春节和寒假期间教育网网络安全运行状况良好，未发生大规模的安全事件。随着学校的陆续开学，大量长时间未开机的主机将同时上线，这些主机可能会对校园网内的补丁更新服务器和防病毒软件更新服务器造成一定的流量冲击。那些未能及时更新系统补丁或病毒库的系统可能给用户和网络运行带来安全风险，校园网管理员可以抓住开学的机会对用户进行安全意识和安全常识的培训，相信能取得很好的效果。

　　由于春节和寒假的关系，大量的用户关机导致各类安全投诉事件都大大减少，这也印证了那句“不使用计算机和计算机网络能有效地规避网络安全风险”的老话。

　　近期没有新增传播范围较广的蠕虫病毒，对用户影响较大的依然是通过网页挂马传播的木马病毒，这类木马程序以盗号功能的木马居多(主要盗取网游、QQ和网银帐号)。

　　有两个新增的挂马网站所利用的漏洞攻击程序需要引起我们的关注，它们一个是IE7浏览器CFunctionPointer函数内存破坏漏洞(MS09-002)攻击程序，这个漏洞攻击程序在微软公布漏洞信息后的几天后就开始被利用来进行网页挂马，目前有泛滥的趋势；另一个是利用Adobe Acrobat和Reader软件PDF文件格式处理内存错误漏洞的攻击程序，截止文章发稿时，针对这个攻击程序所利用的漏洞官方还未推出相应的补丁程序，但是攻击已经开始在网络上出现，并有泛滥趋势，属于0day漏洞攻击。

　　漏洞1：微软IE浏览器CFunctionPointer函数内存破坏漏洞

　　影响系统：
　　Microsoft Internet Explorer 7.0

　　漏洞信息：
　　IE浏览器的的CFunctionPointer函数中存在一个内存破坏漏洞，CFunctionPointer对象在其构造函数中没有正确地引用文档对象，导致该文档对象可能在CFunctionPointer对象释放前被释放，而CFunctionPointer函数会继续使用这个已经被销毁的文档对象。攻击者可以以特定序列附加并删除文档对象，从而触发内存破坏，这将导致攻击者可以以当前登录用户的权限执行任意代码(如下载木马运行等)。

　　漏洞危害：
　　该漏洞与2008年12月公布的IE浏览器0day攻击漏洞(MS08-078)并不是一个漏洞，攻击者可以构造特制的网页引诱用户点击，一旦用户使用有漏洞的IE浏览器(IE7.0)访问这些网页就可能导致漏洞被利用。普通的防火墙对这类攻击并不能有效地进行阻挡，目前该漏洞已经在网络上被大量利用。

　　解决办法：
　　微软已经针对该漏洞发布了相应的安全公告和补丁程序，建议用户尽快安装相应的补丁程序，补丁下载地址：
　　http://www.microsoft.com/china/technet/security/Bulletin/MS09-002.mspx

　　漏洞2：Adobe Acrobat和Reader PDF文件处理缓冲区溢出漏洞

　　影响软件：
　　Adobe Acrobat Adobe Reader
　　漏洞信息：
　　Adobe公司的Acrobat和Reader软件是我们最常用的PDF文件编辑和阅读软件，它们除了提供标准的PDF编辑和阅读功能外还提供相应的浏览器插件，用来使浏览器可以直接浏览PDF格式的文档。
　　Adobe的Acrobat和Reader软件在处理PDF格式文件时存在一个缓冲溢出漏洞，如果用户使用存在漏洞的Adobe软件查看特制的PDF文档时漏洞可能被利用从而触发缓冲溢出，导致执行任意代码。对于那些安装了浏览器插件的web浏览器在浏览这些特制的PDF文档时也会导致漏洞被利用。

　　漏洞影响：
　　Adobe所提供的浏览器PDF插件并不仅仅只支持IE6.0浏览器，它还支持大部分的其他主流Web浏览器，这就使得利用该漏洞的攻击可以通过大部分的Web浏览器来进行。目前利用该漏洞的攻击已经在网络上出现，并有增多的趋势。

　　解决办法：
　　截止到本文发稿时，官方还未发布该漏洞的补丁程序，建议用户随时关注官方的更新，官方网址：
　　http://www.adobe.com/support/security/advisories/apsa09-01.html
　　在没有补丁之前您可以使用一些临时的办法来降低该漏洞的风险:
　　1.在Adobe Reader和Acrobat中禁用JavaScript，方法如下：
　　禁用Javascript可以防范代码执行。可使用首选项菜单(编辑 -> 首选项 -> JavaScript然后清除选择“启用Acrobat JavaScript”)来禁用Acrobat JavaScript。
　　2.禁止在Web浏览器中显示PDF文档，方法如下： 
　　(1) 打开Adobe Acrobat Reader; (2) 打开“编辑”菜单；     (3) 选择“首选项”；(4) 选择“Internet”部分； (5) 在复选框中清除“在浏览器中显示PDF”。

　　安全提示：
　　针对近期的安全风险，建议用户执行以下操作：
　　1. 及时更新系统补丁程序，及时升级病毒库。对于那些长时间没有开机的用户，在开机后一定要完成系统补丁安装和杀毒软件病毒库升级后，再进行其他的网络操作；
　　2. 不要点击来历不明的网页链接；
　　3. 不要打开来历不明的PDF文档；
　　4. 使用纯文本方式来查看电子邮件。

　　(作者单位为CERNET应急响应小组CCERT)

　　来源：《中国教育网络》2009年3月刊