伊人久久综合视频,欧美图片奸一区二区三区,囯成人欧美,欧美久久宗合

　近期，校內(nèi)釣魚郵件攻擊數(shù)量仍呈高發(fā)態(tài)勢(shì)，并具有很強(qiáng)的針對(duì)性。被盜取的內(nèi)部賬號(hào)多數(shù)是攻擊者通過暴力破解得到的弱口令賬號(hào)，這類賬號(hào)的密碼雖然符合系統(tǒng)的密碼強(qiáng)度要求（如大于8位、包含大小寫字母、特殊字符和數(shù)字），但依然屬于廣義上的弱密碼（例如密碼是學(xué)校名稱@數(shù)字），在針對(duì)性攻擊下很容易被破解，雖然目前大多數(shù)郵件系統(tǒng)針對(duì)暴力破解攻擊都有相應(yīng)的限制規(guī)則，但由于攻擊者使用了分布式IP和慢速連接規(guī)避限制規(guī)則，也對(duì)郵件系統(tǒng)的運(yùn)維提出更高的安全要求。

2025年3月-4月CCERT安全投訴事件統(tǒng)計(jì)

　　近期新增嚴(yán)重漏洞評(píng)述

　　01

　　微軟2025年4月的例行安全更新共包含微軟產(chǎn)品的安全漏洞125個(gè)，按等級(jí)分為11個(gè)高危、112個(gè)重要和2個(gè)低危。按照漏洞類型分為權(quán)限提升漏洞49個(gè)、遠(yuǎn)程代碼執(zhí)行漏洞33個(gè)、身份假冒漏洞3個(gè)、信息泄露漏洞17個(gè)、拒絕服務(wù)漏洞14個(gè)、安全功能繞過9個(gè)。這些漏洞中需要特別關(guān)注的是：

　　Windows通用日志文件系統(tǒng)驅(qū)動(dòng)程序權(quán)限提升漏洞（CVE-2025-29824）。通用日志的驅(qū)動(dòng)程序中存在一個(gè)權(quán)限提升漏洞，允許普通用戶以SYSTEM用戶的權(quán)限來執(zhí)行任意命令。該漏洞已經(jīng)存在在野的攻擊。

　　Windows遠(yuǎn)程桌面服務(wù)遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2025-27482）。Windows系統(tǒng)的遠(yuǎn)程桌面服務(wù)存在一個(gè)安全漏洞，允許攻擊者通過連接到具有遠(yuǎn)程桌面網(wǎng)關(guān)角色的系統(tǒng)，觸發(fā)競(jìng)爭(zhēng)條件，利用UAF漏洞執(zhí)行任意代碼。

　　Windows輕量級(jí)目錄訪問協(xié)議（LDAP）遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2025-26663）。LDAP服務(wù)中存在一個(gè)UAF內(nèi)存釋放錯(cuò)誤漏洞，攻擊者利用該漏洞可以在無用戶交互的情況下遠(yuǎn)程執(zhí)行任意代碼。

　　Windows TCP/IP遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2025-26686）。Windows系統(tǒng)中TCP/IP協(xié)議棧實(shí)現(xiàn)過程中存在一個(gè)安全漏洞，當(dāng)用戶發(fā)起DHCPv6請(qǐng)求時(shí)，攻擊者可以發(fā)送精心構(gòu)造的帶有IPv6地址的DHCPv6響應(yīng)包來利用該漏洞，成功利用漏洞可以在用戶的系統(tǒng)上執(zhí)行任意代碼。

　　02

　　佳能打印機(jī)驅(qū)動(dòng)程序代碼執(zhí)行漏洞（CVE-2025-1268）。佳能的打印機(jī)驅(qū)動(dòng)程序中被發(fā)現(xiàn)存在一個(gè)嚴(yán)重的代碼執(zhí)行漏洞，涉及的驅(qū)動(dòng)版本包括Generic Plus PCL6、UFR II、LIPS4、LIPSLX和PS驅(qū)動(dòng)的版本V3.12及更早版本。目前廠商已經(jīng)在最新的驅(qū)動(dòng)程序中修補(bǔ)了相關(guān)漏洞，建議用戶盡快進(jìn)行升級(jí)。

　　03

　　WinRAR安全機(jī)制繞過漏洞（CVE-2025-31334）。WinRAR 7.11之前的版本中存在一個(gè)安全漏洞，可以繞過Windows系統(tǒng)自帶的Mark of Web（MoTW）安全機(jī)制。目前廠商已在7.11之后的版本中修補(bǔ)了該漏洞，建議用戶盡快升級(jí)。

　　04

　　Chrome瀏覽器136版本修補(bǔ)了之前版本中一直存在的瀏覽器訪問歷史泄露漏洞。新的Chrome里將鏈接訪問記錄與三個(gè)關(guān)鍵信息綁定——鏈接URL、頂級(jí)域名（地址欄域名）及框架來源，以此來阻止跨站點(diǎn)的歷史訪問信息泄露。同時(shí)瀏覽器允許同域名下的網(wǎng)站通過顏色來顯示用戶訪問的歷史鏈接信息，保證用戶的使用體驗(yàn)。

　　05

　　Redis數(shù)據(jù)庫(kù)拒絕服務(wù)漏洞（CVE-2025-21605）。Redis 7.4.3之前的版本中存在一個(gè)拒絕服務(wù)漏洞，允許攻擊者通過網(wǎng)絡(luò)發(fā)送特定的數(shù)據(jù)包來觸發(fā)漏洞，這可能導(dǎo)致內(nèi)存耗盡從而使得Redis進(jìn)程崩潰，進(jìn)而影響依托Redis服務(wù)的其他核心服務(wù)。廠商目前已經(jīng)在7.4.3版本中修補(bǔ)了相關(guān)漏洞，建議Redis的管理員盡快升級(jí)。

　　安全提示

　　為防范頻發(fā)的釣魚郵件攻擊，可進(jìn)行如下操作。

　　一、若服務(wù)器支持，建議啟用多因子認(rèn)證及客戶端專用密碼機(jī)制。

　　二、在郵件系統(tǒng)中為郵件賬號(hào)設(shè)置強(qiáng)密碼規(guī)范要求（包括位數(shù)要求、復(fù)雜度要求及禁用字符串等），并定期對(duì)用戶賬號(hào)、密碼進(jìn)行弱密碼探測(cè)。

　　三、設(shè)置嚴(yán)格的密碼錯(cuò)誤次數(shù)并自動(dòng)對(duì)超過測(cè)試次數(shù)的IP進(jìn)行臨時(shí)封禁操作。

　　四、為郵件系統(tǒng)設(shè)置有效的反垃圾郵件網(wǎng)關(guān)，并實(shí)時(shí)更新規(guī)則。

　　五、在郵件系統(tǒng)上建立監(jiān)測(cè)預(yù)警機(jī)制，發(fā)現(xiàn)釣魚郵件攻擊及時(shí)響應(yīng)，向用戶發(fā)送告警信息并采取緩解措施（如封禁相關(guān)的釣魚網(wǎng)站鏈接）來降低風(fēng)險(xiǎn)。

　　六、設(shè)定特定事務(wù)的專用郵件發(fā)送賬號(hào)，并告知用戶相關(guān)信息只會(huì)從該賬號(hào)發(fā)出。

　　七、定期對(duì)用戶開展釣魚郵件有關(guān)的安全培訓(xùn)，增強(qiáng)用戶防騙意識(shí)。

　　來源：《中國(guó)教育網(wǎng)絡(luò)》2025年4月刊

　　作者：鄭先偉（中國(guó)教育和科研計(jì)算機(jī)網(wǎng)應(yīng)急響應(yīng)組）

　　責(zé)編：陳茜