安全投诉事件统计

CCERT2008年5月份教育网安全投诉事件统计

　　5月SQL注入攻击事件有所增多，一些SQL注入自动攻击工具的发布是导致这类攻击增多的主要原因，自动攻击工具大大降低了这类攻击的难度和复杂程度（过去完成这类攻击需要大量的人为干预与专业的数据库知识）。
　　这些攻击工具通过google的查询接口查询网络上存在此类漏洞的网页（存在漏洞的多数为一些公开源码的网站搭建程序中的网页），并通过程序自动完成相应的攻击。
　　目前这类自动攻击绝大部分针对ASP+MSSQL构建的网站，但是也有小部分针对PHP+MYSQL构建的网站。根据网站系统对SQL数据库权限配置的不同，成功的攻击使入侵者可以修改网站数据库中的内容（实际就是网页显示的内容）、上传文件，直至在系统上执行任意命令等。

　　病毒与木马
　　近期没有新增影响及传播范围较大的木马病毒。值得我们关注的依然是通过网页下载传播的各种木马病毒。近期网页木马所利用的漏洞集中在Flash插件上，涉及所有版本低于9.0.115.0的Flash player，用户应该检查自己系统上的flash player版本，发现问题及时升级。

　　新增严重漏洞
　　5月份微软发布了4个安全公告，其中有3个属于严重级别，这里面有两个漏洞都存在于OFFICE软件中，另一个存在于Jet 数据库引擎中，它们是：
　　微软 Word RTF畸形字符串处理堆溢出漏洞(MS08-026)
　　微软Office 软件处理特制 RTF 格式 (.rtf) 文件的方式中存在一个远程执行代码漏洞。如果用户在 Word 中打开具有格式错误的字符串的特制 .rtf 文件，或在格式文本电子邮件中预览具有格式错误的字符串的特制 .rtf 文件，该漏洞可能允许远程执行代码。 成功利用此漏洞的攻击者可以完全控制受影响的系统。 攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。

　　微软Word CSS处理内存破坏漏洞(MS08-026)
　　Word 处理特制 Microsoft Word 文件的方式中存在一个远程执行代码漏洞。 如果用户打开带有格式错误的 CSS 值的特制 Word 文件，该漏洞可能允许远程执行代码。 成功利用此漏洞的攻击者可以完全控制受影响的系统。 攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。

　　微软Publisher对象处理器验证漏洞(MS08-027)
　　Microsoft Publisher 验证对象头数据的方式中存在一个远程执行代码漏洞。 攻击者可能通过发送特制的 Publisher 文件来利用该漏洞，该文件可能作为电子邮件附件提供或者宿主在特制的或被破坏的网站上。

　　微软Jet 数据库引擎中允许远程执行代码漏洞（MS08-28）
　　Microsoft Jet 数据库引擎 (Jet) 中存在缓冲区溢出漏洞，此漏洞可能允许在受影响的系统上远程执行代码。攻击者可以通过以下方式利用此漏洞：创建特制的数据库查询，并通过在受影响的系统上使用Jet的应用程序发送它。成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。 那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。

　　除了上述微软系统的漏洞外，近期我们还要关注的第三方软件漏洞有：
　　联众世界GLIEDown2.dll Active控件任意代码执行漏洞
　　联众世界的游戏大厅主程序GLWorld所安装的GLIEDown2.dll ActiveX控件没有正确地处理某些用户输入参数，如果用户受骗访问了恶意网页,并向这些方式传送了特制参数的话，可能导致在用户系统上执行任意指令。目前网络上已经有利用此漏洞进行传播的网页木马。

　　安全提示
　　为防范近期的网络风险，我们需要做如下操作：
　　1. 及时升级系统补丁程序；
　　2. 安装有效的防毒软件并及时更新病毒库;
　　3. 随时关注正在使用的第三方软件的主页，并及时更新到最新版本；
　　4. 不随便访问来历不明的网页。
　　对于网站管理员，我们需要做如下操作：
　　1. 检查自己动态网页的源代码，查看是否存在SQL注入漏洞；
　　2. 合理配置网站数据库的权限，遵循最小权限原则；
　　3. 定期使用安全扫描软件对自己的网站进行安全扫描；
　　4. 随时关注自己管理的网站，以便在被攻击时能够及时处理。