当前位置: 安全纵横 > 安全公告

一周安全动态(2012年11月15日-2012年11月22日)

来源:安恒信息 日期:2012-11

2012年11月第三周(11.15-11.22)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 外交部就美报告在网络安全方面指责中国答问(实录)

中新网11月14日电 据外交部网站消息,外交部发言人洪磊14日主持例行记者会,就”美中经济与安全评估委员会”年度报告中涉网络安全方面指责中国等答问。

以下是外交部网站公布的答问实录:

问:据报道,一些国家表示承认“叙利亚反对派和革命力量全国联盟”为叙人民合法代表。中方对此有何看法?

答:叙利亚的前途命运应由叙利亚人民自主决定,应尽快开启并推进由叙利亚人民主导的政治过渡进程,实现叙利亚问题的公正、和平、妥善解决。中方愿就此与叙利亚有关各方继续保持接触和沟通。

问:据报道,韩国方面于今年5月扣押了一艘中国籍货轮,船上载有疑似朝鲜制造的弹道导弹零部件。请证实。中方对此有何评论?

答:我们注意到有关报道。需要强调的是,中国反对大规模杀伤性武器及其运载工具的扩散,严格履行联合国安理会相关决议并认真执行自身防扩散出口管制法律法规。对于违反安理会决议和中国法律法规的行为,我们都将依法进行处理。

问:“美中经济与安全评估委员会”14日发表年度报告称,中国已成为网络世界最具威胁性的国家,美国政府应深入评估中国的“网络间谍”活动,考虑对从中渔利的中国企业加大处罚力度。中方对此有何评论?

答:有关委员会总是抱着冷战思维不放。中方敦促该委员会尊重事实、摒弃偏见,停止干涉中国内政、有损中美关系的错误言行。

报告中涉网络安全对中方的指责毫无根据。我们已多次指出,中方反对任何形式的黑客攻击,已制定有关法律明确禁止。事实上,中国也是各类黑客攻击的主要受害国。我们一贯认为,网络安全作为全球性问题,应在相互信任的基础上通过建设性的国际合作加以解决。中美两国政府已开始通过有关渠道合作打击相关网络犯罪。该委员会再三发表此类不负责任的、误导性的报告,无助于解决黑客攻击问题,也无助于中美在网络安全问题上建立互信。

1.2 必须加强国家信息安全体系建设

在中国的经济和社会全面互联网化的浪潮下,我们渐渐习惯了生活与互联网的紧密相连,却淡化了对网络信息安全意识的培养和灌输。最近,拜美国政客们的偏见所赐,中国业界对这一战略性课题再度重视。
近期,美国众议院情报委员会发表一份报告称,中国的电信设备提供商华为、中兴可能对美国国家安全构成威胁,并警告美国公司不要与这两家中国公司有业务往来。

美国是一个主权国家,有着对国家安全的合理诉求,在华为、中兴会否威胁美国国家安全的最终定论出来之前,我们无法对美国的举动造成什么实质性的影响。然而,美国对占市场份额只有1%的华为、中兴的产品如此大开杀戒,倒让我们也不得不仔细审视,中国的信息安全是不是面临着同样的威胁和不安全因素。

2012年9月20日,着名电信运营商AT&T的部分大客户在亚特兰大的ME业务出现故障,数据和电话线路中断长达3小时。后经查明,造成网络中断的原因,是某国际性大企业生产的核心路由产品出现了故障。

而该厂商的设备早在2005年7月12日,就曾造成中国网络出现大面积故障。当时,承载着200万用户以上的北京网通ADSL和LAN宽带网,突然大面积中断,事故大约影响了20万北京网民。

这也许只是一两起孤立事件,但由于目前整个信息产品领域普遍采用了远程升级和远程维护这一方式,一方面在带给用户方便,另一方面却将自己的命运交到厂家手中。在国家处于特殊时期,任何事情都可能发生,偶然事件触发必然事件的几率空前增大。而事实上,互联网的信息安全威胁离我们很近很近。

近日,信息安全专家、中国计算机学会常务理事潘柱廷针对中国的骨干网的接入设备大部分采用无法自主控制设备的现状,就显得忧心忡忡。他认为,"一旦发生安全问题,中国的信息网络会全面瘫痪,后果不可小觑。"

早年在联想主政技术开发,最早提出研发自有知识产权的IT产品和技术的中国工程院院士倪光南近日专门着文表示,"为了保障信息主权和信息安全,应当采用自主可控的核心技术。'自主可控'在我国提了几十年,是经得起实践检验的。"

倪院士指出,"美国企业掌握了信息领域的主要核心技术,美国企业占据了中国信息领域市场的重要份额。如果按照美国的逻辑,美国企业对中国国家安全可能造成的威胁,应该比华为、中兴对美国国家安全可能造成的威胁大得多了。华为、在美国市场的销售额仅占其总销售额的1%,思科在中国市场的销售额要占其总销售额的16%.由此看来,如果要担心国家安全受威胁的话,首先应该是中国,而不应该是美国。"

这并非危言耸听,任何商业性公司,在国家处于战争状态或安全受到威胁的情况下,都应该无条件地服从于国家利益,商业道德在国家安全面前,并不具备任何约束力。与美国因国家安全考虑禁止中国电信设备进入基础建设,无法就此给其冠以狭隘民族主义或"中国威胁论"的帽子一样,中国建设可控的独立自主的国家信息安全体系,是为了保证国家信息稳定并在特殊时期不受制于人的一种基础性工程。

综观世界各国对国家信息安全的重视情况,不仅有美国从法律层面针对基础性设施进行约束,德国、日本、俄罗斯、韩国、瑞士等国家,自上世纪90年代起就着手进行国家信息安全体系的建设和完善。

我国目前虽然认识到了保障信息安全对国家安全的重要性,但仍然没有把保障信息安全放到国家战略的高度来进行系统化法治化管理,这导致我们在国家信息安全建设方面缺乏长远战略目标,而对可能影响国家战略安全的骨干网的建设缺少了自主可控的成分,国家信息安全缺乏基本法的一个关键因素。

从区域性国际组织和西方发达国家的经验来看,保障信息安全是一个事关国家安全大局的战略性问题,需要把信息安全提高到"国家利益至上"的原则上来,毫不犹豫地将信息安全纳入国家安全体系中来,同时加强对基础性电信设备准入的控制,鼓励和扶持核心技术及骨干网设备的创新和自主研发,只有这样,我们才能在享受互联网带来的诸多便利之时,不再受制于人。

20年前,我们由于技术落后而无法把国家信息安全的控制权掌握在自己手中,而在20年后的今天,当我们在ICT领域的技术水平逐步向世界先进水平靠拢之时,我们应该且有能力把中国信息安全掌握在自己手中。

1.3 维护信息主权和信息安全越来越重要

中国工程院院士倪光南表示,我国科技人员、我国高技术产业的从业人员同样密切关注着十八大,关注着中国今后科技事业和高技术产业将如何发展,以及这种发展将会对中国和世界产生什么影响。实践表明,深化改革开放和加快转变经济发展方式已经取得了重大成就,我国国力大大增强,尤其是我国企业的国际竞争力已经从主要依靠廉价劳动力和资源逐步向主要依靠掌握核心技术、拥有知识产权、提高创新能力的方向转变。

但最近的一些事件告诉我们,这种转变不会一帆风顺,我们的竞争对手总希望中国企业永远停留在产业链的低端而不要进入产业链的高端,因此,我国高技术企业走向世界会遇到重重壁垒,任务十分艰巨。同时,现代信息技术正在快速发展并渗透到各个领域,这就使维护信息主权和信息安全变得越来越重要。

倪光南说,我们殷切期待,新一届中央领导集体一定会继续高举中国特色社会主义伟大旗帜,坚定不移地推进改革开放,在我国发展的重要战略机遇期,带领全国各族人民为实现全面建成小康社会而奋斗;我国的科技事业和高技术产业也一定能战胜各种困难,完成自己光荣的历史使命。

1.4 信息安全成为物联网大发展最关键一环

物联网不能仅仅感知、传输信息,必须对感知传输的信息进行认证,阻止恶意信息的感知传输,保障信息感知传输的真实,保护信息源及信息使用的权益,保障物联网的诚信、有序。

互联网只传输信息,不认证信息,在信息传输的同时,也成为病毒、黑客等恶意信息作案的工具。从这个方面讲,互联网技术是不够完善的。这一问题,目前仍未能从技术上解决,而是在谋求技术之外的政府和立法方式解决。假如物联网不能保障信息安全,结果将不堪设想:如果说物联网市场规模是互联网的30倍的话,那么,其信息安全带来的负面影响可能远大于互联网负面影响的30倍。技术创新是智慧的产物,保障物联网的信息安全更需要智慧,需要用技术创新保障物联网的信息安全。 物联网不能仅仅感知、传输信息,必须对感知传输的信息进行认证,阻止恶意信息的感知传输,保障信息感知传输的真实,保护信息源及信息使用的权益,保障物联网的诚信、有序。

物联网的信息安全问题主要体现在哪几个方面?

由于物联网在很多场合都需要无线传输,这种暴露在公开场所之中的信号很容易被窃取,也更容易被干扰,这将直接影响到物联网体系的安全。

1)传感网络是一个存在严重不确定性因素的环境。

广泛存在的传感智能节点本质上就是监测和控制网络上的各种设备,它们监测网络的不同内容、提供各种不同格式的事件数据来表征网络系统当前的状态。然而,这些传感智能节点又是一个外来入侵的最佳场所。从这个角度而言,物联网感知层的数据非常复杂,数据间存在着频繁的冲突与合作,具有很强的冗余性和互补性,且是海量数据。它具有很强的实时性特征,同时又是多源异构型数据。因此,相对于传统的TCP/IP网络技术而言,所有的网络监控措施、防御技术不网络安全和其他相关学科领域面前都将是一个新的课题、新的挑战。

2)被感知的信息通过无线网络平台进行传输时,信息的安全性相当脆弱。

其次,当物联网感知层主要采用RFID技术时,嵌入了RFID芯片的物品不仅能方便地被物品主人所感知,同时其他人也能进行感知。如何在感知、传输、应用过程中提供一套强大的安全体系作保障,是一个难题。

3)同样,在物联网的传输层和应用层也存在一系列的安全隐患,亟待出现相对应的、高效的安全防范策略和技术。

只是在这两层可以借鉴TCP/IP网络已有技术的地方比较多一些,与传统的网络对抗相互交叉。 综上所述,物联网除了面对传统TCP/IP网络、无线网络和移动通信网络等传统网络安全问题之外,还存在着大量自身的特殊安全问题,并且这些特殊性大多来自感知层。

物联网行业面临的安全威胁有哪些?

1)安全隐私

如射频识别技术被用于物联网系统时,RFID标签被嵌入任何物品中,比如人们的日常生活用品中,而用品的拥有者不一定能觉察,从而导致用品的拥有者不受控制地被扫描、定位和追踪,这不仅涉及到技术问题,而且还将涉及到法律问题。

2)智能感知节点的自身安全问题

即物联网机器/感知节点的本地安全问题。由于物联网的应用可以取代人来完成一些复杂、危险和机械的工作,所以物联网机器/感知节点多数部署在无人监控的场景中。那么攻击者就可以轻易地接触到这些设备,从而对它们造成破坏,甚至通过本地操作更换机器的软硬件。另外,感知节点通常情况下功能单一、能量有限,使得它们无法拥有复杂的安全保护能力,而感知层的网络节点多种多样,所采集的数据、传输的信息和消息也没有特定的标准,所以无法提供统一的安全保护体系。

物联网不能仅仅感知、传输信息,必须对感知传输的信息进行认证,阻止恶意信息的感知传输,保障信息感知传输的真实,保护信息源及信息使用的权益,保障物联网的诚信、有序。

3)假冒攻击

由于智能传感终端、RFID电子标签相对于传统TCP/IP网络而言是“裸露”在攻击者的眼皮底下的,再加上传输平台是在一定范围内“暴露”在空中的,“窜扰”在传感网络领域显得非常频繁、并且容易。所以,传感器网络中的假冒攻击是一种主动攻击形式,它极大地威胁着传感器节点间的协同工作。

4)数据驱动攻击

数据驱动攻击是通过向某个程序或应用发送数据,以产生非预期结果的攻击,通常为攻击者提供访问目标系统的权限。数据驱动攻击分为缓冲区溢出攻击、格式化字符串攻击、输入验证攻击、同步漏洞攻击、信任漏洞攻击等。通常向传感网络中的汇聚节点实施缓冲区溢出攻击是非常容易的。

5)恶意代码攻击

恶意程序在无线网络环境和传感网络环境中有无穷多的入口。一旦入侵成功,之后通过网络传播就变得非常容易。它的传播性、隐蔽性、破坏性等相比TCP/IP网络而言更加难以防范,如类似于蠕虫这样的恶意代码,本身又不需要寄生文件,在这样的环境中检测和清除这样的恶意代码将很困难。

6)拒绝服务

这种攻击方式多数会发生在感知层安全与核心网络的衔接之处。由于物联网中节点数量庞大,且以集群方式存在,因此在数据传播时,大量节点的数据传输需求会导致网络拥塞,产生拒绝服务攻击。

7)物联网的业务安全

由于物联网节点无人值守,并且有可能是动态的,所以如何对物联网设备进行远程签约信息和业务信息配置就成了难题。另外,现有通信网络的安全架构都是从人与人之间的通信需求出发的,不一定适合以机器与机器之间的通信为需求的物联网络。使用现有的网络安全机制会割裂物联网机器间的逻辑关系。

8)传输层和应用层的安全隐患

在物联网络的传输层和应用层将面临现有TCP/IP网络的所有安全问题,同时还因为物联网在感知层所采集的数据格式多样,来自各种各样感知节点的数据是海量的、并且是多源异构数据,带来的网络安全问题将更加复杂。

在物联网中的企业单位,面临着些信息安全威胁时,该如何抵御这些风险?

物联网在不同层次可以采取的安全。以密码技术为核心的基础信息安全平台及基础设施建设是物联网安全,特别是数据隐私保护的基础,安全平台同时包括安全事件应急响应中心、数据备份和灾难恢复设施、安全管理等。安全防御技术主要是为了保证信息的安全而采用的一些方法,在网络和通信传输安全方面,主要针对网络环境的安全技术,如VPN、路由等,实现网络互连过程的安全,旨在确保通信的机密性、完整性和可用性。而应用环境主要针对用户的访问控制与审计,以及应用系统在执行过程中产生的安全问题。

物联网的信息安全建设是一个复杂的系统工程,要从政策引导、标准制定、技术研发等等多方面向前推进,只有具有坚实的信息安全保障手段,物联网才能健康、快速的在中国发展,真正让世界“感知中国”。

1.5 清剿“利率黑客”

2012年秋,Libor(伦敦银行间同业拆放利率)丑闻发源地英国发毒誓说,要对几近崩溃的Libor实施改革,目标是使Libor更加透明可靠,还要做成石油和黄金等各种大宗商品定价指数改革的模板。虽然连英国央行高官都承认,“Libor市场成污水坑了”,但他们显然不想用“抽干法”一次性排污,而是用净化手段渐进性排污。

暂且不论这种净化能否顺顺如愿,我们关注的是,害Libor遭全球吐槽的污染源到底是什么?目前人民币的市场化和国际化双双提速,人民币基准利率定价市场正紧锣密鼓建设中。不幸的是,Libor曾是其主要参考蓝图之一;万幸的是,中国还没竣工。然而,若言来得及是需要条件的,中国还不完全具备。

此次爆发于巴克莱银行的Libor丑闻,看上去是一次道德危机,因人为虚报利率价格引发全球性银行信用危机。为此有人倡议,要在银行业搞一场文化革命。但实际上,无良者之所以能一举搅浑全球,Libor价格形成机制的巨大漏洞助纣为虐。
首先,Libor的价格不是经公开交易形成的真实价格,而是由几家指定的参考银行,在规定时间内同时虚拟报价,再根据这些报价算出虚拟的平均价格,即Libor利率。而且,整个过程都是在英国银行业协会的暗箱中操作,没有第三方监控。然而,这种虚拟报价机制只是制度漏洞,上升不到病毒级灾难。

制造病毒的是英格兰银行。作为英国的中央银行,它不仅没有对制度漏洞加强监控,反而为了缓和后危机时代的银行流动性紧张,降低对问题金融机构实施救援的成本,暗示巴克莱银行操纵了Libor定价。带着“病毒”价格的Libor,沿着国际定价市场神经网络般的渠道,迅速传播到全球。

这种“超级利率病毒”,不仅影响了家门口的伦敦同业拆放市场,还污染了新加坡(Sibor)、纽约(Nibor)、香港(Hibor)等重要市场,包括中国对外筹资成本利率。在绑架了全球数以百万亿的证券和贷款后,英国人在“银行大院”秘密挖的水坑,借着互联网构建起的全球金融一体化通道,竟演变为发烧级别的“黑客帝国”。

就是这样一个危险的制度漏洞,如今已经被移植到了中国。当前,中国上海银行间同业拆借利率(SHibor)就是按照Libor原理建立的:同样是指定十几家金融机构,基于虚拟报价而非实际成交价格算出平均利率,生成Shibor价格;同样是在银行间市场体系暗箱操作,没有公开透明的第三方监控。

所幸,学生没毕业就发现老师错了。但是,在中国这样一个银行独大的金融环境里,尤其是银行间债券市场如日中天、交易所债券市场萎靡不振的格局下,要想改变现有的Shibor价格生成机制,未见得比英国彻底改革Libor更容易。

首先,起码英国已经充分认识到Libor栽在不透明上了,这回非改不可。而中国刚刚像得到法宝一样建立起这个舶来制度。其次,英国是成熟的金融市场,而中国金融市场的市场化进程尚未完成,无论是从市场资源配置,还是金融工具创新,都无法与成熟金融市场相比。有观点认为,此番重构Libor对中国是个机遇。但是,这个机遇不再是中国擅长的摸着石头过河,而是要拼精准且高速到达率,拼制度层面的公开和透明。

经过一个夏天的激辩,英国拿出一个看似可操作的方案:Libor将保留既定银行的每日报价制度,但Libor价格的制定机构不再是英国银行家协会,而是由一个完全独立且受到监管的机构担当。此项改革不仅拿出了方案,而且确定了牵头人,她就是英国财务报告理事会(Financial Reporting Council)主席豪格(Hogg)夫人。

Libor改革是否真能彻底,我们侧目以待。关键是,包袱更轻的中国怎么接招?

资本流入潮再次来袭

10月23日,有消息称,香港金融管理局再次出手干预汇市,于当日买入8.55亿美元,向银行体系注入约66.2亿港元。这是香港金管局近期第二次出手干预汇市的操作。此前的10月20日,香港金管局在强方兑换保证水平(即1美元兑7.75港元)时买入6.03亿美元,以维持港元汇率稳定。

与此同时,中国国家外汇局发布公告显示,2012年9月,中国金融机构外汇占款结束了7、8两个月的负增长态势,再次出现正增长。9月末257707.62亿元的金额,较8月末新增1306.79亿元(这一数据是今年以来外汇占款月度增加的次高数据,高点是今年1月份的1409亿元)。

从各方面的分析看,上述动作和数据与资金流入香港和内地相关,也就是由于资本流向“从净流出转为净流入”所致。

这一资本流向的逆转,与欧美QE(量化宽松政策)密切相关。

由于美联储出台了无限量的量化宽松政策以及全球经济出现企稳迹象,资本离开美元而转向其他货币或以其他货币计价的资产,香港开始面临规模较大的资本流入,这也导致了港币触碰到联系汇率区间的上限。

以美元计价和结算的大宗商品价格上涨预期弱化甚至下跌是资本流向逆转的重要前提条件。

如果大宗商品价格上涨预期强烈,全球资本都会兑换美元去购买大宗商品期货,美元不仅不会贬值,反而会升值。

所以,导致美元资本流向其他货币资产的重要原因实际应当是两个:其一,美元在QE作用下出现贬值预期;其二,大宗商品价格上涨预期受到抑制。

近期,大宗商品市场上的主导“音调”是全球经济衰退风险增加,中国经济增速减缓,大宗商品需求减少,所以不难理解近期为何石油及铜等商品价格高位回落,“抽疯”般地大起大落。而这,正使得资本流动发生十分关键的变化。

这样的资本流向是否可以持续?

回答这个问题首先要看大宗商品价格是否重新产生上涨预期,其次要看美国是否允许资本出逃的情况长期存在以及美国采取的相应政策。

还需关注的是,资本流向中国势必使得人民币面临上升压力。

若要抑制升值,中国人民银行必须放宽货币。

不过,事实证明中国人民银行并未有如此动作,反而大幅放任人民币汇率波动。这样做的一个重要初衷或是寻求国内货币政策更多的独立性。

但是,放任汇率变动是否真能获得货币政策的独立性?

在全球经济一体化、产业全球化分工已经完成的背景下,答案或许是否定的。刚性商品购买与刚性升值压力的存在,已经破坏了“三元悖论”的原理。

当然,人民币升值也可以变坏事为好事,那就是趁此之机“大规模资本利用”。这就是说,当美国人通过QE打劫中国资本的时候,我们可反过来利用优势,吸引国际资本流入,把它引向我们想要的方向,使之为中国经济增长方式转变、经济结构调整服务。

我们绝不能再用“池子”关死资本,而必须容忍资本投向中国资本市场,用便宜的资本对抗成本上升,用活跃的资本市场不断为企业修复财务报表,保住中国的经济活力。

经济政策的选择关键是“兴利除弊”。如果能够权衡好利弊,把握好节奏和力度,利弊可相互转化。

1.6 谷歌启动光纤建设计划:引发美国互联网创业潮

据国外媒体报道,谷歌在美国堪萨斯率先启动的千兆宽带光纤上网计划,不仅给居民带来便利,同时也吸引了许多有志青年前往堪萨斯,寻求超级宽带之下新的互联网商机。

20岁的迪马拉斯(Mike Demarais),最近只身一人从波士顿迁到堪萨斯城的光纤社区,除了一部MacBook,一些衣服,他怀揣一个创业梦想。

迪马拉斯在内的许多有志青年,正在向堪萨斯集结,他们希望谷歌即将推出的前兆宽带服务,能够提供下一代互联网和电视服务的创业机会。

迪马拉斯等人相信,自己的互联网创业公司,将能够给美国制造业带来革命,根据消费者的需求定制每件商品,让过去的生产线成为历史。

据报道,在光纤宽带覆盖的汉诺夫高地(“Hanover Heights”)社区,已经涌现了许多互联网创业公司,其中包括FormZapper, EyeVerify, SquareOffs, Leap2和LocalRuckus,这些公司集中的地方被称之为“堪萨斯创业村”。

在堪萨斯城,政府官员、经济发展组织、大学、基金会和其他机构正在制定宏伟的计划,利用好谷歌光纤宽带网络。位于州际高速公路和第45大道之间的堪萨斯创业村,成为第一个重大举动。

每天,负责谷歌光纤施工的白色小货车进出居民小区,与此同时,曾经的一个老年人社区,正在演变成创业青年的聚居地。

堪萨斯本地人巴雷斯(Ben Barreth)也成为上述创业计划的推动者。他曾经从事WEB开发,最近他从个人退休金账户中提取出现金,并且利用住房按揭贷款4.8万美元。巴雷斯将会给迪马拉斯这样的互联网创业者,提供免费三个月的租屋,巴雷斯表示,自己将负责水电等开支。他称,这一冲动源自两个月前,但他把想法告诉妻子时,两人都大笑起来。

巴雷斯表示,希望堪萨斯成为一座创新之城,让那些青年人更容易地在这里居住,启动一家新公司。

迪马拉斯表示,在Facebook曾经诞生的波士顿,“环境有些太吵”,风险资本过于关注那些克隆他人创业的大学生。

五月份,堪萨斯城市长的创新工作小组,制定了一份37页的计划,要利好谷歌光纤宽带发展地方经济。

1.7 美国证交所电脑存敏感信息未加密受质疑

由于在刚刚结束的2012黑帽大会上爆出了一系列漏洞,因此Oracle近期发布了针对数据库产品的安全警报漏洞修复。该漏洞是由数据安全咨询顾问David Litchfield在黑帽大会上演示的,包括一系列的概念验证(proof-of-concept)攻击,通过这一漏洞,用户可以将权限提升为DBA(database administrator)级别,并可以通过SQL注入来远程操纵数据库索引记录。

会上Litchfield演示了三个针对Oracle已发布补丁的溢出攻击,这些补丁全部都是两年前报告发布的,其中包括CVE-2010-0902(非特定的OLAP漏洞),CVE-2010-3512(非特定的核心RDBMS组件漏洞)以及CVE-2012-0552(非特定Oracle Spatial组件漏洞)。除上述三个之外,Litchfield还演示了另外一个针对未发布补丁的溢出攻击,并已经提交给MITRE机构的公共漏洞和暴露(Common Vulnerabilities and Exposures,CVE)数据库。

Oracle在本次发布的安全警报(security alert)中建议用户尽快为Oracle Database产品打上补丁,其中涉及到的产品版本包括10.2.0.3、10.2.0.4、10.2.0.5、11.1.0.7、11.2.0.2和11.2.0.3.

在原文中Oracle声称:“由于Oracle融合中间件、企业管理器以及E-Business Suite等产品均包含Oracle Database Server组件,所以上述产品也同样受到本次安全漏洞影响。Oracle建议用户尽快安装补丁程序。”

1.8 NCC:今年Q4全球黑客活动将达10亿起

据情报保障公司NCC最近发布的报道显示,今年Q4,全球的黑客活动将达10亿起。而在今年的Q3,全球的黑客活动就已经达到了9.81亿起,比Q2多出了2300万起。NCC表示,黑客活动将不会出现减弱的趋势,反而将会不断增加。

另外,NCC报道还指出美国是黑客活动发起最密集的地方,据悉,该地区占据了全球黑客活动发起的20.8%。而黑客活动增加速度最快的国家则是俄罗斯和中国,分别增加了19.1%和16.3%。

不过,也并非全部国家都遭受了增长的命运。据悉,英国的黑客活动就在今年Q3减少了500万起,占全球总数的1.6%。

1.9 邮箱当支付宝账户 小心黑客攻击盗刷

谈先生的交易记录显示,其在9日和11日均被“手机wap充值”盗刷数笔金额。(受访者供图)

一用户疑快捷支付方式存漏洞,支付宝称可能性极微建议注册完整的数字证书或实名验证绑定手机作预防

支付宝账户“消失”597元,绑定的银行卡也遭人偷刷,用户损失近千元无处解决。市民谈先生近日发现自己开通了快捷支付功能的支付宝账户被一个名为“手机wap充值”的项目盗刷了597元余额,该账户绑定的银行卡也被盗取了近400元,谈先生怀疑支付宝存在安全漏洞。

支付宝公关部门工作人员表示,快捷支付方式设计严谨,存在漏洞的可能性微乎其微,疑为消费者使用中存在疏忽。公司在详细核查客户的信息后,愿意为他办理全额赔付。

分三次每次盗走199元

谈先生使用支付宝账户进行交易已有多年,近日,他在使用支付宝时,注意到一个快捷支付的交易方式,考虑到淘宝网一直在交易页面推广这个交易方式,自己使用后也觉得方便,谈先生最后决定开通快捷支付功能。11月8日,谈先生在查询自己的支付宝余额时,突然发现账号中少了597元。通过查询,谈先生发现自己的账户在11月8日凌晨2时许至11月9日下午5时许,被分为3次、每次刷走了199元,取款项目为“手机wap充值”。“凌晨时我都在睡觉,根本没有开电脑,怎么可能存在主动交易?”谈先生怀疑自己的账号被盗,于是将该支付宝账号内的1400元余额全部取出,并向支付宝投诉,想到这样做就不会再出现盗刷的情况了。

绑定的银行卡也出事

让谈先生没有想到的是,11月11日,他发现自己的一个与被盗支付宝绑定的银行账号也被盗刷,盗刷金额近400元,取款项目同样为“手机wap充值”。“这次也是一天之内分多次盗刷了我差不多400元,每次都刷30元。”意识到事态严重的谈先生再次拨通支付宝电话,对方表示被盗原因疑为谈先生的电脑或者手机中病毒,才会被人盗号。对此说法,谈先生表示无法理解。“按支付宝的安全凭证来说,只有我授权的电脑可以交易,任何交易都要发交易密码到我手机上。可是被盗的款项有很多都是在我未开机的情况下交易的。”谈先生说:“我既没收到手机交易密码,电脑和手机都定期杀毒,为何被盗?”

回应

核实之后会全额赔付

昨日下午,新快报记者与支付宝客服中心取得联系,通过对谈先生支付宝账号的情况进行查询和分析,支付宝工作人员认为,可能是谈先生在使用支付宝的过程中存在疏忽。“客户使用的是QQ邮箱作为支付宝账号,这种情况被盗的风险相对较高,邮箱被黑客攻击之后,相关信息被盗的可能性会大很多。”该工作人员认为,支付宝用户在使用快捷支付交易方式上要提高警惕,最好注册一个完整的数字证书或者进行实名验证绑定手机来作为预防。

对于谈先生的遭遇,该工作人员表示,支付宝快捷支付交易方式在设计流程上都是比较严谨的,存在漏洞问题的可能性微乎其微,在核实谈先生的信息后,会对他进行全额赔付。

提醒

下载并全面应用相关数字证书或安全软件

支付宝工作人员表示,在快捷交付这个交易方式上出现款项被盗的情况非常少,即便出现问题,支付宝也会在核实后对余额进行5000元的额度累积以及快捷支付的全额赔付。

对于怎样防范支付宝被盗款问题,支付宝工作人员建议,支付宝账户使用者应该下载并全面应用相关的数字证书或安全软件,只要规范地安装好安全证书,并且在每次支付时启用,那么意外情况基本上可以避免。

1.10 微软本周二发布6个安全补丁 修复Win8漏洞

微软发布的通知称,11月的补丁星期二发布的补丁将修复Windows、IE、Office和.Net框架中的安全漏洞。从Windows XP到Windows 8,所有得到技术支持版本的Windows以及Windows Server和IE 9浏览器软件都将得到这些重要的补丁。

虽然微软没有提供这些安全漏洞的细节,但是,微软称,所有4个严重等级的补丁都将修复远程执行代码的安全漏洞。

此外,微软发布一个补丁修复Office软件中的远程执行代码安全漏洞。这个安全漏洞的风险等级是“重要”。微软还将发布一个修复Windows中的一个泄露信息安全漏洞的补丁。这个安全漏洞的风险等级是“中等”。

微软称,Office的安全补丁还将提供给使用OS X版Office软件的Mac机用户。

 

2 本周关注病毒

2.1 Backdoor.Win32.Fednu.rg(后门病毒)

警惕程度 ★★★

病毒运行后,删除Windows自动更新的服务,将自身添加为"Microsoft Windows Uqdatemts Service",实现开机启动。随后,黑客会自动收集用户电脑的系统版本、磁盘等信息。病毒最终可实现利用IE浏览器访问黑客指定网站、下载大量盗号木马、盗取用户电脑中的隐私文件等恶意行为。

2.2 Trojan.Win32.Fednu.uku(木马病毒)

警惕程度 ★★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.3 Trojan.Win32.Delf.zdg(木马病毒)

警惕程度 ★★★

该病毒运行后关闭多种杀毒软件和安全工具,添加注册表启动项,最终会访问黑客指定网站下载大量病毒,给用户电脑安全带来隐患。

3 安全漏洞公告

3.1 Microsoft IIS密码信息泄露漏洞(MS12-073)

Microsoft IIS密码信息泄露漏洞(MS12-073)

发布时间:

2012-11-14

漏洞号:

CVE ID: CVE-2012-2531

漏洞描述:

Internet Information Services(IIS,互联网信息服务)是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。
Microsoft IIS 7.5对操作日志使用了弱权限,没有正确限制对某些日志文件的访问,通过读取此文件,可允许本地用户获取已配置账户的用户名和密码。要利用此漏洞需要启用IIS的操作日志。

安全建议:

临时解决方法:
* 如果已经启用了IIS的"Operational"日志,则在分配给应用池自定义账户之前,请禁用
IIS配置的"Operational",然后在关联了账户之后,重启"Operational"日志。
* 使用内置账户ID(例如LocalService, ApplicationPoolIdentity,等)而非应用池内
的自定义账户。
* 阻止非管理员账户访问EventViewer嵌入式管理单元。
厂商补丁:
Microsoft已经为此发布了一个安全公告(MS12-073)以及相应补丁:
MS12-073:Vulnerabilities in Microsoft Internet Information Services (IIS) Could Allow Information Disclosure (2733829)
链接:
http://www.microsoft.com/technet/security/bulletin/MS12-073.asp

3.2 Microsoft IIS FTP服务远程命令注入漏洞(MS12-073)

Microsoft IIS FTP服务远程命令注入漏洞(MS12-073)

发布时间:

2012-11-14

漏洞号:

CVE ID: CVE-2012-2532

漏洞描述:

Internet Information Services(IIS,互联网信息服务)是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。
Microsoft IIS FTP服务在与加密通讯渠道协商时,存在信息泄露漏洞。通过某些FTP命令可泄露某些信息。

安全建议:

临时解决方法:
* 如果已经启用了IIS的"Operational"日志,则在分配给应用池自定义账户之前,请禁用
IIS配置的"Operational",然后在关联了账户之后,重启"Operational"日志。
* 使用内置账户ID(例如LocalService, ApplicationPoolIdentity,等)而非应用池内
的自定义账户。
* 阻止非管理员账户访问EventViewer嵌入式管理单元。


厂商补丁:
Microsoft已经为此发布了一个安全公告(MS12-073)以及相应补丁:
MS12-073:Vulnerabilities in Microsoft Internet Information Services (IIS) Could Allow Information Disclosure (2733829)
链接:
http://www.microsoft.com/technet/security/bulletin/MS12-073.asp

3.3 Microsoft .NET Framework安全绕过漏洞(MS12-074)

Microsoft .NET Framework安全绕过漏洞(MS12-074)

发布时间:

2012-11-14

漏洞号:

CVE ID: CVE-2012-1895

漏洞描述:

.NET就是微软的用来实现XML,Web Services,SOA(面向服务的体系结构service-oriented architecture)和敏捷性的技术。.NET Framework是微软开发的软件框架,主要运行在Microsoft Windows上。
Microsoft .NET Framework 1.0 SP3、1.1 SP1、2.0 SP2、3.5.1、4在执行反射时,没有正确验证某些对象执行反射的权限,存在权限提升漏洞,通过特制的XBAP或可疑.NET应用,可绕过CAS限制并获取提升的权限,完全控制受影响系统。

安全建议:

Microsoft已经为此发布了一个安全公告(MS12-074)以及相应补丁:
MS12-074:Vulnerabilities in .NET Framework Could Allow Remote Code Execution (2745030)
链接:
http://www.microsoft.com/technet/security/bulletin/MS12-074.asp

3.4 Microsoft .NET Framework信息泄露漏洞(MS12-074)

Microsoft .NET Framework信息泄露漏洞(MS12-074)

发布时间:

2012-11-14

漏洞号:

CVE ID: CVE-2012-1896

漏洞描述:

.NET就是微软的用来实现XML,Web Services,SOA(面向服务的体系结构service-oriented architecture)和敏捷性的技术。.NET Framework是微软开发的软件框架,主要运行在Microsoft Windows上。
Microsoft .NET Framework 2.0 SP2、3.5.1在构建输出数据时,没有正确处理信任级别,通过特制的XAML浏览器应用或特制的.NET Framework应用,可允许远程攻击者获取敏感信息。

安全建议:

Microsoft已经为此发布了一个安全公告(MS12-074)以及相应补丁:
MS12-074:Vulnerabilities in .NET Framework Could Allow Remote Code Execution (2745030)
链接:
http://www.microsoft.com/technet/security/bulletin/MS12-074.asp

3.5 Microsoft .NET Framework DLL加载任意代码执行漏洞(MS12-074)

Microsoft .NET Framework DLL加载任意代码执行漏洞(MS12-074)

发布时间:

2012-11-14

漏洞号:

CVE ID: CVE-2012-2519

漏洞描述:

.NET就是微软的用来实现XML,Web Services,SOA(面向服务的体系结构service-oriented architecture)和敏捷性的技术。.NET Framework是微软开发的软件框架,主要运行在Microsoft Windows上。
Microsoft .NET Framework 1.0 SP3、1.1 SP1、2.0 SP2、3.5.1、4内的ADO.NET里的Entity Framework存在可疑搜索路径漏洞,通过当前工作目录内的木马DLL,可允许本地用户获取权限。

安全建议:

Microsoft已经为此发布了一个安全公告(MS12-074)以及相应补丁:
MS12-074:Vulnerabilities in .NET Framework Could Allow Remote Code Execution (2745030)
链接:
http://www.microsoft.com/technet/security/bulletin/MS12-074.asp

3.6 Microsoft .NET Framework远程代码执行漏洞(MS12-074)

Microsoft .NET Framework远程代码执行漏洞(MS12-074)

发布时间:

2012-11-14

漏洞号:

CVE ID: CVE-2012-4776

漏洞描述:

.NET就是微软的用来实现XML,Web Services,SOA(面向服务的体系结构service-oriented architecture)和敏捷性的技术。.NET Framework是微软开发的软件框架,主要运行在Microsoft Windows上。
Microsoft .NET Framework 2.0 SP2、3.5、3.5.1、4、4.5内的WPAD功能没有验证获取代理设置过程中返回的配置数据,通过在执行XAML浏览器应用或.NET Framework应用时提供特制的数据,远程攻击者可利用此漏洞执行任意JS代码。

安全建议:

Microsoft已经为此发布了一个安全公告(MS12-074)以及相应补丁:
MS12-074:Vulnerabilities in .NET Framework Could Allow Remote Code Execution (2745030)
链接:
http://www.microsoft.com/technet/security/bulletin/MS12-074.asp

3.7 Microsoft .NET Framework远程权限提升漏洞(MS12-074)

Microsoft .NET Framework远程权限提升漏洞(MS12-074)

发布时间:

2012-11-14

漏洞号:

CVE ID: CVE-2012-4777

漏洞描述:

.NET就是微软的用来实现XML,Web Services,SOA(面向服务的体系结构service-oriented architecture)和敏捷性的技术。.NET Framework是微软开发的软件框架,主要运行在Microsoft Windows上。
Microsoft .NET Framework 4、4.5的代码优化功能在反射实现中没有正确执行对象权限,通过特制的XAML浏览器应用或特制的.NET Framework应用,可允许远程攻击者执行任意代码。

安全建议:

Microsoft已经为此发布了一个安全公告(MS12-074)以及相应补丁:
MS12-074:Vulnerabilities in .NET Framework Could Allow Remote Code Execution (2745030)
链接:
http://www.microsoft.com/technet/security/bulletin/MS12-074.asp