本周(081110至081116)安全行业热闹不断。微软本月补丁不多,本应消停一下,不想却因此引发业界对其漏洞修补缓慢的质疑,微软的VoIP产品也开始麻烦不断,而Google Phone操作系统推出没有多久,也发现有严重的漏洞;而本周反恶意软件行业标准的推出,是否会给现在的反病毒行业带来冲击? 员工工作时间进行网上购物是普遍现象,然而却没有多少企业意识到这是潜在的信息安全风险,在本期回顾中朋友们还将了解到与安全管理相关的其他消息,本周新品不断的安全技术和产品方面也有不少值得关注的要闻。在本期回顾的最后,笔者同样精选了2个值得一看的推荐阅读文章。
本周的信息安全威胁程度为中,微软于本周二发布的例行补丁集中,两个补丁程序针对的MS08-068和MS08-069漏洞均为对用户威胁最大的远程代码执行类型,尽管目前尚无黑客利用这两个漏洞进行大规模攻击的报道,但用户应尽快通过Windows Update自动升级或自行从微软网站上下载补丁程序进行升级,确保自己的系统和网络不受这两个漏洞的威胁。
漏洞补丁:微软推出11月例行补丁升级;Google Phone操作系统发现严重漏洞;关注指数:高
本周二微软按时推出了2008年11月的例行补丁升级包,包括2个关键的Windows系统补丁和若干个针对Office的补丁程序, 这与上周微软在其网站上发发布的安全公告相一致。值得用户注意的是,本月补丁升级中包含的2个Windows补丁都用于修补对用户威胁最大的远程代码执行漏洞,Office的补丁中也包含针对Office代码执行漏洞的补丁程序,这些漏洞都有可能被黑客用于进行远程攻击或扩散恶意软件,笔者建议用户尽快通过Windows Update自动升级或自行从微软网站上下载补丁程序进行升级,并同时升级防火墙和反病毒等安全软件的数据库,确保自己的网络和系统不受这些漏洞的威胁。
11月补丁升级包的补丁程序数量可说是今年最少的一次,就算加上早些时候微软提前发布的Windows紧急补丁也只有三个,与其他月份动辄超过10个的补丁数量相比,用户花费在补丁升级操作上的精力相对来说不是很重,微软本来也可以松一口气,不想却因为11月补丁升级包中包含的一个补丁程序,修补的居然是7年前的漏洞,而引发安全业界对微软漏洞响应策略的普遍质疑。根据11月13日Cnet.com的报道,微软安全响应中心的一个项目经理对上述问题做出了正面回复,他在微软安全响应中心的官方Blog上写道,早在2001年微软发现Windows SMB接口存在可能的未授权执行漏洞时,就打算对其进行修补,但在对补丁进行测试时,却发现如果应该这个SMB补丁,就会使得用户网络内正在使用的许多应用程序无法工作,因为这些应用程序依赖于匿名的SMB访问。但因为这个Blog文章上并没有指出受影响的应用程序名字,不少安全研究人员也质疑影响的程序是否是微软自己的产品。
不管怎么说,微软直到七年之后才对该漏洞进行修补,在漏洞响应和与其他软件厂商的协助上确实是存在不小问题的,从最近的反馈来看,微软今年组织的补丁联盟在提升软件厂商之间的安全补丁协助和漏洞响应方面比之前有了明显的进步,相信类似修补漏洞花费七年时间这类事情不太可能再次发生。
就在安全行业就上述事件质疑微软的同时,微软的VoIP产品再次爆出安全漏洞,根据11月14日Darkreading.com的报道,安全厂商VoIPShield实验室的研究人员发现,在微软VoIP产品Office Communication Server 2007中存在漏洞,在处理RTP协议数据时有可能导致拒绝服务攻击,该消息目前还未被微软确认。虽然国内用户较少使用Office Communication系列产品,但因为该漏洞也可能影响微软其他使用VoIP技术的产品,如Windows Live Messenger等,用户也不应掉以轻心。而微软的竞争对手Google最近也受困于软件漏洞问题,在前段时间Google成功推出Google Phone之后,安全人员很快就找到Google Phone操作系统中存在的安全漏洞。
根据11月10日Wired.com的Blog文章,安全人员发现在Google Phone的某个早期版本中,操作系统在处理用户输入数据时,会把用户的输入同时发送到操作系统的命令行上,从而导致用户的输入被当作命令进行执行。试想一下,如果用户正好在使用Google Phone发送短信教朋友如何使用Linux删除文件,很有可能在点了发送之后,连自己Google Phone上的数据也删除了——不管怎么说,这也说明输入的命令是正确的。不过Google 很快就推出了修补这个漏洞的补丁,相信朋友们比较难有幸遇到这种问题。
反病毒:反恶意软件行业标准推出;关注指数:高
反病毒行业一直是技术竞争和口水战最为激烈的安全领域,每次爆发大的病毒或误杀事件,各个反病毒厂商及其粉丝之间总会猛烈的互相开火。导致这种情况的一个根本原因是目前市场上并没有一个能够服众的行业标准,从而衡量各厂商的产品的性能强弱,而第三方机构的评估机构的接受程度也不高。不过这种情况即将出现改观:多家业内知名的安全厂商成立了名为AMTSO的标准组织,这个组织的第一个工作成果就是反恶意软件产品的测试组织标准,包括《测试组织原则》和《动态测试最佳实践》,这两个文档能够在AMTSO的官方站点上找到,有兴趣的朋友可以自己去下载来了解一下,第三方的评测机构或企业也可以根据这两份文档的指导,来进行反恶意软件产品的效能检测。不过值得注意的是,目前AMTSO的成员都是国外的安全厂商,只有其中的趋势科技能够勉强算是国内的反病毒厂商,而纯粹的本土厂商一个都没有,这个情况不得不让人担忧于是否会使得本土反病毒厂商在进军国际市场时遭遇更大的阻力,建议本土反病毒厂商多关注一下这个标准组织的消息和行动,以免在安全市场上推广产品时造成被动。
安全管理:员工在线购物可能对企业安全造成威胁;关注指数:高
企业员工在工作时间访问在线购物网站,在企业并不是被禁止的网络活动,员工在中午休息时间或者准备下班的时候浏览购物网站在很多企业里是司空见惯的情况。不过可能没有多少人意识到,这样一个看似无心的行为,却有可能会对企业的信息安全造成严重的威胁。根据11月14日Darkreading.com的报道,安全标准机构ISACA最近的一个调查结果显示,超过63%的受调查者喜欢在单位的计算机上浏览购物网站,大多数人在浏览购物网站并在上面购物时,并不知道也不会确定购物网站是否安全,遭受网络钓鱼或恶意软件攻击的风险很高,从而对企业的网络和系统安全造成了相当大的威胁。照这种趋势发展下去,在继娱乐网站、社会关系网站之后,在线购物网站会成为企业安全新的重大威胁,并会有幸登上企业的网络封禁目标名单,喜欢网络购物的朋友,建议回到家之后再去在线Shopping自己喜欢的东西,要不被领导批评还是小事,因为自己在工作时间玩网购而导致单位机器和网络被攻击,那可就得面对严重处罚乃至走人的后果了。
安全技术和产品:加密笔记本电脑开始流行;Visa测试带有随机数生成器的信用卡产品;关注指数:中;
随着希捷等硬盘厂商在近段时间推出多个自带硬件全盘加密的硬盘产品之后,计算机厂商和安全厂商也迅速开始将加密硬盘应用到高端商用领域。根据11月12日eWeek.com的报道,希捷、McAfee及戴尔即将合作推出提供整盘加密的高端商用笔记本电脑产品,借助希捷的大容量加密硬盘、McAfee的企业级加密管理方案和戴尔的整机产能,对数据安全高的商业用户将很快能够买到能自己加密,并能方便管理的笔记本电脑,即使丢失笔记本也不用担心数据泄露。相信随着更多硬盘厂商推出加密硬盘产品,在DIY市场上也很快会出现价格较低的产品,到时普通用户也能享受商用级的数据安全保护了。
针对越来越多的信用卡失窃和欺诈行为,信用卡厂商也在研究如何进一步增强信用卡使用的安全,根据11月11日Darkreading.com的消息,最大的信用卡厂商Visa目前正在测试带有随机数生成器的信用卡产品,该产品自带了电池驱动的键盘和处理芯片,能够在柜面或在线交易时使用更为安全的双因素验证方法对用户的交易进行验证,这种信用卡产品已经在四个北美银行开始小规模使用。双因素验证方法确实能显著的加强信用卡的使用安全,但发卡银行估计需要投入大力气对用户进行培训才能发挥它的安全特性,而卡片复杂性导致的成本增加也可能会对这种信用卡产品的推广产生一定阻力,所以在一段时间内,国内用户估计是不太会看到这样的信用卡。
针对越来越多的信用卡失窃和欺诈行为,信用卡厂商也在研究如何进一步增强信用卡使用的安全,根据11月11日Darkreading.com的消息,最大的信用卡厂商Visa目前正在测试带有随机数生成器的信用卡产品,该产品自带了电池驱动的键盘和处理芯片,能够在柜面或在线交易时使用更为安全的双因素验证方法对用户的交易进行验证,这种信用卡产品已经在四个北美银行开始小规模使用。双因素验证方法确实能显著的加强信用卡的使用安全,但发卡银行估计需要投入大力气对用户进行培训才能发挥它的安全特性,而卡片复杂性导致的成本增加也可能会对这种信用卡产品的推广产生一定阻力,所以在一段时间内,国内用户估计是不太会看到这样的信用卡。
推荐阅读:
1、 微软的安全开发生命周期SDL;推荐指数:高
在前几期的安全回顾中,笔者曾向用户预告过微软的安全开发生命周期将推出新的支持文档及工具,目前这些资料已经能够在微软MSDN网站上下载到,推荐开发相关的朋友们去了解一下。
SDL的地址如下:
SDL的地址如下:
2、 如何解决政府网络面临的挑战?推荐指数:高
因为政府机构网络的特殊性,使得它在运作和管理时面临比企业网络更多的安全挑战,如何保证政府网络的安全,一直是安全行业最为关注的问题之一。eWeek.com文章《如何解决政府网络面临的挑战》对这个话题进行了详细的介绍,推荐从事政府网络安全相关工作的朋友仔细阅读一下。
原文地址如下:
原文地址如下:
本文转自J0ker51CTO博客,原文链接:http://blog.51cto.com/J0ker/114313,如需转载请自行联系原作者
