新增严重漏洞评述

　　微软在5月份例行发布了7个安全公告(MS12-029到MS12-035)，其中3个为严重等级，4个为重要等级。这些公告共修复了微软Windows系统、Office软件、Silverlight和.NET Framework 组件中的23个安全漏洞。本次公布的漏洞中有一半以上与Office软件有关，多数可以通过文档类文件进行利用。例如MS12-029中提到的RTF失配漏洞，攻击者可以通过电子邮件发送特制的RTF格式文件，默认情况下用户读取信件时，系统就会试图调用Word程序来打开此文件，这将导致漏洞被利用，攻击者可以以当前用户的权限执行任意命令。相信不久之后，相关漏洞的利用代码就会在网络上被公布，因此用户应该尽快使用Windows系统的自动更新功能升级相应的补丁程序。

　　除微软的安全公告中涉及的漏洞外，一些第三方系统或软件的漏洞也需要用户关注：

　　1. Adobe公司发布多个安全公告修补旗下多款产品的安全漏洞，包括Flash Player软件(APSB12-09)、Adobe Illustrator 软件（APSB12-10）、Adobe  PhotoShop软件（APSB12-11）、Adobe Flash Professional软件（APSB12-12）及Adobe Shockwave Player软件（APSB12-13）。这些软件均用于图形或动画的播放与处理，是制作和查看网页的最常用的工具软件或插件。大部分的Adobe公司的软件均支持自动升级功能，用户只需在软件提示有更新时选择下载安装就行。

　　2. Google公司发布了Chrome 浏览器的最新版本19.0.1084.52，修补之前版本中的多个安全漏洞。Google公司采用多种激励机制鼓励安全研究人员发现Chrome浏览器中的安全漏洞，这使得Chrome浏览器已经成为目前发现和修补漏洞最快的浏览器产品。按照这种趋势发展下去，相信Chrome很快会成为最安全的浏览器产品之一。

　　3. 在媒体播放软件中，RealNetwork公司发布了最新版（15.0.4.53）的RealPlayer软件，修补之前版本中的多个安全漏洞。RealPlayer软件目前的自动更新功能还不太好用，很多时候可能需要用户自己手动进行更新升级。苹果公司的QuickTime Player播放器也发布了最新版本（7.7.2），修补之前版本中的多个安全漏洞。虽然很多用户并没有主动安装QuickTime软件，但是QuickTime被默认集成到很多应用软件中，如Itunes(用于在电脑上连接苹果的移动设备的软件)。因此系统中有QuickTime软件的用户数量并不小，这些用户应该手动升级相应的软件，以避免风险。

　　4.开源的网站内容管理系统中，Discuz! x2.5版本和DEDECMS小于5.7版本都被    出存在远程SQL注入漏洞。前者的漏洞利用需要管理员开放网站的SEO优化功能，而后者的漏洞则存在于系统默认安装开放的功能模块中。这两款网站内容管理系统都是学校网管乐于使用的，因此使用这些软件搭建网站的管理员应该尽快修补相关的漏洞。须要提醒注意的是，有部分收费定制的网站实际上也是使用这些开源内核来搭建的，因此同样存在漏洞。要分辨是否使用了相关内核文件，可以通过在网站源文件中搜索关键函数来确定。

　　5. 用户最常使用的即时通讯国产软件QQ最近也被曝出存在安全漏洞，攻击者在聊天对话框中发送格式类似 www.qq.com..\..\..\..\..\..\..\Windows\System32\cmd.exe 的网址，用户如果点击了该链接，电脑就会自动运行文件和命令（例如执行程序、卸载特定路径软件等）。目前漏洞的细节还在进一步查证，在官方还未发布正式的公告之前，提醒用户不要轻易点击聊天过程中发来的链接。

　　（作者单位为中国教育和科研计算机应急响应组）