文/鄭先偉

11月教育網(wǎng)運(yùn)行平穩(wěn)，未發(fā)現(xiàn)影響嚴(yán)重的安全事件。近期有媒體連續(xù)報(bào)道高校網(wǎng)站中存在公示信息時(shí)，泄露用戶(hù)的身份證號(hào)碼等隱私信息的情況，這需要引起各高校的關(guān)注。在相關(guān)公示中公布用戶(hù)身份證信息是保障公示透明的重要環(huán)節(jié)。如何在公示過(guò)程中，既能保障公示信息透明又能有效保護(hù)個(gè)人用戶(hù)的隱私信息不被泄露，是高校業(yè)務(wù)與法務(wù)部門(mén)后期需要探討解決的問(wèn)題?，F(xiàn)階段，建議學(xué)校優(yōu)先排查相關(guān)網(wǎng)站中公示信息，對(duì)于已經(jīng)過(guò)了公示期的用戶(hù)信息，應(yīng)盡快刪除，避免被不法份子收集利用。

雖然重點(diǎn)保障時(shí)期已經(jīng)結(jié)束，但是很多高校依然沿襲了原有的封禁措施，因此投訴的安全事件依然在低位徘徊。

近期需要關(guān)注的病毒木馬還是各類(lèi)比特幣敲詐病毒，因?yàn)楸忍貛艃r(jià)格的瘋漲以及相關(guān)交易的不可監(jiān)控性，基于比特幣的敲詐攻擊只會(huì)愈演愈烈，直到政府能夠?qū)ζ溥M(jìn)行有效的監(jiān)管為止。

近期新增嚴(yán)重漏洞評(píng)述：

1.微軟11月的例行安全公告中共修補(bǔ)了129個(gè)安全漏洞，涉及的產(chǎn)品包括Windows 10 v1709（11個(gè)）、Windows 10 v1703（11個(gè)）、Windows 10 v1607和 Windows Server 2016（11個(gè) ）、Windows 10 RTM（11個(gè)）、Windows 8.1和 Windows Server2012 R2（10個(gè)）、Windows Server 2012（11個(gè)）、Windows 7 和 Windows Server 2008R2（11 個(gè)）、Windows Server 2008（10個(gè)）、IE瀏覽器 (12個(gè))、Edge瀏覽器（25個(gè)）、Office軟件（6個(gè)）。其中Office組件內(nèi)存破壞漏洞（CVE-2017-11882）需要引起用戶(hù)格外關(guān)注，該漏洞位于負(fù)責(zé)在文檔中插入和編輯公式 (OLE 對(duì)象) 的Office組件EQNEDT32.EXE中。由于內(nèi)存操作不正確, 該組件無(wú)法正確處理內(nèi)存中的對(duì)象, 從而使攻擊者可以在登錄用戶(hù)的上下文中執(zhí)行惡意代碼。從Office 2000版本起被引入了EQNEDT32.EXE，并保存在之后所有的Office軟件版本中，因此該漏洞影響Office 2000之后的所有版本。目前已經(jīng)有信息顯示該漏洞正在網(wǎng)絡(luò)上被利用，建議用戶(hù)盡快使用系統(tǒng)的自動(dòng)更新功能安裝所有需要安裝的補(bǔ)丁程序。

2017年10～11月安全投訴事件統(tǒng)計(jì)

2.WordPress是一款使用非常廣泛的網(wǎng)站內(nèi)容管理系統(tǒng)，WordPress 4.8.2（包括4.8.2）之前的版本中存在一個(gè)SQL注入漏洞，由于WordPress的$wpdb-＞prepare()函數(shù)可以接收和執(zhí)行不安全的查詢(xún)，攻擊者可利用漏洞執(zhí)行任意的SQL命令。不過(guò)由于調(diào)用該函數(shù)需要通過(guò)合法用戶(hù)的編輯功能，因此該漏洞對(duì)于那些不開(kāi)放注冊(cè)的WordPress網(wǎng)站的影響較小，而對(duì)那些提供了用戶(hù)注冊(cè)功能的網(wǎng)站則影響較大。建議使用了WordPress搭建網(wǎng)站的管理員盡快將自己的WordPress升級(jí)到4.8.3以上版本。

3.GNU Wget是一個(gè)免費(fèi)的軟件包，用于使用HTTP、HTTPS和FTP協(xié)議檢索文件，它被內(nèi)置在大部分的Linux系統(tǒng)中。Wget 1.19.2之前的版本被曝出存在兩個(gè)緩沖溢出漏洞，攻擊者可以構(gòu)建惡意的Web文件引誘用戶(hù)使用Wget來(lái)檢索訪(fǎng)問(wèn)，一旦漏洞利用成功，攻擊者可以以當(dāng)前用戶(hù)的權(quán)限執(zhí)行任意命令。目前廠(chǎng)商已經(jīng)在1.19.2版本中修補(bǔ)了該漏洞，建議用戶(hù)下載安裝或是使用相關(guān)系統(tǒng)的自動(dòng)更新功能進(jìn)行更新。