此前发布的《2022年全国网民网络安全感满意度调查统计报告》显示,2022年度网民的网络安全满意度稳中有升,整体的网络安全治理水平有所提升,但由于疫情等引起的社会面问题,治理水平依然面临挑战。
在安全投诉事件方面,由于疫情的反复,导致安全事件呈下降趋势。
在病毒与木马方面,各类攻击数量也有所降低。近期需要关注的还是各类钓鱼邮件攻击。由于这些钓鱼邮件假冒的内容会根据当下的热点进行变化,比如在学校封闭期间,冒充学校相关部门提醒修改账户密码或续费等,迷惑性特别大。用户在收到类似邮件无法判断真伪时,一定要跟学校有关部门进行二次确认。
2022年11月-12月CCERT安全投诉事件统计
近期新增严重漏洞评述
01
微软2022年12月的例行安全更新共涉及漏洞数49个,其中严重等级的6个、重要等级的40个、中危等级的3个。这些漏洞中有2个属于0day漏洞,分别是Windows SmartScreen安全绕过漏洞(CVE-2022-44698)和DirectX图形内核权限提升漏洞(CVE-2022-44710)。
前者允许攻击者创建包含恶意javascript脚本的签名,绕过SmartCheck检测,后者则是一个权限提供漏洞,允许普通用户获得SYSTEM权限,目前这两个漏洞正在被组合利用来进行木马传播。除了例行公告中的漏洞外,微软还在12月初针对Edge浏览器发布了专门的升级补丁,用于修补之前版本中存在的25个安全漏洞。利用上述漏洞,攻击者可以绕过安全功能限制,获取敏感信息,提升权限,执行远程代码,或发起拒绝服务攻击等,建议用户尽快使用系统自带的更新功能进行更新。
02
谷歌发布了Chrome 浏览器最新版本(Windows版本108.0.5359.94/.95、Mac及Linux版本108.0.5359.94),用于修补之前版本中存在的两个0day漏洞,分别是GPU中的堆缓冲区溢出漏洞(CVE-2022-4135)和V8 JavaScript引擎的类型混淆漏洞(CVE-2022-4262),上述漏洞可能导致远程代码执行或拒绝服务攻击。这已经是今年Chrome修补的第8个和第9个0day漏洞,建议用户尽快使用Chrome浏览器自带的更新功能进行版本更新。
03
苹果公司的WebKit浏览器渲染引擎中存在类型混淆漏洞(CVE-2022-42856),导致攻击者可以利用特制的网页内容来触发该漏洞,成功利用该漏洞能以当前用户的权限执行任意代码。由于WebKit引擎是苹果公司强制使用的渲染引擎,因此所有适用于苹果系统的浏览器(包括第三方的)均受此漏洞影响。目前苹果公司已经在最新的系统版本中(IOS 15.7.2、iPadOS 15.7.2、macOS Ventura 13.1、tvOS 16.2和Safari 16.2)更新了此漏洞,建议用户尽快进行更新。
04
Fortinet公司发布了安全通告,称其FortiOS里的SSL-VPN存在一个高危堆栈溢出漏洞(CVE-2022-42475),通过发送特制请求,未经身份验证的远程攻击者可利用该漏洞在系统上执行任意代码或命令。目前该漏洞已经被利用来进行攻击,用户可以通过查询设备的日志中是否存在多条如下日志来判断是否存在漏洞:
Logdesc="Applicationcrashed" and msg="[...]application:sslvpnd,[...],Signal 11 received, Backtrace:[...]
目前厂商已经在新版本中修补了该漏洞,请使用相关设备的用户尽快联系厂商的工程师进行安全更新。若无法立即应用补丁,客户可通过监控日志、禁用VPN SSL功能并创建访问规则来限制来自特定IP地址的连接。
05
FreeBSD项目发布安全公告,修复了ping服务中的一个基于堆栈的缓冲区溢出漏洞(CVE-2022-23093)。该漏洞影响了所有FreeBSD版本,ping的pr_pack()函数在将收到的IP和ICMP标头复制到堆栈缓冲区时,未考虑到响应或引用的数据包中的IP报头之后可能存在的IP选项报头。因此,当存在IP选项时,可能导致目标缓冲区溢出多达40字节,成功利用该漏洞可导致ping程序奔溃或执行任意代码。建议FreeBSD用户尽快进行系统更新。
作者:郑先伟(中国教育和科研计算机网应急响应组)
责编:项阳