常言道卡巴斯基实验室发现Silverlight零日漏洞

1

安全通报卡巴斯基实验室发现Silverlight零日漏洞

Silverlight中文名为“微软银光”，是由微软公司开发的一种新的Web呈现技术，借助该技术，您将拥有内容丰富、视觉效果绚丽的交互式体验。支持来自全球的数百万PC用户在不同的操作系统上安装操作，框架内的安全漏洞被报道的现象并不常见，但是，这些漏洞可能是具有灾难性的。网络安全公司卡巴斯基表示，该漏洞将允许攻击者获取进入到受感染计算机的权限并执行恶意代码窃取秘密情报，并且可以随他们的意志实施监视，并造成大规模的破坏。针对CVE-2016-0034漏洞，微软已经发布了最新的补丁，2016年微软Windows用户必须尽快去更新他们的系统了。

2

安全预警某广电网络站点存在SQL漏洞

近日，国内知名信息安全预报站点通告某广电网络对外网站存在页面SQL注入的漏洞，该漏洞主要威胁为泄露：领票、ID\IP、专场记录等信息。其主要注入点为：http://api.csztv.cn/wx/tp/index/6?name=&per_page********** http://b.csztv.cn/qa/lookResult/2014092****512，目前该注入点还未做相应防护处理。其被注入证明如下：

3

应用安全Apache Directory Studio 命令注入漏洞

Apache Directory Studio是美国阿帕奇（Apache）软件基金会所研发的一套用来连接到任何LDAP服务器并进行管理和开发的LDAP工具平台。

Apache Directory Studio 0.6.0版本至0.8.1版本和1.0.0版本至2.0.0-M9版本中存在命令注入漏洞，该漏洞源于程序没有充分过滤用户提交的输入。攻击者可利用该漏洞在受影响应用程序上下文中执行任意命令。

目前厂商已经发布了升级补丁以修复此安全问题，详情请关注厂商主页：https://directory.apache.org/studio/

4

安全建议广电网络安全物理隔离技术介绍

物理隔离就是彻底开内外网之间的网络链接，采用电子开关和数据缓存池分时导通的原理，保证在任意时刻，内外网都是断开的，物理隔离技术的原理如图。

其核心部分由三个单元组成：一个是外网处理单元，一个是内网处理单元、另外一个是中间数据硬件交换部件，即隔离交换开关(数据缓冲池)。当数据需要从外向内传递时，外端机基于应用代理服务的模式终止网络协议，解析应用数据，并对数据进行安全处理，安全处理后的数据被隔离开关以专用封装格式摆渡到内端机。内端机采用用于代理客户端的方式将应用数据封装为TCP/IP格式，路由到目的地；

如图所示：当B端和C端连通时，数据从B端传给C端；当C端和A端连通时，数据从B端传给C端；当C端和A端连通时，数据再从C端传给A端，间接实现了数据从B端到A端的传输，反之亦然。交换区C端通过高速电子开关，实现内外网之间的数据交换，内网与外网之间没有物理连接，依靠隔离开关摆渡传输数据。通过电子开关的正向和反向的移动，分时实现了数据的导入和输出。从而实现了内外网数据同步交换和物理网络的彻底断开。物理隔离的思路是先堵上，根据：“城内”的需要，再开一些小门，与防火墙先打开大门，再对不希望的人，逐个禁止的思路刚好相反。