2017年Windows漏洞盘点报告(2)

还有内存未初始化漏洞的利用也与之类似，内存未初始化漏洞是指分配一块内存后未经初始化就直接进行使用，我们为了控制未初始化对象的内容会先释放一些与之相同大小的已布置好内容的内存，然后让未初始化对象来重用我们的内存。在glibc中，当进程所需要的内存较小时，该内存会从进程的堆中分配，但是堆分配出来的内存空间，系统一般不会回收，只有当进程的堆大小到达最大限额时或者没有足够连续大小的空间来为进程继续分配所需内存时，才会回收不用的堆内存。java程序员都知道如果一个对象没有任何引用了，那么这个对象在gc的时候就被回收了，这就是我们常见的强引用，这种方式过于简单直接，对于一些特殊的java对象，如缓存数据在内存紧张时自动释放掉空间防止oom、直接内存对象回收之前需自动释放掉其占用的堆外内存，当socket对象被回收之前关闭连接，当文件流对象被回收之前自动关闭打开的文件等操作，为了实现这些特殊需求，java还引入了除了强引以外的引用类型来辅助对象回收操作 或 控制对象的生存周期。

CVE-2017-0262是一个EPS的类型混淆漏洞，由forall操作符引发的，它可以改变执行流程，允许攻击者控制栈上的值。攻击者继而利用了两个数组对象，实现了EPSIMP32.FLT的基址泄漏和任意地址读写。

这两个漏洞最终都实现了在FLTLDR.EXE进程中执行任意代码，但它是一个沙箱进程，权限很低，所以攻击者还需要利用内核提权漏洞来实现沙箱逃逸，获取到系统的最高控制权。

强大智能的漏洞修复工具，全面修复微软系统漏洞和第三方软件漏洞，它的漏洞修复提示的补丁漏洞是经过的工作人员筛选的，模拟国内用户环境严格测试的，是符合用户需求的部分，过滤了部分微软提供，但用户实际不需要补丁，例如正版校验补丁等，请相信电脑管家的判断，修复我们提示的高危漏洞，全方位保护您电脑的安全。此前，在微软ie极光漏洞、windows暴雷漏洞等多个高危0day漏洞爆发时，360安全卫士都曾推出漏洞防御解决方案，在微软官方补丁发布前有效保护了用户上网安全，并多次入选微软mapp（主动防御计划）快速响应0day漏洞的安全厂商名单。据统计，此前360已18次为微软0day漏洞提供临时补丁防护措施，并11次全球率先报告漏洞而获得微软官方致谢，这两项数据在国内pc安全厂商中均遥遥领先。

3.5、 LNK漏洞（CVE-2017-8464）

2017年6 月13日，微软在其官方网站发布紧急公告，曝光了LNK文件的远程代码执行漏洞——CVE-2017-8464（LNK文件(快捷方式)远程代码执行漏洞），攻击者可以通过U盘、文件共享、邮件等方式将恶意LNK和对应的恶意二进制文件传播给用户，以触发漏洞或执行相应的恶意二进制文件，最终获取电脑控制权限。

tiff漏洞tiff图像文件格式是个漏洞百出的格式，不管在psp上，还是在ps上，甚至在iphone上都频繁出现，windows，linux，苹果的mac操作系统也曾经出现过tiff漏洞，远程攻击者可能利用此漏洞通过诱使用户打开恶意文档控制用户系统，微软也在这个漏洞上摔过几次，sony更是在这种格式上吃了不少亏，相信有ps3的同学都知道ps3防破解如此完美但还是出现了tiff漏洞，甚至传出可用tiff漏洞运行ps2游戏的传闻（虽然最后证明是假的），但毕竟这也是方向之一，ps2也出现了tiff漏洞，并被用来升级固件，以前的psp也出现过tiff漏洞，并且被利用过一次，相关信息请看ps。两周前我们曾经预警过一个samba远程代码执行漏洞，这款漏洞能够影响影响7年前的samba版本，黑客可以利用漏洞进行远程代码执行。本周，上述产品被披露存在多个安全漏洞，攻击者利用漏洞可构建恶意web页，诱使用户解析，执行任意代码或发起拒绝服务攻击。

11月22日，哈勃分析系统捕获到多个利用漏洞执行恶意功能的样本，其伪装成正常的rtf文档，用户双击打开之后就会自动从恶意服务器下载并执行木马。2月17日，国内著名的漏洞报告平台“乌云”发布紧急预警称，淘宝和支付宝认证被爆存在安全缺陷，黑客可以简单利用该漏洞登录他人淘宝或支付宝账号进行操作，目前不清楚是否影响余额宝等业务。利用该漏洞，黑客可以构造恶意挂马网页，或是将漏洞攻击代码直接植入到一些安全性不高的网站页面中，比如某些中小型的小说站、游戏站等，使浏览网页的网友电脑自动下载运行木马程序，造成重要帐号被盗，、麦克风等重要设备被黑客监视的严重后果。

3.6、 一个换行符引发的.NET Framework 漏洞（CVE-2017-8759）

CVE-2017-8759本质上是一个.Net Framework漏洞，在.net库中的SOAP WSDL解析模块IsValidUrl函数没有正确处理包含回车换行符的情况，导致调用者函数PrintClientProxy存在代码注入执行漏。这个漏洞影响所有主流的.NET Framework版本。现在主流的windows 7、windows 10等操作系统中都默认安装了.NET Framework，任何使用SOAP服务的软件都能通过.NET Framework触发，当然它也可以集成到Office文档中，用户只要双击打开Office文档，无需其他操作，即可触发该漏洞，实现任意代码执行。

微软在9月份的补丁中修改了WsdlParser.IsValidUrl()函数，它循环遍历location中指定的每一个字符，对于换行符这样的特殊符号，不会输出它，对于不是数字也不是字母的字符，打印成\u****十六进制形式输出。这样就有效避免了最终生成的代码中出现换行符的情况，也确保了注释符//能注释掉location中指定的内容。

另外6个漏洞的编码分别为：cve-2017-14491，cve-2017-14492，cve-2017-14494，cve-2017-14495，cve-2017-14496和cve-2017-13704，建议大家随时关注系统更新。·变种1 (v1) spectre: 绕过边界检查 (cve-2017-5753)。·变种2 (v2) spectre: 分支预测注入 (cve-2017-5715)。

2018年1月4日，国外安全研究机构公布了两组CPU漏洞：

Meltdown（熔断），对应漏洞CVE-2017-5754

Spectre（幽灵），对应漏洞CVE-2017-5753/CVE-2017-5715

利用Meltdown漏洞，低权限用户可以访问内核的内容，获取本地操作系统底层的信息；利用Spectre漏洞， 当用户通过浏览器访问了包含恶意利用的网站时，帐号、密码、邮箱等个人隐私信息可能会被泄漏。

漏洞源于CPU厂商为了提高CPU性能而引入的新特性。不管是台式机、笔记本电脑、云服务器以及智能手机等硬件产品，还是Windows、Linux、Mac OS、IOS、Android等操作系统，都受到这两个CPU漏洞的影响。

北京时间5月2日，微软官网紧急发布了用于修复ie“秘狐”高危漏洞的补丁，随即各安全厂商在第一时间向用户推送该安全补丁。最近不少网友反馈，安装微软4月补丁后电脑蓝屏，蓝屏提示信息是0x0000006b。不少用户反馈安装微软4月补丁后电脑蓝屏，蓝屏提示信息是0x0000006b。

四、 漏洞攻击的防护

4.1、 及时修复系统环境中存在的安全漏洞

防范漏洞攻击最直接有效的方法就是修复系统环境中存在的安全漏洞。

4.2、 保持腾讯电脑管家等安全软件的正常开启

正常开启腾讯电脑管家等安全软件，可以有效拦截利用漏洞触发传播的病毒，有效弥补漏洞修复的不足。

另外，腾讯电脑管家针对无法安装补丁的Office用户，推出独有的“女娲石”防御技术，为漏洞利用攻击树立坚固的技术壁垒。

4.3、 培养良好的计算机使用习惯

a) 提高计算机网络安全意识

b) 不要轻易下载不明软件程序

c) 不要轻易打开不明邮件夹带的可疑附件

d) 及时备份重要的数据文件

五、 总结和展望

2017年随着各类型高危漏洞的曝光，由漏洞攻击引起的数字加密货币勒索事件和APT攻击事件层出不穷，漏洞威胁全球化态势蔓延。可以预测，2018年高危漏洞或将呈现持续增长态势，由漏洞引发的各种威胁风险也将持续增加，网络安全形势仍然严峻：

5.1、 Office漏洞持续发酵

5.2、 漏洞利用将成为数字加密货币木马的重要传播途径

2017年数字加密货币引发了勒索、盗窃、非法挖矿等网络安全威胁热潮。随着数字加密货币价格持续上涨，2018年由数字加密货币而起的活动或将呈现高发态势，网络安全形势不容乐观。

a) 漏洞利用、外挂程序、网页挂马、弱口令等都是挖矿木马的主要传播途径。其中漏洞利用因其传播速度快、影响面广，仍然会是获取数字加密货币的重要手段。

着比特币的疯狂，各种各样的加密数字货币不断的涌现，挖矿的矿工们也越来越多，甚至出现了盗用用户电脑等设备进行挖矿的病毒木马，加密数字货币的疯狂还在继续。进入2017年，数字加密货币交易平台被攻击的新闻更是屡见不鲜，例如韩国youbit数字加密货币交易平台今年就曾遭到两次攻击，而最近的一次就是日本coincheck的被盗事件。而获取这些数字货币，则需要耗费一定资源去计算，这个过程称作为“挖矿”，使用的电脑则被称为“矿工”，一些黑客往往通过一些网站上挂木马让用户的电脑成为“矿工”，为黑客自身谋取私利。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-96055-2.html