近期网络安全形势较为平稳,无重大的安全事件发生。安全投诉事件与往期基本相同。
在病毒与木马方面,一个VMware的高危漏洞(CVE-2022-22954)正在被利用,来进行挖矿木马和勒索病毒传播,虽然今年4月VMware官方已经在新版本中修补了此漏洞,但由于很多虚拟平台的管理员出于各种原因没有及时进行版本更新,导致漏洞仍然存在并被利用。攻击者利用该漏洞可以控制虚拟主机进行挖矿或是加密数据进行勒索。
2022年10月-11月CCERT安全投诉事件统计
近期新增严重漏洞评述
01
微软2022年11月的例行安全更新共涉及漏洞数68个,其中严重等级的12个、重要等级的55个、中危等级的1个。受影响的产品包括:Microsoft Windows和Windows组件、Microsoft Windows Netlogon、Microsoft Dynamics、Microsoft Excel、Microsoft Windows Print Spooler Components、Microsoft Windows Human Interface Devices等。这些漏洞中有6个属于0day漏洞,分别是Windows Scripting Languages远程代码执行漏洞(CVE-2022-41128)、Windows Mark of the Web安全功能绕过漏洞(CVE-2022-41091)、Windows Print Spooler特权提升漏洞(CVE-2022-41073)、Windows CNG Key Isolation Service特权提升漏洞(CVE-2022-41125)、Microsoft Exchange Server特权提升漏洞(CVE-2022-41040)、Microsoft Exchange Server远程代码执行漏洞(CVE-2022-41082),上述6个漏洞均已发现在野的攻击利用行为,9月底曝出的被大量利用的两个Exchange Server 0day漏洞在11月的例行更新中得到了修补。鉴于上述漏洞的危害性,建议用户尽快使用系统自带的更新功能进行补丁更新。
02
谷歌发布了Chrome浏览器最新版本(Windows版本107.0.5304.87/.88、Mac及Linux版本107.0.5304.87),用于修补之前版本中存在的一个V8 JavaScript引擎的类型混淆漏洞,利用该漏洞,攻击者可以在用户的系统上以当前用户的权限执行任意代码。目前该漏洞已经存在在野的攻击,建议用户尽快使用系统自带的更新功能进行更新。
03
VMware官方发布了安全公告,用于修补VMware Cloud Foundation产品中的一个严重漏洞(CVE-2021-39144)。由于漏洞已被大量利用并危害巨大,VMware官方破例对之前停止支持的版本也进行了补丁开发。建议使用VMware Cloud Foundation产品的管理员尽快进行更新,尤其是那些使用低版本的用户。
04
苹果公司最近在iOS的版本更新中修补了一个高危的越界写入漏洞(CVE-2022-42827),该漏洞是由软件在当前内存缓冲区边界之外写入数据引起的,可能导致数据损坏、应用程序崩溃或代码执行。这是苹果今年以来修补的第9个0day漏洞。用户可以通过系统更新来修补该漏洞。
05
OpenSSL的3.0.0-3.0.6版本中的两个高危安全漏洞,分别是X.509电子邮件地址4字节缓冲区溢出漏洞(CVE-2022-CCERT月报3602)和X.509电子邮件地址可变长度缓冲区溢出漏洞(CVE-2022-3786)。攻击者可以使用包含恶意字符邮件地址的证书引诱用户访问,当用户的系统在验证该证书时可能导致拒绝服务攻击或任意代码执行。目前OpenSSL官方已发布新版本修复上述漏洞,建议受影响的用户升级至OpenSSL3.0.7及以上安全版本。
安全提示
近期国家有关部门发布了一批网络安全相关的管理办法、规定、标准和通知,需要引起重视,包括:
1. 工业和信息化部发布《网络产品安全漏洞收集平台备案管理办法》对网络安全漏洞收集平台的注册、备案、信息变更、注销等程序提出了系统要求,该办法将于2023年1月1日起施行。
2. 国家市场监管总局标准技术司、中央网信办网络安全协调局、公安部网络安全保卫局联合发布了《信息安全技术关键信息基础设施安全保护要求》(GB/T39204-2022)国家标准。该标准是关键信息基础设施安全保护标准体系的构建基础,将于2023年5月1日正式实施。
3. 中央网信办印发《关于切实加强网络暴力治理的通知》,要求各地网信部门提高政治站位,指导和督促网站平台开展网暴问题治理工作,增强网暴问题治理能力和水平,完善网暴问题治理的长效机制。
4. 国家互联网信息办公室发布新修订的《互联网跟帖评论服务管理规定》,用于加强对互联网跟帖评论服务的规范管理,维护国家安全和公共利益,保护公民、法人和其他组织的合法权益,促进互联网跟帖评论服务健康发展。该规定自2022年12月15起实施。
作者:郑先伟(中国教育和科研计算机网应急响应组)
责编:项阳
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。