微軟再向WinXP用戶發警告

文/鄭先偉

11月教育網整體運行平穩，未發生影響嚴重的安全事件。需要關注的安全事件是微軟發布了其安全研究報告的第15期。該報告在分析了全球100多個國家及地區中的10億余臺計算機系統的安全數據后指出，Windows系列操作系統中WINXP系統的安全狀況最為糟糕。相關的數據分析顯示在同樣的攻擊頻率下WINXP系統被攻擊成功的數量是Win8系統的6倍。造成這種差異的原因是WINXP安全防護體系中賴以生存的DEP技術（數據執行保護技術）隨著攻擊技術的發展已經變得不堪一擊，雖然這種技術在早期系統安全中具有里程碑式的意義。現在微軟已經強烈建議用戶使用更新版本的操作系統替代現有的WINXP系統，不過由于用戶使用習慣等問題，保守估計網絡仍然有超過半數的機器在使用WINXP系統。明年的4月微軟將徹底停止對WINXP系統的技術支持，在沒有安全補丁的情況下，系統上其他的安全防護措施（如反病毒軟件等）也將失去效益，因此建議用戶還是盡快使用更為高級的系統替代現有的WINXP系統。

接近年底，安全事件投訴的數量呈下降趨勢。

2013年11月安全投訴事件統計

病毒與木馬

近期沒有新增影響嚴重的木馬蠕蟲病毒。根據微軟安全研究報告統計的數據顯示目前互聯網上病毒傳播方式排名第一的是通過綁定正常軟件中進行傳播，其次是通過移動存儲介質的AUTORUN功能進行傳播，而通過Web頁面進行傳播的網頁掛馬模式已經退居到第三位。報告中還顯示中國國內的用戶遭遇病毒的機率很大，但是感染率卻并不高，這說明殺毒軟件在國內的普及率已經到達一個相對較高的水平。

近期新增嚴重漏洞評述

微軟11月的安全公告共8個，其中3個為嚴重等級，5個為重要等級。這些公告修補了包括Windows系統、IE瀏覽器及Office軟件中19個安全漏洞。其中需要關注的是ActiveX Kill Bit 的累積性安全更新（MS13-090）修補了Windows系統中InformationCardSigninHelper 類 ActiveX控件 icardie.dll 中存在的一個遠程執行代碼漏洞（CVE-2013-3918），這個漏洞可以通過網頁進行利用，在補丁發布前該漏洞就被檢測到利用跡象。針對上述漏洞用戶應該盡快安裝相應的補丁程序，公告的詳細信息請參見：http://technet.microsoft.com/zh-cn/security/bulletin/ms13-Nov。

除了安全公告中提到的漏洞，10月初微軟的圖形組件Graphics也被曝出存在一個遠程代碼執行漏洞，漏洞影響特定版本的Office軟件（2003、2007、2010）和操作系統（Vista、2003server）。由于漏洞修補相對復雜，微軟未能在11月的安全公告中及時修補該漏洞，只給出了臨時解決辦法，建議使用相關版本操作系統及軟件的用戶采用臨時解決辦法來降低風險（具體方法請參見：http://technet.microsoft.com/en-us/security/advisory/2896666），并隨時關注廠商的動態。

Adobe公司11月的安全公告共2個，其中需要關注的是公告apsb13-26，該公告修補Adobe Flash Player中的兩個遠程代碼執行漏洞，建議用戶使用Flash Player的自動更新功能進行更新，無法自動更新請訪問Adobe的主頁下載最新的版本安裝。

瀏覽器方面，Mozilla公司已經發布了Firefox瀏覽器的25版本，而Google公司則在最近將其Chrome瀏覽器升級到了31.0.1650.57版本。

另一個需要關注的漏洞是網站反向代理軟件Nginx曝出的漏洞（CVE-2013-4547），由于Nginx軟件在處理空格字符時存在缺陷，攻擊者可以利用包含空格的URL請求來繞過Nginx的執行限制在沒有執行權限的目錄中來執行諸如php等腳本。目前廠商已經在最新版本（1.5.7）中修補了該漏洞，建議管理員及時更新。

安全提示

10月國家漏洞庫CNVD通報，新中新公司的校園網一卡通解決方案中的查詢系統存在SQL注入漏洞，這個漏洞可能導致一卡通中的用戶信息泄露，甚至導致查詢服務器被人控制。建議使用了該公司一卡通解決方法的學校盡快聯系廠商進行漏洞修補。很多一卡通系統在建設之初就存在安全漏洞，但是由于之前一卡通業務較單一，多數使用專網運行使得安全漏洞不易被發現，隨著一卡通功能擴展與互聯網的直聯，這些安全漏洞就暴露出來。