漏洞扫描

热点警示/Alert

Numbers

2 Adobe Reader和Acrobat 'CoolType.dll'

整数溢出漏洞（CNNVD-201008-049）

Adobe Reader是Adobe公司开发的一款优秀的PDF

文档阅读软件，Acrobat是查看和打印Adobe便携文档格

式(PDF)文件的程序。 Adobe

Reader

8.2.3和9.3.3版本，

以及Acrobat 9.3.3版本中的CoolType.dll存在整数溢出漏

洞。远程攻击者可以借助一个最大值配置表中的具有超大

maxCompositePoints值的TrueType字体来执行任意代码。

Nokia手机病毒传播事件

8月13日，芬兰某网络安全组织向CNCERT通报了其发现的涉及

国内用户的手机病毒传播事件。攻击者向用户发送含有恶意链接地址

的短信或彩信，诱使Nokia智能手机用户下载伪装为软件更新包的恶意

软件。该恶意软件安装到用户手机上后，会在用户不知情的情况下向

其他人发送短信并启动网络连接，同时清除手机上的相关日志记录。

网上出现新型“钓鱼式木马”

网络钓鱼近日再出新招。如果最近你在网购时，莫名接收到卖家

发来的用户问卷调研，就需要格外小心，因为有可能这份用户调研会

出其不意卷走你的网购钱财。一些受害者所收到的用户问卷文件实际

是木马病毒，其篡改了网银付款设置，导致用户的网银充值实际上支

付到了其他支付平台上（即不法分子的账户里）。

手机黑色产业链正形成，年底前病毒将超2000个

据咨询公司沙利文日前发布2010年上半年《中国手机安全市场白

皮书》显示，截至目前，国内被截获的手机病毒和恶意软件数量已

超过1600个，并呈加速增长趋势，到2010年年底将超过2000个。手机

“黑色产业链”已经形成并逐步扩大，通过山寨机内置恶意软件或传

播手机病毒进行“吸费”行为的黑色产业链，年收入可达10亿元。报

告称，2014年中国将成为全球最大的手机安全市场。

2万人次下载假魔兽客户端中毒

8月24日，金山毒霸云安全实验室截获多组提供《魔兽世界：巫妖

王之怒》客户端下载为名的恶意欺诈网址，木马利用“魔兽世界巫妖

王之怒”、“巫妖王之怒补丁”、“巫妖王之怒客户端”等关键词进

行传播，提供欺诈链接骗取用户点击与下载木马程序。目前，已有近2

万人次遭遇下载欺诈和病毒困扰。

八月重要漏洞实例

威胁与风险（八月）

123

1 Apache CXF

XML文档类型声明处理漏洞（CNNVD-201008-188）

Apache CXF是一个开源服务框架，用于使用JAX-

WS、JAX-RS等前端编程API编译和开发服务。Apache

CXF没有正确限制XML文档类型声明(DTD)的处理，攻击

者可以利用漏洞判断文件是否存在或包含本地文件内容，

如果攻击者提供大量嵌套的DTD可消耗大量CPU和内存，

造成拒绝服务攻击。

8/中国信息安全/2010.09

2010.09/中国信息安全/ 9网络预警Cybersecurity Awareness 1 “U盘杀手”（Worm_Autorun）及变种 该病毒是一个利用U盘等移动设备进行传播的蠕虫。autorun.inf文件一般存在于U盘、MP3、移动硬盘和硬盘各个分区的根目录下，当用户双击U盘等设备的时候，该文件就会利用Windows系统的自动播放功能优先运行autorun.inf文件，而该文件就会立即执行所要加载的病毒程序，从而破坏用户计算机，使用户计算机遭受损失。

2 “代理木马”(Trojan_Agent)及变种

它是一个木马家族，有很多的变种。“代理木马”及变种运行

后，会在临时文件夹下释放病毒文件，修改注册表，实现其开机自动运行。迫使系统连接指定的服务器，在被感染计算机上下载其它病毒、木马等恶意程序。

3 “木马下载者”(Trojan_Downloader)及变种

该木马通过网联网或是网页挂马的方式进行传播感染,并且它会

自动连接互联网络中的指定服务器，下载大量病毒、木马等恶意程序，导致计算机用户系统中的重要数据信息失窃密。

4 “灰鸽子”（Backdoor_GreyPigeon）及变种

“灰鸽子”一般分为两部分：客户端和服务端。恶意攻击者操

纵着客户端，利用客户端配置生成一个服务端程序。随后，恶意攻击者会通过各种诱骗方式来传播木马程序（俗称种木马或者开后

门），即将服务端程序放置到受感染的计算机系统中。5 Hack_Kido及变种

利用微软 MS08-067 漏洞发起攻击的黑客程序。该程序会启动攻击线程开始发起攻击。攻击线程会随机生成IP地址，并试图对该IP地址发起攻击。感染后，其会关闭系统自动更新、安全中心、WinDefend等服务，并通过删除相关注册表项使“安全中心”和

“WinDefend”不再可用。被感染的系统还会出现无法访问微软和

一些安全软件站点的情况。

本栏目相关数据内容，根据中国国家信息安全漏洞库（CNNVD）、国家互联网应急中心（CNCERT）和国家计算机病毒应急处理中心的实时抽样监测数据整理。

本月我国境内被僵尸网络控制的主机IP地址数目约为28024

个。28024本月我国境内被木马控制的主机IP地址数目约为820000个。820000本月对我国使用的主流操作系统和常用应用程序影响比较严重的漏洞(漏洞

详细信息及修复措施见中国国家信息安全漏洞库)3 Microsoft Windows 服务隔离功能本地权限提升漏洞（CNNVD-201008-145）W i n d o

w

s 的服务隔离功能中存在安全漏洞，拥有NetworkService权限的进程可以获得LocalSystem权限。攻击者成功利用这个漏洞可以控制IIS服务器上的Web内容或拥有SQL Server管理权限。

5 FreeType2CFF字体解析基于栈的缓冲区溢出漏洞（CNNVD-201008-143）

FreeType是一个流行的字体函数库。FreeType字体渲染引擎处理部分CFF操作码存在栈溢出漏洞，远程攻击者可以利用此漏洞构建特制的字体文件，如果用户加载了该文件，就会导致应用程序崩溃或以当前用户的权限执行任意代码。使用FreeType库的应用程序受此漏洞影响，如Apple iOS和Foxit Reader。4 Microsoft Windows SMB 池溢出远程代码执行漏洞（CNNVD-201008-114）

Microsoft SMB协议软件在验证某些SMB字段时存在SMB池溢出漏洞，远程攻击者可以通过向运行Server服务的系统发送特制的SMB_COM_TRANSACTION2请求导致执行任意代码。45