高校公示信息泄露隱私建議校方用圖片格式存儲敏感信息

文/鄭先偉

11月教育網運行平穩，未發現影響嚴重的安全事件。近期有媒體連續報道高校網站中存在公示信息時，泄露用戶的身份證號碼等隱私信息的情況，這需要引起各高校的關注。在相關公示中公布用戶身份證信息是保障公示透明的重要環節。如何在公示過程中，既能保障公示信息透明又能有效保護個人用戶的隱私信息不被泄露，是高校業務與法務部門后期需要探討解決的問題。現階段，建議學校優先排查相關網站中公示信息，對于已經過了公示期的用戶信息，應盡快刪除，避免被不法份子收集利用。

雖然重點保障時期已經結束，但是很多高校依然沿襲了原有的封禁措施，因此投訴的安全事件依然在低位徘徊。

近期需要關注的病毒木馬還是各類比特幣敲詐病毒，因為比特幣價格的瘋漲以及相關交易的不可監控性，基于比特幣的敲詐攻擊只會愈演愈烈，直到政府能夠對其進行有效的監管為止。

近期新增嚴重漏洞評述：

1.微軟11月的例行安全公告中共修補了129個安全漏洞，涉及的產品包括Windows 10 v1709（11個）、Windows 10 v1703（11個）、Windows 10 v1607和 Windows Server 2016（11個 ）、Windows 10 RTM（11個）、Windows 8.1和 Windows Server2012 R2（10個）、Windows Server 2012（11個）、Windows 7 和 Windows Server 2008R2（11 個）、Windows Server 2008（10個）、IE瀏覽器 (12個)、Edge瀏覽器（25個）、Office軟件（6個）。其中Office組件內存破壞漏洞（CVE-2017-11882）需要引起用戶格外關注，該漏洞位于負責在文檔中插入和編輯公式 (OLE 對象) 的Office組件EQNEDT32.EXE中。由于內存操作不正確, 該組件無法正確處理內存中的對象, 從而使攻擊者可以在登錄用戶的上下文中執行惡意代碼。從Office 2000版本起被引入了EQNEDT32.EXE，并保存在之后所有的Office軟件版本中，因此該漏洞影響Office 2000之后的所有版本。目前已經有信息顯示該漏洞正在網絡上被利用，建議用戶盡快使用系統的自動更新功能安裝所有需要安裝的補丁程序。

2017年10～11月安全投訴事件統計

2.WordPress是一款使用非常廣泛的網站內容管理系統，WordPress 4.8.2（包括4.8.2）之前的版本中存在一個SQL注入漏洞，由于WordPress的$wpdb-＞prepare()函數可以接收和執行不安全的查詢，攻擊者可利用漏洞執行任意的SQL命令。不過由于調用該函數需要通過合法用戶的編輯功能，因此該漏洞對于那些不開放注冊的WordPress網站的影響較小，而對那些提供了用戶注冊功能的網站則影響較大。建議使用了WordPress搭建網站的管理員盡快將自己的WordPress升級到4.8.3以上版本。

3.GNU Wget是一個免費的軟件包，用于使用HTTP、HTTPS和FTP協議檢索文件，它被內置在大部分的Linux系統中。Wget 1.19.2之前的版本被曝出存在兩個緩沖溢出漏洞，攻擊者可以構建惡意的Web文件引誘用戶使用Wget來檢索訪問，一旦漏洞利用成功，攻擊者可以以當前用戶的權限執行任意命令。目前廠商已經在1.19.2版本中修補了該漏洞，建議用戶下載安裝或是使用相關系統的自動更新功能進行更新。