2月第4周安全要聞回顧:思科爆洞忙發補丁Google發懸賞挑戰黑客

技術小美發表於2017-11-09
Go黑客
 
本週(090223至090301)安全方面值得關注的新聞仍主要以攻擊和威脅方向的為主,繼前兩週推出一批安全更新程式後,主流軟體廠商的軟體本週仍爆出了嚴重的安全漏洞,微軟和Adobe的產品均不能倖免,而網路廠商Cisco也釋出安全公告稱,其多個產品中存在有可能被攻擊者利用的安全漏洞。
安全技術方面,Google本週開始組織的Native Client安全測試,從一個側面反映了Google對瀏覽器安全技術的研究方向,本期回顧就讓筆者和朋友們一起了解下這個新聞。
在本期回顧的最後,筆者仍為朋友們精心挑選了兩個值得一讀的推薦閱讀文章。
本週的安全威脅等級為中。黑客對主流軟體廠商產品中存在的已知漏洞進行攻擊的風險較高,筆者建議使用者關注軟體廠商的安全更新發布進度,及時從軟體廠商的升級站點上下載並安裝安全更新程式。
漏洞攻擊:
微軟和Adobe產品頻繁出現威脅嚴重的新漏洞,網路廠商Cisco產品中也出現嚴重漏洞;關注指數:高
2009年的第一季度看起來主流軟體廠商產品的安全漏洞大爆發時期。上兩週微軟、Adobe和Apple等主流的軟體廠商才釋出了為數不少的安全更新程式,許多使用者仍沒有或正計劃使用這些安全更新,本週又有多個主流軟體廠商的產品中再次爆出了威脅嚴重的新漏洞。
本週二微軟釋出安全公告稱,Office Excel中目前已經確認存在一個嚴重的安全漏洞,並影響Office 2000/2003/2007和Office 2008 for Mac等多個不同的Office版本。該漏洞屬於對使用者威脅最嚴重的遠端程式碼執行漏洞,如果黑客成功攻擊該漏洞,將可以在使用者系統上執行事先設定好的惡意程式,並造成進一步的破壞。
根據微軟的安全公告,目前黑客可能已經廣泛的使用該漏洞對使用者實施有針對性的攻擊,而來自多個反病毒廠商的訊息也從側面確認了該漏洞的存在,Symantec稱,已經在其最新的病毒定義中增加了對該漏洞攻擊檔案的特定,並命名為Trojan.Mdropper.AC。
不過微軟暫時還未能推出針對該漏洞的安全更新程式,筆者建議使用者在這段時間內不要輕易開啟來自不可信來源的Excel檔案,並使用反病毒軟體掃描每一個進入自己網路的Office檔案,如果系統硬體支援,開啟系統的資料執行保護DEP選項也能在一定程度上保護使用者的系統不受此類漏洞的攻擊。
Adobe流行的PDF處理和閱讀軟體Acrobat及 Reader在本週也出現了對使用者威脅嚴重的遠端程式碼執行漏洞。根據Adobe在週一釋出的安全公告,該漏洞已經確認存在於Adobe Acrobat和Reader兩個產品系列中,這兩個產品在處理PDF檔案中的Java Script程式時會出現記憶體錯誤問題,並進一步導致出現執行不可預見的行為,或執行黑客事先設定好的惡意程式,Adobe同時還確認了該漏洞存在於Acrobat和Reader 9.0及以前版本中。
安全廠商Shadowserver的研究人員稱,目前該漏洞已經被黑客用於小規模的針對性攻擊中,反病毒廠商Symantec也於當天表示,已經將針對該漏洞的攻擊檔案特徵新增到其病毒資料庫中,並命名為bloodhound.exploit.213。不過Adobe也表示,由於針對該漏洞的安全更新正在開發當中,最早要到3月11號才能向公眾釋出,因此在這段時間內,筆者建議使用者通過禁用Acrobat和Reader的Java Script解釋功能,來防止該漏洞被黑客所攻擊,並遭受進一步的資料或隱私資訊損失。
另外,Adobe在本週更新了媒體播放器軟體Flash Player,並修正了其中存在的5個安全漏洞,由於除了單獨安裝的版本外,Flash Player並不支援自動升級,筆者建議朋友們儘快登入Adobe網站上的Flash Player安裝頁面手動更新Flash Player,防止遭受黑客通過Flash漏洞發起的惡意網站和惡意軟體攻擊。
網路廠商Cisco本週也釋出安全公告稱,確認在Cisco ACE Application Control Engine Module和Cisco ACE 4710 Application Control Engine中存在多個安全漏洞,其中三個安全漏洞的威脅等級較高,並以確認目前已經有有效的漏洞利用程式碼或方式。Cisco同時釋出了針對本次安全公告的安全更新程式,使用對應產品的使用者可以通過Cisco網站下載更新程式,並根據安全公告內的操作指南進行安全配置操作。
安全技術:
Google開始Native Client攻擊挑戰活動;關注指數:高
Google繼推出Chrome瀏覽器和安全搜尋技術之後,在瀏覽器安全領域繼續保持活躍,本週開始的Google Native Client攻擊挑戰活動,將顯示Google在瀏覽器安全技術領域達到的新水平。Google Native Client攻擊挑戰活動從本週開始,將在5月5日結束,Google還準備了5檔象徵意義(8192、4096、2048和1024美元)的獎金,將頒發給挖掘出Native Client最有創意的5個漏洞的研究人員。
Native Client是Google正在進行的一個開放原始碼專案,其目標是在Web應用上執行原生的x86體系程式碼,其實現原理就是通過在Web應用程式和瀏覽器之間增加一個可以執行在不同作業系統平臺上的沙箱模型,並保證原生的x86程式碼能夠安全的在該沙箱模型中執行。目前Google的研究人員已經成功的在Native Client體系上執行3D射擊遊戲Quake和指令碼解釋語言Lua,測試的結果也表明,通過Native Client來執行的x86程式碼執行速度與直接在系統中執行相差無幾。
筆者認為,如果Native Client技術發展成熟,並確認其安全性和執行效率,Native Client能夠支援的應用程式就會大量增長,甚至出現能夠執行在Native Client中的作業系統,整合Native Client技術的瀏覽器也將成為Google進入虛擬化領域的新武器,Web OS的出現也指日可待。有興趣的朋友也可以通過Native Client在Google Code站點上的頁面進一步瞭解它的設計和運作原理,網站地址如下:[url]http://nativeclient.googlecode.com/[/url]
推薦閱讀:
1) 如何使用雙因素驗證來消除網路風險;推薦指數:高
網路弱口令一直是對企業內部網路最為嚴重的安全威脅之一,除了成為黑客滲透企業內部網路的主要方式之外,網路弱口令也常被各種自動化的惡意軟體用於在企業內部網路中大肆擴散。隨著雙因素驗證技術的發展成熟和成本進一步降低,企業開始傾向於使用比傳統密碼驗證安全得多的雙因素驗證,但如何選擇最合適的雙因素驗證方案,卻成為眾多企業對雙因素驗證望而卻步的原因。
eWeek.com文章《如何使用雙因素驗證來消除網路風險》詳細的介紹了雙因素驗證及其應用,推薦有興趣的朋友瞭解下。
2) 如何花更少的錢得到更好的安全保障;推薦指數:高
經濟危機的影響使得大多數企業被迫削減各方面的開支,IT預算和安全預算成為首當其衝受削減的目標,如何在減少的安全預算下仍保證能夠獲得更好的安全保障?筆者推薦本週darkreading.com的文章《如何花更少的錢得到更好的安全保障》,文章地址如下:
[url]http://www.darkreading.com/security/management/showArticle.jhtml?articleID=214600349&subSection=Security+administration/management[/url]
本文轉自J0ker51CTO部落格,原文連結:http://blog.51cto.com/J0ker/136300,如需轉載請自行聯絡原作者


相關文章