五月第1周安全回顧:Windows7新特性耀眼 Adobe產品又遭0Day

本文同時發表在： http://netsecurity.51cto.com/art/200905/122656.htm

 

本週安全圈子的新聞衆多，微軟備受矚目的新系統Windows 7本週公開的兩個新特性XP模式和更安全的自動運行功能，可算是本週安全方面最值得關注的新聞，筆者將在本期回顧中爲朋友們簡單介紹和分析這個新聞。

繼今年第一季的漏洞***高潮以後，Google和Adobe再次成爲5月初漏洞***類新聞的主角，而微軟則趕在5月初發布了office 2007和Windows Vista的SP2補丁包。雲計算在安全領域如何應用至今仍未有定論，但安全廠商們都已經開始了在該領域內的探索——西班牙反病毒廠商Panda成爲吃螃蟹者，推出了基於雲計算的免費殺毒軟件。在本期回顧的最後，筆者按慣例爲朋友們在本週的新聞中精心挑選了兩個值得一讀的推薦閱讀文章。    

本週（090427至090503）安全要聞回顧

本週的信息安全威脅等級爲低。儘管微軟等軟件廠商在4月推出了數量較多的安全更新，但目前並無發現互聯網上存在對這些已有更新漏洞的大規模***行爲，用戶只需注意安裝安全補丁和更新安全軟件便可。

Windows安全：Windows 7新特性,XP模式和更安全的自動運行；關注指數：高

微軟在三年前推出的Windows Vista在安全性、易用性和用戶友好程度上比Windows XP都有了顯著的提高，然而軟件兼容性差和系統資源要求較高成爲Vista飽受用戶詬病的主要缺點，也成爲大多數用戶依然停留在XP等較老系統上的理由。儘管微軟在Vista發佈後不久就推出了改善上述問題的SP1更新包，但由於各類緣由Vista在企業和我的領域的接受程度一直不高。

做爲Windows Vista的替代產品，Windows 7從公開之日起就一直廣受用戶關注，尤爲是在Vista較弱的軟件兼容性方面，Windows 7的表現成爲一個待解之謎。這個問題在本週得以揭曉，這就是Windows 7 XP Mode（Windows 7XP模式，簡稱XPM）。經過微軟最新的桌面虛擬化技術，Windows 7用戶能夠像在Windows XP中那樣方便的使用舊的應用程序，而無需擔憂會出現兼容性問題，這點尤爲適合那些由於各類緣由而放棄升級到Vista的企業XP用戶。

根據微軟的描述，Windows 7與XPM進行了至關底層的集成，用戶在XPM模式中安裝的軟件能夠放置圖標到Windows 7桌面，並像安裝於Windows 7的兼容軟件同樣直接啓動。另外，用戶須要瞭解的是，XPM須要CPU對虛擬化技術的支持，只有支持Intel VT技術的Intel CPU或AMD-V技術的AMD CPU才能使用，而按照微軟一向的受權策略，XPM將免費提供Windows 7專業版和旗艦版用戶，使用Home版的用戶則無緣使用。

筆者介紹到這裏，相信朋友們對Windows 7裏面的XPM有了這樣一個印象：XPM不就是微軟爲用戶安裝好的一個Virtual PC Windows 7版加Windows XP SP3？沒錯，XPM實際上就是VPC裏面的OEM版Windows XP安裝，有MSDN或Technet的朋友一試便知，網上也開始有網友經過BT等渠道分享新版VPC和XPM，有興趣的朋友也能夠自行下載試用。

在這裏咱們就有了新的問題：XPM的安全性如何？在安裝XPM時微軟默認開啓OEM Windows XP的數據執行保護DEP和自動升級，但更高級的地址空間輸出隨機化（ASLR）和IE保護模式並不在XPM中提供，用戶也不會在XPM中安裝反病毒軟件（到時用戶也不必定還有XP版的反病毒軟件）XPM這樣的安全措施，在一般的狀況下並沒有太大的安全問題，然而在某些極端的狀況下仍然會成爲企業內部網絡中致命的安全漏洞。因爲Windows Vista和7中嚴格的安全控制，使得Vista下的惡意軟件比XP平臺上已經大爲減小，微軟爲保證軟件兼容性引入了XPM，事實上使每個Windows 7系統也同時運行至少一個沒有進行過安全配置的Windows XP系統，從而使得Windows 7系統遭受惡意軟件侵襲的風險比Vista更爲顯著。

理論上說，XPM和做爲主機的Windows 7系統應該是隔離的，然而用戶或默認不恰當的配置，則有可能使XPM也能訪問到主機上至關多敏感的信息，由於安全軟件和監控手段的缺失，XPM很容易成爲***進一步侵入用戶所在內部網絡的跳板。筆者認爲，用戶將來在使用XPM時應關注幾點：

1）如何控制用戶對XPM的使用和在XPM中使用的應用程序；

2）XPM內外部環境的維護和安全配置；

3）如何維護和監視XPM的安全狀況。這幾個因素都會不一樣程度的影響企業應用XPM的效果，可能還須要企業修改現有安全策略來適應XPM新技術的引入，不過對安全廠商來講，Windows XP以XPM的形式重生並結合了虛擬化的新元素，開發相關的安全控制及管理產品應該也是將來一個至關不錯的方向。

針對惡意軟件將移動存儲設備感染做爲標準功能的趨勢，微軟在新系統Windows 7中進行了一個動做不大卻效果明顯的改進，修改了設備自動運行功能的激活方式。和Windows XP、Vista等現有系統不一樣，Windows 7 RC版本在用戶插入除可移動光驅內的光盤以外的其餘USB設備（U盤、移動硬盤、MP3/MP4等）時，再也不彈出自動運行菜單，以控制惡意軟件經過可寫的移動存儲設備在用戶系統之間進行傳染，微軟也計劃在適當時候爲Windows XP、Vista等現有系統用戶提供該安全更新，提高現有系統對移動設備病毒的防護能力。這個更新只是Windows 7諸多安全提高中很小的一個，不過也能看出Windows 7的開發過程當中微軟更爲關注用戶的實際須要，雖然遲了點但也算是及時的。筆者打算持續關注Windows 7的安全功能，並及時爲朋友們帶來更新的相關資訊和深度分析，敬請期待！

漏洞***：Adobe產品又遭0Day***，Google及微軟發佈產品重要更新；關注指數：高

Adobe能夠說是今年漏洞***領域中除微軟外出鏡率最高的廠商，今年所公開的嚴重漏洞***事件，涉及Adobe旗下產品Flash Player和Acrobat的差很少佔到了1/3多。即使如此，漏洞挖掘人員彷佛還不想讓Adobe有一絲放鬆下來的機會——根據Securityfocus的報道，Adobe PDF Reader中再次被報告存在Java Script處理漏洞，該漏洞與Adobe同類產品於今年2月份所發現的漏洞相相似，觸發後將會致使Reader執行代碼運行等不可預料的行爲，***者可能會利用這類漏洞向用戶擴散惡意軟件等。

Adobe產品安全事件響應部門在稍後不久確認了該漏洞存在於Adobe Reader 8.x和9.x版本中，並可能影響Linux、Windows和MacOS等平臺上的該產品。Adobe目前已經在開發針對該漏洞的安全更新，但什麼時候推出並未有明確的時間表。筆者建議用戶在Adobe推出補丁以前，儘可能不要隨意開啓來自不可信來源的PDF文件，同時可禁用Adobe Reader內置的Java Script功能，保證不影響正常使用的前提下加強使用的安全性。

淡出媒體視線一段時間的Google Chrome瀏覽器本週也推出了新的安全更新，4月初IBM 安所有門ISS的研究人員曾報告Chrome中存在多個XSS漏洞，若是用戶在一臺裝有Chrome的系統上用IE瀏覽帶有上述漏洞利用代碼的惡意網站，將會異常的啓動Chrome並執行開啓多個窗口、運行JavaScript或瀏覽***者事先設置的惡意網站等操做。據悉Google在此次推出的安全更新中已經修正這些漏洞，Google將採起自動更新的形式向用戶交付安全更新，用戶只需應用更新手工重啓下Chrome便可。

按照微軟對主流產品每一年進行一次大更新的習慣，Windows、Office等在近段時間都將會有一次服務包更新(SP)的發佈，本週微軟準時發佈了Office 2007的SP2升級包（Windows Vista也將在近日發佈SP2）。按照慣例，Office 2007 SP2除了包括SP2推出2個月前的全部Office 2007安全漏洞外，還將改進Office 2007一系列的性能和使用問題，如提高Outlook的性能和可靠性、加強pdf和xps輸出性能，改進Excel表格結構和PowerPoint文件存儲格式等。從安全性或產品自己性能改進的角度考慮，筆者建議Office 2007用戶經過微軟下載站點或自動更新完成Office 2007 SP2的更新操做。

另外，微軟同期還發布了Internet Explorer 8，IE8比IE7在安全、穩定性和使用等方面均有較大改進，但IE8目前對網銀、在線支付等電子商務類的ActiveX插件支持還有一些兼容性問題，用戶可根據本身的須要決定是否升級到IE8。

安全產品：Panda推出基於雲計算的免費反病毒軟件；關注指數：中

雲計算在安全領域如何應用還沒有有定論，但安全廠商們都已經開始按本身的理解和戰略發展本身基於雲計算的安全產品，西班牙廠商Panda本週推出了基於雲計算技術的免費反病毒產品。和其餘廠商的相似產品不一樣的是，該產品將傳統反病毒軟件檢測病毒的操做所有放到雲中完成，而不是在本地進行掃描，其運行機理並不複雜，該產品在安裝後會根據已知的安全文件和系統文件製做一個白名單，並經過雲來維護該名單使其保持最新。在用戶系統進入新的未知文件後，該產品會自動計算新文件的Hash值並進行比對，若是存在可疑因素該產品會將新文件傳到雲平臺上進行進一步檢測。從而減輕反病毒軟件對用戶本地系統資源的佔用，以及用戶對反病毒資料庫的管理和維護需求，有興趣的朋友能夠在 http://www.cloudantivirus.com網站下載試用。

筆者認爲，Panda的新反病毒產品算是雲計算反病毒的一個新思路，但與傳統的反病毒產品相比效果是否更好，還須要時間和實踐的證實，並且雲計算產品對高速網絡接入的依賴性，也可能會使很多企業用戶在選擇時充滿顧慮。

推薦閱讀：

1） 如何保護微軟SharePoint服務；推薦指數：中  

如今許多企業都選用微軟SharePoint做爲企業內部Portal的平臺，但由於SharePoint繼承微軟產品一向的快速部署能力和用戶友好，可能大多數的用戶都沒有考慮過SharePoint服務可能會面臨的各類安全風險，以及用戶能夠採起什麼措施去消除這些風險。eWeek.com文章《如何保護微軟SharePoint服務》爲用戶提供瞭如何選擇SharePoint保護產品的建議，有興趣的朋友能夠閱讀下，文章地址以下：

http://www.eweek.com/c/a/Security/How-to-Secure-Microsoft-SharePoint/?kc=rss

2） 怎樣使用統一身份管理來消減企業風險？推薦指數：高  

統一身份管理是訪問控制方向新興的領域，可以有效的下降企業在管理用戶和資源訪問控制上所耗費的人力物力成本，不過實施統一身份管理對不少沒有經驗的企業來講算是一件充滿挑戰的工做，eWeek.com文章《怎樣使用統一身份管理消減企業風險》介紹了企業實施統一身份管理的步驟和須要注意的地方，推薦有興趣的朋友瞭解一下。文章地址以下：  

http://www.eweek.com/c/a/Security/How-to-Unify-Identities-to-Reduce-Identity-and-Access-Management-Challenges/?kc=rss