百度域名遭劫
　　1月教育络网络运行正常，无重大安全事件发生。
　　1月12日百度的域名遭受攻击，导致网站一度不能正常访问。由于百度的主域名使用的是.com的后缀，这类一级域名的管理权限在美国，而事发时美国正是晚上休息时间，所以攻击事件没有得到及时有效的处理，延长了事件的恢复时间。目前该攻击事件的最终分析结果还没尚未被公布。但是种种迹象表明，攻击者很可能是使用了合法的账号登录了域名服务提供商的数据库直接修改了baidu.com对应的IP地址。

2009年12月-2010年1月CERNET安全投诉事件统计

　　这件事情再次提醒我们广大网络管理员，域名服务这种基础性的服务被攻击的风险越来越高，而黑客攻击方式也是多种多样的。我们需要通过各种手段来保护域名服务的安全。例如：使用根域名控制权在国内的域名(像.cn或者是edu.cn)，以便在有问题时能够第一时间获得帮助。
　　1月没有特别值得关注的投诉事件。

　　IE爆出新漏洞
　　近期IE爆出一个0day漏洞，这个漏洞影响所有版本的IE浏览器。漏洞公布的第二天利用这个漏洞进行的网页挂马攻击就开始在网络上大面积出现。

　　从我们监测的网页挂马网站数据看，已经有半数的挂马网站上存在这个漏洞的攻击程序。如果用户访问了包含攻击程序的挂马网站并且系统的IE浏览器没有及时安装补丁程序的话就会被攻击。由于这个漏洞存在于IE的内核中，所以攻击成功率非常的高。一旦攻击成功，攻击程序会在用户系统上下载大量的木马程序运行。

　　建议用户尽快下载安装相应的补丁程序并升级防病毒软件的病毒库到最新版本，以防范这类攻击和木马程序。

　　解决漏洞威胁
　　1月微软例行发布的安全公告中仅包含一个漏洞信息(MS10-001)，但由于在公告公布后不久网络上就爆出两个Windows的0day漏洞(IE浏览器代码执行0day漏洞、Windows内核权限提升0day漏洞)，微软被迫在稍后几天追加发布了一个关于IE浏览器漏洞的修补公告(MS10-002)。
　　除了微软的产品外，一些第三方软件公司也发布了它们产品的例行安全公告，包括oracle数据库软件、Adobe公司的pdf软件和flash player软件以及realplay播放软件，这些软件的公告一样值得关注。
　　以下是需要我们特别关注的漏洞信息：
　　IE浏览器未初始化内存漏洞(MS10-002)
　　影响系统：
　　IE 5.01  IE 6.0
　　IE 7.0  IE 8.0
　　漏洞信息：
　　IE浏览器中被发现存在一个漏洞，IE浏览器在功能实现过程中存在无效的指针引用，这可能导致程序试图访问那些本应已经被删除释放了的内存空间，从而导致程序跳转执行任意命令。这个漏洞是直接存在IE浏览器内核程序当中的，因此它影响所有版本的IE浏览器。
　　漏洞危害：
　　目前该漏洞正在网络上大面积被利用来进行网页挂马攻击，并且漏洞攻击成功率非常高。用户一旦使用未安装补丁的IE访问这些挂马网页，就会感染木马病毒。
　　解决办法：
　　微软已经针对该漏洞发布了相应的安全公告及补丁程序。建议用户及时安装相应的补丁程序，如果不能及时安装补丁程序的话，建议暂时使用其他的浏览器浏览网络。
　　http://www.microsoft.com/china/technet/security/bulletin/ms10-002.mspx

　　Windows内核本地权限提升漏洞(0day)
　　影响系统：
　　Windows 2000 Windows xp
　　Windows 2003 Windows 2008
　　Windows vista Windows 7

　　漏洞信息：
　　Windows内核中存在一个权限提升漏洞，据传这个漏洞已经存在了17年，影响Windows全线的产品。漏洞利用非常简单，只需执行一个exp弹出shell即可获得系统权限。目前攻击程序已经在网络上被发布。

　　漏洞危害：
　　由于内核的漏洞修补较为困难，多数需要发布service pack级别的补丁才能修补，所以补丁短期内应该不会出现。要利用这个漏洞需要远程获取一个普通用户的权限，一旦获取了普通用户权限，利用该漏洞将非常容易获得系统权限。目前漏洞的攻击代码已经被公布了，这个漏洞可能给那些开放远程登录权限的Windows服务器带来风险。

　　解决办法：
　　厂商已经针对该漏洞发布了相应的安全通告，但是还没有补丁程序，建议随时关注厂商的动态。
　　http://www.microsoft.com/china/technet/security/advisory/979682.mspx

　　在没有补丁程序之前，您可以使用禁用NTVDM子系统方法以减缓漏洞的影响：
　　1. 运行 gpedit.msc 程序；
　　2. 展开“管理模板”，选择“Windows组件”；
　　3. 点击“应用程序兼容性”；
　　4. 在右边的条目显示框内双击“防止访问16位应用程序”；
　　5. 设置标签页中选择“已启用”；
　　6. 点击“确定”。

　　RealPlayer皮肤和媒体文件解析多个缓冲区溢出漏洞
　　影响系统：
　　Real Networks RealPlayer SP 1.0.1
　　Real Networks RealPlayer SP 1.0
　　Real Networks RealPlayer 11
　　Real Networks RealPlayer 10.x

　　漏洞信息：
　　RealPlayer解析畸形的皮肤或媒体文件时，存在多个缓冲区溢出漏洞，用户受骗打开了恶意的文件，就会触发这些漏洞，导致执行任意指令，这些漏洞包括：
　　1.realplay在解析包含有畸形ASMRuleBook结构的文件时，可能将被破坏堆上的受控数据用作了对象指针，这可能导致堆溢出。
　　2. realplay在解析SIPR codec字段时，解析了过小的长度值，可能会分配不充分的堆，之后溢出这个缓冲区。
　　3. realplay在解析带有伪造块大小的GIF文件时，播放器错误地使用了来自文件的值用于在堆上分配缓冲区，可能导致堆溢出。
　　4. realplay负责解析SMIL文件的smlrender.dll库缺少正确的字符串长度检查，可能导致溢出静态的堆缓冲区。
　　5. realplay在解析.RJS皮肤文件时，播放器将从web.xmb文件中所获得的某些变量长度字段拷贝到了静态大小的缓冲区中，这可能导致栈溢出。
　　6. RealPlayer ASM RuleBook中的错误可能导致数组溢出。
　　7. RealPlayer RTSP set_parameter中的错误可能导致缓冲区溢出。

　　漏洞危害：
　　攻击者可以构建特制的视频文件引诱用户打开从而利用该漏洞，也可以直接将视频镶嵌在网页中来进行攻击。目前还未在网络上检测到针对这些漏洞的攻击，但是Realplay软件的漏洞一向是网页挂马攻击的首选，所以相信不久后相应的攻击代码就可能出现。

　　解决办法：
　　厂商已经发布了补丁程序修补了这些漏洞，建议用户及时下载安装。
　　http://service.real.com/realplayer/security/01192010_player/en/
　　需要注意的是，realplay的软件不会随着系统的自动更新功能进行补丁更新，需要用户手动下载补丁程序安装。

　　安全提示
　　为防范近期网页挂马攻击，建议用户执行以下操作：
　　1. 下载IE浏览器的补丁程序安装，如果不能安装补丁程序建议使用其他浏览器浏览网络；
　　2. 随时关注第三方软件的更新，并及时下载安装(如realplay软件)；
　　3. 安装正版的杀毒软件并及时更新病毒库；
　　4. 不随意访问不受信任的网站。

　　（作者单位为CERNET国家网络中心应急响应组）

　　来源：《中国教育网络》2010年2-3月合刊