logo

中文|English|客服热线:4008107766

售后服务
4008107766
安全通告

网御星云安全通告

时间:2011-08-22

 网御星云安全通告
1 本周通告时间

本次通告时间为20118月份第3周。 

20118

 

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

 

 

 

 

 

 

 

 

 

 

  2 本周网络威胁级别 2级

 有一些严重漏洞发布或网络攻击事件有增多迹象。此时需对网络和主机进行安全评估、安全升级以及进行必要的监控。

 网御星云网络威胁级别说明

1 普通状态 

正常网络状态,没有显著的网络攻击事件,只存在零星的攻击。网络大多数情况下都处在这一状态。此时保持普通安全策略即可。

2预警状态

有一些严重漏洞发布或网络攻击事件有增多迹象。此时需对网络和主机进行安全评估、安全升级以及进行必要的监控。

3严重状态

某些严重漏洞或威胁正被攻击者利用来进行大规模攻击,网络攻击事件显著增加。通常表现为快速爆发的蠕虫或者病毒攻击。此时需要立刻采取防御措施,例如安装补丁或重新部署安全系统进行防护等等。

4紧急状态

网络安全态势非常严峻,对全球互联网造成严重影响。此时需要与其他网络协作采取防御措施。

3 病毒和网络攻击预警

3.1   “克隆先生”变种jua(Packed.Klone.jua)

病毒类型:木马

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

特征描述:
“克先生”变种jua是“克先生”家族中的最新成员之一,采用“Microsoft Visual C++ 6.0编写,经过加壳保护处理,是一个由其它恶意程序释放的DLL功能组件。“克先生”变种jua运行后,会将自身插入到系统桌面程序“explorer.exe”进程中隐秘运行。后台执行相应的恶意操作,以此隐藏自我,防止被轻易地查杀。遍历当前系统运行的所有进程,一旦发现某些安全软件的进程存在,便会尝试将其结束,致使被感染系统失去安全软件的防护。“克先生”变种jua是一个专门盗取网络游戏会员账号的木马程序,其会在被感染系统的后台秘密监视系统所运行程序的窗口标题,一旦发现指定程序启动,便会利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃得的信息发送到骇客指定的站点(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的损失。“克先生”变种jua属于某恶意程序集合中的部分功能组件,如果感染此病毒,则说明系统中还感染了其它的恶意程序。
3.2   “灰鸽子”变种aehv (Backdoor/Huigezi.aehv)

病毒类型:后门

危险级别:★★

影响平台:Win 9X/ME/NT/2000/XP/2003

特征描述:
“灰鸽子”变种aehv是“灰鸽子”家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0编写,经过加壳保护处理。“灰鸽子”变种aehv运行后,会在“%USERPROFILE%\Local Settings\Temp\”文件夹下释放恶意文件“07115422.tmp”,然后将其复制到“%SystemRoot%\system32\”下,重新命名为“Scardsvr.exe”。“灰鸽子”变种aehv属于反向连接后门程序,其会在被感染系统的后台连接骇客指定的站点“cq5133016.3322.org”,获取客户端IP地址,侦听骇客指令,从而达到被骇客远程控制的目的。该后门具有远程监视、控制等功能,可以监视用户的一举一动(如:键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等)。还可以窃取、修改或删除计算机中存储的机密信息,从而对用户的个人隐私甚至是商业机密构成严重的威胁。感染“灰鸽子”变种aehv的系统还会成为网络僵尸傀儡主机,利用这些傀儡主机骇客可对指定站点发起DDoS攻击、洪水攻击等,给互联网的信息安全造成了更多的威胁。“灰鸽子”变种aehv在运行完成后会将自身删除,从而达到消除痕迹的目的。另外,“灰鸽子”变种aehv会在被感染系统中注册名为“Smart card Helper”的系统服务,以此实现自动运行。

4 安全漏洞通告

4.1   Real Networks RealPlayer多个远程漏洞

Real Networks RealPlayer多个远程漏洞

漏洞发现时间:

2011-08-16

漏洞号:

BUGTRAQ  ID: 49169

CVE ID: CVE-2011-2945,CVE-2011-2946,CVE-2011-2947,CVE-2011-2948,CVE-2011-2949,CVE-2011-2950,CVE-2011-2951,CVE-2011-2952,CVE-2011-2953,CVE-2011-2954,CVE-2011-2955

受影响的系统:

受影响系统:

Real Networks RealPlayer 11.x

不受影响系统:

Real Networks RealPlayer Enterprise 2.1.6

Real Networks RealPlayer 14.0.6

Real Networks RealPlayer 12 for Mac OS 12.0.0.1701

漏洞详细信息:

RealPlayer是网上收听收看实时音频、视频和Flash的工具。

 

RealPlayer在实现上存在多个远程漏洞,远程攻击者可利用这些漏洞,使用构建恶意WEB页诱使用户解析等方法在受影响应用程序中执行任意代码。

 

<*参考:Omair

        Luigi Auriemma aluigi@pivx.com

        getB33r 

  链接:http://service.real.com/realplayer/security/08162011_player/en/*>

建议:

厂商补丁:

Real Networks

-------------

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.real.com

4.2   Microsoft IE 9 "Iedvtool.dll"畸形HTML拒绝服务漏洞

Microsoft IE 9 "Iedvtool.dll"畸形HTML拒绝服务漏洞

漏洞发现时间:

发布日期:2011-08-16

漏洞号:

BUGTRAQ  ID: 49165

受影响的系统:

受影响系统:

Microsoft Internet Explorer 9

漏洞详细信息:

Microsoft Internet Explorer是微软公司推出的一款网页浏览器。

 

Microsoft Internet Explorer 9 Iedvtool.dll在处理畸形HTML的实现上存在空指针引用漏洞,远程攻击者可利用此漏洞使受影响浏览器崩溃,造成拒绝服务,也可能会破坏进程内存并执行任意代码。

 

<*参考:Ivan Sanchez

        Hernan Hegykozi 

  链接:http://www.evilcode.com.ar/index.php/advisories/internet-explore-iedvtool-dll-malformed-html-null-pointer-dereference-vulnerability.html*>

建议:

厂商补丁:

Microsoft

---------

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.microsoft.com/windows/ie/default.asp

4.3   Mozilla Firefox/Thunderbird/SeaMonkey多个安全漏洞

Mozilla Firefox/Thunderbird/SeaMonkey多个安全漏洞

漏洞发现时间:

2011-08-16

漏洞号:

BUGTRAQ  ID: 49166

CVE ID: CVE-2011-0084,CVE-2011-2978,CVE-2011-2980,CVE-2011-2981,CVE-2011-2982,CVE-2011-2983,CVE-2011-2984,CVE-2011-2985,CVE-2011-2986,CVE-2011-2987,CVE-2011-2988,CVE-2011-2989,CVE-2011-2990,CVE-2011-2991,CVE-2011-2992,CVE-2011-2993

受影响的系统:

受影响系统:

Mozilla Thunderbird 3.x

Mozilla Thunderbird 2.x

不受影响系统:

Mozilla Thunderbird 6

Mozilla Thunderbird 3.1.12

漏洞详细信息:

Firefox是一款非常流行的开源WEB浏览器。Thunderbird是一个邮件客户端,支持IMAPPOP邮件协议以及HTML邮件格式。SeaMonkey是开源的Web浏览器、邮件和新闻组客户端、IRC会话客户端和HTML编辑器。

 

Mozilla Firefox/Thunderbird/SeaMonkey在实现上存在多个漏洞,远程攻击者可利用此漏洞执行任意代码,使受影响应用程序崩溃,获取敏感信息。

 

<*参考:Aral Yaman

        bert hubert bert.hubert@netherlabs.nl

        Gary Kwong 

  链接:http://www.mozilla.org/security/announce/2011/mfsa2011-29.html        http://www.mozilla.org/security/announce/2011/mfsa2011-30.html*>

建议:

厂商补丁:

Mozilla

-------

Mozilla已经为此发布了一个安全公告(mfsa2011-29)以及相应补丁:

mfsa2011-29Mozilla Foundation Security Advisory 2011-29

链接:http://www.mozilla.org/security/announce/2011/mfsa2011-29.html

4.4   Linux Kernel事件溢出拒绝服务漏洞

Linux Kernel事件溢出拒绝服务漏洞

漏洞发现时间:

2011-08-16

漏洞号:

CVE ID: CVE-2011-2918

受影响的系统:

受影响系统:

Linux kernel 2.6.x

漏洞详细信息:

Linux Kernel是开放源码操作系统Linux所使用的内核。

 

Linux Kernel在处理软件事件溢出时存在拒绝服务漏洞。攻击者可借助特制应用程序导致拒绝服务(应用程序崩溃)。

 

<*参考:Vince Weaver 

  链接:http://permalink.gmane.org/gmane.linux.kernel/1172269

        http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commitdiff;h=a8b0ca17b80e92faab46ee7179ba9e99ccb61233*>

建议:

厂商补丁:

Linux

-----

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.kernel.org/

4.5   Microsoft Windows DHCPv6报文远程拒绝服务漏洞

Microsoft Windows DHCPv6报文远程拒绝服务漏洞

漏洞发现时间:

2011-08-16

漏洞号:

BUGTRAQ  ID: 49164

受影响的系统:

受影响系统:

Microsoft Windows 7

漏洞详细信息:

Microsoft Windows是微软发布的非常流行的操作系统。

Microsoft Windows在处理DHCPv6报文的实现上存在远程拒绝服务漏洞,远程攻击者可利用此漏洞造成RPC服务失败,拒绝服务合法用户。

要利用此漏洞,攻击者需要截获DHCPv6报文,然后修改相关响应以包含畸形“Domain Search List”选项,接到此畸形报文后,远程RPC将失败。

<*参考:Michael Burgbacher 

  链接:http://www.barracudalabs.com/wordpress/index.php/2011/08/16/malformed-dhcpv6-packets-cause-rpc-to-become-unresponsive/*>

建议:

厂商补丁:

Microsoft

---------

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.microsoft.com/technet/security/

5 关于网御星云
北京网御星云信息技术有限公司是在联想控股公司下成立的从事信息安全业务的子公司,是国内信息安全行业的领军企业,专业从事信息安全产品的研发、生产与销售,为用户信息系统提供等级化的整体安全解决方案及专业安全服务。
网御星云的宗旨:以优秀的技术、产品、方案和服务致力于建设安全的电子政务、电子商务和公众信息化社会。http://www.leadsec.com.cn

 

北京网御星云信息技术有限公司

2011-08-22
 
关于我们
公司简介
合作伙伴
核心技术
团队风采
推荐型号
服务与下载
支持与服务
在线升级
联系我们
二维码