文/郑先伟

11月教育网整体运行平稳，未发生影响严重的安全事件。需要关注的安全事件是微软发布了其安全研究报告的第15期。该报告在分析了全球100多个国家及地区中的10亿余台计算机系统的安全数据后指出，Windows系列操作系统中WINXP系统的安全状况最为糟糕。相关的数据分析显示在同样的攻击频率下WINXP系统被攻击成功的数量是Win8系统的6倍。造成这种差异的原因是WINXP安全防护体系中赖以生存的DEP技术（数据执行保护技术）随着攻击技术的发展已经变得不堪一击，虽然这种技术在早期系统安全中具有里程碑式的意义。现在微软已经强烈建议用户使用更新版本的操作系统替代现有的WINXP系统，不过由于用户使用习惯等问题，保守估计网络仍然有超过半数的机器在使用WINXP系统。明年的4月微软将彻底停止对WINXP系统的技术支持，在没有安全补丁的情况下，系统上其他的安全防护措施（如反病毒软件等）也将失去效益，因此建议用户还是尽快使用更为高级的系统替代现有的WINXP系统。

接近年底，安全事件投诉的数量呈下降趋势。

2013年11月安全投诉事件统计

病毒与木马

近期没有新增影响严重的木马蠕虫病毒。根据微软安全研究报告统计的数据显示目前互联网上病毒传播方式排名第一的是通过绑定正常软件中进行传播，其次是通过移动存储介质的AUTORUN功能进行传播，而通过Web页面进行传播的网页挂马模式已经退居到第三位。报告中还显示中国国内的用户遭遇病毒的机率很大，但是感染率却并不高，这说明杀毒软件在国内的普及率已经到达一个相对较高的水平。

近期新增严重漏洞评述

微软11月的安全公告共8个，其中3个为严重等级，5个为重要等级。这些公告修补了包括Windows系统、IE浏览器及Office软件中19个安全漏洞。其中需要关注的是ActiveX Kill Bit 的累积性安全更新（MS13-090）修补了Windows系统中InformationCardSigninHelper 类 ActiveX控件 icardie.dll 中存在的一个远程执行代码漏洞（CVE-2013-3918），这个漏洞可以通过网页进行利用，在补丁发布前该漏洞就被检测到利用迹象。针对上述漏洞用户应该尽快安装相应的补丁程序，公告的详细信息请参见：http://technet.microsoft.com/zh-cn/security/bulletin/ms13-Nov。

除了安全公告中提到的漏洞，10月初微软的图形组件Graphics也被曝出存在一个远程代码执行漏洞，漏洞影响特定版本的Office软件（2003、2007、2010）和操作系统（Vista、2003server）。由于漏洞修补相对复杂，微软未能在11月的安全公告中及时修补该漏洞，只给出了临时解决办法，建议使用相关版本操作系统及软件的用户采用临时解决办法来降低风险（具体方法请参见：http://technet.microsoft.com/en-us/security/advisory/2896666），并随时关注厂商的动态。

Adobe公司11月的安全公告共2个，其中需要关注的是公告apsb13-26，该公告修补Adobe Flash Player中的两个远程代码执行漏洞，建议用户使用Flash Player的自动更新功能进行更新，无法自动更新请访问Adobe的主页下载最新的版本安装。

浏览器方面，Mozilla公司已经发布了Firefox浏览器的25版本，而Google公司则在最近将其Chrome浏览器升级到了31.0.1650.57版本。

另一个需要关注的漏洞是网站反向代理软件Nginx曝出的漏洞（CVE-2013-4547），由于Nginx软件在处理空格字符时存在缺陷，攻击者可以利用包含空格的URL请求来绕过Nginx的执行限制在没有执行权限的目录中来执行诸如php等脚本。目前厂商已经在最新版本（1.5.7）中修补了该漏洞，建议管理员及时更新。

安全提示

10月国家漏洞库CNVD通报，新中新公司的校园网一卡通解决方案中的查询系统存在SQL注入漏洞，这个漏洞可能导致一卡通中的用户信息泄露，甚至导致查询服务器被人控制。建议使用了该公司一卡通解决方法的学校尽快联系厂商进行漏洞修补。很多一卡通系统在建设之初就存在安全漏洞，但是由于之前一卡通业务较单一，多数使用专网运行使得安全漏洞不易被发现，随着一卡通功能扩展与互联网的直联，这些安全漏洞就暴露出来。