本周(090223至090301)安全方面值得关注的新闻仍主要以攻击和威胁方向的为主,继前两周推出一批安全更新程序后,主流软件厂商的软件本周仍爆出了严重的安全漏洞,微软和Adobe的产品均不能幸免,而网络厂商Cisco也发布安全公告称,其多个产品中存在有可能被攻击者利用的安全漏洞。
安全技术方面,Google本周开始组织的Native Client安全测试,从一个侧面反映了Google对浏览器安全技术的研究方向,本期回顾就让笔者和朋友们一起了解下这个新闻。
在本期回顾的最后,笔者仍为朋友们精心挑选了两个值得一读的推荐阅读文章。
本周的安全威胁等级为中。黑客对主流软件厂商产品中存在的已知漏洞进行攻击的风险较高,笔者建议用户关注软件厂商的安全更新发布进度,及时从软件厂商的升级站点上下载并安装安全更新程序。
漏洞攻击:
微软和Adobe产品频繁出现威胁严重的新漏洞,网络厂商Cisco产品中也出现严重漏洞;关注指数:高
2009年的第一季度看起来主流软件厂商产品的安全漏洞大爆发时期。上两周微软、Adobe和Apple等主流的软件厂商才发布了为数不少的安全更新程序,许多用户仍没有或正计划使用这些安全更新,本周又有多个主流软件厂商的产品中再次爆出了威胁严重的新漏洞。
本周二微软发布安全公告称,Office Excel中目前已经确认存在一个严重的安全漏洞,并影响Office 2000/2003/2007和Office 2008 for Mac等多个不同的Office版本。该漏洞属于对用户威胁最严重的远程代码执行漏洞,如果黑客成功攻击该漏洞,将可以在用户系统上执行事先设置好的恶意程序,并造成进一步的破坏。
根据微软的安全公告,目前黑客可能已经广泛的使用该漏洞对用户实施有针对性的攻击,而来自多个反病毒厂商的消息也从侧面确认了该漏洞的存在,Symantec称,已经在其最新的病毒定义中增加了对该漏洞攻击文件的特定,并命名为Trojan.Mdropper.AC。
不过微软暂时还未能推出针对该漏洞的安全更新程序,笔者建议用户在这段时间内不要轻易开启来自不可信来源的Excel文件,并使用反病毒软件扫描每一个进入自己网络的Office文件,如果系统硬件支持,开启系统的数据执行保护DEP选项也能在一定程度上保护用户的系统不受此类漏洞的攻击。
Adobe流行的PDF处理和阅读软件Acrobat及 Reader在本周也出现了对用户威胁严重的远程代码执行漏洞。根据Adobe在周一发布的安全公告,该漏洞已经确认存在于Adobe Acrobat和Reader两个产品系列中,这两个产品在处理PDF文件中的Java Script程序时会出现内存错误问题,并进一步导致出现执行不可预见的行为,或执行黑客事先设置好的恶意程序,Adobe同时还确认了该漏洞存在于Acrobat和Reader 9.0及以前版本中。
安全厂商Shadowserver的研究人员称,目前该漏洞已经被黑客用于小规模的针对性攻击中,反病毒厂商Symantec也于当天表示,已经将针对该漏洞的攻击文件特征添加到其病毒数据库中,并命名为bloodhound.exploit.213。不过Adobe也表示,由于针对该漏洞的安全更新正在开发当中,最早要到3月11号才能向公众发布,因此在这段时间内,笔者建议用户通过禁用Acrobat和Reader的Java Script解释功能,来防止该漏洞被黑客所攻击,并遭受进一步的数据或隐私信息损失。
另外,Adobe在本周更新了媒体播放器软件Flash Player,并修正了其中存在的5个安全漏洞,由于除了单独安装的版本外,Flash Player并不支持自动升级,笔者建议朋友们尽快登录Adobe网站上的Flash Player安装页面手动更新Flash Player,防止遭受黑客通过Flash漏洞发起的恶意网站和恶意软件攻击。
网络厂商Cisco本周也发布安全公告称,确认在Cisco ACE Application Control Engine Module和Cisco ACE 4710 Application Control Engine中存在多个安全漏洞,其中三个安全漏洞的威胁等级较高,并以确认目前已经有有效的漏洞利用代码或方式。Cisco同时发布了针对本次安全公告的安全更新程序,使用对应产品的用户可以通过Cisco网站下载更新程序,并根据安全公告内的操作指南进行安全配置操作。
安全技术:
Google开始Native Client攻击挑战活动;关注指数:高
Google继推出Chrome浏览器和安全搜索技术之后,在浏览器安全领域继续保持活跃,本周开始的Google Native Client攻击挑战活动,将显示Google在浏览器安全技术领域达到的新水平。Google Native Client攻击挑战活动从本周开始,将在5月5日结束,Google还准备了5档象征意义(8192、4096、2048和1024美元)的奖金,将颁发给挖掘出Native Client最有创意的5个漏洞的研究人员。
Native Client是Google正在进行的一个开放源代码项目,其目标是在Web应用上运行原生的x86体系代码,其实现原理就是通过在Web应用程序和浏览器之间增加一个可以运行在不同操作系统平台上的沙箱模型,并保证原生的x86代码能够安全的在该沙箱模型中执行。目前Google的研究人员已经成功的在Native Client体系上执行3D射击游戏Quake和脚本解释语言Lua,测试的结果也表明,通过Native Client来执行的x86代码执行速度与直接在系统中执行相差无几。
笔者认为,如果Native Client技术发展成熟,并确认其安全性和执行效率,Native Client能够支持的应用程序就会大量增长,甚至出现能够运行在Native Client中的操作系统,集成Native Client技术的浏览器也将成为Google进入虚拟化领域的新武器,Web OS的出现也指日可待。有兴趣的朋友也可以通过Native Client在Google Code站点上的页面进一步了解它的设计和运作原理,网站地址如下:
[url]http://nativeclient.googlecode.com/[/url]推荐阅读:
1) 如何使用双因素验证来消除网络风险;推荐指数:高
网络弱口令一直是对企业内部网络最为严重的安全威胁之一,除了成为黑客渗透企业内部网络的主要方式之外,网络弱口令也常被各种自动化的恶意软件用于在企业内部网络中大肆扩散。随着双因素验证技术的发展成熟和成本进一步降低,企业开始倾向于使用比传统密码验证安全得多的双因素验证,但如何选择最合适的双因素验证方案,却成为众多企业对双因素验证望而却步的原因。
eWeek.com文章《如何使用双因素验证来消除网络风险》详细的介绍了双因素验证及其应用,推荐有兴趣的朋友了解下。
2) 如何花更少的钱得到更好的安全保障;推荐指数:高