Oracle文件处理SDK中的缺陷会影响主要的第三方产品
英国企业需要在五分之一的攻击中提出网络安全
Microsoft要求Windows 10硬件改变PC安全性
至少准备好机器人的工人接管他们的一些工作
办公室工作人员不欣赏IT人员面临的复杂性
对Hillary Clinton的个人电子邮件系统进行调查,无需收费
Cisos在新加坡和澳大利亚不跟上数据违规行为
您现在可以在接收方脱机时向Skype发送文件
McAfee Report揭示了对网络威胁情报的五个挑战
Ofcom:OpenReach必须在管道和杆路上做更多
几乎四分之三的技术工作人员在Brexit之后思考离开英国
政府每年为AI提起2300万英镑,以提高英国经济
身份,身份验证和授权成为风险指导
微软倾听和学习,为Windows 10的新生年度提出了一流的等级
全民选举:odi希望在党文中看到数据,技能和创新承诺
IAM一个用于GDPR合规性的核心积木
刑事法院审查委员会任命邮局IT系统案件的法医会计师
在达拉斯的轰炸机器人之后,专家希望每辆车车里都有泰瑟队的机器人
澳大利亚向熟练工人取消签证
北欧地区竞争数据中心的优势
苹果车会是新的黑莓吗?
Docker Funder和VMware Alum潜入数据库启动
谷歌希望挫败量子计算机从破解互联网加密
最后喘气:Microsoft更新获取Windows 10 Nagster,KB 3035583,又重要
上传速度对宽带用户的越来越多
WONGA警告245,000英国的网络泄露客户
面试:Dave Perry,首席技术官Dvla
人类互动仍然关键网络攻击,研究揭示了
英特尔船舶Kaby Lake Chips,在几个月内指向PC可用性
Microsoft将其Azure Stack软件延迟到2017年中期
用你的眼睛扫描杀死智能手机密码
GigaClear袋11100万英镑投资推出FTTP宽带
第二个男人对黑客娱乐明星辩护
阿鲁巴氛围:机器学习转换网络
哥伦布,俄亥俄州侧重于运输工艺40万美元的DOT奖
Microsoft Touts数据收集工具作为升级到Windows 10的企业辅助
Verizon旨在通过舰队管理协议提高其IoT存在
Microsoft为企业定制表面平板电脑
Smart Dubai与联合国智能城市指数合作
黑客可以利用Smartwatches,健身跟踪器来窃取您的ATM PIN
Kone与IBM Watson和Salesforce在线在线搭配电梯维护
Apple报告了iPhone销售下降的第二季度
欧盟在比较购物和广告领域对谷歌收取更多费用
FBI首席执行官说,Guccifer撒谎欺骗了克林顿的电子邮件服务器
Fiat Chrysler推出已连接车辆的Bug赏金计划
蓝宝石2017年:McDerMott声明SAP间接许可策略更改
研究人员释放了PowerWare和Bart Ransomware的免费解密工具
Tesla承认最新媒体X事故期间正在开启自动驾驶仪
面试:F-Secure的MikkoHyppönen在北欧,俄罗斯和不安全的事情互联网上
AT&T部署用于细胞塔检查的无人机,网络扩展
您的位置:首页 >产品 > 智能硬件 >

Oracle文件处理SDK中的缺陷会影响主要的第三方产品

2021-07-11 10:44:11 [来源]:

由Oracle周二修复的276个缺陷中的17个高风险漏洞影响来自第三方软件供应商的产品,包括微软。

来自思科的Talos团队的研究人员发现的漏洞,位于技术(OIT)之外的Oracle,一系列软件开发套件(SDK),可用于提取,正常化,擦洗,转换和查看约600非结构化文件格式。

这些是Oracle Fusion中间件的一部分的SDK,许可用于其他软件开发人员,然后在自己的产品中使用它们。此类产品包括Microsoft Exchange,Novell GroupWise,IBM WebSphere Portal,Google搜索设备,Exchange,Raytheon SureView,Guidance Chegase和Veritas Enterprise Vault的Avira AntiVir。

Oracle没有列出受影响的第三方产品。但是,Cert协调中心的咨询中心在1月份修补的Oracle OIT中有几种类似漏洞的咨询附带了许多大型软件供应商的长期受影响的产品列表。

目前尚不清楚这些产品中有多少也受到新修补的十七漏洞的影响,因为其中一些可能不会使用所有易受攻击的SDK或者可能包括其他限制因素。

Oracle在普通漏洞评分系统(CVSS)中分配了8.6的分数,这意味着高度严重程度。但是,根据假设受影响的软件通过网络通过直接接收到易受攻击的oit代码的数据来计算得分,这可能不会发生在所有情况下。

如果这是真的,攻击者可以通过使用易受攻击的oit sdks将专为应用程序发送专为应用程序来利用缺陷来在系统上执行流氓代码。

思科研究人员确认,如果启用Webready文档查看,Microsoft Exchange服务器(版本2013及更早版本)会受到影响。根据Microsoft文档,此功能可让用户在Outlook Web App Web浏览器中查看常用文件类型.doc,.pdf,.ppt和.xls。

“思科Talos研究人员在博客帖子中说:”攻击者可以通过向受害者发送恶意电子邮件附件来利用这些漏洞。“此外,如果启用了数据丢失,则可以通过从受影响的Exchange Server发送出站出站的恶意附件出站的电子邮件来触发该漏洞。”

如果Microsoft Exchange Server还安装了Avira AntiVir for Exchange,则只需在没有受害者的情况下发送特殊制作的电子邮件即可开放漏洞即可利用该漏洞。这是因为这个防病毒程序也使用易受攻击的oit sdks并自动扫描所有传入和传出的电子邮件。

文件格式可能非常复杂,并且在没有适当的验证的情况下,在历史上是在各种应用程序中的远程代码执行漏洞的源。可以理解的是,许多软件开发人员依赖于解析文件和数据格式的第三方SDK和库,而不是实现此类功能本身,这是一个值得耗时和容易出错的任务。

“然而,不幸的现实是,在第三方使用的SDK中发现的漏洞将需要额外的时间来修补:首先,维护SDK问题的组织,思科研究人员表示,“利用SDK的第三方为其客户提供了更多的时间,为他们的客户提供更新,”思科研究人员表示。“这提供了一个相当大的时间窗口,其中歹徒可以利用第三方产品中的漏洞。”

在超过80%的任何新的软件应用程序中由第三方代码组成时,跟踪外部库中的漏洞非常重要。遗憾的是,研究表明,许多软件开发人员不仅在此任务中失败,而且甚至没有清晰的图片,他们在其中应用了它们的第三方组件。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。