文/鄭先偉

11月教育網(wǎng)網(wǎng)絡(luò)運(yùn)行正常，無(wú)重大安全事件發(fā)生。11月3日，由于騰訊和奇虎360公司的商業(yè)競(jìng)爭(zhēng)升級(jí)導(dǎo)致騰訊宣布將在裝有360軟件的電腦上停止運(yùn)行QQ軟件，以此逼迫用戶作出二選一的選擇。這一舉措在網(wǎng)上引起軒然大波，用戶紛紛表達(dá)了自己的觀點(diǎn)，形成了支持騰訊和支持360的兩大陣營(yíng)。在這里我們不對(duì)誰(shuí)是誰(shuí)非作出評(píng)價(jià)，但是我們要提醒用戶，不管選擇支持哪一家，也不管用的是免費(fèi)還是收費(fèi)的殺毒軟件，請(qǐng)一定保證您系統(tǒng)上隨時(shí)有一款殺毒軟件在有效工作著。

近期安全事件的投訴種類沒(méi)有特別大的變化。從數(shù)量上網(wǎng)絡(luò)欺詐（釣魚(yú)）依然有抬頭的趨勢(shì)。

2010年10月～2010年11月教育網(wǎng)安全投訴事件統(tǒng)計(jì)

病毒與木馬

近期沒(méi)有新增影響特別嚴(yán)重的病毒木馬。值得一提的是近期媒體上頻頻提到的手機(jī)僵尸病毒。這類僵尸病毒主要感染手機(jī)的智能操作系統(tǒng)，通過(guò)網(wǎng)絡(luò)下載進(jìn)行傳播。一旦感染手機(jī)系統(tǒng)后就會(huì)自動(dòng)向手機(jī)通訊簿里的所有用戶發(fā)送帶有病毒鏈接的欺詐短信。如果收到短信的用戶相信了短信的內(nèi)容并點(diǎn)擊了鏈接下載運(yùn)行了程序就會(huì)被感染。病毒感染手機(jī)系統(tǒng)后會(huì)在上面預(yù)留控制后門，使得攻擊者可以遠(yuǎn)程控制你的手機(jī)進(jìn)行短信發(fā)送、上傳文件等操作。目前這類病毒傳播主要通過(guò)欺詐短信，還不能主動(dòng)感染手機(jī)系統(tǒng)（需要用戶點(diǎn)擊下載病毒程序運(yùn)行才會(huì)感染），因此它更像是一種木馬病毒而不是一種蠕蟲(chóng)病毒。但是隨著智能手機(jī)以及手機(jī)上網(wǎng)功能的普及，利用手機(jī)操作系統(tǒng)漏洞進(jìn)行主動(dòng)傳播的蠕蟲(chóng)病毒隨時(shí)可能會(huì)出現(xiàn)。

近期新增嚴(yán)重漏洞評(píng)述

近期網(wǎng)絡(luò)上爆出多個(gè)高危的0day漏洞，需要引起用戶關(guān)注。10月26日Mozilla公司的Firefox瀏覽器被爆出一個(gè)0day漏洞并開(kāi)始在網(wǎng)絡(luò)上被利用，隨后Mozilla公司啟用了快速響應(yīng)機(jī)制在10月28日的時(shí)候就發(fā)布新的版本（3.6.12）修補(bǔ)這個(gè)漏洞，用戶應(yīng)該盡快升級(jí)到最新版本。

10月28日Adobe公司flash player軟件和Pdf Reader/Acrobat軟件被爆出存在0day漏洞并開(kāi)始在網(wǎng)絡(luò)上被利用。Adobe公司在11月9日和11月17日分別發(fā)布了針對(duì)flash player和Adobe Reader/Acrobat軟件的補(bǔ)丁程序，用戶應(yīng)該盡快下載相應(yīng)的補(bǔ)丁程序。

11月3日微軟IE瀏覽器被爆出存在0day漏洞并開(kāi)始被利用，11月15日Real Network公司的Realplayer媒體播放軟件被爆出存在0day漏洞，到筆者截稿時(shí)上述兩個(gè)漏洞還未發(fā)布相應(yīng)的補(bǔ)丁程序。對(duì)于這些暫時(shí)沒(méi)有補(bǔ)丁程序可打的0day漏洞，用戶可以啟用Windows系統(tǒng)DEP數(shù)據(jù)保護(hù)功能來(lái)阻擋攻擊，DEP功能雖然不能百分百

地抵擋針對(duì)漏洞的攻擊，但是可以有效地增加漏洞的利用難度。在高版本的Windows操作系統(tǒng)和軟件（如Vista、Win7和IE8等）中DEP數(shù)據(jù)保護(hù)功能是默認(rèn)啟用的，而在低版本的系統(tǒng)和軟件（如WinXP和IE6、IE7等）中這個(gè)功能則需用戶手動(dòng)啟動(dòng)（啟動(dòng)辦法請(qǐng)參見(jiàn)后文中漏洞的臨時(shí)解決辦法）。

以下是近期需要我們用戶特別關(guān)注的漏洞：微軟IE瀏覽器CSS標(biāo)簽遠(yuǎn)程代碼執(zhí)行漏洞

影響軟件：

IE6 ，IE7，IE8

漏洞信息：

IE在處理網(wǎng)頁(yè)中的特定樣式標(biāo)簽時(shí)存在漏洞，漏洞導(dǎo)致攻擊者可以修改內(nèi)存中會(huì)被調(diào)用的虛表指針，通過(guò)精心構(gòu)造，內(nèi)存中的數(shù)據(jù)有可能利用此漏洞執(zhí)行任意指令。遠(yuǎn)程攻擊者可以利用此漏洞誘使用戶訪問(wèn)惡意網(wǎng)頁(yè)在用戶系統(tǒng)上執(zhí)行任意指令，成功的攻擊將使攻擊者完全控制受影響的系統(tǒng)。

漏洞危害：

漏洞可以利用來(lái)進(jìn)行網(wǎng)頁(yè)掛馬攻擊。目前該漏洞正在網(wǎng)絡(luò)上被積極地利用。漏洞在WinXP系統(tǒng)下的IE 6和IE 7上的成功率非常高，攻擊IE 8可能導(dǎo)致該瀏覽器崩潰。啟用DEP保護(hù)機(jī)制的系統(tǒng)（vista、Win7）可以有效阻擋此攻擊。

解決辦法：

目前廠商針對(duì)該漏洞發(fā)布了緊急安全通告，但是還未發(fā)布補(bǔ)丁程序，建議用戶隨時(shí)關(guān)注廠商的動(dòng)態(tài)：

http://www.microsoft.com/china/technet/security/advisory/2458511.mspx

在沒(méi)有補(bǔ)丁程序之前，用戶可以使用以下辦法來(lái)降低風(fēng)險(xiǎn)：

第一，針對(duì)IE 7瀏覽器，手動(dòng)打開(kāi)DEP保護(hù)，方法如下：

1. 在 Internet Explorer 中，單擊“工具”，單擊“Internet 選項(xiàng)”，然后單擊“高級(jí)”。

2. 單擊“啟用內(nèi)存保護(hù)”以幫助減少聯(lián)機(jī)攻擊。

第二，開(kāi)啟系統(tǒng)全局DEP保護(hù)（僅適用于WinXP）,方法如下：

1.點(diǎn)擊開(kāi)始菜單的“運(yùn)行”，輸入“sysdm.cpl”，點(diǎn)擊“確定”。

2.程序運(yùn)行以后，點(diǎn)擊“高級(jí)”分頁(yè)，然后點(diǎn)擊“性能”分欄中的“設(shè)置”按鈕。選擇“數(shù) 據(jù)執(zhí)行保護(hù)”分頁(yè)，選擇“除所選之外，為所有程序和服務(wù)啟用數(shù)據(jù)執(zhí)行保護(hù)”。然后點(diǎn)擊下面的“確定”按鈕。

3. 重新啟動(dòng)系統(tǒng)。

需要提醒用戶注意的是，WinXP系統(tǒng)下啟用全局EDP保護(hù)后，可能導(dǎo)致一些第三方的程序不兼容，出現(xiàn)自動(dòng)退出運(yùn)行的現(xiàn)象。