【51CTO.com 獨家特稿】本周（090223至090301）安全方面值得關注的新聞仍主要以攻擊和威脅方向的為主，繼前兩周推出一批安全更新程序后，主流軟件廠商的軟件本周仍爆出了嚴重的安全漏洞，微軟和Adobe的產品均不能幸免，而網絡廠商Cisco也發布安全公告稱，其多個產品中存在有可能被攻擊者利用的安全漏洞。

安全技術方面，Google本周開始組織的Native Client安全測試，從一個側面反映了Google對瀏覽器安全技術的研究方向，本期回顧就讓筆者和朋友們一起了解下這個新聞。

在本期回顧的最后，筆者仍為朋友們精心挑選了兩個值得一讀的推薦閱讀文章。

本周的安全威脅等級為中。黑客對主流軟件廠商產品中存在的已知漏洞進行攻擊的風險較高，筆者建議用戶關注軟件廠商的安全更新發布進度，及時從軟件廠商的升級站點上下載并安裝安全更新程序。

漏洞攻擊：

微軟和Adobe產品頻繁出現威脅嚴重的新漏洞，網絡廠商Cisco產品中也出現嚴重漏洞；關注指數：高

2009年的第一季度看起來主流軟件廠商產品的安全漏洞大爆發時期。上兩周微軟、Adobe和Apple等主流的軟件廠商才發布了為數不少的安全更新程序，許多用戶仍沒有或正計劃使用這些安全更新，本周又有多個主流軟件廠商的產品中再次爆出了威脅嚴重的新漏洞。

本周二微軟發布安全公告稱，Office Excel中目前已經確認存在一個嚴重的安全漏洞，并影響Office 2000/2003/2007和Office 2008 for Mac等多個不同的Office版本。該漏洞屬于對用戶威脅最嚴重的遠程代碼執行漏洞，如果黑客成功攻擊該漏洞，將可以在用戶系統上執行事先設置好的惡意程序，并造成進一步的破壞。

根據微軟的安全公告，目前黑客可能已經廣泛的使用該漏洞對用戶實施有針對性的攻擊，而來自多個反病毒廠商的消息也從側面確認了該漏洞的存在，Symantec稱，已經在其最新的病毒定義中增加了對該漏洞攻擊文件的特定，并命名為Trojan.Mdropper.AC。

不過微軟暫時還未能推出針對該漏洞的安全更新程序，筆者建議用戶在這段時間內不要輕易開啟來自不可信來源的Excel文件，并使用反病毒軟件掃描每一個進入自己網絡的Office文件，如果系統硬件支持，開啟系統的數據執行保護DEP選項也能在一定程度上保護用戶的系統不受此類漏洞的攻擊。

Adobe流行的PDF處理和閱讀軟件Acrobat及 Reader在本周也出現了對用戶威脅嚴重的遠程代碼執行漏洞。根據Adobe在周一發布的安全公告，該漏洞已經確認存在于Adobe Acrobat和Reader兩個產品系列中，這兩個產品在處理PDF文件中的Java Script程序時會出現內存錯誤問題，并進一步導致出現執行不可預見的行為，或執行黑客事先設置好的惡意程序，Adobe同時還確認了該漏洞存在于Acrobat和Reader 9.0及以前版本中。

安全廠商Shadowserver的研究人員稱，目前該漏洞已經被黑客用于小規模的針對性攻擊中，反病毒廠商Symantec也于當天表示，已經將針對該漏洞的攻擊文件特征添加到其病毒數據庫中，并命名為bloodhound.exploit.213。不過Adobe也表示，由于針對該漏洞的安全更新正在開發當中，最早要到3月11號才能向公眾發布，因此在這段時間內，筆者建議用戶通過禁用Acrobat和Reader的Java Script解釋功能，來防止該漏洞被黑客所攻擊，并遭受進一步的數據或隱私信息損失。

另外，Adobe在本周更新了媒體播放器軟件Flash Player，并修正了其中存在的5個安全漏洞，由于除了單獨安裝的版本外，Flash Player并不支持自動升級，筆者建議朋友們盡快登錄Adobe網站上的Flash Player安裝頁面手動更新Flash Player，防止遭受黑客通過Flash漏洞發起的惡意網站和惡意軟件攻擊。

網絡廠商Cisco本周也發布安全公告稱，確認在Cisco ACE Application Control Engine Module和Cisco ACE 4710 Application Control Engine中存在多個安全漏洞，其中三個安全漏洞的威脅等級較高，并以確認目前已經有有效的漏洞利用代碼或方式。Cisco同時發布了針對本次安全公告的安全更新程序，使用對應產品的用戶可以通過Cisco網站下載更新程序，并根據安全公告內的操作指南進行安全配置操作。
　　
安全技術：

Google開始Native Client攻擊挑戰活動；關注指數：高

Google繼推出Chrome瀏覽器和安全搜索技術之后，在瀏覽器安全領域繼續保持活躍，本周開始的Google Native Client攻擊挑戰活動，將顯示Google在瀏覽器安全技術領域達到的新水平。Google Native Client攻擊挑戰活動從本周開始，將在5月5日結束，Google還準備了5檔象征意義（8192、4096、2048和1024美元）的獎金，將頒發給挖掘出Native Client最有創意的5個漏洞的研究人員。

Native Client是Google正在進行的一個開放源代碼項目，其目標是在Web應用上運行原生的x86體系代碼，其實現原理就是通過在Web應用程序和瀏覽器之間增加一個可以運行在不同操作系統平臺上的沙箱模型，并保證原生的x86代碼能夠安全的在該沙箱模型中執行。目前Google的研究人員已經成功的在Native Client體系上執行3D射擊游戲Quake和腳本解釋語言Lua，測試的結果也表明，通過Native Client來執行的x86代碼執行速度與直接在系統中執行相差無幾。

筆者認為，如果Native Client技術發展成熟，并確認其安全性和執行效率，Native Client能夠支持的應用程序就會大量增長，甚至出現能夠運行在Native Client中的操作系統，集成Native Client技術的瀏覽器也將成為Google進入虛擬化領域的新武器，Web OS的出現也指日可待。有興趣的朋友也可以通過Native Client在Google Code站點上的頁面進一步了解它的設計和運作原理，網站地址如下：http://nativeclient.googlecode.com/
　　
推薦閱讀：

1） 如何使用雙因素驗證來消除網絡風險；推薦指數：高

網絡弱口令一直是對企業內部網絡最為嚴重的安全威脅之一，除了成為黑客滲透企業內部網絡的主要方式之外，網絡弱口令也常被各種自動化的惡意軟件用于在企業內部網絡中大肆擴散。隨著雙因素驗證技術的發展成熟和成本進一步降低，企業開始傾向于使用比傳統密碼驗證安全得多的雙因素驗證，但如何選擇最合適的雙因素驗證方案，卻成為眾多企業對雙因素驗證望而卻步的原因。

eWeek.com文章《如何使用雙因素驗證來消除網絡風險》詳細的介紹了雙因素驗證及其應用，推薦有興趣的朋友了解下。

文章的地址如下：
http://www.eweek.com/c/a/Security/How-to-Thwart-Network-Attacks-with-TwoFactor-Authentication/?kc=rss

2） 如何花更少的錢得到更好的安全保障；推薦指數：高

經濟危機的影響使得大多數企業被迫削減各方面的開支，IT預算和安全預算成為首當其沖受削減的目標，如何在減少的安全預算下仍保證能夠獲得更好的安全保障？筆者推薦本周darkreading.com的文章《如何花更少的錢得到更好的安全保障》，文章地址如下：
http://www.darkreading.com/security/management/showArticle.jhtml?articleID=214600349&subSection=Security+administration/management

【51CTO.COM 獨家特稿，轉載請注明出處及作者！】