当前位置: 安全纵横 > 安全公告

一周安全动态(12月16日-12月23日)

来源:安恒信息 日期:2010-12

一周安全动态(12月16日-12月23日)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1. 安全新闻

1.1 黑客多次入侵高检等多家政府机关网站

19岁青年范东东和文超,被控多次侵入最高检等多家政府机关的网站后台,更改网页源代码为其他网站提升搜索排名率牟利。记者昨天获悉,因涉嫌非法侵入计算机信息系统罪和非法控制计算机信息系统罪,范东东和文超被公诉至朝阳法院。

范东东和文超都是1991年出生,只有初中文化程度。检方指控,今年3月至5月间,他们在郑州一间公寓内,通过后门程序进入最高人民检察院反渎职侵权厅网站后台,更改网页源代码,为其他网站提升搜索排名率,达到牟取利益的目的。

此外,两人还先后侵入过长沙质量技术监督局、青海质量监督总站、抚顺政务公开网、佛山市高明区档案局等10余家网站的后台更改网页源代码。今年5月29日,范东东、文超被刑事拘留。

“改代码”是为偷浏览量
  昨天,计算机领域专家王先生称,黑客有三种办法更改源代码,并偷走原本属于公共网站的浏览量。

第一种是通过更改源代码改变搜索指向。比如,当有人在百度中搜索“最高检”等关键 字时,会直接跳出其目标网站。第二种是修改网站内的链 接代码,当有人登录最高检等网站打开新闻等次级链接时,会跳到其目标网站,而非新闻页面。第三种是在网站后台做手脚。当有人打开最高检等网站时,会自动暗 中弹出其目标网站。用户虽然看不到这些网站,但实际上已经算打开了。

王先生称,一些小网站靠广告赢利。广告商则按点击率给这些网站支付广告费。黑客在后台控制最高检这类公共网站,可为客户瞬间提供几十万的点击率。因此,这些网站难免会遭受攻击。

1.2 绍兴2家团购网被黑10多万用户受影响 疑为同行恶意竞争

从前天晚上起,绍兴两家颇有名气的团购网遭到黑客攻击,无法正常运行。

“这是攻击时间最长,影响最大的一次,而且是有组织的。”两家网站均称。昨天,其中一家网站已向警方报案。他们怀疑是竞争对手的恶意竞争。

网站被黑
  10多万用户团购受影响

其中一家被黑的网站叫做“千人购”,在浙江省内已有近十万客户,总部在杭州,今年9月初,进驻绍兴,并很快拥有了上万名注册用户。

绍兴白领王小姐就是这个网站的常客。但前天晚上,当她进入这个网站时,很快跳出一个红色警告。有木马病毒!

直到昨晚,她仍无法在网站正常购物。客服告诉她:网站被黑客攻击了,放了木马病毒。

同样遭遇的还有另一家“团乐购”网站。该团购网总部也在杭州,有注册用户三四万人,9月设绍兴分部。昨天中午,记者点击该网站时,主页显示空白,再点击另一个链接时,网页打开很慢,很多图片不能显示。

其中一个网站已被攻击一周

昨天下午,绍兴千人购负责人周军向记者证实,网站被恶意植入木马程序。

“以前也会遭遇类似的攻击,但这次最猛烈,影响时间最长。”周军说,被植入的是一种网页脚本木马,一般杀毒软件均可以查杀,所以不会对顾客的账户安全产生很大影响。

同样,团乐购网站也遭遇了猛烈的IP流量攻击。

该网站推广运营部证实,已连续一周受到来自全国各地的IP流量攻击,致使网站使用的服务器部分功能瘫痪,而这次尤其凶猛。

网站已报警 怀疑同行搞鬼

团乐购告诉记者:“我们已经向警方报案,目前正在等待警方调查结果。”

两家受害网商均怀疑是竞争对手搞的鬼,但目前还没有证据。据了解,绍兴本地的十多家团购网未受影响。

“IP流量攻击相当有规律,和正常的工作时间基本吻合。”团乐购推广营运部一位负责人说,这就显示攻击具有相当的组织性和目的性。

作为一种新兴的电子商务模式,团购发展迅猛。年初至今,绍兴已经冒出13家团购网站。

一位电子商务专家告诉记者,团购网站准入门槛较低,一台服务器,三五个人和几万元的投资就可开张,由此带来的竞争十分激烈,时常会出现恶性竞争。

1.3 网站账户信息泄露 曝光最流行密码

上周末,旗下拥有Gizmodo、Kotaku、Lifehack等多个知名博客的Gawker Media服务器被黑客攻破,超过100万份用户资料在网络上曝光。这些资料包含用户名、邮箱地址以及密码。虽然密码大部分为加密存储,但不久后,其中 188279个账户的密码也被解密泄露出来。

华尔街日报根据这些信息做了一项有趣的统计,即在这188279个密码中,查找最 常见的密码选择。不出所料,排名第一的密码就是“123456”, 有超过3000人使用。排名它之后的是password、12345678、qwerty、abc123、111111等。Gawker旗下网站的名字如 lifehack、consumer、gizmodo、gawker、kotaku也都是常见密码。

在这些流行密码中,monkey(猴子)出人意料的排在前十名之内,天知道用户们都在想什么。其他有趣的密码还包括《X档案》中Mulder探员所用密码trustno1,卢卡斯科幻电影thx1138等。


 

1.4 微软修复40个漏洞 国内安全形势日趋恶化

北京时间12月15日消息,微软2010年最后一次例行的安全更新很“给力”,破 纪录的发布了17个安全补丁,用于修复Windows操作系统、IE浏览器、Office、SharePoint和Exchange中的40处漏洞。截止 发稿前,金山安全专家提示用户,由于补丁发布有滞后性,用户应使用安全软件或者安全工具对电脑进行全面保护。

此次微软发布的17个补丁中,有2个危险程度评级为“危急”, 其中一个“危急”补丁是专门针对IE 0day漏洞的,0day漏洞对包括IE6、IE7、IE8等浏览器用户均具有重大威胁。其余14个为“重要”,另外一个是“中等”。而针对补丁修复内 容,13款补丁将影响一个或多个Windows版本,2款修正Windows版Office和Microsoft Works中的缺陷,另外2款分别修正Exchange和SharePoint中的缺陷。

据统计,2010年微软发布的安全补丁已超过100个,远远高于2009年的74 个和2008年的78个。而此前不久召开的中国计算机网络安全年会上,工信部领导也特别指出,2010年,网络安全形势严峻,域名劫持、网页篡改、网络黑 客等事件造成了严重影响和重大损失,仅中国网民每年需要为网络攻击支付的费用就达到153亿元之多。

对此,安全专家李铁军表示,微软如此罕见的大规模批量修复漏洞,是迫于日益紧张的安全环境。但由于补丁具有“滞后性”的特点,网民还需要使用专业的杀毒软件为电脑提供全面防护。

1.5 微软12月补丁彻底修复“超级工厂”攻击漏洞

2010年12月15日凌晨,微软公司面向全球用户发布12月安全更新,一举推出 17款补丁,用于修复Windows操作系统、IE浏览器、Office软件等存在的40个安全漏洞,其中包括被Stuxnet“超级工厂”病毒利用的最 后一个未被修复的漏洞。这意味着, “超级工厂”病毒在全球范围的危害性将逐日递减。

据安全专家介绍,这是微软有史以来发布补丁最多的一个月份。根据微软安全公告,本 月17个补丁中,有2个定为“高危”级别,分别用于修复Windows OpenType字体驱动远程代码执行漏洞,以及11月初曝光的IE浏览器CSS 0day漏洞。其中,IE浏览器CSS 0day漏洞已经遭到部分挂马网页利用,影响IE6、IE7、IE8等主流版本。360安全中心恶意网页监测数据表明:最近一周网上活跃着近3万个利用该 漏洞来传播木马的挂马网页,网民应打好补丁免疫漏洞危害。此外,微软还发布了14个“重要”级别的补丁,以及1个“中等”级别补丁。

值得特别关注的是,此次微软修复的“Windows计划任务本地权限提升漏洞” (公告编号:MS10-092),是被“超级工厂”病毒利用的最后一个Windows 0day漏洞。安全专家石晓虹博士介绍说,“超级工厂”是一个典型的工业间谍程序,因攻击伊朗核电站而在全球闻名。它一共利用了5个微软漏洞,其中4个在 此前均已得到微软官方修复,随着第5个漏洞的修复,肆虐全球长达半年之久的Stuxnet“超级工厂”病毒的危害将得到彻底解决。

据悉,2010全年微软共发布106款安全补丁,数量之高创造历史峰值。更惊人的 是,今年8月、10月以及12月,微软单月发布的补丁数量接连刷新纪录,这在安全行业极为罕见。而在最近10年内,补丁数量仅次于2010年的年份为 2006年和2008年,都只有78款补丁。

对此,石晓虹博士说:“2010年微软公告的安全漏洞数量超过往年,却再也没有出 现冲击波、震荡波蠕虫大规模爆发的情况,这说明打补丁服务是保障互联网安全的基础工作;同时,国产安全软件也在不断完善主动防御、多层防护体系和云安全功 能,可以在微软官方补丁发布前有效地防范0day漏洞攻击,遏制了木马病毒疫情的大面积扩散。”

资料来源:360安全卫士
  另据最新消息,360安全卫士已为此准备了超过600G的峰值带宽,为用户提供及时、快速的打补丁服务。据悉,这一带宽总量已超过了国内任何一家视频网站的带宽量

附:微软12月补丁信息

1、Microsoft Internet Explorer浏览器积累性安全更新(IE浏览器CSS 0day漏洞)

MS10-090 级别:高危

描述:微软Internet

Explorer浏览器存在7处安全漏洞,其中大部分漏洞可能导致用户浏览攻击者精心构造的恶意网页时,攻击者的恶意代码被执行,运行恶意程序或窃取用户隐私。此安全公告修复了网上公开的漏洞攻击:CVE-2010-3962。

影响系统:Windows XP/2003/Vista/2008/Windows 7

2、Windows OpenType字体驱动远程代码执行漏洞

MS10-091 级别:高危

描述:Windows

OpenType字体驱动存在3处远程代码执行漏洞,当用户浏览攻击者精心构造的包含恶意字体文件的网络共享时,攻击者可以在用户系统上运行恶意代码,并获得整个系统的控制权,从而安装恶意程序或窃取用户数据。

影响系统:Windows XP/2003/Vista/2008/Windows 7

3、Windows计划任务本地权限提升漏洞

MS10-092 级别:重要

描述:Windows计划任务服务存在一处权限提升漏洞,攻击者可以在已经运行恶意代码的系统上将自身的权限从低权限提升到系统权限,从而彻底控制系统。

影响系统:Windows Vista/2008/Windows 7

注:此漏洞为“超级工厂”病毒利用的最后一个未被修复的漏洞。至此,“超级工厂”病毒的威力将逐步递减。

4、Windows Movie Maker DLL预加载远程代码执行漏洞

MS10-093 级别:重要

描述:Windows Movie Maker存在一处DLL预加载远程代码执行漏洞,当用户浏览一个恶意的WebDav共享或者双击一个位于攻击者控制的WebDav共享上的 WindowsMovie Maker文件时,可能导致恶意的DLL代码被执行,安装恶意程序或窃取用户隐私。

影响系统:Windows Vista

5、Windows媒体编码器 DLL预加载远程代码执行漏洞

MS10-094 级别:重要

描述:用户浏览一个恶意的WebDav共享或者双击一个位于攻击者控制的WebDav共享上的恶意.prx (Windows媒体轮廓)文件时,可能导致恶意的DLL代码被执行,安装恶意程序或窃取用户隐私。

影响系统:Windows XP/2003/Vista/2008

6、Windows BranchCache DLL预加载远程代码执行漏洞

MS10-095 级别:重要

描述:Windows BranchCache存在一处DLL预加载远程代码执行漏洞,当用户浏览一个恶意的WebDav共享或者双击一个位于攻击者控制的WebDav共享上 的.eml/.rss或.wpost文件时,可能导致恶意的DLL代码被执行,安装恶意程序或窃取用户隐私。

影响系统:Windows 2008/Windows 7

7、Windows地址薄 DLL预加载远程代码执行漏洞

MS10-096 级别:重要

描述:Windows地址薄(Windows Address Book)存在一处DLL预加载远程代码执行漏洞,用户浏览一个恶意的WebDav共享或者双击一个位于攻击者控制的WebDav共享上的地址薄文件时, 可能导致恶意的DLL代码被执行,安装恶意程序或窃取用户隐私。

影响系统:Windows XP/2003/Vista/2008/Windows 7

8、网络连接注册向导DLL预加载远程代码执行漏洞

MS10-097 级别:重要

描述:网络连接注册向导程序存在一处DLL预加载漏洞,当用户浏览一个恶意的WebDav共享或者双击一个位于攻击者控制的WebDav共享上的 文件时,可能导致恶意的DLL代码被执行,安装恶意程序或窃取用户隐私。

影响系统:Windows XP/2003

9、Windows内核驱动Win32k.sys 本地权限提升漏洞

MS10-098 级别:重要

描述:系统内核驱动win32k.sys存在6处安全漏洞,攻击者可以在已经运行恶意代码的系统上将自身的权限从低权限提升到系统权限,从而彻底控制系统。

影响系统:Windows XP/2003/Vista/2008/Windows 7

10、Windows路由和远程访问NDProxy内核组件缓存溢出漏洞

MS10-099 级别:重要

描述:系统内核驱动NDProxy.sys 存在一处安全漏洞,攻击者可以在已经运行恶意代码的系统上将自身的权限从低权限提升到系统权限,从而彻底控制系统。

影响系统:Windows XP/2003

11、Windows Consent UI接口模拟绕过UAC漏洞

MS10-100 级别:重要

描述:Windows Consent UI 存在一处模拟攻击漏洞,攻击者可以在已经运行恶意代码的系统上将自身的权限由低权限帐户提升到工作站帐户,从而进一步控制系统。

影响系统:Windows Vista/2008/Windows 7

12、Windows Netlogon 服务远程拒绝服务漏洞

MS10-101 级别:重要

描述:Windows NetLogon组件存在一处拒绝服务漏洞,已经拥有管理员权限的攻击者在一台已经加入域的工作站上发送恶意的RPC网络请求给已经作为该域控制器的Windows服务器,可能会导致目标Windows服务器蓝屏崩溃。

影响系统:Windows 2003/2008

13、Hyper-V 虚拟化总线拒绝服务漏洞

MS10-102 级别:重要

描述:微软Hyper-V虚拟化技术的虚拟总线组件存在一处拒绝服务漏洞,在Hyper-V虚拟机Guest系统上运行程序的攻击者,可以通过虚 拟化总线的漏洞导致虚拟机外的host操作系统蓝屏崩溃。

影响系统:Windows 2008

14、Microsoft Publisher 远程代码执行漏洞

MS10-103 级别:重要

描述:Microsoft Publisher存在5处安全漏洞,当用户打开恶意的.pub文件可能导致攻击者的恶意代码在用户机器上运行,安装恶意程序或窃取用户隐私。

影响软件:Office XP/2003/2007/2010

15、Microsoft Sharepoint 服务器代码执行漏洞

MS10-104 级别:重要

描述:微软SharePoint服务器存在一处安全漏洞,攻击者可能可以给SharePoint服务器上传恶意的可执行程序,并可能使其在 SharePoint服务器上以Guest权限运行。

影响软件:Microsoft office SharePoint Server 2007

16、Microsoft Office图像转换远程代码执行漏洞

MS10-105 级别:重要

描述:Windows Office 存在多处图像转换远程代码执行漏洞,当用户打开攻击者精心构造的包含需要转换的图像的Office文档,可以导致攻击者的恶意代码在用户机器上运行,安装恶意程序或窃取用户隐私。

影响软件:OFFICE XP/2003/2007/2010/Microsoft Office Converter Pack/Microsoft Works 9

17、Exchange服务器远程拒绝服务漏洞

MS10-106 级别:中等

描述:微软Exchange服务

2.本周关注病毒

2.1 病毒名称:Backdoor.Win32.IRCbot.dpv(后门病毒)
警惕程度 ★★★

该病毒是基于IRC的后门程序,该病毒运行后复制自身到驱动程序目录下,在中毒电脑上开设后门,黑客可以通过IRC软件对中毒电脑进行控制,对外发动攻击等。

2.2 病毒名称:Trojan.Win32.BHO.gci(木马病毒)
警惕程度 ★★★★

病毒会关闭很多主流杀毒软件,并修改浏览器BHO,然后链接到黑客指定网站下载木马到本机运行。

2.3 病毒名称:Trojan.DL.Win32.Edog.ac(机器狗木马)
警惕程度 ★★★★

该病毒运行后会用病毒自带的EXE文件替换掉正常的系统文件,系统启动时就会运行该病毒文件,以此试图关闭多种主流杀毒软件和安全工具。病毒还会解除杀毒软件和安全工具对IE的保护,利用IE浏览器从黑客指定网站对病毒本身进行更新。

3. 安全漏洞公告

3.1 PHP Zip Extract方法拒绝服务漏洞

PHP Zip Extract方法拒绝服务漏洞

发布时间:

2010-12-10

漏洞号:

BUGTRAQ ID: 45335

漏洞描述:

PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。
PHP的Zip Extract方法实现上存在漏洞,攻击者可利用此漏洞造成应用程序崩溃,拒绝服务攻击。

安全建议:

厂商补丁:
PHP

---

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.php.net

 

3.2 PhpMyAdmin "error.php"欺骗漏洞

PhpMyAdmin "error.php"欺骗漏洞

发布时间:

2010-12-10

漏洞号:

 

漏洞描述:

phpMyAdmin是用PHP编写的工具,用于通过WEB管理MySQL。
phpMyAdmin实现上存在漏洞,攻击者可利用此漏洞执行欺骗操作。
此漏洞源于通过"type"和"error"参数发送给error.php的输入未正确验证即开始使用,导致在受影响的站点的用户浏览器会话中呈现受限的HTML内容,执行欺骗攻击。

安全建议:

厂商补丁:
phpMyAdmin
----------

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.phpmyadmin.net/

 

3.3 PHP GD Extension 'imagepstext()'函数栈缓冲区溢出漏洞

PHP GD Extension 'imagepstext()'函数栈缓冲区溢出漏洞

发布时间:

2010-12-10

漏洞号:

BUGTRAQ ID: 45338

漏洞描述:

PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。
PHP实现上存在漏洞,攻击者可利用此漏洞在PHP进程中执行任意机器代码,造成Web服务器崩溃,拒绝服务攻击。
此漏洞源于应用程序未能对用户提供的输入执行足够的边界检查。在5.3.4之前的版本,PHP GD extension未正确验证传递给函数imagepstext的抗锯齿步骤数。此参数值应为4或16。要容纳这些值,16位整数的数组aa位于栈中。在验证完步骤之前,用于填充数组,这将造成基于栈的缓冲区溢出。


<*来源:Martin Barbella
链接:http://seclists.org/fulldisclosure/2010/Dec/180
*>

安全建议:

厂商补丁:
PHP
---

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.php.net

 

3.4 Microsoft IE跨域信息泄露漏洞

Microsoft IE跨域信息泄露漏洞

发布时间:

2010-12-14

漏洞号:

BUGTRAQ ID: 45256

CVE(CAN) ID: CVE-2010-3342

漏洞描述:

Internet Explorer是Windows操作系统中默认捆绑的WEB浏览器。
IE在实现上存在漏洞,攻击者可利用此漏洞访问另一个域或安全区域中的浏览器窗口中的内容,获取敏感信息。
此漏洞源于未正确实施同源策略。

安全建议:

Microsoft
---------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.microsoft.com/windows/ie/default.asp

 

3.5 Linux kernel ethtool_get_rxnfc函数信息泄漏漏洞

Linux Kernel "pipe_fcntl()"本地拒绝服务漏洞

发布时间:

2010-12-08

漏洞号:

CVE-2010-3861

漏洞描述:

Linux Kernel是开放源码操作系统Linux所使用的内核。
Linux kernel 2.6.36之前版本中的net/core/ethtool.c文件中的ethtool_get_rxnfc函数没有正确初始化堆内存中的某个块。本地用户可以借助带有超大info.rule_cnt值的ETHTOOL_GRXCLSRLALL ethtool命令获取潜在敏感信息。

安全建议:

厂商补丁:
Linux
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.kernel.org/