篮球体育生被捆绑玩弄j,中文精品无码中文字幕无码专区,久久久久亚洲AV片无码下载蜜桃,日韩去日本高清在线

安全公告編號:CNTA-2016-0033

近日，國家信息安全漏洞共享平臺（CNVD）收錄了Objective Systems ASN1C堆緩沖區(qū)溢出漏洞（CNVD-2016-05147，對應CVE-2016-5080）。未經身份驗證的攻擊者利用漏洞，通過構造ASN.1數據，可執(zhí)行任意代碼或造成拒絕服務攻擊。根據目前評估的潛在影響范圍，有可能對通信網絡（特別是移動通信）等關鍵基礎設施構成較大的威脅。

一、漏洞情況分析

ASN.1（抽象語法標記）是一個國際標準，是電信領域使用的數據結構和傳輸協(xié)議。ASN1C代碼編譯器由美國Objective Systems公司推出，幫助開發(fā)者將ASN.1數據結構，操作和指令轉換為C，C ++，C?；騄ava代碼；ASN1C可嵌入到部署了GSM和LTE網絡的移動設備的應用程序中。

包含預編譯asn1rt_a.lib庫的rtxMemHeapAlloc函數存在兩個整數溢出漏洞。由于在rtxMemHeapAlloc中的內存堆(pMemHeap)需要調用tortxMemHeapCreate和rtxMemHeapCheck,nbytes，參數(arg_4)是人為可控的，它的值通過ebp＋arg_4傳遞給ecx ，但程序在執(zhí)行add ecx 7的時候未驗證ecx的值，當ecx值高于0xFFFFFFF9會造成整型溢出。攻擊者利用漏洞通過構造的ASN.1數據，可執(zhí)行任意代碼或造成拒絕服務。

CNVD對該漏洞的綜合評級為“高危”。

二、漏洞影響范圍

漏洞影響ASN1C<=7.0.0的版本。

ASN1C到C和C ++的編譯器受該漏洞影響，Objective Systems仍在調查ASN.1到C＃和ASN.1到Java的編譯器是否受漏洞影響。

目前，根據國外應急組織（US-CERT）和官方廠商的努力，已經嘗試聯(lián)系了34家移動運營商和設備供應商，告知上述問題。目前，只有高通已經確認受到漏洞影響，而霍尼韋爾公司和惠普公司都表示它們沒有受到漏洞影響。

三、漏洞修復建議

廠商發(fā)布了ASN1C 7.0.1.x版本作為臨時修復方案，并計劃在未來幾周內推出7.0.2版本，完全修復該漏洞。請關注廠商主頁更新：

https://www.obj-sys.com/

附：參考鏈接：

https://github.com/programa-stic/security-advisories/tree/master/ObjSys/CVE-2016-5080

http://news.softpedia.com/news/gsm-and-lte-mobile-networks-around-the-world-affected-by-serious-security-flaw-506465.shtml?from=groupmessage&isappinstalled=0

http://www.kb.cert.org/vuls/id/790839

http://www.cnvd.org.cn/flaw/show/CNVD-2016-05147