Web安全:Java執行環境將成為下一波Web安全威脅的主要目標
新聞:週一,Symantec的技術人員在該公司blog說,針對Java執行環境(Runtime Environment)的***是一種新的安全威脅,之前雖然曾有研究人員釋出過Java安全問題的研究報告,但實現***都比較困難。這次Symantec DeepSight威脅響應小組發現,由於前一段Java執行環境以及它的元件發現了一些漏洞,網際網路上針對這些漏洞的***活動顯著增加。
分析:從90年代中期Sun推出Java開始,Java就被認為是一種安全的跨平臺語言,它的初始設計使其對其他語言中常見的緩衝區溢位、許可權過大等漏洞免疫。雖然之前曾有一些研究人員發表過Java安全的研究報告和演示,但他們所採用的Java環境都是經過修改,在預設安裝中不曾存在的。但Java的這個安全記錄在近一段時間被Java 執行環境及其他元件所爆出的漏洞打破:今年1月,Sun釋出了Java 執行環境GIF影像緩衝區溢位漏洞;7月3日,SecurityFocus釋出了Sun JDK JPG/BMP影像處理器多個漏洞;7月9日,eEye釋出了Java 執行環境 Webstart JNLP檔案堆疊溢位漏洞。值得注意的是,這些漏洞都針對Java執行環境,安全業界對Java安全的興趣正從Java語言本身轉移到Java的客戶端執行環境中,***者同樣會考慮利用公開的Java執行環境漏洞發起新一波來自Web的***。和上週筆者所建議注意的Flash漏洞一樣,由於Java執行環境在客戶端機器上的部署數量大,其自動的安全升級也相對滯後,因此,筆者認為,雖然目前網際網路上尚未出現大規模的針對Java執行環境的***,使用者也要明白這類***的嚴重程度和其他***的並無兩樣。使用者應該及時到Sun的官方網站及其他相關廠商的頁面上更新自己的Java環境,切勿瀏覽不安全的網站,有條件的使用者還可以使用IDS/IPS增加防護的層次,並及時更新IDS/IPS的特徵碼資料庫。
統計顯示80%存在惡意程式碼的網站為合法網站
新聞:週二,反病毒廠商Sophos釋出了2007年上半年病毒報告,報告中指出2007年上半年Web取代E-mail成為惡意程式碼***發起的主要來源,在包含惡意程式碼的網站中,有80%的網站是被***所***控制的合法網站,其中又以使用Apache web伺服器的為主。
分析:Web取代E-mail成為惡意程式碼***的主要來源已經成為安全業界的共識,但Sophos的病毒報告所統計出來的“包含惡意程式碼的網站80%是合法網站”這一結果可能會讓使用者感到意外,但實際情況和報告中提到的並無太大的出入。由於使用者的安全意識日益增強,對E-mail或其他來源的網路連結不會隨便點選,而合法網站的訪問量要遠遠大於***者自己架設的惡意網站,合法網站很自然就成為***發起***的首選目標。國內網際網路的情況也大同小異,遊戲、財經、論壇等網站都是***經常***的目標。網站管理員的維護水平和響應速度的參差不齊也是導致合法網站佔包含惡意程式碼的網站的80%的重要原因。筆者認為,網站應該和使用者、安全行業應該加強溝通,提高網站管理員的安全技術水平、保持使用者和網站之間通暢的溝通渠道,還有安全行業及時提供最新的技術和威脅反饋,這樣,才能儘可能的減少合法網站成為***者傳播惡意程式碼幫凶的可能性。
反垃圾郵件:Excel檔案成為垃圾郵件傳送者的新選擇
新聞:週一,來自Mcafee Avert實驗室的訊息,繼前三週使用PDF作為附件的垃圾郵件持續增長外,研究人員捕獲了新的垃圾郵件變種。這種垃圾郵件使用Excel的XLS文件作為附件,並在XLS中插入了包含廣告內容的圖片。
分析:如同安全業界在PDF附件的垃圾郵件開始流行的時候預測的那樣,垃圾郵件傳送者很快就把附件格式轉移到其他普通使用者機器上常用的檔案格式。可以預見,垃圾郵件傳送者將逐漸放棄在郵件主題或內容上進行改變的方式,更多的使用各種檔案格式的附件作為廣告資訊的載體。Office系列的文件格式將是未來一段時間垃圾郵件傳送者要使用的附件,但由於普通使用者機器上常見檔案格式不多,垃圾郵件傳送者將採用多種格式巢狀使用的方式,來躲避垃圾郵件過濾方案的攔截,例如此次Mcafee發現的XLS垃圾郵件便是由內嵌有圖片的XLS文件,再經過zip壓縮過再傳送的。另外,Office系列的文件作為垃圾郵件附件還會給使用者帶來惡意軟體威脅,垃圾郵件傳送者還有可能在垃圾郵件附件中帶有Office漏洞溢位程式碼的Office文件。這樣如果使用者不慎開啟附件,使用者有可能以為附件是損壞的Office檔案,其實很有可能已經感染惡意軟體。對此類文件附件的垃圾郵件,安全業界目前尚無很有效的防禦方式,只能依靠使用者自己提高安全意識,不要開啟來自非可信地址的郵件及其附件。
伺服器安全:虛擬化環境安全手冊即將推出
新聞:週五,非盈利性組織網際網路安全中心(Center for Internet Security, CIS)即將推出業界第一份描述虛擬化環境安全模型、提供虛擬化環境安全配置方法的手冊。
分析:因為虛擬化應用有裝置利用率高、節省開支、使用者友好等優點,企業越來越多的使用虛擬化技術。但同時由於虛擬化環境與實體環境有諸多的不同點,常見的實體環境安全配置方法並不完全適用於虛擬化環境,許多使用者也因為安全問題而對虛擬化技術保持觀望的態度。筆者認為,CIS即將推出的虛擬化環境安全手冊是安全業界對虛擬化 安全技術的有益嘗試,也將對推進企業部署虛擬化應用產生積極的影響,國內的安全廠商也可以適當關注一下這方面的技術發展。