【51CTO.com 獨家特稿】本周（081222至081228）安全業界放假不放松，由于本周恰逢西方的假期季度（圣誕節加新年），安全圈子里值得關注的消息不多，基本仍以攻擊和威脅方面的為主。微軟SQL數據庫爆出安全漏洞，目前尚無補丁但已有如何攻擊漏洞的介紹；節日禮物不安全，內藏惡意軟件的數碼產品威脅消費者；安全技術方面，NIST正在制定的新Hash標準將開始公開測試；在本期回顧的最后，筆者將為大家帶來兩個值得一讀的推薦閱讀文章。

本周的信息安全威脅等級為低。

漏洞攻擊：微軟SQL數據庫新安全漏洞威脅巨大；關注指數：高

對微軟來說，2008年的年末顯然是一個非常忙碌的時刻，前兩周微軟才匆忙的為威脅巨大的IE7漏洞推出緊急安全補丁，本周就又有安全研究人員爆出微軟另外一個主要產品——SQL Server數據庫服務器中存在的嚴重安全漏洞。根據12月23日Securityfocus.com的消息，來自安全廠商SEC consult Vulnerability Labs的研究人員Bernhard Mueller發布一份報告稱，在微軟的SQL Server數據庫服務器產品中存在一個致命的安全漏洞，黑客可以通過攻擊SQL Server中存在數據處理缺陷的'sp_replwritetovarbin'存儲過程，在用戶的系統上以SQL Server的權限執行系統命令，并嚴重威脅所有使用SQL Server作為動態頁面數據的網站，和利用SQL Server提供數據庫服務的其他應用系統的安全。根據12月23日Darkreading.com的消息，微軟已經在自己的官方站點上發布針對該漏洞的緊急安全公告，確認該漏洞將會影響除微軟最新的SQL Server 2008之外的所有SQL Server版本。目前微軟仍未推出針對該安全漏洞的補丁，但微軟和安全廠商已經就用戶如何防御針對該漏洞的攻擊提供了一些過渡解決方案，用戶可先禁用SQL Server服務器的遠程連接功能，或通過部署應用程序防火墻等措施，防御黑客借助SQL注入技術實施針對上述漏洞的攻擊。

該安全漏洞的公開過程，也再次暴露出安全行業和軟件廠商之間缺乏足夠的溝通，該漏洞的發現者稱，早在四月份就已經通知微軟有關SQL Server存在該安全漏洞，并提供了詳細的漏洞信息，但微軟一直不聞不問，因此漏洞發現者才將該漏洞的詳細信息和攻擊方式發布到互聯網上。但安全行業也普遍質疑該漏洞發現者的行為，并認為其在該漏洞未提供補丁程序前就公開漏洞細節是相當不道德的行為，對此筆者也深以為然，畢竟未修補的漏洞及其細節一旦公開到互聯網上，對用戶造成的威脅和損失是難以估算的。筆者建議，SQL Server用戶應關注微軟對該漏洞處理的最新進展，在目前尚未有補丁程序的情況下，建議通過更新防火墻規則，刪除'sp_replwritetovarbin'存儲過程、修正Web應用程序代碼等方式，盡可能的降低乃至消除該漏洞對Web網站和系統的威脅和影響。

惡意軟件：節日禮物不安全，內藏惡意軟件的數碼產品威脅消費者；關注指數：高

近兩年來，剛出廠的消費類數碼產品包含惡意軟件已經不算是很新的新聞，不過這次事件的主角是知名的電子廠商三星倒是第一次了。根據12月24日Securityfocus.com的消息，不少用戶都反映，他們早些時候從Amazon購買的三星數碼相框，都包含了一個名為Win32.Salty的惡意軟件，該惡意軟件在六個多月前就能被市面上流行的反病毒軟件所查殺。三星電子在本月曾就其數碼相框產品感染惡意軟件發表過一個安全公告，建議用戶先使用反病毒軟件清除數碼相框上的惡意軟件，再重新安裝更新版本的數碼相框管理軟件。該事件再次暴露出消費類數碼產品在銷售前仍缺乏有效的數據安全檢測，因為早在一年多前，安全專家就曾發表過安全警告，稱帶有存儲功能的消費類數碼產品有可能成為惡意軟件傳播源，而美國銷售商Best Buy（百思買）也曾因為這個原因，今年1月將其銷售的某型號數碼相框撤下貨架。而對消費者來說，如果節假日里收到帶有內置存儲器的三星數碼相框或者別的類似產品，在使用前最好還是先用反病毒軟件來檢查下內存中的文件是否安全，要不藏有惡意軟件之類的“意外驚喜”就不好了。

安全技術：新的Hash標準將進行公開測試；關注指數：中

Hash技術是一種通過一定的加密算法，將用戶或系統的明文數據轉化成加密數據的技術，它和常見的加密算法不同的地方在于，Hash加密是單向的，只能將明文轉化為密文，而不能將密文再次轉換成明文。因此，Hash算法常用于保存密碼、校驗值等需要防止破解的敏感信息，目前最為常用的是MD5和SHA算法，而這兩種算法的早期版本MD4和SHA-1，都存在著容易被破解的缺陷。為了尋找下一代更安全的Hash算法，標準制定者美國技術標準學會（NIST）正準備舉行一次大規模的測試，根據12月22日Securityfocus.com的消息，NIST即將舉行的針對Hash算法的大規模公開測試中，將采用接近實戰攻擊的方法來找出可以取代當前Hash算法的替代標準，本次測試將組建51個不同的測試組，并對待選的標準進行攻擊嘗試和效能評估，最終沒有被攻破的候選者就是獲勝者。不過NIST也表示，因為當前使用的SHA-2標準仍沒有可實現的攻擊方法，NIST也并不急于選擇一個SHA-2 Hash標準的替代品。對Hash算法設計和攻擊方法有興趣的朋友，可以到NIST針對此次活動開設的網站去了解一下，網址如下：
  
 http://csrc.nist.gov/groups/ST/hash/sha-3/Round1/submissions_rnd1.html

推薦閱讀：

1） 2008年信息安全領域的6個關鍵詞；推薦指數：高

接近年底，總結關鍵詞成為互聯網上對2008年進行評價的最流行形式，安全業界當然也不能例外。Darkreading.com文章《2008年信息安全領域的6個關鍵詞》，就總結了2008年最具代表性的6個關鍵詞及其幕后事件，推薦朋友們閱讀一下。文章地址如下：
http://www.darkreading.com/security/management/showArticle.jhtml?articleID=212501928&subSection=Security+administration/management

2） 如何在兼并收購中保護敏感數據？推薦指數：高

兼并收購成為眾多企業度過本次經濟危機的無奈選擇，但兼并收購過程中的業務整合，往往成為敏感數據泄漏事件高發的威脅階段，如何保護敏感數據就成為兼并收購順利進行的關鍵。eWeek.com文章《如何在兼并收購中保護敏感數據》對此進行了詳細的討論，推薦相關領域的朋友們了解一下。
文章的地址如下：

http://www.eweek.com/c/a/Security/How-to-Protect-Data-during-Financial-Mergers-and-Acquisitions/?kc=rss

【51CTO.COM 獨家特稿，轉載請注明出處及作者！】