近期没有新增影响特别广泛的蠕虫病毒。近期新增严重漏洞评述:
1. 微软2017年12月的例行安全公告中修复的漏洞数量较少(共37个,其中严重等级的19个),涉及Windows系统及组件(5个),IE浏览器(23个), Edge浏览器(1个),Exchange Server(2个)、Flash player插件(1个)和Office软件(5个)。这些漏洞中需要关注的是Malware Protection Engine 远程执行代码漏洞(CVE-2017-11937),Malware Protection Engine是Windows自带杀毒软件Windows Defender的防护引擎,当用户从网上下载文件时,该引擎会自动扫描并检测文件安全性。但引擎在功能实现过程中存在漏洞,攻击者可以制作针对该漏洞的特定文件,如果引擎扫描这些特制文件,会致内存破坏,从而在系统上执行任意命令。另外需要说明的是由于有越来越多的攻击(APT攻击和敲诈病毒)利用Offcie软件的DDEAUTO技术,因此微软通过2017年12月的Office更新(ADV170021)关闭了软件中的DDE数据交换功能。鉴于上述漏洞带来的危害,建议用户尽快使用Windows自带的自动更新功能进行安全更新。
2. GoAhead是一个开源的轻量级Web Server,被大量应用于嵌入式设备中(如摄像头、小型路由器等),最近其出现了一个高危漏洞,3.6.5版本之前的GoAhead在开启CGI功能时可以远程执行任意代码。目前GoAhead的官方已经在最新版(3.6.5)中修复了该漏洞,但是用户由于权限问题很难自行更新程序,需要等待嵌入式设备的厂商发布新的系统版本来完成修补,而这个过程通常会比较慢。建议用户随时关注相关嵌入式设备厂商发布的安全公告并及时更新,在补丁程序没有出来之前,可以通过网络的限制手段来降低相关漏洞被利用的风险。
3. 2017年12月1日,Apache 官方发布了Struts2框架的最新版2.5.14.1,用于修补之前版本中存在的两个漏洞,分别是S2-054拒绝服务漏洞和S2-055反序列化漏洞。利用这些漏洞可以对目标Web服务器发动DOS攻击或是反序列化代码执行攻击。其中S2-055对应的反序列化漏洞(CVE-2017-7525)2017年7月就被暴露出来了,但针对该漏洞的补丁直到2017年12月才出现。Struts2框架的漏洞2017年公布的数量较多,建议相关网站管理员要随时关注厂商的动态,及时更新Struts2的版本。
(责编:高锦)
安全提示
随着物联网应用的逐步普及,越来越多的具备联网功能的嵌入式设备将会被暴露在网络中,这类设备的安全问题需要引起管理人员的重视,它们由于自身的特殊性,在出现安全漏洞时可能无法快速地通过安装补丁的方式进行修补,这样物联网设备很容易被黑客控制并利用从而带来较大的安全风险。因此现阶段还是建议从网络层面加强对相关物联网设备的控制。
(作者单位为中国教育和科研计算机网应急响应组)