因为多个漏洞众测平台因法律原因被关闭，使得被通报出来的网站漏洞数量大幅减少。

　　8月没有新增影响比较严重的木马蠕虫病毒。

　　8月需要关注的漏洞有如下这些：

　　1.微软发布了8月的例行安全公告，本次公告共9个，其中5个为严重等级，4个为重要等级。这些公告共修补了Windows系统、IE浏览器、Office软件、EDGE及微软软件中的27个安全漏洞。建议用户尽快使用系统的自动更新功能更新相关的系统及程序。公告的详细信息：https://technet.microsoft.com/zh-cn/library/security/ms16-jul.aspx。

　　另一个需要关注的是微软在8月下旬向Win10的正式用户推送了一个一周年累计更新包（KB3176934补丁），这个补丁包在随后被证实存在缺陷，由于缺少一个MOF文件，补丁KB3176932破坏了PowerShell的DSC功能。DSC功能是微软此前为PowerShell加入的重要特性，能够帮助开发者和系统管理员对基于Windows的服务器进行验证和管理。想要恢复正常需要用户手工卸载掉该补丁。微软承诺会在8月的最后一天发布修补好的补丁更新。

　　2.Zabbix是一款开源的分布式系统监控及网络性能监控的软件，它提供了友好的Web界面让用户能够时时查看被监控系统及设备的状态，Zabbix在高校内的使用率很高。最近Zabbix被发现存在一个严重的SQL注入漏洞，起因由于Zabbix默认开启了guest权限，且默认密码为空，导致Zabbix的jsrpc中profileIdx2参数存在insert方式的SQL注入漏洞。攻击者利用漏洞无需登录即可获取网站数据库管理员权限，或通过script等功能直接获取Zabbix服务器的操作系权限。该漏洞影响大部分的早期版本，目前官方已经在最新的版本中修复了这个漏洞，使用了Zabbix的管理员应该尽快升级自己的Zabbix版本到最新，如果不能及时升级，可以临时在系统中禁用guest账号的使用。

　　3.苹果公司在8月26日紧急向用户推送了IOS的最新版本9.3.5，用于修补之前版本中存在的3个高危漏洞，这三个漏洞被称为“三叉戟”漏洞，综合利用这三个漏洞，攻击者只需向用户的苹果手机发送一条文本链接，用户点击后就会导致手机完全被黑客控制。这三个漏洞均属于0day漏洞，之前被用来进行间谍软件攻击，此次漏洞的攻击代码被公布出来，可能引发大规模的攻击行为。建议所有的苹果手机用户均需要把系统更新为9.3.5以上版本，并提供安全意识，不去点击信息中来历不明的链接。

（作者单位为中国教育和科研计算机网应急响应组）

— —      END    — —