12月教育络网络运行正常，无重大安全事件发生。鉴于教育网上挂马网站严重的情况，我们联合北京大学网络与信息安全研究中心以及赛尔网络体检中心，为用户提供免费的网页挂马监测、网站安全扫描以及事件处理的服务。

2009年11-12月CERNET安全投诉事件统计

　　北大网络与信息研究中主要负责网页挂马的监测，赛尔网络体检中心负责网站的安全检测，CCERT负责提供处理网页挂马事件过程中的技术支持。具体的流程为：用户在赛尔网络体检中心的网站(http://www.nhcc.edu.cn)上进行注册，经过验证批准后就可以获取免费的网站安全检测，并可以用相同的注册用户号登录北大挂马网页监测页面(http://ercis.icst.pku.edu.cn)，提交自己需要监测的网页列表，就可以在网页被挂马的时候收到相应的通知，一旦发现学校的网页被挂马后，可以从CCERT获取免费的技术支持，也可以从CCERT的网站(http://www.ccert.edu.cn)查看与网页挂马技术有关的文档。

　　利用大量真实受控主机的攻击

　　12月有一起DDOS攻击的投诉值得一提，这起分布式的拒绝服务攻击并没有使用传统的伪造源发地址的攻击方式，而是使用僵尸网络中大量的真实受控主机发起的拒绝服务攻击。针对这种类型的攻击，目前还没有特别有效的防范办法，只能是依靠提高网站服务的性能来抵消攻击带来的影响，例如将原本是动态的页面内容改成静态的。

　　木马传播偏爱传统病毒

　　12月没有新增传播范围较广危害较大的木马病毒。近期一些木马程序热衷于使用传统病毒感染执行文件的方式进行传播，这类病毒可以感染机器上所有的执行文件，这就使得仅对系统盘进行格式化重装的操作可能功亏一篑。有效应对这种病毒的方法是在杀毒软件能够正常工作的情况下进行全盘的扫描。

　　新增严重漏洞评述

　　12月微软公布了6个安全公告，其中3个为严重等级，3个为重要等级。公告中漏洞涉及的系统包括windows系统服务、offfice软件、IE浏览器等，11月我们提到的IE浏览器0day漏洞也在这次公告中得到了修补。详细的漏洞信息请参见：http://www.ccert.edu.cn/announce/show.php?handle=151。除了微软的系列漏洞，我们还要关注一些常用的第三方软件发布的安全公告及漏洞：

　　Adobe Flash Player 多个远程代码执行漏洞(APSB09-19)

　　影响系统：
　　Adobe Flash Player <=10.0.32.18
　　Adobe AIR <=1.5.2

　　漏洞信息：
　　1、未名内存破坏漏洞
　　adobe Flash Player包含的"flash10.ocx"处理"Adobe.Flash.Class.Switch"存在内存破坏错误，远程攻击者可以利用漏洞以应用程序权限执行任意指令。
　　2、JPEG文件解析堆缓冲区溢出漏洞
　　Flash Player解析包含在SWF文件中的JPEG图片时存在缺陷，当计算图像的帧大小时缺少充分的过滤检查，可触发堆缓冲区溢出，成功利用此漏洞可以以登录用户进程权限执行任意代码。
　　3、'exception_count'整数溢出漏洞
　　Flash player软件的ActionScript异常处理器生成存在安全缺陷，在Verifier::parseExceptionHandlers()中，把exception_count设置为超大值可导致整数溢出，造成内存破坏，成功攻击可以以当前用户权限执行任意操作。
　　4、数据注入漏洞
　　Adobe Flash Player和Adobe AIR存在数据注入漏洞，允许导致任意代码执行。

　　漏洞危害：
　　Flash player软件的漏洞一向是网页挂马攻击热衷于使用的漏洞。不过本次公告中涉及的漏洞多数都是秘密报告的，暂时还未发现有明显利用这些漏洞进行的攻击。

　　解决办法：
　　厂商已经针对这些漏洞发布了相应的安全公告，并在最新的版本中修补了这些漏洞。对于使用Firefox浏览器的用户来说，最新的flash player版本会被Firefox自动下载并提示用户安装。而使用IE浏览器或是其他浏览器的用户则可能需要手动下载最新的版本安装。关于这些漏洞更多信息请参见：
　　http://www.adobe.com/support/security/bulletins/apsb09-19.html

　　Adobe Reader/Acrobat 'newplayer()' JavaScript方法远程代码执行漏洞(0day)

　　影响系统：
　　Adobe Reader < 9.1.3
　　Adobe Acrobat < 9.1.3

　　漏洞信息：
　　Adobe Reader/Acrobat支持JavaScript，Adobe Reader/Acrobat 中Doc.media对象中的newplayer()方法在调用结束后没有正确回收内存，使得程序存在远程溢出漏洞。攻击者可利用该漏洞诱使用户打开一个恶意构造的PDF文件，执行恶意代码或使受影响的PDF查看器崩溃。

　　漏洞危害：
　　攻击者可以在网页中挂载精心构建的PDF文件来利用该漏洞，用户一旦访问这类网页就可能感染木马。目前该漏洞的攻击代码已被公布，正在网络上被积极利用。

　　解决办法：
　　目前厂商还未提供相应的补丁程序，建议用户随时关注厂商的动态：
　　http://www.adobe.com
　　在没有补丁程序之前建议您使用以下临时办法减小风险：
　　在Adobe Reader/Acrobat中关闭JavaScript：
　　1.打开Adobe Acrobat Reader
　　2.打开Edit菜单
　　3.选择Preferences...选项
　　4.选择JavaScript段
　　5.取消Enable Acrobat JavaScript单选框
　　防止在Internet Explorer中自动打开PDF文档：
　　导入如下.REG文件：
　　[HKEY_CLASSES_ROOT\AcroExch.Document.7]
　　"EditFlags"=hex:00,00,00,00

　　Winamp JPEG和PNG整数溢出漏洞

　　影响系统：
　　Nullsoft Winamp <= 5.56

　　漏洞信息：
　　Winamp是最常用的MP3播放软件。Winamp的jpeg.w5s和png.w5s过滤器在解析媒体(如MP3)文件中的JPEG或PNG数据时存在整数溢出漏洞，用户受骗打开恶意的MP3文件就可以触发这个溢出，导致执行任意代码。

　　漏洞危害：
　　攻击者可以构建特制的Mp3程序引诱用户下载播放从而利用该漏洞。目前还未发现明显利用该漏洞的攻击出现。

　　解决办法：
　　厂商已经在最新的版本中修补了这些漏洞，建议用户及时下载最新的版本安装。
　　http://forums.winamp.com/showthread.php?threadid=315355

　　安全提示
　　为防范针对第三方软件的攻击，建议用户执行以下操作：
　　1. 下载最新版本的第三方软件安装，并经常关注这些软件的官方网站；
　　2. 具有相同功能的第三方软件尽量只选择安装其中一种；
　　3. 定期清理系统中长时间不使用的第三方软件；
　　4. 为系统安装正版的杀毒软件，并及时更新病毒库；
　　5. 不随便访问不受信任的网站。

　　(作者单位为CERNET国家网络中心应急响应组)

　　来源：《中国教育网络》2010年1月刊