5月第4周安全要聞回顧:微軟蘋果再爆安全漏洞
原創【51CTO.com獨家特稿】這周正好是我國的傳統節日端午節,許多朋友都趁這難得的三天假期出外旅游,不過IT行業向來沒有放假的傳統,因此本周的安全圈子也有不少值得關注的新聞。首先仍是需要時刻關注的漏洞攻擊方向,除了老面孔微軟和Apple的產品外,本周移動設備廠商RIM也一同上榜。作為推動軟件安全的重要一步,微軟在本周發布了免費的軟件安全模板。針對虛擬化和云應用市場的快速發展,眾多反病毒廠商紛紛在近期推出了自己的產品,AMTSO本周新推出的新測試標準將對該領域的應用產生積極影響。在本期回顧的最后,筆者仍為朋友們專心挑選了兩個值得一讀的推薦閱讀文章。
本周(090525至090531)安全要聞回顧
本周的的信息安全威脅等級為中,主要的威脅類型為小規模的微軟漏洞攻擊行為,請朋友們留意各軟件廠商發布的安全更新,并及時更新防火墻和反病毒軟件等安全工具。
漏洞攻擊:微軟蘋果再爆安全漏洞;黑莓也有PDF漏洞;關注指數:高
繼前兩周微軟Web服務器IIS中發現WebDAV訪問控制的嚴重漏洞后,本周微軟另外一個產品DirectX中再次發現嚴重安全漏洞。該漏洞存在于廣泛安裝在Windows系統上DirectX產品的DirectShow組件,由于DirectShow在處理QuickTime媒體文件時存在缺陷,黑客可通過向用戶發送特定格式內容的QuickTime媒體文件攻擊該漏洞,如果用戶不小心開啟了這樣的QuickTime攻擊文件,將可能執行并感染黑客預先放置的惡意軟件。
盡管這個DirectShow漏洞并不是傳統意義上的瀏覽器漏洞,但理論上說使用DirectShow作為媒體播放插件的瀏覽器都有可能會被該漏洞所成功攻擊。根據微軟的進一步調查,該漏洞將會影響較早期的Windows 2000 SP4、Windows XP和Windows 2003操作系統,而較新的Windows Vista和2008將不受影響,此外,微軟尚未確認什么時候會推出針對該漏洞的安全更新,朋友們需要密切關注微軟進一步的通知,并開啟系統的自動更新功能。不過微軟也在官方站點上提供了防御該漏洞的臨時措施,需要的朋友可到以下網址了解下:
http://www.microsoft.com/technet/security/advisory/971778.mspx
Apple的操作系統MacOSX本周也被爆出存在安全漏洞。根據安全廠商Intego的報告,MacOSX系統在處理經過特定編碼的JavaApplet時,會允許攻擊者跳過系統的安全控制遠程執行代碼。該漏洞已存在超過6個月,但Apple一直沒有就此發表看法或推出安全更新。該漏洞要處理起來并不困難,用戶只需要在瀏覽器中禁用掉JavaScript的運行即可。
除了微軟和Apple這樣的老面孔外,本周的漏洞攻擊領域還新上榜了一家移動計算市場的知名廠商RIM。本周早些時候RIM發布安全公告稱,使用RIM操作系統的BlackBerry黑莓手機及在x86平臺上配套的BlackBerry Enterprise Server都存在PDF文件處理安全漏洞,如果該漏洞被觸發,在BlackBerry手機上會導致手機內存溢出失去響應等問題,而在x86平臺的表現則更為嚴重,將有可能導致執行黑客預置代碼等嚴重后果。目前互聯網上尚未聽說有針對該漏洞的大規模攻擊活動,廠商RIM沒有對上述幾個產品提供安全更新,朋友們如果正在使用上述產品,建議不要開啟來歷不明的PDF文件,或通過設置禁用對PDF文檔的支持。
軟件安全:微軟發布免費軟件安全模板;關注指數:中
作為對去年11月份推行軟件安全活動的后續行動,微軟本周發布了一個免費的軟件安全模板,這個名為SDL模板的工具除了能夠集成到微軟自家的Visual Studio外,還能用到第三方的開發環境中,從而更好的幫助開發者在軟件產品的開發階段實施軟件安全戰略。目前微軟最新的軟件安全開發生命周期架構(Security Development Lifecycle,簡稱SDL)的最新版本為4.1,去年年底微軟曾發布了SDL優化體系和SDL威脅建模工具(TMT),現在微軟又再發表SDL模板這一免費的工具,顯然對微軟推行Windows 平臺下的軟件安全體系有不小的積極作用。當前軟件漏洞已經成為用戶信息安全的最大威脅之一,而軟件安全領域經過這兩年的發展,也逐漸開始引起各大安全廠商的注意,不過現在軟件安全市場內成熟的產品和服務不多,最終用戶對軟件安全的認知程度也不是很高,這種現狀值得國內安全廠商關注。
反病毒:新標準支持云應用反病毒的測試;關注指數:中
云是這幾年IT圈子里很熱的話題,各種云相關的解決方案如雨后春筍般出現,安全業界自然也不會落后,在前段時間舊金山舉行的RSA安全會議上,許多廠商云概念的安全產品。在這樣紛繁復雜的安全產品中,用戶應該如何選擇和評估一套適合自己情況的云安全產品?基于此考慮,由多個知名反病毒廠商組成的反惡意軟件測試標準組織(AMTSO)本周推出新的《云安全產品測試最佳實踐》,該份標準旨在幫助用戶更好的測試各種帶有云概念的安全產品,并涵蓋了虛擬化、數據泄露、采樣和比較等方面的指導性意見。從技術角度上來說,這份標準不能算是一份完全適用于最終用戶的測試標準,因為它并沒有提供各項測試的操作流程和標準的測試指標,只能算是指導安全廠商、第三方產品測評機構如何進行測試的指導性標準。不過這份標準在方向的設置上相當全面,安全廠商如果要涉足云安全產品的開發,可以將其作為架構功能設計的主要參考資料。
推薦閱讀:
1) McAfee的網絡犯罪教育網站;推薦指數:高
網絡犯罪正日益成為現代網絡社會揮之不去的噩夢,然而絕大多數用戶對網絡犯罪的概念仍十分模糊,更無從談起如何保護自己不受網絡犯罪的侵害。安全廠商McAfee本周推出一個新的網絡犯罪教育網站,并制作了一個名為H*Commerce的系列教育視頻,推薦朋友們都了解一下。該網站地址如下:
2) 技術分析:如何防止惡意的內部攻擊者?推薦指數:高
俗話說堡壘最容易從內部攻破,企業在建設信息安全體系的時候會面臨同樣的問題,無論企業在安全產品花費多少投資,一個心懷不滿的員工總有機會給企業內部網絡造成嚴重的損失。Darkreading.com本周新推出的報告《如何防止惡意的內部攻擊者》,主要關注如何保護企業的敏感數據不受內部人員的威脅,推薦有興趣的朋友閱讀一下。報告的下載地址如下:
【51CTO.COM 獨家特稿,轉載請注明出處及作者!】
