網絡安全宣傳活動助力校園網安全防護

9 月是國家網絡安全宣傳周所在月，本次宣傳周主題是“網絡安全為人民，網絡安全靠人民”，結合該主題，各學校在9 月開展了內容豐富的網絡安全宣傳活動，包括個人信息保護、數據安全治理、電信網絡詐騙、青少年網絡保護等宣傳內容，大大提高了學生們的安全意識，也對校園網安全防護能力的整體提升提供了幫助。

近期各類安全投訴事件數量整體呈低位態勢。近期沒有新增需要特別關注的木馬和病毒程序，需要關注的還是各類基于社會工程學的詐騙攻擊。

近期新增嚴重漏洞評述：

1.微軟2023 年9 月的例行安全更新共包含微軟產品的安全漏洞59 個，Edge瀏覽器的5 個，非微軟產品的2 個。這些漏洞按等級分類，包含5 個嚴重等級、53 個重要等級和1 個中危等級；按漏洞類型分類，包括權限提升漏洞18 個、遠程代碼執行漏洞20 個、信息泄露漏洞10個、安全功能繞過漏洞3 個、欺騙漏洞2個、拒絕服務漏洞3 個、XSS 漏洞3 個。涉及的產品包括Windows 內核、Windows組件、Windows Common Log File System Driver、3D Viewer、3D Builder、Windows DHCP Server、微軟Office 辦公軟件、微軟Streaming Service 及ExchangServer 等多個產品和組件。這些漏洞中有兩個是0day漏洞，它們分別是微軟流服務代理本地權限提升漏洞（CVE-2023-36802）和Word信息泄露漏洞（CVE-2023-36761）。前者允許攻擊者利用流服務代理的漏洞來提升權限，而后者則允許攻擊者在被攻擊者打開文檔（包括預覽窗格）時竊取NTLM哈希值，這些NTLM 哈希值可被破解或用于NTLM 中繼攻擊，以獲得對賬戶的訪問權限。由于該漏洞可以在預覽模式被利用，因此攻擊者甚至無需用戶點擊相關Word文件即可利用該漏洞。鑒于上述漏洞的危害性，建議用戶盡快使用系統自帶的更新功能進行補丁更新。

2023 年8 月～9 月CCERT 安全投訴事件統計

2.WebP 是Google 開發的位圖文件格式，目的是為了取代JPEG、PNG 及GIF等格式，它同時支持破壞性與非破壞性數據壓縮，該格式可用來創建更小、更豐富且傳輸更快的圖像。近期互聯網上暴露出一個WebP 代碼庫（libwebp）的堆溢出漏洞（CVE-2023-4863），由于該代碼庫在處理WebP 格式時存在邊界錯誤，攻擊者只需引誘用戶訪問包含特制WebP 圖形的網頁即可觸發溢出，進而執行任意命令。目前使用了該庫的廠商（包括Google 的Chrome 瀏覽器、Mozilla 的Firefox 瀏覽器等）均已發布公告緊急修補該漏洞，建議用戶盡快進行升級。但由于該代碼庫屬于基礎開發庫，理論上該漏洞會影響所有使用了該代碼庫的應用，因此后續影響還需持續關注。

3.Adobe 廠商發布了安全公告（APSB23-34），用于修補Adobe Acrobat 和Reader 產品中一個在野利用的安全漏洞（CVE-2023-26369）。由于相關軟件中存在越界寫入缺陷，未經身份驗證的攻擊者利用該漏洞可在目標系統上執行任意代碼。目前Adobe 官方已在最新版本中修補了相關漏洞，建議用戶盡快進行升級。升級的方式和版本可參見：https://helpx.adobe.com/security/products/acrobat/apsb23-34.html。

4.GitLab 是一個基于網絡的開源軟件項目管理和工作跟蹤平臺，提供免費和商業版本。GitLab 近期修復了一個可讓攻擊者以其他用戶身份運行管道的嚴重漏洞（CVE-2023-5009）。該漏洞是上個月GitLab 修補的漏洞（CVE-2023-3932）補丁的繞過利用，利用該漏洞，攻擊者可以在用戶不知情或沒有權限的情況下冒充用戶來運行管道任務（一系列自動化任務），這可能會導致攻擊者訪問敏感信息或濫用被冒充用戶的權限來運行代碼、修改數據或觸發GitLab 系統內的特定事件。目前GitLab 官方已經在最新版本中修補了該漏洞，建議相關使用GitLab 系統的管理員盡快進行版本升級。

安全提示

鑒于近期各類0day 漏洞頻發，筆者提醒用戶做好相關防護。要牢記以下幾點：

1.郵件中的重要信息需要再三確認，不貪圖便宜，不輕信恐嚇。

2.不點擊來歷不明的鏈接，不打開來歷不明的文檔。

3.及時安裝系統及軟件補丁，不用的應用及時卸載。