文/鄭先偉

隨著新學(xué)期的來臨，教育網(wǎng)在線用戶數(shù)量的增加導(dǎo)致相關(guān)的安全投訴事件增多，但未發(fā)生重大安全事件。

漏洞多涉及高校二級(jí)網(wǎng)站

近期，國內(nèi)一個(gè)著名的安全漏洞共享平臺(tái)成立了專門針對(duì)高校的漏洞發(fā)布平臺(tái)——烏云高校版（http://edu.wooyun.org），用于發(fā)布與高校有關(guān)的安全漏洞。根據(jù)該平臺(tái)的發(fā)布規(guī)則，這些漏洞在平臺(tái)上發(fā)布之初會(huì)給相關(guān)學(xué)校一個(gè)漏洞確認(rèn)及修復(fù)期（大約30天），也就是在前30天內(nèi)漏洞的具體細(xì)節(jié)信息僅會(huì)提供給與漏洞有關(guān)的學(xué)校，而不會(huì)對(duì)外公布，直到該學(xué)校確認(rèn)已經(jīng)修補(bǔ)了該漏洞或是忽略該漏洞（超過30天無人應(yīng)答該漏洞就默認(rèn)為忽略），這些漏洞的細(xì)節(jié)才會(huì)向大眾開放。目前該平臺(tái)已經(jīng)發(fā)布了幾十條與高校網(wǎng)站有關(guān)的漏洞信息，主要包括Apache Struts2框架代碼執(zhí)行漏洞、SQL注入漏洞、后臺(tái)弱密碼以及存在暗鏈等信息。這些漏洞所涉及的網(wǎng)站多數(shù)為學(xué)校的二級(jí)網(wǎng)站。從目前的公開情況看，似乎很多高校對(duì)這些漏洞的響應(yīng)態(tài)度并不積極，而平臺(tái)已經(jīng)向?qū)娕读硕鄠€(gè)漏洞的細(xì)節(jié)信息。這些漏洞信息被管理員忽略可能有多方面的原因，一是平臺(tái)的信息發(fā)布者與學(xué)校的管理員溝通不暢（今后CCERT將加強(qiáng)這方面的協(xié)調(diào)聯(lián)系作用），二是相關(guān)管理員并不在意網(wǎng)站存在漏洞或者是沒有技術(shù)能力進(jìn)行漏洞修補(bǔ)。筆者建議學(xué)校相關(guān)的網(wǎng)站管理員能夠重視這些漏洞，盡可能通過各種手段對(duì)漏洞進(jìn)行修補(bǔ)，雖然平臺(tái)上公布的漏洞信息不一定表示該網(wǎng)站已被入侵，但是相關(guān)漏洞的存在使得入侵隨時(shí)可能發(fā)生。

2012年8～9月教育網(wǎng)安全投訴事件統(tǒng)計(jì)

警惕木馬藏身熱門下載文件

近期沒有新增影響特別嚴(yán)重的木馬病毒程序，流行較多的還是通過網(wǎng)頁下載進(jìn)行傳播的木馬病毒程序。需要提醒用戶注意的是要謹(jǐn)慎應(yīng)對(duì)那些自稱是熱門的文件或軟件，如某些艷照門的種子文件或是自動(dòng)搶購火車票的插件等。

0day漏洞成系統(tǒng)安全焦點(diǎn)

9月，微軟僅發(fā)布了2個(gè)安全公告，這2個(gè)安全公告的等級(jí)均為重要級(jí)別且所涉及的軟件也并非系統(tǒng)常用的軟件。對(duì)于Windows的系統(tǒng)管理員來說，該月是難得的清閑時(shí)間?？上Ш镁安婚L，在微軟安全公告發(fā)布僅幾天之后，一個(gè)IE瀏覽器的0day漏洞就橫空出世。這個(gè)0day漏洞覆蓋了幾乎所有的IE瀏覽器版本（IE 6、7、8、9）。漏洞的存在是因?yàn)镮E瀏覽器的execCommand函數(shù)在實(shí)現(xiàn)上存在釋放后重用漏洞，該函數(shù)在執(zhí)行命令時(shí)會(huì)先觸發(fā)相應(yīng)的事件函數(shù)，惡意攻擊者可以在事件函數(shù)中重寫html頁面，致使某個(gè)對(duì)象被釋放掉，而此時(shí)execCommand函數(shù)的操作還沒完成，這就可能導(dǎo)致存在釋放后重用漏洞。攻擊者可以構(gòu)造特制的頁面，并誘使用戶訪問，利用該漏洞就可以達(dá)到在受害用戶系統(tǒng)中執(zhí)行任意指令的目的。該漏洞的攻擊程序目前已經(jīng)在網(wǎng)絡(luò)上流行。微軟針對(duì)該漏洞發(fā)布了緊急安全通告，并提供了臨時(shí)修補(bǔ)工具來降低漏洞帶來的風(fēng)險(xiǎn)，我們建議用戶盡快下載臨時(shí)修補(bǔ)工具運(yùn)行，并隨時(shí)關(guān)注廠商的動(dòng)態(tài)，以便及時(shí)安裝補(bǔ)丁程序：（http://technet.microsoft.com/en-us/security/advisory/2757760）。

8月份被爆出0day漏洞的不僅僅只有微軟的產(chǎn)品，Oracle公司的Java Runtime Environment (JRE)運(yùn)行環(huán)境稍早前也被爆出存在0day漏洞。由于Java運(yùn)行環(huán)境被廣泛應(yīng)用于各種系統(tǒng)（包括Windows、蘋果IOS和Linux系統(tǒng)等）的各種瀏覽器中（IE、Firefox、Chrome、Safair等），使得這個(gè)漏洞可以在各種平臺(tái)上通用。目前該漏洞的攻擊程序也已經(jīng)在網(wǎng)絡(luò)上流傳。Oracle公司已經(jīng)針對(duì)該漏洞發(fā)布了相應(yīng)的安全公告和補(bǔ)丁程序，建議用戶盡快安裝最新版本的JRE來防范風(fēng)險(xiǎn)（http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-1835715.html）。

除上述兩個(gè)0day漏洞外，8月份DNS服務(wù)程序BIND也被發(fā)現(xiàn)存在一個(gè)拒絕服務(wù)攻擊漏洞。當(dāng)BIND程序處理超過65535字節(jié)的RDATA記錄時(shí)可能導(dǎo)致named后臺(tái)進(jìn)程出現(xiàn)異常而退出。根據(jù)ISC發(fā)布的公告稱，遞歸服務(wù)器查詢權(quán)威服務(wù)器提供此類記錄時(shí)會(huì)受到漏洞影響，而權(quán)威服務(wù)器在區(qū)傳送包含此類型記錄時(shí)也會(huì)受到影響。攻擊者可以通過構(gòu)造特殊格式的權(quán)威服務(wù)器記錄來對(duì)遞歸查詢服務(wù)進(jìn)行拒絕服務(wù)攻擊。目前ISC已經(jīng)在新版的BIND程序中修補(bǔ)了該漏洞，域名服務(wù)器的管理員及時(shí)更新有問題的BIND程序版本。

鑒于近期0day漏洞的安全風(fēng)險(xiǎn)，我們建議用戶進(jìn)行網(wǎng)頁瀏覽時(shí)要小心防范，必要時(shí)可以選擇使用其他瀏覽器替代IE瀏覽器，比如Google公司的Chrome瀏覽器，它是目前對(duì)漏洞修補(bǔ)速度最快的瀏覽器。