高招网站谨防恶意攻击
2015-03-03郑先伟
文/郑先伟
高招网站谨防恶意攻击
文/郑先伟
4月教育网整体运行平稳,未发现严重的安全事件。
随着高考和高招工作的临近,教育网类的网站又将成为黑客攻击的重点。值得注意的是,4月我们发现一起仿冒学校网站进行恶意招生宣传的网站,这类网站直接窃取正规学校的网站信息,仅仅是将相关的联系方式进行了修改,并在网络上打出虚假的招生信息(如降分录取等)来欺骗学生和家长,以期达到诈骗钱财的目的。对于这类仿冒的学校网站,广大学生及家长应该擦亮眼睛,谨防上当,学校如果发现有其他网站仿冒自己学校的网站也应该采取措施抑制这类网站的存在,如向相关的组织投诉(如向CCERT或CNCERT投诉)或是向公安机关报案。
近期没有新增影响特别严重的木马及蠕虫病毒,需要关注的还是前段时间提到的比特币敲诈病毒,该病毒目前已经有大量的变种,由于病毒感染系统后带来的损害很难复原,所以还是以防范为主。目前大多数杀毒软件都能有效防范和查杀该病毒,用户只需保证系统中有一款病毒库更新到最新的防病毒软件,并且在正常运行就可以了。
2015年3月~4月安全投诉事件统计
本期需要关注的漏洞主要涉及以下几个厂商的安全公告,包括:
1. 微软2015年4月的例行安全公告,本次公告共11个,其中4个为严重等级,7个为重要等级,这些公告共修补了Windows系统、IE浏览器、Office软件、.NET组件、Windows server软件、Office Services和Web Apps中的26个安全漏洞。其中需要特别关注的是http.sys中可能允许任意代码执行漏洞(MS15-035)中涉及整数溢出漏洞,这个漏洞可能导致IIS服务被远程利用,目前相关研究机构已经公布了漏洞的攻击验证代码,不过该代码目前仅能进行溢出导致系统蓝屏,还不能直接执行代码,但这不表示该漏洞不能用来远程执行代码。使用IIS提供WEB服务的系统管理员应该密切关注该漏洞,并及时安装补丁程序。对于公告中的其他漏洞也建议用户应该尽快安装补丁程序。公告中涉及的漏洞详细信息请参见:https://technet.microsoft.com/zh-CN/ library/security/ms15-Apr。
2. Adobe公司针对Flash player产品发布了2015年4月的例行安全公告,此次漏洞修补了Fash player中22个安全漏洞。其中有两个漏洞(CVE-2015-0344和CVE-2015-0346)已被证实可以远程控制系统上的摄像头及音频采集系统,从而达到远程监控的目的。Flash player漏洞的详细信息请参见:https://helpx.adobe.com/security/ products/flash-player/apsb15-06.html。
3. Oracle公司于近期发布了2015年第二季度的安全公告,此次公告修补了Oracle产品线中的98个漏洞,其中87个可被远程利用,18个属于高危漏洞。具体包括Oracle数据库(4个)、MySQL数据库(26个)中间件产品Fusion Middleware(17个);供应链套装软件Oracle Supply Chain Products Suite(7个)、电子商务套装软件OracleE-Business Suite (4个)、企业管理器网格控制产品Oracle Enterprise Manager Grid Control(1个);OracleSiebel托管型CRM软件(1个)、Hyperion(2个)、PeopleSoft产品(6个)、JD Edwards产品(1个)、Communications Applications(2个)、Retail Applications(2个)、Health Sciences Applications(1个)、OracleSupport Tools(1个)、Right Now云服务(1个)、Java SE(14个)、Oracle Sun系统产品(8个)。公告的详细信息请参见:http://www.oracle.com/technetwork/topics/ security/cpuapr2015-2365600.html。
安全提示
需要特别提醒用户注意的是,本次更新是Oracle公司对Java 8之前版本提供的最后一次安全更新,也就是说从2015年4月后Java 7及之前的版本将不再会获取到任何安全更新服务。用户需要将自己系统使用的Java运行环境更新到Java 8 SE之后的版本才能保证以后获取到安全更新。这对之前很多使用Java开发的系统来说是个大问题,因为这些系统要切换到Java 8的版本上可能需要大量开发修改工作,用户需要自己衡量是接受相关的安全风险?还是花大力气将系统运行环境切换到Java 8的版本上来?又或是停止使用原有的系统?这些都是需要我们管理员在下一次Java漏洞被公布前进行抉择的情况。
(作者单位为中国教育和科研计算机网应急响应组)
