当前位置:首页  网络服务  病毒报警
第十二周安全通告
发布人:系统管理员  发布时间:2015-05-18   浏览次数:17


总体情况

1.1 本周漏洞情况

本周统计CVE漏洞数143个,其中高危漏洞76个,中危漏洞59个,低危漏洞8个。漏洞数与前一周环比上升308.6%,与去年同期同比上升5.9%

本周主要记录了MicroSoft五月安全公告公布的编号为MS15-043MS15-055的十三个安全通报披露的45个安全漏洞,主要涉及到IEWindows ServerOfficeSharePointdot Net等多个产品;也记录了Adobe五月安全公告公布的两个安全通报披露的49个安全漏洞,涉及到Acrobat Reader Flash Player两个产品;

另外也跟踪了IBM、联想电脑、F5FortinetTrendMicro等企业的产品的多个漏洞

欲了解更加详细信息请跟阿尔法实验室联系。电话:82776690,电邮:ad_dep@topsec.com.cn;

1.2  本周恶意域名与地址跟踪情况

本次统计期恶意地址数量在前一周出现了上升的态势后继续上升,整体图形上出现了向上突破的形态;

根据分析单个IP地址对应的恶意域名数量前10位列表的结果,发现前一段时间爆发的恶意域名事件涉及的IP地址已经从大陆迁移到了海外以逃避控制和监管;

在本统计期的大陆的恶意地址数量地理分布排名列表中,北京、江苏、广东、浙江、河南位居前五,跟前一周相比,河南取代山东再次进入前五;

在本统计期的海外的恶意地址数量地理分布排名列表中,美国、荷兰、香港、韩国、德国位居前五,跟前一周相比位置不变;

详情参见恶意域名与地址跟踪

1.3  下周安全预警等级

中度

安全漏洞

2.1 漏洞统计

本周统计CVE漏洞数143个,其中高危漏洞76个,中危漏洞59个,低危漏洞8个。漏洞数与前一周环比上升308.6%,与去年同期同比上升5.9%

最近四周漏洞数量示意图:

/_upload/article/images/e2/d2/43a062324e0fada11d6f2d353a21/12e78651-cb44-41a6-be93-015609d844d2.jpg

2.2 漏洞预警

2.2.1 微软 Internet Explorer 拒绝服务漏洞

标题

微软   Internet Explorer 拒绝服务漏洞

发布日期

2015/5/13

更新日期

2015/5/13

危险等级

高危

受影响系统

微软   Internet Explorer 6  11 

详情描述

CVE编号:  CVE-2015-1710
   Bugraq ID

      微软 Internet Explorer
是美国MicroSoft(微软)企业推出的并与Windows操作系统捆绑在一起的流行的Web浏览器。微软 Internet Explorer 6  11  存在拒绝服务漏洞,允许远程攻击者通过精心编制的网站实行任意代码或导致拒绝服务。
以下是原始漏洞信息链接
   http://technet.microsoft.com/security/bulletin/MS15-043

  

解决方案

  

厂商补丁
   微软
   ---------
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:http://technet.microsoft.com/security/bulletin/MS15-043

2.2.2 微软 .NET Framework 任意代码实行漏洞

标题

微软   .NET Framework 任意代码实行漏洞

发布日期

2015/5/13

更新日期

2015/5/13

危险等级

高危

受影响系统

微软   .NET Framework 1.1 SP1, 2.0 SP2, 3.5, 3.5.1, 4, 4.5, 4.5.1,4.5.2      

详情描述

CVE编号:  CVE-2015-1673
   Bugraq ID
74487
      微软 .NET Framework
是一个流行的App开发工具包。微软   .NET Framework 1.1 SP1, 2.0 SP2, 3.5, 3.5.1, 4, 4.5, 4.5.1,4.5.2  存在任意代码实行漏洞,允许用户辅助的远程攻击者通过精心编制的部分信任应用程序实行任意代码。
以下是原始漏洞信息链接
   http://technet.microsoft.com/security/bulletin/MS15-048

  

解决方案

厂商补丁
   微软
   ---------
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:http://technet.microsoft.com/security/bulletin/MS15-048

2.2.3 Adobe Flash Player& Compiler 17.0.0.172任意代码实行漏洞

标题

Adobe   Flash Player& Compiler 17.0.0.172  任意代码实行漏洞

发布日期

2015/5/13

更新日期

2015/5/13

危险等级

高危

受影响系统

Adobe   Flash Player 13.0.0.289 之前的版本 14.x  17.0.0.188之前的 17.x版本 on Windows OS X 11.2.202.460 之前的版本 on Linux, Adobe AIR 17.0.0.172, 之前的版本 Adobe AIR SDK 17.0.0.172,Adobe 之前的版本 AIR SDK & Compiler 17.0.0.172之前的版本

详情描述

CVE编号:  CVE-2015-3084
   Bugraq ID

      Adobe Flash Player& Compiler
是美国奥多比(Adobe)企业的一个集成的多媒体播放器,短小精悍,能够在各种浏览器、操作系统和移动设备上使用,功能强大,兼容性高。Adobe Flash Player 13.0.0.289 之前的版本 14.x  17.0.0.188 之前的 17.x版本 on Windows OS X 11.2.202.460 之前的版本 on Linux, Adobe AIR 17.0.0.172, 之前的版本 Adobe AIR SDK 17.0.0.172,Adobe 之前的版本 AIR SDK & Compiler 17.0.0.172 之前的版本存在任意代码实行漏洞,允许攻击者通过利用未指定类型的混乱实行任意代码。
以下是原始漏洞信息链接
   https://helpx.adobe.com/security/products/flash-player/apsb15-09.html

  

解决方案

  

厂商补丁
   Adobe
   ---------
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:https://helpx.adobe.com/security/products/flash-player/apsb15-09.html

2.2.4 Adobe Acrobat Reader 释放后重用漏洞

标题

Adobe   Acrobat Reader 释放后重用漏洞

发布日期

2015/5/13

更新日期

2015/5/13

危险等级

高危

受影响系统

Adobe   Acrobat Reader 10.1.14 之前的 10.x版本 11.0.11 之前的11.x版本 on Windows OS X  

详情描述

CVE编号:  CVE-2015-3055
   Bugraq ID

      Adobe Acrobat Reader
是美国Adobe企业开发的非常流行的一款优秀的PDF文档阅读App。Adobe Acrobat Reader 10.1.14 之前的10.x版本 11.0.11 之前的 11.x版本 on Windows OS X  存在释放后重用漏洞,允许攻击者通过未指定向量实行任意代码,与 CVE-2015-3053   CVE-2015-3054 CVE-2015-3059不同的另外一个漏洞。
以下是原始漏洞信息链接
   https://helpx.adobe.com/security/products/reader/apsb15-10.html

  

解决方案

  

厂商补丁
   Adobe
   ---------
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:https://helpx.adobe.com/security/products/reader/apsb15-10.html

 2.2.5 Lenovo System Update 权限提升漏洞

标题

Lenovo   System Update 权限提升漏洞

发布日期

2015/5/12

更新日期

2015/5/12

危险等级

高危

受影响系统

Lenovo   System Update 5.06.0034 之前的版本

详情描述

CVE编号:  CVE-2015-2219
   Bugraq ID

      Lenovo System Update
是中国联想(Lenovo)企业的一款系统更新工具,可以定期提供系统和App更新。Lenovo System Update 5.06.0034 之前的版本 存在权限提升漏洞,允许本地用户通过将一个合法的令牌与命令发送到系统更新服务通过未指定的命名管道获得权限。
以下是原始漏洞信息链接
   http://securitytracker.com/id/1032268

  

解决方案

  

厂商补丁
   Lenovo
   ---------
目前没有详细的解决方案,请到厂商的主页下载:http://www.lenovo.com

  

恶意域名与地址跟踪

3.1 总体情况

本期从国家权威部门获取的恶意域名数是22个,同时重新整理前期输入的恶意域名,将长期不再有效的恶意域名剔除,得出目前最新的恶意域名数是13159个,将这些域名进行例行的IP地址解析,本周的验证结果如下:

根据分析单个IP地址对应的恶意域名数量前10位列表的结果,发现前一段时间爆发的恶意域名事件涉及的IP地址已经从大陆迁移到了海外以逃避控制和监管;

在大陆的恶意地址数量地理分布排名列表中,北京、江苏、广东、浙江、河南位居前五,跟前一周相比,河南取代山东再次进入前五,山东排名第六;在第七到第十的排名中,跟前一周相比没有变化;

在海外的恶意地址数量地理分布排名列表中,美国、荷兰、香港、韩国、德国位居前五,跟前一周相比位置不变;

本期全部有效地址数量是2288个,其中海外有效地址数量是1441个,大陆有效地址数量是847个,全部有效地址较上周相比增加173个,增幅达到8.18%;跟前一周相比,海外地址数量和大陆地址数量均出现较明显的上升。

本次统计期恶意地址数量在前一周出现了上升的态势后继续上升,整体图形上出现了向上突破的形态。以下是本统计期的数量趋势图。

/_upload/article/images/e2/d2/43a062324e0fada11d6f2d353a21/a1d08872-5eff-45d9-9cad-dcc607303dfb.jpg

3.2 单个IP地址对应的恶意域名数量前10位分析

3.2.1 涉及到大陆的单个IP地址对应的恶意域名数量前10 位分析

大家看到跟前一周的记录相比,前10位的地址列表中出现了变化,北京的万网志成科技有限企业的112.124.19.11已经消失,这标志着以该地址为首的一波恶意域名爆发事件开始得到了控制,不过目前还有北京市联通的111.206.120.34和天津市联通的60.28.14.125依旧存在,还需要继续关注;

而新进入前十位的地址江苏省镇江市电信的222.186.129.198,涉及到102个类似于“xxxxxx.xxxxx.pw”的恶意域名,需要严加关注;

目前在前十位列表中还有四个跟去年九月大量恶意域名爆发有关的地址,它们是一个湖北襄阳的地址,两个山西吕梁地址和一个浙江的地址,它们涉及到的恶意域名数量还是保持在高位,需要继续关注;

以下是大陆单个IP地址对应的恶意域名数量前10位地址列表: (黄色标记为新增地址)

IP地址

位置

是否属于大陆

域名数量

连续存活周期

111.177.111.83

湖北省襄阳市   电信

TRUE

1483

33

60.221.255.11

山西省吕梁地区   联通

TRUE

1451

33

111.206.120.34

北京市 联通

TRUE

1102

35

60.28.14.125

天津市 联通

TRUE

1064

39

60.221.255.10

山西省吕梁地区   联通

TRUE

1051

14

219.134.132.88

广东省深圳市   电信(龙岗/南山区)

TRUE

386

7

219.150.241.46

河南省南阳市   电信

TRUE

203

77

118.184.176.13

广西

TRUE

196

25

183.136.235.15

浙江省 电信

TRUE

183

3

222.186.129.198

江苏省镇江市   电信

TRUE

102

4

3.2.2 涉及到海外的单个IP地址对应的恶意域名数量前10位分析

大家看到跟前一周的记录相比,上周刚新增了一个韩国的112.175.243.12,再次消失,另外还消失了一个美国地址199.2.137.201;新增了两个美国地址74.82.63.228208.91.197.132

需要高度关注的是新增的美国地址74.82.63.228涉及到的恶意域名数量达到589个,这些恶意域名大部分是以“xxxxx.bjsyedu.cn”形式存在,正是前段时间以北京万网地址112.124.19.11为首的恶意域名爆发事件涉及的恶意域名,由此可以看出,这些恶意域名对应的IP地址已经转移到海外,以逃避控制和监管;

另外一个新增的地址208.91.197.132,涉及到59个恶意域名,主要跟金融诈骗有关,如“zhifubaonewws.xrjzb.com”” kuaiwanpay.xrjzb.com”等恶意域名

另外持续关注香港的IP地址如103.232.215.133 123.1.151.85依旧位

于前10位列表中。它们对应的恶意域名都是类似的“xxxx.dyjclj.com”

以下是本周海外单个IP地址对应的恶意域名数量前10位地址列表,黄色标记为新增地址。

IP地址

位置

是否属于大陆

域名数量

连续存活周期

74.82.63.228

美国

FALSE

589

2

88.198.132.3

德国

FALSE

269

87

54.235.159.97

美国 新泽西州Merck企业

FALSE

125

19

67.208.74.71

美国

FALSE

112

188

103.232.215.133

香港

FALSE

95

4

216.38.62.18

美国

FALSE

68

159

5.135.146.24

法国

FALSE

61

97

5.135.149.81

法国

FALSE

61

89

208.91.197.132

美国

FALSE

59

1

123.1.151.85

香港特别行政区

FALSE

49

4

  

3.3 大陆和海外的恶意地址地理分布情况

3.3.1 大陆恶意地址地理分布情况

在本周大陆的恶意地址地理分布排名列表中,北京、江苏、广东、浙江、河南位居前五,跟前一周相比,河南取代山东再次进入前五,山东排名第六;在第七到第十的排名中,跟前一周相比没有变化;

地区

北京

江苏

广东

浙江

河南

山东

湖南

上海

河北

福建

数量

110

101

101

86

51

40

32

32

32

24

以下是分布示意图:

  

/_upload/article/images/e2/d2/43a062324e0fada11d6f2d353a21/eade1b73-4b9c-43f7-aac7-9ddc53cd3011.jpg

3.3.2 海外恶意地址地理分布情况

在本周海外恶意地址地理分布排名列表中,美国、荷兰、香港、韩国、德国位居前五,跟前一周相比位置不变;在第六到第十的排名中,跟前一周相比巴西英国和加拿大的排名不变,而俄罗斯和法国交换了位置;

以下是排名前十的具体的数字:

地区

美国

荷兰

香港

韩国

德国

巴西

英国

法国

加拿大

俄罗斯

数量

654

200

192

102

51

23

21

18

18

11

以下是分布示意图:

/_upload/article/images/e2/d2/43a062324e0fada11d6f2d353a21/49642352-6018-4a5f-9318-909eedbc4a37.jpg

  


网络服务
XML 地图 | Sitemap 地图