2024年11月1日起,《网络安全技术信息技术安全评估准则》等13项网络安全相关的国家推荐标准开始实施。这些国标针对当下比较热门的安全问题(如零信任、供应链管理、代码评估等)提供了技术参考依据,为后续高校的安全工作开展指明了方向。
在病毒与木马方面,近期没有需要特别关注的病毒与木马。
2023年9月~10月CCERT安全投诉事件统计
近期新增严重漏洞评述
01
微软2024年10月的例行安全更新共包含微软产品的安全漏洞117个。这些漏洞中需要特别关注的有以下几个。
Windows管理控制台远程代码执行漏洞(CVE-2024-43572)。Windows的管理控制台(MMC)用于创建、保存和打开管理工具,进而管理Microsoft Windows操作系统的硬件、软件和网络组件。MMC中存在一个远程代码执行漏洞,攻击者可以诱骗用户下载并打开特定的文件来利用该漏洞,成功利用漏洞可以在目标系统上远程执行任意代码。目前该漏洞已经在网络上被利用。
Windows MSHTML平台欺骗漏洞(CVE-2024-43573)。MSHTML是Windows IE浏览器的排版引擎,负责获取标记式内容(如HTML、XML及图像文件等)、整理信息(如CSS及XSL等),并将排版后的内容输出至显示器或打印机。MSHTML中存在一个欺骗漏洞,攻击者可以通过发送特制的数据使得系统将其误认为其他的合法用户,并将该合法用户的信息发送给攻击者,从而造成敏感信息泄露。目前该漏洞已经在网络上被利用。
微软配置管理器(ConfigMgr)远程代码执行漏洞(CVE-2024-43468)。未经身份验证的攻击者可以通过向目标系统发送经特殊设计的请求来利用此漏洞,ConfigMgr会将这些请求以不安全的方式处理,从而使攻击者能够在服务器和/或数据库上执行任意命令。
远程桌面协议(RDP)服务器远程代码执行漏洞(CVE-2024-43582)。Windows远程桌面(RDP)服务中存在一个高危安全漏洞,未经身份认证的远程攻击者可以向RDP服务发送特定的数据来利用此漏洞,成功利用此漏洞可以以RDP的服务权限执行任意命令。
02
GitLab是一款用于仓库管理的开源项目,它提供了一整套工具来帮助开发团队进行项目管理、代码托管、持续集成/持续部署(CI/CD)、监控等更多功能。GitLabEE中存在一个权限绕过漏洞(CVE-2024-9164),攻击者利用该漏洞可以以其他用户的身份在任意分支上执行管道,进而执行恶意代码或获取敏感信息。目前厂商已经在最新版本(17.2.9、17.3.5、17.4.2)中修补了该漏洞,建议用户尽快升级。
03
GitHub Enterprise Server(GHES)是用于企业内软件开发的自托管平台,其中存在一个身份验证绕过漏洞(CVE-2024-9487),成功利用该漏洞的攻击者可以越权访问其他用户的配置信息及目标实例。目前厂商已经发布了新版本修补该漏洞,建议用户尽快进行升级。
04
Firefox浏览器是互联网上使用较为广泛的一款浏览器,Firefox浏览器的Animation timelines组件中存在一个代码执行漏洞(CVE-2024-9680),该漏洞允许攻击者通过Animation timelines组件中的use-after-free在进程中实现代码执行。该漏洞已经发现了在野的攻击,目前厂商已经针对漏洞发布了补丁程序,建议用户尽快进行升级。
05
VMware官方在10月底发布了vCenter Server中堆栈溢出漏洞(CVE-2024-38812)的二次更新。建议相关的管理员尽快对软件进行升级,若无法及时升级,一定要将服务限制在可控范围内。
安全提示
微软公司已于近期正式宣布将于2025年10月14日终止对Windows10系统的支持服务,不再为其提供安全更新。微软提供了从Win10系统升级到Win11的简单安全迁移流程,但由于Win11系统要求硬件支持TPM2.0安全芯片,一些较为老旧的机器可能无法安装升级Win11系统。这些不支持Win11系统的机器将只能使用不安全的Win10系统,这将带来一系列安全风险,建议还在使用Win10系统的用户尽早做好准备。