多数0day漏洞无补丁程序
　　7月教育网网络运行正常，无重大安全事件发生。值得关注的是近期0day漏洞公布的数量有所增加，利用这些漏洞进行网页挂马攻击的数量也有所增多，用户上网浏览的风险大大增加。由于多数0day漏洞目前还无补丁程序可打，所以用户可用来防范这类攻击的手段只有防病毒软件。
　　近期利用0day漏洞进行网页挂马攻击的投诉事件有所增多，这些被挂马的网站多数是一些学校的二级网站（院系或研究所的主页）。由于这些二级网站管理技术薄弱或是长时间无人管理，导致出现问题后的清理速度也变得非常缓慢，并且重复被挂马的几率很高。建议学校加强对这些二级网站的监管。

　　视频组件攻击新动向
　　近期利用Windows视频控件MPEG-2格式解析漏洞进行网页挂马攻击的事件非常多，这个Windows的0day漏洞虽然属于视频组件的漏洞，但其利用时并不需要播放真正的视频文件，攻击者只需在网页中插入一段特定的脚本程序就能利用此漏洞，成功利用此漏洞后，脚本程序会下载大量的木马程序到用户机器上运行。目前该漏洞的补丁已经在微软7月份的安全公告中发布，建议大家及时安装。同时各类杀毒软件最新的病毒库也已经能有效识别这类攻击。
　　7月我们首要关注的是微软7月份安全公告中涉及的漏洞， 本次微软发布了6个安全公告，修补了8个安全漏洞。相关的信息请参见：http://www.ccert.edu.cn/announce/show.php?handle=146
　　以下是我们额外需要关注的漏洞信息：

　　微软ActiveX  MPGE-2媒体文件解析代码执行漏洞
　　影响系统：
　　Windows xp
　　Windows 2003
　　漏洞信息：
　　Windows的Video ActiveX相关msvidctl.dll组件解析畸形MPEG-2格式视频时存在一个堆栈溢出漏洞，用户访问特制的MPEG-2格式的文件时就可能导致漏洞被利用。这个漏洞与前段时间公布的DirectX QuickTime媒体文件解析代码执行漏洞相类似，但是比上一个漏洞更容易利用。攻击者可以通过在IE浏览器中加载javascript的脚本程序来利用此漏洞，漏洞的攻击成功率非常的高。目前此漏洞已经在网络上大量地被利用来进行网页挂马攻击。
　　漏洞危害：
　　由于此漏洞可以直接通过IE浏览器中javascript脚本程序利用，所以已被大量用来进行网页挂马攻击。
　　解决办法：
　　厂商目前已针对该漏洞发布了相应的安全公告和补丁程序，建议用户及时安装相应的补丁。
　　http://www.microsoft.com/china/technet/security/bulletin/MS09-032.mspx

　　Office Web Components 控件可能允许远程执行任意代码漏洞
　　影响系统：
　　Microsoft Office XP Service Pack 3
　　Microsoft Office 2003 Service Pack 3
　　Microsoft Office XP Web Components Service Pack 3
　　Microsoft Office 2003 Web Components Service Pack 3
　　2007 Microsoft Office system Service Pack 1 的 Microsoft Office 2003 Web Components
　　Microsoft Internet Security and Acceleration Server 2004 Standard Edition Service Pack 3
　　Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition Service Pack 3
　　Microsoft Internet Security and Acceleration Server 2006
　　Internet Security and Acceleration Server 2006 可支持性更新
　　Microsoft Internet Security and Acceleration Server 2006 Service Pack 1
　　Microsoft Office Small Business Accounting 2006
　　漏洞信息：
　　微软Office Web Components 是组件对象模型 (COM) 控件的集合，用于将电子表格、图表和数据库发布到 Web 上以及在 Web 上查看发布的组件。该组件中的Spreadsheet ActiveX控件（OWC 10和OWC11）存在内存破坏漏洞。在IE中使用时，该ActiveX 控件可能破坏系统状态，使攻击者可以运行任意代码。目前该漏洞正在网络上大规模被利用。
　　漏洞危害：
　　由于此漏洞可以直接通过IE浏览器进行利用，所以已被大量用来进行网页挂马攻击。Office Web Components组件在office软件完整安装的状态下是默认安装的，但是由于是非常用功能，在一些精简版office软件（盗版）中这个组件是被删减了的。因此一些安装盗版office软件的用户可能面临此漏洞的风险更小。
　　解决办法：
　　厂商目前已针对该漏洞发布了相应的风险提示公告，但是还未发布相应的补丁程序。
　　http://www.microsoft.com/china/technet/security/advisory/973472.mspx
　　在没有补丁的情况下建议使用临时方法来减轻风险，将以下内容分别另存为 .reg文件导入注册表即可：
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E541-0000-0000-C000-000000000046}]
　　"Compatibility Flags"=dword:00000400
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E559-0000-0000-C000-000000000046}]
　　"Compatibility Flags"=dword:00000400

　　安全提示
　　针对近期频发的0day漏洞，建议用户做以下操作：
　　1.随时关注相关安全网站，对没有补丁的漏洞采用临时办法进行防护；
　　2.安装正版杀毒软件并及时升级；
　　3.不随意访问不受信任的网站；
　　4.以纯文本方式查看电子邮件。

　　（作者单位为CERNET国家网络中心应急响应组）

　　来源：《中国教育网络》2009年8月刊