【51CTO.com独家特稿】这周正好是我国的传统节日端午节,许多朋友都趁这难得的三天假期出外旅游,不过IT行业向来没有放假的传统,因此本周的安全圈子也有不少值得关注的新闻。首先仍是需要时刻关注的漏洞攻击方向,除了老面孔微软和Apple的产品外,本周移动设备厂商RIM也一同上榜。作为推动软件安全的重要一步,微软在本周发布了免费的软件安全模板。针对虚拟化和云应用市场的快速发展,众多反病毒厂商纷纷在近期推出了自己的产品,AMTSO本周新推出的新测试标准将对该领域的应用产生积极影响。在本期回顾的最后,笔者仍为朋友们专心挑选了两个值得一读的推荐阅读文章。
本周(090525至090531)安全要闻回顾
本周的的信息安全威胁等级为中,主要的威胁类型为小规模的微软漏洞攻击行为,请朋友们留意各软件厂商发布的安全更新,并及时更新防火墙和反病毒软件等安全工具。
漏洞攻击:微软苹果再爆安全漏洞;黑莓也有PDF漏洞;关注指数:高
继前两周微软Web服务器IIS中发现WebDAV访问控制的严重漏洞后,本周微软另外一个产品DirectX中再次发现严重安全漏洞。该漏洞存在于广泛安装在Windows系统上DirectX产品的DirectShow组件,由于DirectShow在处理QuickTime媒体文件时存在缺陷,黑客可通过向用户发送特定格式内容的QuickTime媒体文件攻击该漏洞,如果用户不小心开启了这样的QuickTime攻击文件,将可能执行并感染黑客预先放置的恶意软件。
尽管这个DirectShow漏洞并不是传统意义上的浏览器漏洞,但理论上说使用DirectShow作为媒体播放插件的浏览器都有可能会被该漏洞所成功攻击。根据微软的进一步调查,该漏洞将会影响较早期的Windows 2000 SP4、Windows XP和Windows 2003操作系统,而较新的Windows Vista和2008将不受影响,此外,微软尚未确认什么时候会推出针对该漏洞的安全更新,朋友们需要密切关注微软进一步的通知,并开启系统的自动更新功能。不过微软也在官方站点上提供了防御该漏洞的临时措施,需要的朋友可到以下网址了解下:
http://www.microsoft.com/technet/security/advisory/971778.mspx
Apple的操作系统MacOSX本周也被爆出存在安全漏洞。根据安全厂商Intego的报告,MacOSX系统在处理经过特定编码的JavaApplet时,会允许攻击者跳过系统的安全控制远程执行代码。该漏洞已存在超过6个月,但Apple一直没有就此发表看法或推出安全更新。该漏洞要处理起来并不困难,用户只需要在浏览器中禁用掉JavaScript的运行即可。
除了微软和Apple这样的老面孔外,本周的漏洞攻击领域还新上榜了一家移动计算市场的知名厂商RIM。本周早些时候RIM发布安全公告称,使用RIM操作系统的BlackBerry黑莓手机及在x86平台上配套的BlackBerry Enterprise Server都存在PDF文件处理安全漏洞,如果该漏洞被触发,在BlackBerry手机上会导致手机内存溢出失去响应等问题,而在x86平台的表现则更为严重,将有可能导致执行黑客预置代码等严重后果。目前互联网上尚未听说有针对该漏洞的大规模攻击活动,厂商RIM没有对上述几个产品提供安全更新,朋友们如果正在使用上述产品,建议不要开启来历不明的PDF文件,或通过设置禁用对PDF文档的支持。
软件安全:微软发布免费软件安全模板;关注指数:中
作为对去年11月份推行软件安全活动的后续行动,微软本周发布了一个免费的软件安全模板,这个名为SDL模板的工具除了能够集成到微软自家的Visual Studio外,还能用到第三方的开发环境中,从而更好的帮助开发者在软件产品的开发阶段实施软件安全战略。目前微软最新的软件安全开发生命周期架构(Security Development Lifecycle,简称SDL)的最新版本为4.1,去年年底微软曾发布了SDL优化体系和SDL威胁建模工具(TMT),现在微软又再发表SDL模板这一免费的工具,显然对微软推行Windows 平台下的软件安全体系有不小的积极作用。当前软件漏洞已经成为用户信息安全的最大威胁之一,而软件安全领域经过这两年的发展,也逐渐开始引起各大安全厂商的注意,不过现在软件安全市场内成熟的产品和服务不多,最终用户对软件安全的认知程度也不是很高,这种现状值得国内安全厂商关注。
反病毒:新标准支持云应用反病毒的测试;关注指数:中
云是这几年IT圈子里很热的话题,各种云相关的解决方案如雨后春笋般出现,安全业界自然也不会落后,在前段时间旧金山举行的RSA安全会议上,许多厂商云概念的安全产品。在这样纷繁复杂的安全产品中,用户应该如何选择和评估一套适合自己情况的云安全产品?基于此考虑,由多个知名反病毒厂商组成的反恶意软件测试标准组织(AMTSO)本周推出新的《云安全产品测试最佳实践》,该份标准旨在帮助用户更好的测试各种带有云概念的安全产品,并涵盖了虚拟化、数据泄露、采样和比较等方面的指导性意见。从技术角度上来说,这份标准不能算是一份完全适用于最终用户的测试标准,因为它并没有提供各项测试的操作流程和标准的测试指标,只能算是指导安全厂商、第三方产品测评机构如何进行测试的指导性标准。不过这份标准在方向的设置上相当全面,安全厂商如果要涉足云安全产品的开发,可以将其作为架构功能设计的主要参考资料。
推荐阅读:
1) McAfee的网络犯罪教育网站;推荐指数:高
网络犯罪正日益成为现代网络社会挥之不去的噩梦,然而绝大多数用户对网络犯罪的概念仍十分模糊,更无从谈起如何保护自己不受网络犯罪的侵害。安全厂商McAfee本周推出一个新的网络犯罪教育网站,并制作了一个名为H*Commerce的系列教育视频,推荐朋友们都了解一下。该网站地址如下:
2) 技术分析:如何防止恶意的内部攻击者?推荐指数:高
俗话说堡垒最容易从内部攻破,企业在建设信息安全体系的时候会面临同样的问题,无论企业在安全产品花费多少投资,一个心怀不满的员工总有机会给企业内部网络造成严重的损失。Darkreading.com本周新推出的报告《如何防止恶意的内部攻击者》,主要关注如何保护企业的敏感数据不受内部人员的威胁,推荐有兴趣的朋友阅读一下。报告的下载地址如下:
【51CTO.COM 独家特稿,转载请注明出处及作者!】
