文/郑先伟

2014年12月教育网整体运行平稳，未发现严重的安全事件。

网页中被添加暗链（链接以隐藏的方式添加在网页源码中，不会直接显示在用户访问的页面内容中，所以叫暗链）是近年来网站被攻击后的一种主要表现形势，暗链主要用来进行非法的SEO（搜索引擎排名优化）。由于暗链只有一条链接且不会直接显示在用户访问的页面中，轻易不会被发现，除非去查看网页源码。最近添加暗链的技术又有了新的变化，攻击者不再是简单地在网页中添加隐藏链接了，而是直接在网页中添加自己需要索引优化的内容（这些内容通常是博彩或是成人用品信息等），之后通过安插在Web服务器上的脚本程序来识别访问请求的浏览器类型，如果发现是搜索引擎的爬虫来访问网页则显示有问题的内容，反之则显示正常的网页内容。这种新方式使得用户几乎不可能主动发现网页中存在的异常，即便是查看浏览器上的网页源码也不会发现任何异常，除非去服务器上逐行分析网页的源代码。

2014年11月~12月安全投诉事件统计

近期没有新增影响特别严重的木马病毒。近期新增严重漏洞评述

微软2014年12月的例行安全公告共7个，其中3个为严重等级，4个为重要等级。这7个公告共修补了包括Windows系统、IE浏览器、Office办公软件及Exchange server中的25个安全漏洞。虽然本次IE 浏览器的补丁是累积补丁包，但是其中并没有包含12月初被公布出来的IE 0day漏洞（CVE-2014-8967)补丁。 造成此0day漏洞的原因是IE浏览器通过引用计数来管理HTML元素在内存中对象的生命周期，IE浏览器程序在控制引用过程中存在一个缺陷，攻击者可使用特定的参数来使对象的引用计数过早归零，从而释放对象，但程序之后会继续使用释放后的对象，这就导致攻击者可以控制该对象执行任意命令。由于目前还没有补丁程序，建议用户持续关注微软的更新动态。

2014年11月底Adobe公司发布了一个紧急安全公告，用于修补Flash player软件之前版本中存在的一个高危漏洞（CVE 2014-8439），该漏洞正在网络上被利用。随后在12月Adobe又发布了两个的例行安全公告（apsb14-27、apsb14-28），其中apsb14-27修补了Flash player软件中的6个安全漏洞，apsb14-28修补了PDF文档软件Acrobat／Reader中的16个安全漏洞，用户应该尽快升级相关软件到最新版本。

除例行的安全更新外，下述漏洞需要特别关注：

1.常用的DNS软件BIND 9在12月被曝出存在一个远程拒绝服务攻击漏洞，攻击者可以通过构造恶意的区域配置文件或者服务器来对递归查询服务器及权威服务器（攻击权威服务器需要特定的条件）进行拒绝服务攻击。目前厂商已经发布了最新版本的BIND软件来修复该漏洞，DNS的管理员应该尽快到官网http://www.isc.org/downloads下载最新的BIND软件安装。

2.TLS安全传输层协议1.2版本被发现存在与之前SSL V3版本类似的中间人劫持绕过加密机制的漏洞，可能导致用户的敏感信息被窃取。由于这类漏洞属于协议实现过程中的漏洞，可能会直接影响使用了该协议的程序或设备。

3.NTP服务4.2.8版本之前的程序存在远程缓冲区溢出漏洞，攻击者只需发送特定的数据包就可以以NTP服务的权限在相应系统上执行任意命令。目前该漏洞攻击代码已经在网络上传播。建议管理员尽快检查自己的NTP服务器版本并及时升级。

4.RomPager是常用于路由器或是其他网络设备内置的Web服务程序，Rompager 4.34之前的版本中存在一个严重的安全漏洞，攻击者只需发送特定Http Cookie数据就可以控制相关设备，由于RomPage被广泛用于网络设备中（如华为、中兴、D-link等品牌），所以漏洞影响的范围可能很广泛。建议使用相关品牌路由器的用户及时关注厂商的动态。相关受影响的品牌清单可以通过下面的文档来查询http://mis.fortunecook.ie/misfortune-cookiesuspected-vulnerable.pdf。

安全提示

基础网络服务和网络设备正在成为攻击者的首选目标，建议网络管理员要清楚掌握自己网络内的基本环境，关闭不必要的服务，尽量不要直接使用服务或者设备的默认配置，并使用ACL之类的手段限制对关键服务和设备的访问来源。