Ｂｕｇｓ＆ｆｉｘｅｓ

微軟漏洞，初冬集中爆發

隆冬初至，也帶來了新一輪的補丁風暴。這次的主角仍是微軟日前發布的10份危害級均為“高危”的系統漏洞補丁。這些漏洞補丁程序分別能修復WindOWS操作系統和Office組件中的眾多漏洞。

RPC漏洞卷土重來

RPC補丁解決了服務器服務中一個秘密報告的漏洞。如果用戶在受影響的系統上收到特制的RPC請求，則該漏洞可能允許遠程執行代碼。在Microsoft Windows 2000、WindOWS XP和WindowsServer 2003系統上，攻擊者可能未經身份驗證即可利用此漏洞運行任意代碼。此漏洞可能被用于進行蠕蟲攻擊。不過，經過優化的防火墻策略和標準的默認防火墻配置都將有助于保護網絡資源免受從企業外部發起的攻擊，因此養成開啟防火墻的習慣將是非常重要的。

對于Microsoft WindOWS 2000、XP和WindOWS Server 2003的所有版本，此安全更新的等級都為“嚴重”，而對于WindOWSVista、Windows Server 2008和WindOWS 7 Beta的所有版本，此安全更新的等級也為“重要”。因此強烈建議大家馬上通過自動更新或360安全衛士來獲取該補丁，該補丁將通過更正服務器服務處理RPC請求方式來解決該漏洞。

一旦該漏洞被利用，不僅可以遠程控制用戶電腦，展開一系列的非法行為，如盜取用戶的機密文件、盜取用戶的網游／網銀帳號密碼等重要信息，更嚴重的是該攻擊可導致用戶程序崩潰，甚至系統崩潰，不可忽視啊!

GDI漏洞仍未平息

現在，我們又發現Windows內核中存在可能允許權限提升的漏洞。問題出在，Windows內核可能會未正確驗證新窗口創建過程中所傳遞的窗口屬性和用戶態輸出，或可能處于雙重釋放的狀態。成功利用此漏洞的惡意攻擊者可以在受攻擊的操作系統內核運行任意代碼。

而這樣的直接后果就是微軟爆出GDI+圖片漏洞。通過該漏洞，攻擊者可以將木馬藏于圖片中，網民無論是通過瀏覽器瀏覽、還是用各種看圖軟件打開、或者在即時聊天窗口、電子郵件、Office文檔里查看這些圖片，只要看了就會中招!哪怕只是一個微不足道的QQ表情!

這個漏洞有點類似以前的“光標漏洞”和“wmf漏洞”，但涉及的圖片格式更多，包括bmp、wmf、qif、emf、vml等，因此涉及面甚廣，影響人數多，危害巨大，堪稱微軟史上最大的安全漏洞。

受此漏洞影響，幾乎所有瀏覽器、即時聊天工具、Windows自帶的圖片瀏覽工具、Office程序以及看圖軟件和視頻播放軟件等第三方軟件都可能成為木馬傳播的渠道。網民即便沒有點擊運行任何程序，只要瀏覽了BBS、博客、電子郵件或即時聊天窗口里帶木馬的圖片，就會立即中招。一旦網民查看了這些帶木馬的圖片，或瀏覽了帶木馬圖片的網站，攻擊者就能利用這一GDI+圖片漏洞遠程執行代碼和安裝程序，隨意查看、更改或刪除用戶的電腦數據，或者創建能完全訪問用戶電腦的新帳戶。也就是說，攻擊者可以利用該漏洞完全控制你的電腦!

Office爆出CDO漏洞

這還沒完，Office中其實也存在信息泄露的風險。Office本來是使用CDO(協作數據對象庫)協議處理數據文檔的，但現在這里面也報出漏洞了。惡意攻擊者可利用此漏洞，在用戶操作系統的IE瀏覽器中注入惡意客戶端腳本程序，該腳本程序可能含有欺騙性內容，最終導致操作系統中的個人信息被泄漏。

此外，Excel也不甘寂寞，玩起遠程代碼執行漏洞。Excel處理緩存方式中也已發現存在一個遠程執行代碼漏洞，如果計算機用戶打開帶毒的Excel文件，這些漏洞會讓惡意攻擊者遠程執行任意代碼。

近來眾多用戶因懼怕微軟正版驗證新策略所帶來的黑屏體驗，而爭相關閉了自動更新服務。這樣更給惡意軟件和攻擊者帶來了可乘之機。不管WGA是否值得推崇，但潔身自好，謹慎操作仍是我們不得不提醒各位注意的。

兩者有機結合，才是防御Web威脅根本

網絡安全的任何一項工作，都必須在網絡安全組織、網絡安全策略、網絡安全技術、網絡安全運行體系的綜合作用下才能取得成效。防御Web威脅不管從管理還是技術入手，兩者必須有機結合，才是防御Web威脅根本。

首先必須有具體的人和組織來承擔安全工作，并且賦予組織相應的責權；其次必須有相應的安全策略來指導和規范安全工作的開展，明確應該做什么，為應該做什么，按什么流程和方法來做；再次若有了安全組織、安全目標和安全策略后，需要選擇合適的安全技術方案來滿足安全目標；最后在確定了安全組織、安全策略、安全技術后，必須通過規范的運作過程來實施安全工作，將安全組織、安全策略和安全技術有機地結合起來，形成一個相互推動、相互聯系地整體，通過實際的工程運作和動態的運營維護，最終實現安全工作的目標。

洋洋灑灑說了這么多，總之，Web威脅已經成為整個互聯網的安防新課題，用戶、企業、安全機構乃至整個互聯網相關運營商、設備商、內容服務商都不能再袖手旁觀，必須采取相應應急措施，共同維護我們的網絡家園!而我們更希望強調的是，安全的根本在于意識，沒有清楚的安全意識，即便再擁有十分完善的安全防護設施也擋不住威脅的入侵。