新增严重漏洞评述

　　微软在6月份例行发布了7个安全公告(MS12-036到MS12-042)，其中3个为严重等级，4个为重要等级。这些公告共修复了Windows系统、IE浏览器、Visual Basicfor Applications、Dynamics AX和.NET框架等产品中的28个漏洞。除了安全公告外，微软公司还在6月份临时发布了两个紧急安全通告，其中一个通告（http://technet.microsoft.com/zh-CN/security/advisory/2718704）用于撤消Windows系统中自带的两个存在安全问题的数字证书，这两个证书正在被利用来进行网络欺诈或中间人攻击。另一个通告（http://technet.microsoft.com/zh-CN/security/advisory/2719615）是为了告知用户Win-dows系统中的XML Core Services服务组件中存在一个远程代码执行漏洞（0day漏洞），该漏洞正被用来进行网页挂马攻击。截止发稿日，微软还未针对该漏洞发布修补程序，在没有补丁程序之前用户可以通过临时禁用Windows XML组件功能或是依靠防病毒软件（目前大多数的防病毒软件已经能够识别该漏洞的攻击代码）来抵御相应的攻击。

　　除微软产品的漏洞外，一些第三方系统或软件的漏洞也需要用户关注：

　　1. Adobe公司发布了Flash Player软件在各种操作系统下的最新版本，用于修补之前版本中的多个安全漏洞，这些系统包括：Windows、mac ox、Linux以及Android移动系统等。详细信息请参见官方公告：

　　http://www.adobe.com/support/security/bulletins/apsb12-14.html

　　2. ISC发布安全公告宣称BIND软件在处理DNS资源记录时存在错误，如果攻击者将零长度的rdata记录绑定到服务器，可能造成递归服务器崩溃或泄漏某些内存到客户端，导致敏感信息泄漏或拒绝服务攻击。这个漏洞主要影响递归查询服务器，对那些没有提供递归服务查询的主域名服务器影响不算太严重。目前ISC已经发布了相应的补丁程序，DNS管理员应该尽快升级自己的递归查询服务器的BIND版本，详情请参照：

　　http://www.isc.org/software/bind/adviso-ries/cve-2012-1667

　　3.  Oracle公司发布安全公告，宣称MySQL数据库使用的用户认证方式存在缺陷。由于程序中用于检测用户输入密码正确与否的函数中使用了两种不同的数据类型来返回检测结果，在这两种数据进行转换时可能出现数据截断的状况，而截断的数据在某些情况下可能使其中一个返回值为真。攻击者如果在知道用户名的情况下连续使用错误的密码来测试认证方式，当测试数量达到一定次数后，可能触发数据截断导致认证返回值为真，这就使得攻击者无须知道正确的密码也能登录数据库系统。由Oracle公司发布的二进制版本MySQL程序中不存在该漏洞，漏洞更多的是存在于类*nix系统中自带的MySQL程序中。建议使用系统自带MySQL数据库的用户及时升级数据库，详情请参见：

　　http://bugs.mysql.com/bug.php?id=64884

　　4. F5 Network公司的均衡负载设备F5  BIG-IP（11.x  10.x  9.x 版本）文件系统中存在一组公开的SSH公私钥对，可用于用户登录验证，且验证通过后得到的是root用户权限。利用这组公开密钥对的攻击者可以远程获取设备的管理控制权，并进一步发起针对相关网络信息系统的攻击。这个漏洞早在今年2月份就被发现并通知了厂商，厂商随后通知了重要的客户进行更新防范，并对设备软件版本进行升级。建议有此设备的管理员应及时升级相应设备的版本并随后检查设备的安全性（避免已经被人攻击利用）。详细的信息请参见：

　　http://support.f5.com/kb/en-us/solutions/public/13000/600/sol13600.html