11月第2周要聞回顧：漏洞修補緩慢遭質疑 反惡軟行業標準推出

本文同時發佈在： [url]http://netsecurity.51cto.com/art/200811/98087.htm[/url]

 

本週（081110至081116）安全行業熱鬧不斷。微軟本月補丁很少，本應消停一下，不想卻所以引起業界對其漏洞修補緩慢的質疑，微軟的VoIP產品也開始麻煩不斷，而Google Phone操做系統推出沒有多久，也發現有嚴重的漏洞；而本週反惡意軟件行業標準的推出，是否會給如今的反病毒行業帶來衝擊? 員工工做時間進行網上購物是廣泛現象，然而卻沒有多少企業意識到這是潛在的信息安全風險，在本期回顧中朋友們還將瞭解到與安全管理相關的其餘消息，本週新品不斷的安全技術和產品方面也有很多值得關注的要聞。在本期回顧的最後，筆者一樣精選了2個值得一看的推薦閱讀文章。

 

本週的信息安全威脅程度爲中，微軟於本週二發佈的例行補丁集中，兩個補丁程序針對的MS08-068和MS08-069漏洞均爲對用戶威脅最大的遠程代碼執行類型，儘管目前尚無***利用這兩個漏洞進行大規模***的報道，但用戶應儘快經過Windows Update自動升級或自行從微軟網站上下載補丁程序進行升級，確保本身的系統和網絡不受這兩個漏洞的威脅。

 

漏洞補丁：微軟推出11月例行補丁升級；Google Phone操做系統發現嚴重漏洞；關注指數：高

本週二微軟按時推出了2008年11月的例行補丁升級包，包括2個關鍵的Windows系統補丁和若干個針對Office的補丁程序， 這與上週微軟在其網站上發發布的安全公告相一致。值得用戶注意的是，本月補丁升級中包含的2個Windows補丁都用於修補對用戶威脅最大的遠程代碼執行漏洞，Office的補丁中也包含針對Office代碼執行漏洞的補丁程序，這些漏洞都有可能被***用於進行遠程***或擴散惡意軟件，筆者建議用戶儘快經過Windows Update自動升級或自行從微軟網站上下載補丁程序進行升級，並同時升級防火牆和反病毒等安全軟件的數據庫，確保本身的網絡和系統不受這些漏洞的威脅。

 

11月補丁升級包的補丁程序數量可說是今年最少的一次，就算加上早些時候微軟提早發佈的Windows緊急補丁也只有三個，與其餘月份動輒超過10個的補丁數量相比，用戶花費在補丁升級操做上的精力相對來講不是很重，微軟原本也能夠鬆一口氣，不想卻由於11月補丁升級包中包含的一個補丁程序，修補的竟然是7年前的漏洞，而引起安全業界對微軟漏洞響應策略的廣泛質疑。根據11月13日Cnet.com的報道，微軟安全響應中心的一個項目經理對上述問題作出了正面回覆，他在微軟安全響應中心的官方Blog上寫道，早在2001年微軟發現Windows SMB接口存在可能的未受權執行漏洞時，就打算對其進行修補，但在對補丁進行測試時，卻發現若是應該這個SMB補丁，就會使得用戶網絡內正在使用的許多應用程序沒法工做，由於這些應用程序依賴於匿名的SMB訪問。但由於這個Blog文章上並無指出受影響的應用程序名字，很多安全研究人員也質疑影響的程序是不是微軟本身的產品。

無論怎麼說，微軟直到七年以後纔對該漏洞進行修補，在漏洞響應和與其餘軟件廠商的協助上確實是存在不小問題的，從最近的反饋來看，微軟今年組織的補丁聯盟在提高軟件廠商之間的安全補丁協助和漏洞響應方面比以前有了明顯的進步，相信相似修補漏洞花費七年時間這類事情不太可能再次發生。

就在安全行業就上述事件質疑微軟的同時，微軟的VoIP產品再次爆出安全漏洞，根據11月14日Darkreading.com的報道，安全廠商VoIPShield實驗室的研究人員發現，在微軟VoIP產品Office Communication Server 2007中存在漏洞，在處理RTP協議數據時有可能致使拒絕服務***，該消息目前還未被微軟確認。雖然國內用戶較少使用Office Communication系列產品，但由於該漏洞也可能影響微軟其餘使用VoIP技術的產品，如Windows Live Messenger等，用戶也不該掉以輕心。而微軟的競爭對手Google最近也受困於軟件漏洞問題，在前段時間Google成功推出Google Phone以後，安全人員很快就找到Google Phone操做系統中存在的安全漏洞。

 

根據11月10日Wired.com的Blog文章，安全人員發如今Google Phone的某個早期版本中，操做系統在處理用戶輸入數據時，會把用戶的輸入同時發送到操做系統的命令行上，從而致使用戶的輸入被看成命令進行執行。試想一下，若是用戶正好在使用Google Phone發送短信教朋友如何使用Linux刪除文件，頗有可能在點了發送以後，連本身Google Phone上的數據也刪除了——無論怎麼說，這也說明輸入的命令是正確的。不過Google 很快就推出了修補這個漏洞的補丁，相信朋友們比較難有幸遇到這種問題。

 

反病毒：反惡意軟件行業標準推出；關注指數：高

反病毒行業一直是技術競爭和口水戰最爲激烈的安全領域，每次爆發大的病毒或誤殺事件，各個反病毒廠商及其粉絲之間總會猛烈的互相開火。致使這種狀況的一個根本緣由是目前市場上並無一個可以服衆的行業標準，從而衡量各廠商的產品的性能強弱，而第三方機構的評估機構的接受程度也不高。不過這種狀況即將出現改觀：多家業內知名的安全廠商成立了名爲AMTSO的標準組織，這個組織的第一個工做成果就是反惡意軟件產品的測試組織標準，包括《測試組織原則》和《動態測試最佳實踐》，這兩個文檔可以在AMTSO的官方站點上找到，有興趣的朋友能夠本身去下載來了解一下，第三方的評測機構或企業也能夠根據這兩份文檔的指導，來進行反惡意軟件產品的效能檢測。不過值得注意的是，目前AMTSO的成員都是國外的安全廠商，只有其中的趨勢科技可以勉強算是國內的反病毒廠商，而純粹的本土廠商一個都沒有，這個狀況不得不讓人擔心因而否會使得本土反病毒廠商在進軍國際市場時遭遇更大的阻力，建議本土反病毒廠商多關注一下這個標準組織的消息和行動，以避免在安全市場上推廣產品時形成被動。

 

安全管理：員工在線購物可能對企業安全形成威脅；關注指數：高

企業員工在工做時間訪問在線購物網站，在企業並非被禁止的網絡活動，員工在中午休息時間或者準備下班的時候瀏覽購物網站在不少企業裏是司空見慣的狀況。不過可能沒有多少人意識到，這樣一個看似無意的行爲，卻有可能會對企業的信息安全形成嚴重的威脅。根據11月14日Darkreading.com的報道，安全標準機構ISACA最近的一個調查結果顯示，超過63%的受調查者喜歡在單位的計算機上瀏覽購物網站，大多數人在瀏覽購物網站並在上面購物時，並不知道也不會肯定購物網站是否安全，遭受網絡釣魚或惡意軟件***的風險很高，從而對企業的網絡和系統安全形成了至關大的威脅。照這種趨勢發展下去，在繼娛樂網站、社會關係網站以後，在線購物網站會成爲企業安全新的重大威脅，並會有幸登上企業的網絡封禁目標名單，喜歡網絡購物的朋友，建議回到家以後再去在線Shopping本身喜歡的東西，要不被領導批評仍是小事，由於本身在工做時間玩網購而致使單位機器和網絡被***，那可就得面對嚴重處罰乃至走人的後果了。

 

安全技術和產品：加密筆記本電腦開始流行；Visa測試帶有隨機數生成器的信用卡產品；關注指數：中；

隨着希捷等硬盤廠商在近段時間推出多個自帶硬件全盤加密的硬盤產品以後，計算機廠商和安全廠商也迅速開始將加密硬盤應用到高端商用領域。根據11月12日eWeek.com的報道，希捷、McAfee及戴爾即將合做推出提供整盤加密的高端商用筆記本電腦產品，藉助希捷的大容量加密硬盤、McAfee的企業級加密管理方案和戴爾的整機產能，對數據安全高的商業用戶將很快可以買到能本身加密，並能方便管理的筆記本電腦，即便丟失筆記本也不用擔憂數據泄露。相信隨着更多硬盤廠商推出加密硬盤產品，在DIY市場上也很快會出現價格較低的產品，到時普通用戶也能享受商用級的數據安全保護了。
針對愈來愈多的信用卡失竊和欺詐行爲，信用卡廠商也在研究如何進一步加強信用卡使用的安全，根據11月11日Darkreading.com的消息，最大的信用卡廠商Visa目前正在測試帶有隨機數生成器的信用卡產品，該產品自帶了電池驅動的鍵盤和處理芯片，可以在櫃面或在線交易時使用更爲安全的雙因素驗證方法對用戶的交易進行驗證，這種信用卡產品已經在四個北美銀行開始小規模使用。雙因素驗證方法確實能顯著的增強信用卡的使用安全，但髮卡銀行估計須要投入大力氣對用戶進行培訓才能發揮它的安全特性，而卡片複雜性致使的成本增長也可能會對這種信用卡產品的推廣產生必定阻力，因此在一段時間內，國內用戶估計是不太會看到這樣的信用卡。

推薦閱讀：

一、 微軟的安全開發生命週期SDL；推薦指數：高

在前幾期的安全回顧中，筆者曾向用戶預告過微軟的安全開發生命週期將推出新的支持文檔及工具，目前這些資料已經可以在微軟MSDN網站上下載到，推薦開發相關的朋友們去了解一下。
SDL的地址以下：

[url]http://msdn.microsoft.com/en-us/security/cc448177.aspx[/url]

二、 如何解決政府網絡面臨的挑戰？推薦指數：高

由於政府機構網絡的特殊性，使得它在運做和管理時面臨比企業網絡更多的安全挑戰，如何保證政府網絡的安全，一直是安全行業最爲關注的問題之一。eWeek.com文章《如何解決政府網絡面臨的挑戰》對這個話題進行了詳細的介紹，推薦從事政府網絡安全相關工做的朋友仔細閱讀一下。
原文地址以下：

[url]http://www.eweek.com/c/a/Security/Can-We-Secure-Government-Networks-Yes-We-Can-Theoretically/?kc=rss[/url]