12月第三週安全要聞回顧：瀏覽器安全不容忽視，SSL弱點影響網站安全

時間 2020-01-19

標籤 12月第三安全要聞回顧瀏覽器不容忽視 ssl 弱點影響網站欄目系統安全简体版

原文原文鏈接

本週（081215至081221）安全方面的新聞衆多，主要集中在***與威脅趨勢方面。瀏覽器安全方向波瀾起伏，微軟推出了針對上週公開的IE7新漏洞的緊急安全補丁，但目前互聯網上針對該漏洞的大規模***仍在繼續，******的手法也變得更爲多樣和隱蔽；Firefox也在本週進行了一次漏洞更新，但其餘的第三方瀏覽器則又再次被發現存在安全隱患。威脅趨勢方面，本期回顧將就SSL的部署安全、2009年的垃圾郵件***和SNS網站的用戶安全這三個方面進行深刻的關注。在本期回顧的最後部分，筆者還將向朋友們介紹一款上週推出的拒絕服務檢測工具，併爲朋友們帶來2個值得一讀的推薦閱讀文章。

本週的信息安全威脅等級爲低。

瀏覽器安全：針對IE7新漏洞的***仍在繼續，微軟推出緊急補丁；Chrome和Safari再報弱點；關注指數：高

在上週微軟IE7瀏覽器爆出嚴重的遠程代碼執行漏洞以後，安全行業就檢測到***對該漏洞發起的大規模***，微軟和安全廠商也緊急的向用戶提供了防護該漏洞***的應對措施和建議。但從多個安全廠商本週的監測狀況來看，***針對該漏洞的大規模***目前仍在繼續，***的手法也開始變得更爲多樣和隱蔽。根據12月15日eWeek.com的消息，***正在大規模的對合法網站進行***，並將攻下的合法網站用於經過IE7新漏洞進行的惡意軟件散佈，微軟及其餘安全廠商的報告也證明了這一點，微軟稱已經檢測到感染惡意軟件的IE7用戶顯著增長，而反病毒廠商趨勢科技也在另一份報告中稱，截至上週末爲止，已經至少有6000多個網站被***攻陷並放置IE7新漏洞的利用程序，用戶瀏覽合法網站的風險顯著上升。另外，除了常規的基於網站發起的***以外，***還將惡意網站與其餘的技術相結合，發起更有針對性的***：根據12月17日反病毒廠商McAfee的消息，McAfee AvertLabs根據用戶提交的文件樣本，發現了***使用了將IE7新漏洞的漏洞利用程序與微軟的Word文檔相結合的新***方法。該***的實現方法並不複雜，***在Word文檔中嵌入一個打開網頁的活動控件，並將其開啓目標指向包含有IE7新漏洞***程序的惡意頁面，而後***可將該文件經過電子郵件等方式發送給用戶，若是用戶不慎開啓該文件，則會自動開啓***預先設置的惡意網站，並在用戶系統上下載並運行惡意軟件，不太熟悉技術的用戶最易遭受這種類型的***。針對當前嚴峻的IE7瀏覽器威脅形勢，微軟繼上週向用戶提供修補漏洞的緊急措施以後，本週終於推出了針對該漏洞的緊急安全補丁。根據12月18日ITnews.com.au的報道，微軟當天推出了針對IE7漏洞的緊急安全補丁，筆者建議IE7用戶應儘快經過自動升級或本身從微軟網站上下載安全更新，以修補IE7中存在的嚴重漏洞。在同一天，微軟在瀏覽器市場上的主要競爭對手Firefox也推出了安全更新程序，主要修補Firefox 2和3在前一段時間被安全廠商發現的多個漏洞，建議Firefox用戶也儘快經過自動更新下載安裝。不過Firefox用戶須要注意，若是使用的是Firefox 2.0.0.19版本，應儘快升級到最新的Firefox版本，Mozilla在本次安全更新以後，將再也不對Firefox 2.0.0.19版本提供安全更新支持。

微軟IE7和Firefox用戶本週終於等到了安全更新，但別的第三方瀏覽器的用戶卻暫時不能放鬆，根據12月15日eWeek.com的消息，安全廠商Chapin Information Service日前對市場上流行的5個瀏覽器進行了一系列密碼管理相關的測試，結果顯示，Firefox和Opera是密碼管理保護最爲到位的兩個瀏覽器產品，微軟IE7的表現只能用平庸來評價，而Google Chrome及Apple Safari瀏覽器只能經過極少幾項測試，被評測廠商評爲密碼管理保護最差的瀏覽器。不過經驗代表，雖然瀏覽器的保存密碼功能可以幫助用戶管理密碼，但各廠商的瀏覽器產品都或多或少的存在密碼管理上的缺陷，若是用戶的密碼個數很少，建議用戶不用使用瀏覽器來記錄密碼，經過第三方的密碼管理軟件，或簡單如筆和紙這樣的安全性還會高一點。

威脅趨勢：SSL部署安全問題突出；2009年垃圾郵件威脅將明顯上升；SNS站點安全影響超過預計；關注指數：高

在關鍵的網頁服務上使用SSL來增強用戶數據傳輸的安全性，是網站運營商常見的作法，朋友們平時瀏覽網站時，若是遇到瀏覽器的地址欄顯示爲https時，就是網站的SSL加密連接正在保護用戶的數據傳輸安全。但最近安全廠商的研究代表，不安全的SSL部署方法，不單沒法有效的保護用戶數據的傳輸安全，並且還會由於SSL的存在帶給用戶虛假的安全感。根據12月16日Darkreading.com的消息，在本月底柏林即將舉行的Chaos Communication Camp***會議上，安全廠商Canola & Jones的研究人員將爲與會者演示當前SSL部署所面臨的31個嚴重安全問題。根據目前透露出來的消息，SSL部署的威脅主要集中在簽名管理、加密方式及使用方法上，安全研究人員發現很多主流網站使用的SSL證書已通過期或是採用自簽名方式，而在加密方式的選擇上，很多網站選擇了已知存在缺陷的SSL v2和40位加密的RC-4方法，這樣的加密通訊很容易被***所破解。而當前互聯網上數量衆多的證書提供商（CA），其缺少統一標準及管理的現狀也使得SSL部署的安全性沒法獲得較好的保證。對於SSL部署的安全問題，筆者在前半年的回顧中，曾推薦過VeriSign公司的擴展證書EV SSL技術算是比較好的解決方案，最近國內有很多金融機構都開始使用EV SSL以提供額外的安全驗證保護，推薦有較高安全需求的網站運營商瞭解一下EV SSL的相關信息。

而在對用戶影響較大的垃圾郵件***方面，安全廠商對明年給出了較爲悲觀的預測。根據12月18日ITnews.com.au的消息，反垃圾郵件廠商Barracuda當天發佈2009年垃圾郵件威脅預測報告稱，儘管在2008年內，垃圾郵件在電子郵件總量中的百分比與上年持平，仍保持在90至95%之間，但在2009年內垃圾郵件的數量將會明顯上升，並有可能到達並超過電子郵件總數95%這個數字。Barracuda還稱，在2008年底幾個月內，安全行業和互聯網服務提供商相互協做，摧毀了一系列以發送垃圾郵件爲主要目的的***網絡，但這幾個月中垃圾郵件的數量並無明顯的降低，顯示了垃圾郵件發送網絡生命力的頑強，同時垃圾郵件與網絡釣魚***、惡意軟件發送等***行爲的相互結合，也將在2009年有進一步發展的趨勢。筆者建議，做爲一個全球性的信息安全問題，垃圾郵件的威脅短期內仍將保持上升的勢頭，但對企業用戶來講，一個有效的反垃圾郵件解決方案就足以比較有效的防護外界垃圾郵件的侵襲；筆者也建議我的用戶培養良好的安全上網習慣，不隨意開啓來源不明的電子郵件，也能保護本身不至於成爲電子郵件病毒的受害者。

今年在國內廣爲流行的社會關係網絡網站（SNS網站），也再次成爲2009年主要的安全威脅。根據12月17日eWeek.com的報道，多個安全廠商的研究人員都認爲，SNS網站的流行，吸引了大量用戶的參與，也直接爲這些用戶所屬的企業形成了愈來愈嚴重的安全威脅。而最近一系列針對SNS網站的***活動也代表，***對SNS網站的各類***，不單會影響SNS用戶的帳戶安全，***也有可能借助SNS網站用戶的弱點，***用戶所屬的企業及其網絡設施，這一點在今年拉斯×××舉行的黑帽會議上已經獲得證明。許多企業單純的使用網站地址過濾等方法限制用戶在上班時間訪問SNS網站，但效果並不盡如人意，用戶也傾向於使用代理等技術來突破企業的封鎖。筆者建議，企業對用戶使用SNS網站的現象，除了常規的應用技術手段進行封禁以外，也應該同時採用管理和培訓的方式，增強用戶的安全意識，在有條件的狀況下，可引導用戶合理的根據企業安全策略使用SNS網站，並未企業的經營創造價值。

安全工具：免費拒絕服務***測試工具；推薦指數：高

根據12月16日Darkreading.com的消息，一個意大利的安全研究人員Acri Emanuele在一個安全社區發佈了其最新的拒絕服務***（DOS）測試工具，該工具可以模擬TCP會話鏈接的三個階段，並能在短期內讓TCP服務器中止服務。有興趣的朋友能夠用它來測試一下本身的網站或服務器可以抵禦怎樣強度的拒絕服務工具，不過筆者要提醒一句，不要用這個工具來測試其餘的合法網站，不然後果自負。

該工具的下載地址以下：

[url]http://complemento.sourceforge.net/[/url]