12月第3周安全回顧Cisco出安全報告微軟系統補丁包兩連發

本文同時發表在：[url]http://netsecurity.51cto.com/art/200712/62930.htm[/url]

 

本週（1217至1223）安全方面值得關注的新聞集中在漏洞補丁、威脅趨勢和安全服務方面。

新聞1：週三，來自多家媒體的訊息，HP膝上型電腦的隨機軟體接連發現重大安全漏洞。這些漏洞包括：在12月15號 公開的HP Quick Launch Button（QLB）軟體的遠端程式碼執行/許可權提升漏洞、HP Software Update ActiveX中存在的遠端程式碼執行和Windows系統檔案破壞漏洞。HP已經發布了針對這些漏洞的補丁，使用者可以通過HP Software Update更新或到HP的網站去下載更新程式。

筆者觀點：這是HP筆記本隨機軟體在今年第三次被發現有嚴重漏洞，在之前的2007年6月，HP筆記本的隨機軟體HP幫助和支援中心發現緩衝區溢位漏洞，會導致惡意程式碼的下載執行；而在12月的早些時候，在“HP訊息中心”也發現存在程式碼執行漏洞，並影響超過80個型號的HP筆記本。筆者認為，只要是軟體產品便有可能存在漏洞，HP的筆記本隨機軟體發現重大漏洞並不值得大驚小怪。對使用者來說，更重要的是廠商在發現並確認漏洞後，能夠及時通知使用者並提供軟體產品的更新。另外，從HP筆記本隨機軟體漏洞發現漏洞的間隔和影響的範圍來看，漏洞研究人員正在把相當多的精力投入到各大品牌機廠商的隨機軟體上，HP筆記本隨機軟體漏洞的頻繁發現只是開始，未來漏洞挖掘的目標很有可能擴充套件到其他較為著名的品牌機廠商的隨機軟體產品上，各大品牌機廠商應該注意這個趨勢，並做好相應的漏洞應急響應安排。

新聞2：週二，來自多家媒體的訊息，Microsoft日前釋出了Windows Vista Service Pack 1(SP1)和Windows XP Service Pack 3 （SP3）的RC測試版本，使用者可以通過Microsoft 的下載中心網站獲得。Vista SP1中將整合300多個補丁程式，而XP SP3也會引入很多在Vista中使用的技術。

筆者觀點：在Microsoft於12月的例行補丁日發表Windows Vista SP1和XP SP3的RC測試版本後，國內的網站上也出現很多相關的介紹。儘管從眾多的測試報告來看，打了RC版的Vista SP1或XP SP3的Windows系統在效能和安全性上都有了一定程度的提升，但筆者不推薦普通個人/企業使用者在生產環境中進行部署這兩個補丁包，因為RC版的補丁包並不是最終版本，Microsoft也稱在正式發表前會繼續往補丁包裡新增補丁程式，如果使用者現在就在生產環境中進行部署，在補丁包的正式版推出的時候，將有可能需要重新安裝系統才能更新的問題。此外，在Vista SP1 RC版中，Microsoft也沒有對目前Vista和一些第三方軟體的相容性問題進行解決。因此，筆者認為，Windows Vista SP1和XP SP3的RC版本更適合企業的IT部門搭建測試環境進行測試，或軟體廠商對自己的產品進行Vista SP1/XP SP3的相容性測試，以保證明年這兩個補丁包的正式版本推出時Windows系統及其上軟體升級的順利過渡。

 

新聞：週四，網路廠商Cisco當天釋出了一份年度安全報告，這份報告包括了漏洞、物理威脅、法律、信任機制、身份認證、人和政治七個Cisco認為是資訊保安威脅或趨勢的內容。

筆者觀點：這份報告的亮點在於，它除了和其他廠商的安全報告那樣，分析了2007-2008年度的攻擊及漏洞威脅趨勢之外，還首次將使用者行為分析和物理威脅作為威脅組成的一部分。此外，這份報告還首次分析法律及政治因素對企業資訊保安的影響，以往這種型別的分析並不會出現在資訊保安方面的預測報告上。筆者認為，儘管人是資訊保安的重要組成部分，包括法律等外部因素對企業的資訊保安環境有很大影響等是IT業界早已達成的共識，但在這幾年的季度/年度安全報告中，往往只納入了技術方面的威脅作為新的趨勢，而沒有太多關注人、法律、管理等資訊保安的重要組成部分。廠商的安全報告在很大程度上反映了廠商在下一年度所關注的重點，Cisco新安全報告比其他廠商的安全報告多出了這麼多新內容，背後的深意值得關注。

 

新聞：週一，安全廠商Symantec當天宣佈，推出面向企業的日誌管理服務。這個新推出的服務和Symantec原有的企業管理安全服務屬於同一系列，可為企業提供實時的伺服器和應用程式日誌監視服務，使企業有效減少在資訊保安及符合法律法規方面的風險。

筆者觀點：對大部分的企業來說，對資訊系統的日誌進行管理和分析，並發現潛在的安全風險並不是一件容易實現的工作。目前限於企業IT部門人力資源的限制，許多企業在日誌管理方面僅僅只做到儲存日誌這個要求，只有在發生安全事件之後才會對所有的日誌進行分析，費時費力。Symantec新推出的日誌管理服務在很大程度上滿足了企業的日誌管理需求，在當前企業，尤其是有電子商務業務的企業面臨日益嚴重的安全威脅及外部法律法規要求的情況，專業實時的日誌管理監視服務顯得更有價值。筆者認為，國內企業的情況和國外企業有所不同，但對規範合理的日誌管理及分析有類似的需求，因此，類似Symantec的日誌管理服務會在特定行業會有一定市場，而針對企業的IT部門提供的日誌管理和分析培訓也會有不錯的市場反應。