江民科技发6月病毒与网络安全信息报告

三、月度五大恶意网站

在上个月的"前五大恶意网站排行"中，有两个站点值得引起我们的关注，第一个就是位居被挂马站点之首的"黄山区政府网"。该站点自6月4日被江民科技监测到存在挂马事件之后，时至今日其挂马页面仍旧未能得到有效的处理。由此可见，一些地方政府虽然在电子政务方面进行着积极的探索和尝试，但在后续的技术支持与维护方面并未齐头并进。虽然现在的政府站点挂马现象较2008年已有所减弱，但整体形势依旧不容乐观，政府站点被挂马和被篡改的现象仍旧屡见不鲜。

另一个站点即是位居第四位的"硅谷动力"笔记本论坛。该站点于6月7日被挂马，当天即被江民科技所监测到。从历史数据上来看，该站点已不是第一次被挂马。硅谷动力在国内是个具有较大影响力的站点，其技术实力理应不容质疑。但由于现在的站点多使用一些第三方的论坛程序或者站点模板等，由于这些程序自身难免存在一些编写上的漏洞，这些漏洞一旦被发现并且被不法之徒所利用，即可获得相关站点的Webshell或者用来植入恶意代码，从而可以向被攻击站点中上传恶意网页或进行跨站脚本攻击等，由此给网民的信息安全造成了严重的威胁。

1. Adobe Reader/Acrobat authplay.dll AVM2 "newfunction" 处理漏洞

漏洞等级：极高

受影响产品：Adobe Reader 9.x

漏洞描述：该漏洞存在于上述软件中附带的存在漏洞的Flash Player组件"authplay.dll"。成功利用此漏洞可导致任意代码的运行。

解决方案：Adobe官方已经推出了9.3.3版本以修复此漏洞，该软件受影响版本的用户应及时进行更新。详情参见：

http://www.adobe.com/support/security/bulletins/apsb10-15.html

2. Adobe Flash Player中存在多个漏洞

漏洞等级：极高

受影响产品：Adobe Flash Player 10.0.45.2及更早版本

漏洞描述：31个漏洞存在于受影响版本的Flash Player中，利用这些漏洞可以导致任意代码执行、跨站脚本攻击或程序崩溃等。

解决方案：Adobe官方已经推出了10.1.53.64版本以修复此漏洞，该软件受影响版本的用户应及时进行更新。详情参见：

http://www.adobe.com/support/security/bulletins/apsb10-14.html

3. Google Chrome中存在多个漏洞

漏洞等级：高

受影响产品：Google Chrome 5.x

漏洞描述：一些漏洞存在于受影响版本的Google Chrome中，利用这些漏洞可导致出现内存错误或者进行跨站脚本攻击等。

解决方案：官方已发布Google Chrome更新版本5.0.375.86以修复这些漏洞，该软件受影响版本的用户应及时进行更新。

4. Mozilla Thunderbird中存在多个漏洞

漏洞等级：高

受影响产品：Mozilla Thunderbird 3.x

漏洞描述：一些漏洞存在于受影响版本的Thunderbird中，利用这些漏洞可导致系统被攻击者所侵害。

解决方案：官方已发布Thunderbird 3.0.5版本以修复这些漏洞，该软件受影响版本的用户应及时更新。

5. Mozilla Firefox中存在多个漏洞

漏洞等级：高

受影响产品：Mozilla Firefox 3.5.x、3.6.x

漏洞描述：一些漏洞存在于受影响版本的Firefox中，利用这些漏洞可导致敏感信息泄露、绕过某些安全限制等。

解决方案：官方已发布Firefox的最新版本3.5.10 、3.6.4，该软件受影响版本的用户应及时更新。

6. Opera中存在多个漏洞

漏洞等级：高

受影响产品：Opera 10.x

漏洞描述：一些漏洞存在于受影响版本的Opera中，利用这些漏洞可进行跨站脚本攻击等。

解决方案：官方已发布Opera的最新版本10.54(Windows版本)，该软件受影响版本的用户应及时更新。

7. IBM Java中存在多个漏洞

漏洞等级：高

受影响产品：IBM Java 5.x、6.x

漏洞描述：IBM Java中存在多个漏洞，利用这些漏洞可导致某些安全限制被绕过、敏感信息泄露甚至拒绝服务攻击。

解决方案：升级至version 5.0 SR11-FP2或者version 6 SR8。

8. Microsoft Windows帮助和支持中心URL处理漏洞

漏洞等级：高

受影响产品：Windows XP Service Pack 2 、Pack 3，Windows XP Professional x64 Edition Service Pack 2、Windows Server 2003 Service Pack 2、Windows Server 2003 x64 Edition Service Pack 2、Windows Server 2003 with SP2 for Itanium-based Systems

漏洞描述：帮助支持中心由于对HCP URL验证处理不正确，攻击者可以利用这个漏洞以进程权限在系统上执行任意代码。

解决方案：目前微软暂无正式补丁发布。临时解决方案为删除注册表"HKEY_CLASSES_ROOT\HCP"项，或者可以通过

http://download.microsoft.com/download/4/F/4/4F4CCE35-5214-43B2-956C-6C268CF50940/MicrosoftFixit50459.msi进行自动删除。

9. Microsoft .NET Framework 中的漏洞可能允许篡改签名XML内容的数据

漏洞等级：高

受影响产品：Microsoft .NET Framework 1.0 Service Pack 3、Microsoft .NET Framework 1.1 Service Pack 1、Microsoft .NET Framework 2.0 Service Pack 1 、Microsoft .NET Framework 2.0 Service Pack 2、Microsoft .NET Framework 3.5、Microsoft .NET Framework 3.5 Service Pack 1、Microsoft .NET Framework 3.5.1

漏洞描述：Microsoft .NET Framework 中存在一个数据篡改漏洞，可能允许攻击者篡改签名 XML 内容，而且检测不到。在定制应用中，安全影响取决于具体使用情况。签名XML消息通过安全通道(例如 SSL)传输的情况不受此漏洞影响。

解决方案：微软已发布MS10-041号安全公告和相应补丁以解决此问题，详情参见http://www.microsoft.com/china/technet/security/bulletin/MS10-041.mspx

10.Internet Information Services 中的漏洞可能允许远程执行代码

漏洞等级：高

受影响产品：IIS 6.0、IIS 7.0、IIS 7.5

漏洞描述：Internet Information Services(IIS)中存在一个远程执行代码漏洞。漏洞是由于不正确地分析身份验证信息造成的。成功利用此漏洞的攻击者可以在工作进程标识 (WPI) 的上下文中执行代码。

解决方案：微软已发布MS10-040号安全公告和相应补丁以解决此问题，详情参见

http://www.microsoft.com/china/technet/security/bulletin/MS10-040.mspx

11.Microsoft SharePoint 中的漏洞可能允许特权提升

漏洞等级：高

受影响产品：Microsoft Office InfoPath 2003 Service Pack 3、Microsoft Office InfoPath 2007 Service Pack 1 和 Microsoft Office InfoPath 2007 Service Pack 2、Microsoft Office SharePoint Server 2007 Service Pack 1、Microsoft Office SharePoint Server 2007 Service Pack 2、Microsoft Windows SharePoint Services 3.0 Service Pack 1、Microsoft Windows SharePoint Services 3.0 Service Pack 2

漏洞描述：Microsoft SharePoint中存在一个公开披露和两个秘密报告的漏洞。如果攻击者说服目标SharePoint 站点的一位用户点击特制的链接，最严重的漏洞可能允许特权提升。

解决方案：微软已发布MS10-039号安全公告和相应补丁以解决此问题，详情参见

http://www.microsoft.com/china/technet/security/bulletin/MS10-039.mspx

12.Microsoft Office Excel 中的漏洞可能允许远程执行代码

漏洞等级：高

受影响产品：Microsoft Office Excel 2002 Service Pack 3、Microsoft Office Excel 2003 Service Pack 3、Microsoft Office Excel 2007 Service Pack 1 和 Microsoft Office Excel 2007 Service Pack 2、Microsoft Office Excel Viewer Service Pack 1 和 Microsoft Office Excel Viewer Service Pack 2、用于 Word、Excel 和 PowerPoint 2007 文件格式的 Microsoft Office 兼容包 Service Pack 1 以及用于 Word、Excel 和 PowerPoint 2007 文件格式 的 Microsoft Office 兼容包 Service Pack 2

漏洞描述：Microsoft Office中存在14个秘密报告的漏洞。 如果用户打开特制的 Excel文件，较严重的漏洞可能允许远程执行代码。成功利用这些漏洞的攻击者可以获得与本地用户相同的用户权限。

解决方案：微软已发布MS10-038号安全公告和相应补丁以解决此问题，详情参见

http://www.microsoft.com/china/technet/security/bulletin/MS10-038.mspx

13.OpenType 压缩字体格式 (CFF) 驱动程序中的漏洞可能允许特权提升

漏洞等级：高

受影响产品：所有在技术支持生命周期中的Windows操作系统

漏洞描述：Windows的OpenType Compact字体格式(CFF)驱动程序存在一个秘密报告的漏洞。如果用户查看用特制CFF字体呈现的内容，则该漏洞可能允许特权提升。攻击者必须拥有有效的登录凭据并能本地登录才能利用此漏洞。匿名用户无法利用此漏洞，也无法以远程方式利用此漏洞。

解决方案：微软已发布MS10-037号安全公告和相应补丁以解决此问题，详情参见

http://www.microsoft.com/china/technet/security/bulletin/MS10-037.mspx

14.Microsoft Office 中的 COM 验证漏洞可能允许远程执行代码

漏洞等级：高

受影响产品：Microsoft Office(Word、Excel、PowerPoint、Visio、Publisher)2003 Service Pack 3和Microsoft Office(Word、Excel、PowerPoint、Visio、Publisher)2007 Service Pack 1、Service Pack 2

漏洞描述：Microsoft Office COM 验证中存在一个秘密报告的漏洞。如果用户使用受影响的Microsoft Office版本打开特制的Excel、Word、Visio、Publisher或PowerPoint 文件，则此漏洞可能允许远程执行代码。

解决方案：微软已发布MS10-036号安全公告和相应补丁以解决此问题，详情参见

http://www.microsoft.com/china/technet/security/bulletin/MS10-036.mspx

15.Internet Explorer中存在多个漏洞

漏洞等级：极高

受影响产品：Internet Explorer 5.01 Service Pack 4、Internet Explorer 6 Service Pack 1、Internet Explorer 6、Internet Explorer 7、Internet Explorer 8

漏洞描述：Internet Explorer中存在五个秘密报告和一个公开披露的漏洞。最严重的漏洞可能在用户使用Internet Explorer查看经过精心构造的网页时远程执行任意代码。

解决方案：微软已发布MS10-035号安全公告和相应补丁以解决此问题，详情参见

http://www.microsoft.com/china/technet/security/bulletin/MS10-035.mspx

16.媒体解压缩中的漏洞可能允许远程执行代码

漏洞等级：极高

受影响产品：所有在技术支持生命周期中的Windows操作系统

漏洞描述：Microsoft Windows中存在两个秘密报告的漏洞。如果用户打开一个特制的媒体文件或从网站或提供Web内容的任何应用程序接收特制的流式内容，这些漏洞则可能允许远程执行代码。成功利用这些漏洞的攻击者可以获得与本地用户相同的用户权限。

解决方案：微软已发布MS10-033号安全公告和相应补丁以解决此问题，详情参见

http://www.microsoft.com/china/technet/security/bulletin/MS10-033.mspx

17.Windows 内核模式驱动程序中的漏洞可能允许特权提升

漏洞等级：高

受影响产品：所有在技术支持生命周期中的Windows操作系统

漏洞描述：Windows内核模式驱动程序中存在两个公开披露和一个秘密报告的漏洞。如果用户查看用特制TrueType字体呈现的内容，则该漏洞可能允许特权提升。

解决方案：微软已发布MS10-032号安全公告和相应补丁以解决此问题，详情参见

http://www.microsoft.com/china/technet/security/bulletin/MS10-032.mspx

18.UltraISO MDS/XMD文件处理缓冲区溢出漏洞

漏洞等级：中

受影响产品：UltraISO 9.x

漏洞描述：这个漏洞由于处理MDS和XMD文件时存在边界错误导致。这个漏洞可由包含超长文件名的文件触发堆栈缓冲区溢出，成功利用此漏洞可导致任意代码运行。

解决方案：目前暂无解决方案，请密切关注厂商发布的信息。

19.Apache Axis2/Java XML文档类型声明处理漏洞

漏洞等级：中

受影响产品：Apache Axis2/Java 1.x

漏洞描述：由于Axis2没有正确限制XML文档类型声明，致使Apache Axis2/Java中存在一个漏洞。成功利用此漏洞会造成系统或者私密信息泄露，或者由于CPU、内存大量消耗而造成的拒绝服务。

解决方案：厂商已经发布了1.5.2或1.6版本以对此漏洞进行修复。

20.Samba SMB1报文链接远程内存破坏漏洞

漏洞等级：中

受影响产品：Samba 3.0.x - 3.3.12

漏洞描述：Samba中负责处理链接起SMB1报文的代码没有正确地验证客户端所提供的输入字段，恶意客户端可以向Samba服务器发送特制的SMB报文触发堆内存破坏，导致以Samba服务器(smbd)的权限执行任意代码。利用这个漏洞无需认证，且samba的默认配置便受这个漏洞影响。

解决方案：厂商已经发布了3.3.13版本以对此漏洞进行修复。

21.Linksys WAP54G未公开的debug接口漏洞

漏洞等级：中

受影响产品：3.04.02、3.04.03、3.05.03，其它版本可能也存在此漏洞

漏洞描述：Linksys WAP54G中存在未公开的debug脚本"Debug_command_page.asp"和"debug.cgi"。利用debug脚本可对设备以root权限进行访问。

解决方案：使用防火墙或者代理进行限制访问。

22.OpenSSL CMS结构处理内存破坏漏洞

漏洞等级：中

受影响产品：OpenSSL 1.0.0、OpenSSL 0.9.8

漏洞描述：OpenSSL没有正确地处理加密消息句法(CMS)结构，远程攻击者可以通过包含有OriginatorInfo元素的特制CMS结构触发无效内存地址写入或双重释放，导致执行任意代码。

解决方案：厂商已经发布了补丁以修复此漏洞，请该软件的用户及时进行更新：

http://www.openssl.org/source/openssl-0.9.8o.tar.gz

http://www.openssl.org/source/openssl-1.0.0a.tar.gz

23.OpenSSL EVP_PKEY_verify_recover()无效返回值绕过密钥验证漏洞

漏洞等级：中

受影响产品：OpenSSL 1.0.0

漏洞描述：由于验证恢复过程失败时返回的是一个未初始化的缓冲区而不是错误代码，因此这个漏洞可被用来绕过使用"EVP_PKEY_verify_recover()"的程序的密钥验证。

解决方案：厂商已经发布了补丁以修复此漏洞，请该软件的用户及时进行更新：

http://www.openssl.org/source/openssl-1.0.0a.tar.gz

24.Linux Kernel xfs_swapext()函数本地信息泄露漏洞

漏洞等级：低

受影响产品：Linux Kernel 2.6.x

漏洞描述：Linux Kernel fs/xfs/xfs_dfrag.c文件中的xfs_swapext()函数没有正确地验证访问权限，本地用户可以通过提交特制的 IOCTL请求将属于其他用户的只读文件的内容交换到自己可读的文件中，导致泄漏敏感信息。

解决方案：厂商已经发布了补丁以对此漏洞进行修复，详情参见

http://archives.free.net.ph/message/20100616.135735.40f53a32.en.html

25.Linux Kernel ethtool_get_rxnfc()函数整数溢出提权漏洞

漏洞等级：低

受影响产品：Linux Kernel 2.6.x

漏洞描述：Linux Kernel net/core/ethtool.c文件中的ethtool_get_rxnfc()函数存在一个整型溢出漏洞，通过发送一个精心构造的IOCTL可导致内核崩溃以及潜在的权限提升。

解决方案：暂无，请密切关注厂商发布的最新信息。

26.D-LINK DIR-615跨站脚本漏洞

漏洞等级：低

受影响产品：D-LINK DIR-615

漏洞描述：D-LINK DIR-615不正确过滤用户提交的输入，远程攻击者可以利用漏洞进行跨站脚本攻击，可获得目标用户敏感信息或进行未授权的设备访问。

解决方案：暂无

27.Mozilla Firefox地址栏伪造漏洞

漏洞等级：低

受影响产品：Firefox 3.5.9、Firefox 3.6.3

漏洞描述：Mozilla Firefox是一款开放源代码的WEB浏览器。此漏洞是由于"window.onerror"处理器允许调用读取重定向的目标URL，通过HTML "// 标签引用重定向站点会泄漏包含在目标URL中的特定会话查询参数。

解决方案：目前暂时没有解决方案，请随时关注厂商发布的信息。

28.MySQL"ALTER DATABASE"导致拒绝服务漏洞

漏洞等级：低

受影响产品：MySQL 5.x

漏洞描述：由于在处理"ALTER DATABASE"语句时存在一个错误，在"#mysql50#"前加上"."或者".."可导致MySQL数据目录被破坏。

解决方案：厂商已经发布了5.1.48版本以对这个漏洞进行修复。

29.Apache httpd mod_proxy_http超时处理导致信息泄露漏洞

漏洞等级：低

受影响产品：Apache 2.2.x

漏洞描述：Apache HTTP Server的mod_proxy_http模块中的mod_proxy_http.c文件没有正确地检测超时，在某些超时情况下服务器可能返回属于其他用户的响应，由此可能造成用户敏感信息的泄露。

解决方案：厂商已经发布了补丁以对这个漏洞进行修复，详情参见：

http://httpd.apache.org/security/vulnerabilities_22.html

// ]]>