logo

中文|English|客服热线:4008107766

售后服务
4008107766
安全通告

网御星云安全通告

时间:2011-07-04
 网御星云安全通告
1 本周通告时间
本次通告时间为20116月份第5周。 
20116
29
30
31
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
1
 
 
 
 
 
 
 
 
  2 本周网络威胁级别 2级。
 有一些严重漏洞发布或网络攻击事件有增多迹象。此时需对网络和主机进行安全评估、安全升级以及进行必要的监控。
 网御星云网络威胁级别说明
 
1 普通状态 
 
正常网络状态,没有显著的网络攻击事件,只存在零星的攻击。网络大多数情况下都处在这一状态。此时保持普通安全策略即可。
 
2预警状态
 
有一些严重漏洞发布或网络攻击事件有增多迹象。此时需对网络和主机进行安全评估、安全升级以及进行必要的监控。
 
3严重状态
 
某些严重漏洞或威胁正被攻击者利用来进行大规模攻击,网络攻击事件显著增加。通常表现为快速爆发的蠕虫或者病毒攻击。此时需要立刻采取防御措施,例如安装补丁或重新部署安全系统进行防护等等。
 
4紧急状态
 
网络安全态势非常严峻,对全球互联网造成严重影响。此时需要与其他网络协作采取防御措施
 
 
3   病毒和网络攻击预警

3.1   “代理木马”变种abyq(Trojan/Agent.abyq)
 
病毒长度:1393818字节
 
病毒类型:木马
 
危险级别:★★
 
影响平台:Win 9X/ME/NT/2000/XP/2003
 
特征描述:
 
Trojan/Agent.abyq“代理木马”变种abyq是“代理木马”家族中的最新成员之一,采用高级语言编写,经过加壳保护处理。“代理木马”变种abyq运行后,会在被感染系统的“%USERPROFILE%\Local Settings\Temp\E_N4\”文件夹下释放由易语言编写的恶意DLL组件“dp1.fne ”、“krnln.fnr”、“HtmlView.fne”、“internet.fne”、“eAPI.fne”等,并复制到名为“%SystemRoot%\system32\204E98\”的文件夹下。还会在“%SystemRoot%\system32\204E98\”文件夹下释放恶意程序“1D8CD9.EXE”。创建文件夹“41D8CD”和“0998EC”,用于记录指定的信息。在被感染系统的后台连接骇客指定的站点“hidata*base.cn”和“uu*88.com”,获取恶意程序下载列表,下载指定的恶意程序并自动调用运行。其所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。“代理木马”变种abyq会通过U盘进行自身传播。另外,“代理木马”变种abyq会在被感染系统注册表启动项中添加键值、在“开始”文件夹中创建快捷方式“1D8CD9.lnk”,以此实现自动运行。
 
3.2   “系统杀手”变种bpm (Trojan/AntiAV.bpm)
 
病毒长度:279552字节
 
病毒类型:木马
 
危险级别:★★
 
影响平台:Win 9X/ME/NT/2000/XP/2003
 
特征描述:
 
Trojan/AntiAV.bpm“系统杀手”变种bpm是“系统杀手”家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写,经过加壳保护处理。“系统杀手”变种bpm运行后,会自我复制到被感染系统的“%programfiles%\Windows NT\”文件夹下,重新命名为“SERVICES.EXE”。其会在被感染系统的“%SystemRoot%\system32\”文件夹下释放经过加壳保护的恶意DLL组件“ACE.dll”。遍历当前系统运行的所有进程,一旦发现某些安全软件的进程存在,便会尝试将其结束,致使被感染系统失去安全软件的防护。“系统杀手”变种bpm运行时,会将释放的恶意DLL组件“ACE.dll”插入到系统桌面程序“explorer.exe”等进程中隐秘运行。后台执行相应的恶意操作,以此隐藏自我,防止被轻易地查杀。其会在被感染系统的后台秘密监视用户的键盘和鼠标操作,伺机窃取用户输入的机密信息,并在后台将窃得的信息发送到骇客指定的站点或邮箱中(地址加密存放),给被感染系统用户造成了不同程度的损失。“系统杀手”变种bpm在运行完成后会创建批处理文件“$$c1.tmp.bat”并在后台调用执行,以此将自身删除。另外,“系统杀手”变种bpm会修改注册表启动项中的登陆初始化内容,以此实现自动运行。
4   安全漏洞通告
4.1   Google Chrome 12.0.742.112之前版本多个安全漏洞

Google Chrome 12.0.742.112之前版本多个安全漏洞

漏洞发现时间:

2011-06-29

漏洞号:

BUGTRAQ  ID: 48479

CVE ID: CVE-2011-2345,  CVE-2011-2346,  CVE-2011-2347,CVE-2011-2348,CVE-2011-2349,CVE-2011-2350,CVE-2011-2351

受影响的系统:

受影响系统:

Google Chrome 9.x

Google Chrome 8.x

Google Chrome 11.x

Google Chrome 10.x

不受影响系统:

Google Chrome 12.0.742.112

漏洞详细信息:

Google Chrome是一个由谷歌公司开发的开放源码网页浏览器。

 

Google Chrome 12.0.742.112之前版本在实现上存在多个安全漏洞,远程攻击者可利用这些漏洞通过受影响应用程序执行任意代码,造成拒绝服务。

 

1) 在处理NPAPI字符串时存在错误,可导致越界读取;

2)处理SVG字体时存在释放后重用错误;

3)在解析CSS内容时的错误可导致内存破坏;

4HTML解析程序中存在有关生命周期和 re-entrancy的错误;

5v8中存在边界错误;

6)处理SVG use元素时存在释放后重用错误;

7)处理某些文本选择时存在释放后重用错误;

 

<*参考:miaubiz*>

建议:

厂商补丁:

Google

------

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.google.com

 
4.2   HP OpenView Storage Data Protector Op代码远程缓冲区溢出漏洞(CVE-2011-1865)

HP OpenView Storage Data Protector Op代码远程缓冲区溢出漏洞(CVE-2011-1865

漏洞发现时间:

2011-06-28

漏洞号:

BUGTRAQ  ID: 48486

CVE ID: CVE-2011-1865

受影响的系统:

受影响系统:

HP OpenView Storage Data Protector 6.20

HP OpenView Storage Data Protector 6.11

HP OpenView Storage Data Protector 6.10

HP OpenView Storage Data Protector 6.0

漏洞详细信息:

HP OpenView Storage Data Protector是备份数据和恢复过程的应用。

HP OpenView Storage Data ProtectorOp代码的实现上存在远程缓冲区溢出漏洞,远程攻击者可利用此漏洞在受影响应用程序中执行任意代码。

<*参考:Core Security Technologies 

  链接:http://alerts.hp.com/r?2.1.3KT.2ZR.xdUfW.GB3f7E..T.Wti6.515%5f.bW89MQ%5f%5fCXDYFNO0*>

建议:

厂商补丁:

HP

--

HP已经为此发布了一个安全公告(HPSBMU02686)以及相应补丁:

HPSBMU02686SSRT100541 rev.2 - HP OpenView Storage Data Protector, Remote Execution of Arbitrary Code

链接:http://alerts.hp.com/r?2.1.3KT.2ZR.xdUfW.GB3f7E..T.Wti6.515%5f.bW89MQ%5f%5fCXDYFNO0

4.3   HP OpenView Storage Data Protector远程代码执行漏洞(CVE-2011-1866)

HP OpenView Storage Data Protector远程代码执行漏洞(CVE-2011-1866

漏洞发现时间:

2011-06-28

漏洞号:

BUGTRAQ  ID: 48488

CVE ID: CVE-2011-1186,CORE-2011-0606

受影响的系统:

受影响系统:

HP OpenView Storage Data Protector 6.20

HP OpenView Storage Data Protector 6.11

HP OpenView Storage Data Protector 6.10

HP OpenView Storage Data Protector 6.0

漏洞详细信息:

HP OpenView Storage Data Protector在实现上存在远程代码执行漏洞,远程攻击者可利用此漏洞在受影响应用程序中执行任意代码。

 

<*参考:Core Security Technologies

 

  链接:http://alerts.hp.com/r?2.1.3KT.2ZR.xdUfW.GB3f7E..T.Wti6.515%5f.bW89MQ%5f%5fCXDYFNO0*>

建议:

厂商补丁:

HP

--

HP已经为此发布了一个安全公告(HPSBMU02686)以及相应补丁:

HPSBMU02686SSRT100541 rev.2 - HP OpenView Storage Data Protector, Remote Execution of Arbitrary Code

链接:http://alerts.hp.com/r?2.1.3KT.2ZR.xdUfW.GB3f7E..T.Wti6.515%5f.bW89MQ%5f%5fCXDYFNO0

4.4   Winamp Essentials FLV文件堆缓冲区溢出漏洞

Winamp Essentials FLV文件堆缓冲区溢出漏洞

漏洞发现时间:

2011-06-29

漏洞号:

BUGTRAQ  ID: 48494

受影响的系统:

受影响系统:

Nullsoft Winamp Essentials Pack 5.6

漏洞详细信息:

Winamp Essentials Pack是一款简单好用的编解码器。

 

Winamp Essentials在处理畸形FLV文件时存在堆缓冲区溢出漏洞,远程攻击者可利用此漏洞执行任意代码,造成拒绝服务。

 

此漏洞源于在解析H263视频内容中的"CustomWidth""CustomHeight"字段时,f263.w5s中存在的错误,通过特制的FLV文件造成缓冲区溢出。

 

<*参考:Luigi Auriemma aluigi@pivx.com 

  链接:http://aluigi.altervista.org/adv/winamp_2-adv.txt*>

建议:

厂商补丁:

Nullsoft

--------

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.winamp.com/

4.5   Discuz! X2远程SQL注入漏洞

Discuz! X2远程SQL注入漏洞

漏洞发现时间:

发布日期:2011-06-29

漏洞号:

 

受影响的系统:

受影响系统:

Discuz! Discuz!

漏洞详细信息:

Discuz论坛软件系统亦称电子公告板(BBS)系统,它伴随社区BBS的流行而成为互联网最重要的应用之一,也逐渐成为网站核心竞争力的标志性体现。

 

Discuz! X2在处理请求数据时存在SQL注入漏洞,远程攻击者可利用此漏洞非授权操作数据库。

 

<*参考:Magistrate

  链接:http://www.cnxiaoniu.com/post-83.html*>

建议:

厂商补丁:

Discuz!

-------

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.discuz.net/

5 关于网御星云
北京网御星云信息技术有限公司是在联想控股公司下成立的从事信息安全业务的子公司,是国内信息安全行业的领军企业,专业从事信息安全产品的研发、生产与销售,为用户信息系统提供等级化的整体安全解决方案及专业安全服务。
网御星云的宗旨:以优秀的技术、产品、方案和服务致力于建设安全的电子政务、电子商务和公众信息化社会。http://www.leadsec.com.cn

 

北京网御星云信息技术有限公司

2011-07-04
 
 
关于我们
公司简介
合作伙伴
核心技术
团队风采
推荐型号
服务与下载
支持与服务
在线升级
联系我们
二维码