近期沒有新增影響特别廣泛的蠕蟲病毒。近期新增嚴重漏洞評述:
1.微軟2017年12月的例行安全公告中修複的漏洞數量較少(共37個,其中嚴重等級的19個),涉及Windows系統及組件(5個),IE浏覽器(23個),Edge浏覽器(1個),ExchangeServer(2個)、Flashplayer插件(1個)和Office軟件(5個)。這些漏洞中需要關注的是MalwareProtectionEngine遠程執行代碼漏洞(CVE-2017-11937),MalwareProtectionEngine是Windows自帶殺毒軟件WindowsDefender的防護引擎,當用戶從網上下載文件時,該引擎會自動掃描并檢測文件安全性。但引擎在功能實現過程中存在漏洞,攻擊者可以制作針對該漏洞的特定文件,如果引擎掃描這些特制文件,會緻内存破壞,從而在系統上執行任意命令。另外需要說明的是由于有越來越多的攻擊(APT攻擊和敲詐病毒)利用Offcie軟件的DDEAUTO技術,因此微軟通過2017年12月的Office更新(ADV170021)關閉了軟件中的DDE數據交換功能。鑒于上述漏洞帶來的危害,建議用戶盡快使用Windows自帶的自動更新功能進行安全更新。
2.GoAhead是一個開源的輕量級WebServer,被大量應用于嵌入式設備中(如攝像頭、小型路由器等),最近其出現了一個高危漏洞,3.6.5版本之前的GoAhead在開啟CGI功能時可以遠程執行任意代碼。目前GoAhead的官方已經在最新版(3.6.5)中修複了該漏洞,但是用戶由于權限問題很難自行更新程序,需要等待嵌入式設備的廠商發布新的系統版本來完成修補,而這個過程通常會比較慢。建議用戶随時關注相關嵌入式設備廠商發布的安全公告并及時更新,在補丁程序沒有出來之前,可以通過網絡的限制手段來降低相關漏洞被利用的風險。
3.2017年12月1日,Apache官方發布了Struts2框架的最新版2.5.14.1,用于修補之前版本中存在的兩個漏洞,分别是S2-054拒絕服務漏洞和S2-055反序列化漏洞。利用這些漏洞可以對目标Web服務器發動DOS攻擊或是反序列化代碼執行攻擊。其中S2-055對應的反序列化漏洞(CVE-2017-7525)2017年7月就被暴露出來了,但針對該漏洞的補丁直到2017年12月才出現。Struts2框架的漏洞2017年公布的數量較多,建議相關網站管理員要随時關注廠商的動态,及時更新Struts2的版本。
(責編:高錦)
安全提示
随着物聯網應用的逐步普及,越來越多的具備聯網功能的嵌入式設備将會被暴露在網絡中,這類設備的安全問題需要引起管理人員的重視,它們由于自身的特殊性,在出現安全漏洞時可能無法快速地通過安裝補丁的方式進行修補,這樣物聯網設備很容易被黑客控制并利用從而帶來較大的安全風險。因此現階段還是建議從網絡層面加強對相關物聯網設備的控制。
(作者單位為中國教育和科研計算機網應急響應組)