文/鄭先偉

10月教育網(wǎng)網(wǎng)絡(luò)運(yùn)行正常，無(wú)重大安全事件發(fā)生。10月微軟發(fā)布了16個(gè)安全公告，再次刷新了微軟單月發(fā)布安全公告?zhèn)€數(shù)的記錄，這些公告共修補(bǔ)了49個(gè)安全漏洞。用戶應(yīng)該盡快安裝相應(yīng)的補(bǔ)丁程序。

近期網(wǎng)絡(luò)欺詐的投訴數(shù)量有所增多。在處理釣魚(yú)網(wǎng)站事件的過(guò)程中，如果管理員的操作僅僅是簡(jiǎn)單地將釣魚(yú)網(wǎng)站的文件刪除的話，在很短時(shí)間內(nèi)這些釣魚(yú)網(wǎng)站的文件又會(huì)出現(xiàn)系統(tǒng)中。造成這種現(xiàn)象的主要是因?yàn)楸环胖冕烎~(yú)網(wǎng)站的主機(jī)上還存在木馬后門程序，這些木馬程序會(huì)實(shí)時(shí)監(jiān)測(cè)系統(tǒng)上的釣魚(yú)網(wǎng)頁(yè)文件，如果發(fā)現(xiàn)釣魚(yú)網(wǎng)頁(yè)被刪除就會(huì)自動(dòng)重新恢復(fù)。要有效清除系統(tǒng)上的釣魚(yú)網(wǎng)站必須先把系統(tǒng)上的木馬后門清除，一個(gè)相對(duì)簡(jiǎn)單有效的辦法是重裝系統(tǒng)。

2010年9月～2010年10月教育網(wǎng)安全投訴事件統(tǒng)計(jì)

病毒與木馬

近期媒體炒得比較熱的是超級(jí)工廠（Stuxnet worm）病毒。實(shí)際上這個(gè)病毒在7月份就開(kāi)始在互聯(lián)網(wǎng)上傳播，并引起了嚴(yán)重的攻擊后果。但前期該病毒的傳播重點(diǎn)區(qū)并不在中國(guó)，直到上個(gè)月國(guó)內(nèi)的用戶感染數(shù)量才逐漸增多。這個(gè)病毒利用了多個(gè)系統(tǒng)漏洞（其中還有部分是屬于0day漏洞的范疇）、局域網(wǎng)共享、移動(dòng)存儲(chǔ)介質(zhì)等方式進(jìn)行傳播。一旦成功感染用戶系統(tǒng)后，病毒會(huì)使用rootkit技術(shù)將自己掛載到系統(tǒng)核心進(jìn)程中，使得用戶無(wú)法使用查看系統(tǒng)進(jìn)程的方式來(lái)發(fā)現(xiàn)病毒進(jìn)程。同時(shí)病毒還會(huì)自動(dòng)連接到特定的網(wǎng)站上上傳用戶的系統(tǒng)信息并接收網(wǎng)站上傳回的指令進(jìn)行特定的操作，如搜索系統(tǒng)上西門子工控軟件（SCADA），并修改指令攻擊工業(yè)系統(tǒng)（這也是這個(gè)病毒被稱為超級(jí)工廠病毒的原因）。用戶可以通過(guò)安裝系統(tǒng)補(bǔ)丁、設(shè)置強(qiáng)壯的共享密碼、使用防病毒軟件等手段來(lái)防范該病毒。

近期新增嚴(yán)重漏洞評(píng)述

10月份的微軟例行公告共發(fā)布了16個(gè)安全公告，創(chuàng)下單月發(fā)布公告?zhèn)€數(shù)的歷史記錄。16個(gè)公告中有4個(gè)是嚴(yán)重等級(jí)、10個(gè)重要等級(jí)和2個(gè)中等等級(jí)，涉及的系統(tǒng)和軟件包括Windows操作系統(tǒng)、IE瀏覽器、Office辦公套件、Microsoft 服務(wù)器軟件和.Net framework中的49處漏洞。這里面漏洞多數(shù)可以被利用來(lái)進(jìn)行網(wǎng)頁(yè)掛馬攻擊。用戶應(yīng)該盡快下載相應(yīng)的補(bǔ)丁程序安裝。除了Windows外，一些常用的第三方軟件也發(fā)布了補(bǔ)丁程序或者是新版本用來(lái)修補(bǔ)漏洞，以下是我們需要盡快升級(jí)的第三方軟件：

Adobe Reader/Acrobat發(fā)布9.4版本，修補(bǔ)之前版本中的多個(gè)漏洞

http://www.adobe.com/support/security/bulletins/apsb10-21.html

Oracle 2010年10月更新修復(fù)多個(gè)Java安全漏洞

http://www.oracle.com/technetwork/topics/security/javacpuoct2010-176258.html

Oracle 發(fā)布補(bǔ)丁程序修補(bǔ)Oracle數(shù)據(jù)庫(kù)SQL注入漏洞

http://www.oracle.com/technetwork/topics/security/cpuoct2010-175626.html

Realplayer 發(fā)布新版本修補(bǔ)多個(gè)漏洞http://service.real.com/realplayer/security/10152010_player/en/

Firefox瀏覽器發(fā)布最新版本修補(bǔ)多個(gè)安全漏洞

http://www.mozilla.org/

以下是近期需要我們用戶特別關(guān)注的漏洞：

Windows嵌入式OpenType字體引擎整數(shù)溢出漏洞（MS10-076）

影響系統(tǒng)：

WinXP

Windows 2003

Windos 2008

Windows Vista

Windows 7

漏洞信息：

Embedded OpenType (EOT) 字體是為在網(wǎng)頁(yè)上使用而設(shè)計(jì)的一種小型字體。 這些字體可以嵌入在文檔中。這確保用戶看到的文檔正是作者希望他們看到的形式。Microsoft Windows Embedded OpenType (EOT)技術(shù)分析特制嵌入字體中的某些表的方式中存在一個(gè)遠(yuǎn)程執(zhí)行代碼漏洞。如果用戶使用管理用戶權(quán)限登錄，成功利用此漏洞的攻擊者便可完全控制受影響的系統(tǒng)。攻擊者可隨后安裝程序；查看、更改或刪除數(shù)據(jù)；或者創(chuàng)建擁有完全用戶權(quán)限的新賬戶。

漏洞危害：

該漏洞可以通過(guò)網(wǎng)頁(yè)、文檔、電子郵件等進(jìn)行利用，可能會(huì)被用來(lái)進(jìn)行網(wǎng)頁(yè)掛馬。目前還未在網(wǎng)絡(luò)上檢測(cè)到相應(yīng)的攻擊。

解決辦法：

目前廠商針對(duì)該漏洞發(fā)布了相應(yīng)的安全公告和補(bǔ)丁程序，建議用戶盡快下載補(bǔ)丁程序安裝。

http://www.microsoft.com/china/technet/security/bulletin/MS10-076.mspx