告 – 腾讯玄武实验室 http://xlab.tencent.com/cn Thu, 09 Nov 2017 03:17:42 +0000 zh-CN hourly 1 https://wordpress.org/?v=4.6 Internet Explorer 数组越界访问漏洞 http://xlab.tencent.com/cn/2015/12/30/xlab-15-010/ Wed, 30 Dec 2015 03:18:45 +0000 http://xlab.tencent.com/cn/?p=130 继续阅读“Internet Explorer 数组越界访问漏洞”]]> XLAB ID: XLAB-15-010     

CVE ID: CVE-2015-2494     

Patch Status: 已修复

Vulnerability Details:
通过对DOM对象的属性进行一定操作,攻击者可使Internet Explorer对数组进行越界读取操作。若成功利用该漏洞,攻击者能够以当前用户权限执行任意代码。

Disclosure Timeline:

2015/07/03 向Micorsoft (secure@Micorsoft.com)提供漏洞细节
2015/07/04 Micorsoft回复正在验证漏洞细节,内部漏洞编号case 30590
2015/07/21 Micorsoft回复已经成功重现该漏洞,正在研究漏洞修复方案
2015/08/18 Micorsoft询问致谢方式
2015/09/09 Micorsoft在MS15-094中修复该漏洞

Credit:
漏洞发现者:   Kai Kang

]]>
Microsoft Internet Explorer 和 Microsoft Edge 的 Use-After-Free 远程代码执行漏洞 http://xlab.tencent.com/cn/2015/12/29/xlab-15-025/ Tue, 29 Dec 2015 03:36:46 +0000 http://xlab.tencent.com/cn/?p=175 继续阅读“Microsoft Internet Explorer 和 Microsoft Edge 的 Use-After-Free 远程代码执行漏洞”]]> XLAB ID: XLAB-15-025     

CVE ID: CVE-2015-1752     

Patch Status: 已修复

Vulnerability Details:
该漏洞允许远程攻击者在微软Internet Explorer和Microsoft Edge中执行任意代码。利用这个漏洞需要用户交互,该目标需要访问恶意网页或打开恶意文件。攻击者可以利用此漏洞在当前进程的上下文中执行任意代码。

Discloure Timeline:

2015/03/05 向Microsoft Security Response Center(secure@microsoft.com)提供漏洞细节
2015/04/01 Microsoft Security Response Center邮件自动回复
2015/06/09 Microsoft Security Response Center分配CVE-ID CVE-2015-1752

Credit:
漏洞发现者:    exp-sky

]]>
Flash Player Display List内存崩溃漏洞 http://xlab.tencent.com/cn/2015/12/29/xlab-15-024/ Tue, 29 Dec 2015 03:35:59 +0000 http://xlab.tencent.com/cn/?p=172 继续阅读“Flash Player Display List内存崩溃漏洞”]]> XLAB ID: XLAB-15-024     

CVE ID: CVE-2015-8459     

Patch Status: 已修复

Vulnerability Details:
通过对Display List进行一定操作,攻击者可使Flash Player在处理Display List时发生内存崩溃。若成功利用该漏洞,若成功利用该漏洞,攻击者能够以攻击者能够以当前用户权限执行任意代码。

Discloure Timeline:

2015/07/13 向Adobe (psirt@adobe.com)提供漏洞细节
2015/07/16 Adobe回复正在验证漏洞细节,内部漏洞编号PSIRT-3929
2015/12/28 Adobe回复已分配漏洞编号CVE-2015-8459

Credit:
漏洞发现者:    Kai Kang

]]>
苹果Safari浏览器对话框域来源欺骗漏洞 http://xlab.tencent.com/cn/2015/12/09/xlab-15-022/ Wed, 09 Dec 2015 03:34:14 +0000 http://xlab.tencent.com/cn/?p=166 继续阅读“苹果Safari浏览器对话框域来源欺骗漏洞”]]> XLAB ID: XLAB-15-022     

CVE ID: CVE-2015-7093     

Patch Status: 已修复

Vulnerability Details:
在苹果IOS版本的Safari浏览器中,存在一个对话框域来源欺骗漏洞。该漏洞可以使对话框被渲染到任意的一个域页面,并且对话框上的域名是和当前域相同的。这个漏洞可以让远程攻击者实施网络钓鱼攻击。攻击者可以利用此漏洞诱使受害者点击一个恶意链接,当链接被导航到一个可信站点(如Gmail),此时对话框会在这个可信站点弹出,用户在对话框输入信息后,此信息内容即可被攻击者获取到。

Discloure Timeline:

2015/8/25 向苹果公司 (product-security@apple.com) 提供漏洞细节
2015/8/25 苹果公司邮件系统自动回复
2015/8/26 苹果公司邮件回复正在验证漏洞细节
2015/11/17 苹果公司询问致谢方式
2015/12/9 苹果公司官方发布安全公告,在IOS9.2正式版中修复了此漏洞,CVE-2015-7093

Credit:
漏洞发现者:    xisigr

]]>
Trend Micro 安全漏洞 http://xlab.tencent.com/cn/2015/12/02/xlab-15-023/ Wed, 02 Dec 2015 03:35:08 +0000 http://xlab.tencent.com/cn/?p=169 继续阅读“Trend Micro 安全漏洞”]]> XLAB ID: XLAB-15-023     

CVE ID: CVE-2015-8302     

Patch Status: 已修复

Vulnerability Details:

Discloure Timeline:

2015/10/30 向Trend Micro (security at trendmicro.com) 提供漏洞细节
2015/10/31 Trend Micro邮件系统自动回复
2015/10/31 Trend Micro回复正在验证漏洞细节
2015/11/20 向MITRE报告漏洞
2015/11/21 MITRE回复已分配CVE-ID CVE-2015-8302
2015/11/25 向 Trend Micro 提供 CVE-ID,询问修复情况
2015/12/02 Trend Micro 回复正在修复漏洞,暂无时间表
2015/12/09 Trend Micro 回复漏洞已修复,提供补丁供验证

Credit:
漏洞发现者:    wwq

]]>
BitDenfeder 安全漏洞 http://xlab.tencent.com/cn/2015/12/02/xlab-15-021/ Wed, 02 Dec 2015 03:33:22 +0000 http://xlab.tencent.com/cn/?p=163 继续阅读“BitDenfeder 安全漏洞”]]> XLAB ID: XLAB-15-021     

CVE ID: CVE-2015-8695     

Patch Status: 未修复

Vulnerability Details:

Disclosure Timeline:

2015/10/09 向BitDefender (bdsupport at bitdefender.com) 询问漏洞报告邮箱
2015/10/09 BitDefender客服回复模板邮件
2015/10/12 向BitDenfeder客服强调问题的严重性
2015/10/19 BitDefender回复询问漏洞细节
2015/10/19 向BitDefender提供漏洞细节
2015/10/19 BitDefender回复就处理延迟表示歉意,赠送1年期许可密钥
2015/11/23 向MITRE报告漏洞
2015/12/28 MITRE分配CVE-ID CVE-2015-8695

Credit:
漏洞发现者:    wwq

]]>
Total Defense 安全漏洞 http://xlab.tencent.com/cn/2015/12/02/xlab-15-020/ Wed, 02 Dec 2015 03:32:25 +0000 http://xlab.tencent.com/cn/?p=161 继续阅读“Total Defense 安全漏洞”]]> XLAB ID: XLAB-15-020     

CVE ID: CVE-2015-8695     

Patch Status: 未修复

Vulnerability Details:

Disclosure Timeline:

2015/09/28 向Total Defense (tdicustomerservice at totaldefense.com) 询问漏洞报告邮箱
2015/09/29 Total Defense回复询问漏洞细节
2015/09/29 向Total Defense提供漏洞细节
2015/10/08 向Total Defense询问是否收到漏洞细节
2015/10/08 Total Defense回复正在制定解决方案
2015/11/23 向MITRE报告漏洞
2015/12/28 MITRE分配CVE-ID CVE-2015-8695

Credit:
漏洞发现者:    wwq

]]>
Panda Security 安全漏洞 http://xlab.tencent.com/cn/2015/12/02/xlab-15-019/ Wed, 02 Dec 2015 03:31:09 +0000 http://xlab.tencent.com/cn/?p=158 继续阅读“Panda Security 安全漏洞”]]> XLAB ID: XLAB-15-019     

CVE ID: 暂无     

Patch Status: 未修复

Vulnerability Details:

Disclosure Timeline:

2015/09/28 向Panda Security (secure at pandasecurity.com) 提供漏洞细节(至今未回复)
2015/11/23 向MITRE报告漏洞

Credit:
漏洞发现者:    wwq

]]>
Kaspersky 安全漏洞 http://xlab.tencent.com/cn/2015/12/02/xlab-15-018/ Wed, 02 Dec 2015 03:30:13 +0000 http://xlab.tencent.com/cn/?p=155 继续阅读“Kaspersky 安全漏洞”]]> XLAB ID: XLAB-15-018     

CVE ID: CVE-2015-8691     

Patch Status: 未修复

Vulnerability Details:

Disclosure Timeline:

2015/11/20 向Kaspersky (info at kaspersky.com) 询问漏洞报告邮箱(至今未回复)
2015/11/23 向MITRE报告漏洞
2015/12/28 MITRE分配CVE-ID CVE-2015-8691

Credit:
漏洞发现者:    wwq

]]>
Trend Micro 安全漏洞 http://xlab.tencent.com/cn/2015/12/02/xlab-15-017/ Wed, 02 Dec 2015 03:29:13 +0000 http://xlab.tencent.com/cn/?p=151 继续阅读“Trend Micro 安全漏洞”]]> XLAB ID: XLAB-15-017     

CVE ID: CVE-2015-8301     

Patch Status: 已修复

Vulnerability Details:

Disclosure Timeline:

2015/10/30 向Trend Micro (security at trendmicro.com) 提供漏洞细节
2015/10/31 Trend Micro邮件系统自动回复
2015/10/31 Trend Micro回复正在验证漏洞细节
2015/11/20 向MITRE报告漏洞
2015/11/21 MITRE回复已分配CVE-ID CVE-2015-8301
2015/11/25 向 Trend Micro 提供 CVE-ID,询问修复情况
2015/12/02 Trend Micro 回复正在修复漏洞,暂无时间表
2015/12/09 Trend Micro 回复漏洞已修复,提供补丁供验证

Credit:
漏洞发现者:    wwq

]]>