10月第2周安全回顧 Web安全認證架構成型 PDF閱讀器存漏洞

本文同時發表在： [url]http://netsecurity.51cto.com/art/200710/58091.htm[/url]

 

本週（1008至1014）安全方面值得關注的新聞集中在Web應用安全、漏洞***、開發安全和VoIP安全方面。

Web應用安全：OWASP準備推出網站安全認證架構，關注指數：高

新聞：週一，開源的Web應用安全組織OWASP（Open Web Application Security Project）目前正準備推出網站安全認證架構，這個網站安全認證架構將主要面向網站上的Web應用程序，並提供詳細的安全認證標準以用於評測並標識網站爲安全。

筆者觀點：從今年年初開始，Web已經取代E-mail成爲惡意軟件傳播的第一途徑，另外的一些來自Web的***，好比跨站腳本、釣魚網站等也一直呈上升趨勢。所以，如何保證互聯網上的瀏覽安全已經成爲用戶一件很是急迫的事情。對用戶來講，除了常見的注意及時更新系統和安全軟件版本、儘量只登陸可信站點以外，其實更完全的方法是從Web站點的安全性入手，爲用戶提供安全瀏覽的保證。儘管目前市場上已經有多個標記Web站點是否合法的認證，如國際上的VeriSign和Cybertrust認證及其餘國家性質的電子商務站點認證標誌，但這些都只是從電子商務而非Web站點自己所用技術的角度來衡量Web站點的安全性。另外，安全行業的大部分廠商對Web站點進行安全評估時，也大多隻使用掃描工具對Web站點進行簡單的掃描，並不能比較完全的發現問題。

筆者認爲，OWASP此次將要推出的網站安全認證架構至關值得期待，對Web站點來講，這個安全認證架構自己針對的是Web應用程序，它將要提供的檢測流程也能儘量的保證Web站點不受最新的漏洞影響，得到這個構架的承認將會對提升用戶使用體驗有好處；對安全廠商來講，可否利用這個架構對Web站點進行安全評估，並進行持續的安全維護服務，頗有可能成爲進入Web站點安全市場的一個必須資質。

漏洞***：Adobe稱Acrobat Reader中存在嚴重漏洞，關注指數：高

新聞1：週三，來自yahoo的消息，Adobe日前宣佈，在多個版本的Acrobat Reader發現存在嚴重漏洞，***者有可能利用這個漏洞在用戶不知情的狀況下安裝惡意軟件。目前Adobe已經確認這個漏洞會發生在安裝有IE7的Windows XP SP2的計算機上，其餘平臺尚無***報告，Adobe也沒有提供更多關於漏洞的細節，並稱升級補丁將在10月底提供。

筆者觀點：今年來，針對Acrobat以及PDF文檔***頻繁發生，以前的垃圾郵件使用PDF做爲文件附件廣爲散發即是最近發生的針對PDF的***，此次Adobe所公佈的漏洞再次顯示PDF文檔及Acrobat Reader自己正愈來愈成爲***者的目標。去年末筆者所認爲的隨着Microsoft對Windows及IE安全的重視，針對IE自己的***將轉移到IE的第三方瀏覽器插件上的事情看來要在Acrobat Reader上重演，由於Microsoft對Windows及Office系統安全的重視，***者針對Microsoft產品發起0Day***的難度和成本大大提升，用戶面十分普遍的Acrobat Reader，及其餘用戶數量巨大的第三方軟件將頗有可能成爲下一波0Day漏洞***的對象，業界及用戶應對此有充分的認識。

開發安全：******開發中的應用程序漸成趨勢，Fortify 提供應對方案，關注指數：中

新聞：週四，一種稱爲「Cross-Build Injection」的新***悄然出如今開發業界，這種***與以往***者在已發佈的應用程序中使用各類方法查找漏洞並進行***不一樣，***者利用各類途徑，好比提供帶後門的編譯組件或編譯腳本，或進行過惡意代碼插入的源程序，當用戶或二次開發者使用這些修改過的代碼和組件時，將存在巨大的潛在風險。代碼安全廠商Fortify已經發布了一份指導，指導開發廠商如何避免這類***。

筆者觀點：Cross-Build Injection這種基於源代碼的***最先曾出現先2002年，當時OpenSSH和Sendmail的源代碼曾被***惡意修改，並加入後門代碼。但當時由於受影響的軟件都是用戶衆多的開源軟件，因此***的行爲很快被發現並解除威脅。筆者認爲，Cross-Build Injection這種***將以兩種方式影響用戶：其一由於企業中使用開源軟件的比重日益增多，若是從不可信或被***侵入過的來源得到源代碼並自主編譯、部署，企業便有可能將威脅帶入內部網絡當中；還有一種威脅的形式是來自於小型或我的開發者，他們爲下降成本，一般會採用現成的開發組件，若是組件的來源不可信，而企業又選用了這樣開發出現的應用軟件，也頗有可能將威脅帶入內部網絡。但由於目前Cross-Build Injection***方式尚無十分有效的應對措施，因此企業在使用開源軟件或購買應用軟件時，應該將軟件的代碼安全因素考慮在內。

***趨勢：Vishing，Skype和VoIP詐騙，關注指數：中

新聞：週三，來自互聯網應急響應組織ISC的消息，近一段時間來，針對Skype用戶的詐騙及釣魚***有持續上升的趨勢，安全專家將這種針對VoIP用戶或基於VoIP技術的欺詐方式稱之爲Vishing（參考網絡釣魚的詞Phishing）。目前存在的***方式主要有2種，一種是經過Skype匿名信息或電子郵件通知Skype用戶中獎，另一種則是更進一步的用Skype的語音郵件功能給用戶發送有欺詐內容的語音留言，特別值得注意的是，第一種***方式在國內也有出現。

筆者觀點：因爲Skype用戶日益增多，同時Skype的PC-to-Phone服務是付費服務，所以針對Skype用戶帳戶上的Skype點數的***也開始增多，並且國內也出現針對Skype的***這一點也應該引發用戶的關注。Skype默認公開用戶的註冊電子郵件地址和容許接受陌生人信息也是使Skype用戶易受***的內在緣由。筆者建議，爲了應對Vishing***，Skype用戶在使用時應該設置電子郵件隱私策略，不對外公開本身的電子郵件地址；同時用戶還應該阻止來自陌生人的信息，並加強使用安全意識，不要輕易相信獲獎信息或隨便點擊Skype對話中的鏈接。