9月是国家网络安全宣传周所在月,本次宣传周主题是“网络安全为人民,网络安全靠人民”,结合该主题,各学校在9月开展了内容丰富的网络安全宣传活动,包括个人信息保护、数据安全治理、电信网络诈骗、青少年网络保护等宣传内容,大大提高了学生们的安全意识,也对校园网安全防护能力的整体提升提供了帮助。
近期各类安全投诉事件数量整体呈低位态势。近期没有新增需要特别关注的木马和病毒程序,需要关注的还是各类基于社会工程学的诈骗攻击。
2023年8月-9月CCERT安全投诉事件统计
近期新增严重漏洞评述
01
微软2023年9月的例行安全更新共包含微软产品的安全漏洞59个,Edge浏览器的5个,非微软产品的2个。
这些漏洞按等级分类,包含5个严重等级、53个重要等级和1个中危等级;按漏洞类型分类,包括权限提升漏洞18个、远程代码执行漏洞20个、信息泄露漏洞10个、安全功能绕过漏洞3个、欺骗漏洞2个、拒绝服务漏洞3个、XSS漏洞3个。
涉及的产品包括Windows内核、Windows组件Windows Common Log File System Driver、3D Viewer、3D Builder、Windows DHCP Server、微软Office办公软件、微软Streaming Service及ExchangServer等多个产品和组件。
这些漏洞中有两个是0day漏洞,它们分别是微软流服务代理本地权限提升漏洞(CVE-2023-36802)和Word信息泄露漏洞(CVE-2023-36761)。
前者允许攻击者利用流服务代理的漏洞来提升权限,而后者则允许攻击者在被攻击者打开文档(包括预览窗格)时窃取NTLM哈希值,这些NTLM哈希值可被破解或用于NTLM中继攻击,以获得对账户的访问权限。由于该漏洞可以在预览模式被利用,因此攻击者甚至无需用户点击相关Word文件即可利用该漏洞。
鉴于上述漏洞的危害性,建议用户尽快使用系统自带的更新功能进行补丁更新。
02
WebP是Google开发的位图文件格式,目的是为了取代JPEG、PNG及GIF等格式,它同时支持破坏性与非破坏性数据压缩,该格式可用来创建更小、更丰富且传输更快的图像。
近期互联网上暴露出一个WebP代码库(libwebp)的堆溢出漏洞(CVE-2023-4863),由于该代码库在处理WebP格式时存在边界错误,攻击者只需引诱用户访问包含特制WebP图形的网页即可触发溢出,进而执行任意命令。
目前使用了该库的厂商(包括Google的Chrome浏览器、Mozilla的Firefox浏览器等)均已发布公告紧急修补该漏洞,建议用户尽快进行升级。但由于该代码库属于基础开发库,理论上该漏洞会影响所有使用了该代码库的应用,因此后续影响还需持续关注。
03
Adobe厂商发布了安全公告(APSB23-34),用于修补Adobe Acrobat和Reader产品中一个在野利用的安全漏洞(CVE-2023-26369)。
由于相关软件中存在越界写入缺陷,未经身份验证的攻击者利用该漏洞可在目标系统上执行任意代码。
目前Adobe官方已在最新版本中修补了相关漏洞,建议用户尽快进行升级。升级的方式和版本可参见:
https://helpx.adobe.com/security/products/acrobat/apsb23-34.html。
04
GitLab是一个基于网络的开源软件项目管理和工作跟踪平台,提供免费和商业版本。
GitLab近期修复了一个可让攻击者以其他用户身份运行管道的严重漏洞(CVE-2023-5009)。
该漏洞是上个月GitLab修补的漏洞(CVE-2023-3932)补丁的绕过利用,利用该漏洞,攻击者可以在用户不知情或没有权限的情况下冒充用户来运行管道任务(一系列自动化任务),这可能会导致攻击者访问敏感信息或滥用被冒充用户的权限来运行代码、修改数据或触发GitLab系统内的特定事件。
目前GitLab官方已经在最新版本中修补了该漏洞,建议相关使用GitLab系统的管理员尽快进行版本升级。
安全提示
鉴于近期各类0day漏洞频发,笔者提醒用户做好相关防护。要牢记以下几点:
1.邮件中的重要信息需要再三确认,不贪图便宜,不轻信恐吓。
2.不点击来历不明的链接,不打开来历不明的文档。
3.及时安装系统及软件补丁,不用的应用及时卸载。
来源:《中国教育网络》2023年9月刊
作者:郑先伟(中国教育和科研计算机网应急响应组)
责编:项阳