釣魚事件有抬頭趨勢

文/鄭先偉

11月教育網(wǎng)網(wǎng)絡(luò)運行正常，無重大安全事件發(fā)生。11月3日，由于騰訊和奇虎360公司的商業(yè)競爭升級導致騰訊宣布將在裝有360軟件的電腦上停止運行QQ軟件，以此逼迫用戶作出二選一的選擇。這一舉措在網(wǎng)上引起軒然大波，用戶紛紛表達了自己的觀點，形成了支持騰訊和支持360的兩大陣營。在這里我們不對誰是誰非作出評價，但是我們要提醒用戶，不管選擇支持哪一家，也不管用的是免費還是收費的殺毒軟件，請一定保證您系統(tǒng)上隨時有一款殺毒軟件在有效工作著。

近期安全事件的投訴種類沒有特別大的變化。從數(shù)量上網(wǎng)絡(luò)欺詐（釣魚）依然有抬頭的趨勢。

2010年10月～2010年11月教育網(wǎng)安全投訴事件統(tǒng)計

病毒與木馬

近期沒有新增影響特別嚴重的病毒木馬。值得一提的是近期媒體上頻頻提到的手機僵尸病毒。這類僵尸病毒主要感染手機的智能操作系統(tǒng)，通過網(wǎng)絡(luò)下載進行傳播。一旦感染手機系統(tǒng)后就會自動向手機通訊簿里的所有用戶發(fā)送帶有病毒鏈接的欺詐短信。如果收到短信的用戶相信了短信的內(nèi)容并點擊了鏈接下載運行了程序就會被感染。病毒感染手機系統(tǒng)后會在上面預(yù)留控制后門，使得攻擊者可以遠程控制你的手機進行短信發(fā)送、上傳文件等操作。目前這類病毒傳播主要通過欺詐短信，還不能主動感染手機系統(tǒng)（需要用戶點擊下載病毒程序運行才會感染），因此它更像是一種木馬病毒而不是一種蠕蟲病毒。但是隨著智能手機以及手機上網(wǎng)功能的普及，利用手機操作系統(tǒng)漏洞進行主動傳播的蠕蟲病毒隨時可能會出現(xiàn)。

近期新增嚴重漏洞評述

近期網(wǎng)絡(luò)上爆出多個高危的0day漏洞，需要引起用戶關(guān)注。10月26日Mozilla公司的Firefox瀏覽器被爆出一個0day漏洞并開始在網(wǎng)絡(luò)上被利用，隨后Mozilla公司啟用了快速響應(yīng)機制在10月28日的時候就發(fā)布新的版本（3.6.12）修補這個漏洞，用戶應(yīng)該盡快升級到最新版本。

10月28日Adobe公司flash player軟件和Pdf Reader/Acrobat軟件被爆出存在0day漏洞并開始在網(wǎng)絡(luò)上被利用。Adobe公司在11月9日和11月17日分別發(fā)布了針對flash player和Adobe Reader/Acrobat軟件的補丁程序，用戶應(yīng)該盡快下載相應(yīng)的補丁程序。

11月3日微軟IE瀏覽器被爆出存在0day漏洞并開始被利用，11月15日Real Network公司的Realplayer媒體播放軟件被爆出存在0day漏洞，到筆者截稿時上述兩個漏洞還未發(fā)布相應(yīng)的補丁程序。對于這些暫時沒有補丁程序可打的0day漏洞，用戶可以啟用Windows系統(tǒng)DEP數(shù)據(jù)保護功能來阻擋攻擊，DEP功能雖然不能百分百

地抵擋針對漏洞的攻擊，但是可以有效地增加漏洞的利用難度。在高版本的Windows操作系統(tǒng)和軟件（如Vista、Win7和IE8等）中DEP數(shù)據(jù)保護功能是默認啟用的，而在低版本的系統(tǒng)和軟件（如WinXP和IE6、IE7等）中這個功能則需用戶手動啟動（啟動辦法請參見后文中漏洞的臨時解決辦法）。

以下是近期需要我們用戶特別關(guān)注的漏洞：微軟IE瀏覽器CSS標簽遠程代碼執(zhí)行漏洞

影響軟件：

IE6 ，IE7，IE8

漏洞信息：

IE在處理網(wǎng)頁中的特定樣式標簽時存在漏洞，漏洞導致攻擊者可以修改內(nèi)存中會被調(diào)用的虛表指針，通過精心構(gòu)造，內(nèi)存中的數(shù)據(jù)有可能利用此漏洞執(zhí)行任意指令。遠程攻擊者可以利用此漏洞誘使用戶訪問惡意網(wǎng)頁在用戶系統(tǒng)上執(zhí)行任意指令，成功的攻擊將使攻擊者完全控制受影響的系統(tǒng)。

漏洞危害：

漏洞可以利用來進行網(wǎng)頁掛馬攻擊。目前該漏洞正在網(wǎng)絡(luò)上被積極地利用。漏洞在WinXP系統(tǒng)下的IE 6和IE 7上的成功率非常高，攻擊IE 8可能導致該瀏覽器崩潰。啟用DEP保護機制的系統(tǒng)（vista、Win7）可以有效阻擋此攻擊。

解決辦法：

目前廠商針對該漏洞發(fā)布了緊急安全通告，但是還未發(fā)布補丁程序，建議用戶隨時關(guān)注廠商的動態(tài)：

http://www.microsoft.com/china/technet/security/advisory/2458511.mspx

在沒有補丁程序之前，用戶可以使用以下辦法來降低風險：

第一，針對IE 7瀏覽器，手動打開DEP保護，方法如下：

1. 在 Internet Explorer 中，單擊“工具”，單擊“Internet 選項”，然后單擊“高級”。

2. 單擊“啟用內(nèi)存保護”以幫助減少聯(lián)機攻擊。

第二，開啟系統(tǒng)全局DEP保護（僅適用于WinXP）,方法如下：

1.點擊開始菜單的“運行”，輸入“sysdm.cpl”，點擊“確定”。

2.程序運行以后，點擊“高級”分頁，然后點擊“性能”分欄中的“設(shè)置”按鈕。選擇“數(shù) 據(jù)執(zhí)行保護”分頁，選擇“除所選之外，為所有程序和服務(wù)啟用數(shù)據(jù)執(zhí)行保護”。然后點擊下面的“確定”按鈕。

3. 重新啟動系統(tǒng)。

需要提醒用戶注意的是，WinXP系統(tǒng)下啟用全局EDP保護后，可能導致一些第三方的程序不兼容，出現(xiàn)自動退出運行的現(xiàn)象。