|
在Oracle文件处理软件开发工具包的缺陷影响主要的第三方产品.远程监控,远程控制软件.
在甲骨文的外部技术的十八个缺陷也影响企业软件产品从其他供应商
十七高风险漏洞的276个漏洞的固定的甲骨文星期二影响第三方软件供应商的产品,包括微软。
该漏洞是由思科塔洛斯团队的研究人员发现,位于外面的Oracle技术(OIT),收集的软件开发工具包(SDK),可以用来提取、规范、擦洗、转换和查看一些600非结构化文件格式。
这些软件开发工具包,这是Oracle融合中间件的一部分,授权给其他人使用他们自己的产品软件开发。这样的产品包括微软Exchange,Novell GroupWise,IBM WebSphere Portal,谷歌搜索应用,Avira AntiVir交换,雷神SureView,指导包住和VERITAS Enterprise Vault。
甲骨文没有列出受影响的第三方产品。然而,咨询从几个相似的漏洞在甲骨文这是修补在一月CERT协调中心有一长串的受影响的产品,许多大型软件厂商。
Oracle
目前并不清楚这些产品也由新补丁十七漏洞的影响,因为他们中的一些人可能不使用所有的脆弱的SDK或可能包括其他的限制因素。
Oracle 8.6分在通用漏洞评分系统(CVSS)的缺陷,这意味着一个高级别。然而,在假定的受影响的软件通过接收通过网络直接向弱势OIT代码数据计算得分,这可能不是在所有情况下发生的。
这是真的,攻击者可以利用该漏洞执行恶意代码对系统通过发送特制的内容使用脆弱的OIT SDK的应用。
思科研究人员证实微软Exchange服务器(2013和更早的版本)如果他们有WebReady文档查看功能的影响。根据微软的文档,这个功能可以让用户查看常见的文件类型,DOC,PDF,PPT和。在Outlook Web App的Web浏览器直接xls。
“攻击者可以通过发送恶意的电子邮件附件的受害者打开电子邮件使用网页预览利用这些漏洞,”思科该研究人员在博客中说。”此外,如果启用了数据丢失预防,该漏洞可以通过发送电子邮件与恶意附件从受影响的交换服务器发送一个简单的触发。
如果微软Exchange服务器也有Avira AntiVir Exchange安装,该漏洞可以通过简单的发送一个特制的电子邮件没有受害者甚至开放开发。那是因为这个杀毒程序也使用脆弱的OIT sdk和扫描所有传入和传出的电子邮件自动。
文件格式可以是非常复杂的,没有适当的验证处理,在历史上是一个远程代码执行漏洞在各种应用程序的源代码。可以理解的是,许多软件开发商依靠第三方软件开发工具包和库解析文件和数据格式,而不是实现这样的功能,一个任务将是耗时且容易出错。
然而,不幸的现实是,漏洞是在一个SDK,第三方应用发现需要额外的时间来修补:第一,保持SDK问题解决的组织,和一定量的时间后,第三方利用SDK客户包括这些修正提供了一个更新,”思科研究人员说。”这提供了歹徒可以利用第三方产品漏洞的时间相当大的窗口。”
在一个超过百分之80的任何新的软件应用程序由第三方代码,跟踪外部库的漏洞是非常重要的。不幸的是,研究表明,许多软件开发人员不仅在这个任务失败,但甚至没有一个清晰的图片,他们使用的第三方组件,他们的应用程序。
|
|