3月教育络网络运行正常，无重大安全事件发生。近期通过邮件进行社会工程学欺诈攻击的数量有所增多，这些欺诈邮件有时会伪装成邮件系统的管理员要求用户将自己的账号及密码发送到指定信箱，有些则伪装成热点事件(如世博会、地震捐款等信息)的信息传播者，引诱用户点击邮件的附件，而这些附件往往是木马程序。建议用户在处理邮件时时尽量使用纯文本方式查看，并谨慎点击邮件的附件。
　　3月的安全投诉事件依然以垃圾邮件和网页挂马为主。

2010年03月-04月CERNET安全投诉事件统计

　　病毒与木马
　　近期没有新增影响严重的蠕虫病毒。需要关注的是一类会修改IE图标和首页链接的病毒。这类病毒有点类似于流氓软件，感染后会篡改用户的IE的首页，并修改桌面上得IE快捷方式，使得用户每次访问网页时都自动去访问特定的网站。这类病毒与流氓软件的区别是，流氓软件往往是强制用户去访问一些广告页面，而这类病毒则是强制系统自动去访问挂马网页，从而导致用户感染木马病毒。由于采用了流氓软件常用的技术，这类被篡改的IE往往恢复困难，很多时候需要使用专杀工具才能恢复。

　　近期新增严重漏洞评述
　　上月暴露出的IE 0day漏洞被大量用来网页挂马攻击，鉴于漏洞带来的风险巨大，微软在3月底发布了紧急安全公告(MS10-018)修补了这个漏洞。建议用户尽快下载补丁程序安装。除了紧急安全公告外微软在4月中旬也例行发布了当月的11个安全公告，这些公告涉及的产品包括windows操作系统、office办公软件、Exchange邮件服务软件和Media视频服务软件。需要注意的是公告中有两个是用来修补之前暴露的0 day漏洞(MS10-020、MS10-022)的。另外还有两个是用来修补windows内核级漏洞的(MS10-021、MS10-028)，如果系统上已经感染了内核级木马程序可能会导致这类内核级补丁安装不上。如果出现这种情况建议用户重新安装系统。除了微软发布了安全公告外，一些第三方软件公司也针对自己的产品发布了相应的安全公告和补丁程序，包括：Oracle数据库软件、Adobe的PDF软件、Mozillo的Firefox浏览器软件，这些第三方产品的补丁程序也请用户根据自己的使用情况尽快选择安装。
　　以下是需要我们特别关注的漏洞：

　　Helix Server多个缓冲区溢出漏洞

　　影响系统：
　　Real Networks Helix Mobile Server 13.x
　　Real Networks Helix Mobile Server 12.x
　　Real Networks Helix Mobile Server 11.x
　　Real Networks Helix Server 13.x
　　Real Networks Helix Server 12.x
　　Real Networks Helix Server 11.x

　　漏洞信息：
　　Helix Server是Real Networks公司出品的一款跨平台的媒体服务程序。Helix Server的NTLM认证实现在处理无效的base64编码字符串时存在堆溢出漏洞，所捆绑的AgentX++中 AgentX::receive_agentx函数存在栈溢出和整数溢出漏洞。用户向服务器提交恶意的请求就可以触发这些溢出，导致漏洞被利用，成功利用漏洞可以以当前服务的权限在系统上执行任意命令。

　　漏洞危害：
　　目前该漏洞的利用代码已经在网络上被公布，导致使用该程序的媒体服务器风险加大。由于漏洞可以直接通过服务端口进行利用，所以使用防火墙能外围产品很难阻挡此类。目前使用Helix Server来搭建流媒体服务的学校不在少数，建议这些服务器的管理员尽快安装相应的补丁程序。

　　解决办法：
　　目前厂商已经针对这个漏洞发布了补丁程序，建议尽快下载安装：
　　http://www.real.com

　　Discuz! 论坛程序所有版本永久型跨站漏洞

　　影响系统：
　　Discuz！论坛程序所有版本

　　漏洞信息：
　　Discuz!是国内非常流行的一个免费的论坛及网站搭建程序。Discuz! 搭建的论坛中的个人中心里的“个人签名”功能没有对恶意代码进行检测，在 Discuz! 及 img 代码禁用的情况下仍可写入恶意代码，Discuz! 会保存并执行该代码，形成永久型跨站效果。

　　漏洞危害：
　　Discuz！是目前国内使用最为广泛的论坛搭建程序之一，很多学校都用它来搭建自己的BBS。本次该论坛暴露出来的跨站漏洞，可以被用来窃取其他用户的敏感信息或者是进行网页挂马攻击。如果跨站脚本攻击时针对的是网站管理员的账号，可能导致攻击者获取整个网站的管理权限。

　　解决办法：
　　目前Discuz！官方还未针对该漏洞发布补丁程序，建议您随时关注厂商的动态：
　　http://www.discuz.net/
　　在没有补丁程序之前，您可以使用以下方法减缓漏洞带来的风险：
　　1、修改 memcp.php 代码，过滤个人签名字符。
　　2、禁止用户使用个人签名。

　　来源：《中国教育网络》2010年5月刊