漏洞***:
Microsoft放出八月補丁,需注意瀏覽器相關漏洞,關注指數:高
新聞:週二,來自多家媒體的訊息,Microsoft當天按時釋出了八月的Windows及其他Microsoft軟體的補丁程式,從MS07042至MS07050共9個。除了MS07049 Virtual PC程式碼執行漏洞能夠影響客戶端和伺服器之外,其他8個漏洞均被劃分為影響客戶端的嚴重級別的漏洞。
分析:在針對客戶端的漏洞中,使用者需要注意MS07046 GDI和MS07050 VML這兩個漏洞,其中MS07046是MS06001的發展版本,MS07050是MS07004的發展版本。由於這兩個漏洞都屬於通過IE以當前使用者許可權來執行程式碼的遠端漏洞,***者常用這類遠端漏洞製作惡意網頁,通過Web將各種惡意軟體種植到使用者的系統中。根據通常的規律,在每次Microsoft補丁推出的2周內是***利用當前漏洞進行***的最頻繁的階段,因此,雖然目前網上尚未出現針對MS07046和MS07050的漏洞***程式,但因為這兩個漏洞的實現細節早已公佈在網際網路上,估計***程式的出現也就是近段時間之內。
筆者建議:使用者應保證自己的作業系統補丁和反病毒程式版本為最新,尤其是不能通過Windows Update和自動更新升級的使用者,請手動 從Microsoft的網站上下載補丁程式更新系統。使用者還應注意不要隨意開啟不受信任的網站,並隨時注意自己的系統是否有反應緩慢、游標閃爍等異常情況。
安全行業動態:
Novell收購安全管理公司Senforce,關注指數:中
新聞:週一,Novell宣佈收購安全管理公司Senforce,但Novell沒有透露這個收購案的涉及金額,也沒有透露將有多少Senforce員工加入Novell。Novell和Senforce的合作始於今年早些時候,當時Novell把Senforce的終端安全產品OEM為Zenworks終端安全套裝。
分析:收購Senforce將對Novell未來的安全產品戰略產生積極的影響,Novell除了可獲得Senforce所擅長的身份管理、系統管理和安全管理技術,還有Senforce的整個技術團隊。Novell在收購Senforce之後將繼續開發Zenworks終端安全套裝,不過業界有的廠商認為,Zenworks和別的終端安全套裝相比,還缺少關鍵的反惡意軟體元件。對於這點,筆者有不同看法,Novell同時也是一家作業系統廠商,它的SUSE Linux是商業Linux發行版中較為成功的,Novell現在收購Senforce,除了豐富自己的產品線外,更有可能的是要在Linux系統的安全管理方面拔得頭籌。Linux的安全管理對較為缺乏經驗的企業使用者來說比較困難,現在SUSE Linux加上安全管理方案,顯然對企業使用者會有相當大的吸引力。
Sourcefire收購開源反病毒軟體專案,關注指數:高
新聞:週五,安全廠商Sourcefire當天宣佈,收購開源反病毒軟體專案ClamAV,並計劃將ClamAV用於其當前的UTM產品中。ClamAV是著名的開源軟體,曾被整合到許多企業級的UTM、Web和E-mail安全閘道器中。
分析:免費、開源、快速加上較好的使用效果,作為開源軟體裡面少有的反病毒專案,ClamAV被許多安全廠商,尤其是規模較小的廠商選擇為自己安全產品的元件,用在許多企業級的UTM、Web安全閘道器、E-mail安全閘道器裡面。Sourcefire收購ClamAV之後,這一大塊廠商的產品的反病毒功能的授權和服務將成為未知數,儘管目前Sourcefire承諾會對這些廠商提供特殊的ClamAV使用授權,但顯然仍然會對這些廠商和他們的使用者造成不小的影響。ClamAV收購後給UTM及安全閘道器廠商留下的反病毒技術空白,對國內的反病毒廠商來說,說不定是一次難得的機遇。
安全產品:
Symantec和Intel聯合開發可以內建於微處理器的安全產品,關注指數:中
新聞:週三,Symantec的副總裁Rowan Trollope週二說,Symantec目前正在和Intel聯合開發可以內建於微處理器的安全產品,這種技術基於Intel的虛擬化技術,將用在未來的安全裝置中。
分析:隨著資料處理的效率和速度要求的提高,對安全功能的實現要求也越來越高,在高壓力環境下,用硬體代替軟體來實現安全功能漸漸成為主流。目前硬體級的安全實現主要有兩種型別,其中常見的是,安全裝置仍然是一臺定製的伺服器或PC,使用精簡過的通用作業系統(通常是Linux),安全功能由安裝在作業系統上的軟體實現,但軟體效率較差;另外一種是使用專門設計的安全晶片,直接將安全功能用晶片來實現,但硬體成本較高。Symantec和Intel目前聯合開發的技術克服了上述兩種方案的缺點,它使用通用的CPU和平臺架構來降低硬體成本,並使用專門開發的軟體直接執行於CPU上,來提高軟體執行效率。筆者認為,由於這種安全功能的實現方法價效比相當好,應該會被更多較大較有實力的安全廠商所接受,同樣擁有虛擬化技術的AMD也會加入競爭,但對於較小的安全廠商來說,採用上述的第一種安全裝置的實施方法仍是首選。
威脅趨勢:
針對IPS的逆向工程將造成嚴重安全威脅,關注指數:中
新聞:週二,諮詢機構Gartner說,Black Hat會議上公開的IPS逆向工程技術將有可能造成嚴重的安全威脅,***者可以通過對IPS進行逆向工程,挖掘出IPS處理***資料的技術細節,並尋求躲避IPS進行***的方法。
分析:企業中廣泛使用IPS,對加強內網中的***防護起了積極的作用。從Black Hat會議的資訊來看,IPS帶來的風險在於對***行為資料庫的保護不足上,Gartner的報告指出,***者可以通過對IPS的***行為資料庫進行逆向分析,可以得出某種被IPS攔截的0Day漏洞的具體技術資料,從而重現這種漏洞,並用於***其他沒有IPS保護的目標;另外***者還可以修改自己的***特徵,從而達到躲避IPS的目的。筆者認為,雖然技術上可行,但***者通過IPS的資料庫逆向工程來重現一個0Day漏洞,難度是很高的。比較有可能的是***者通過逆向工程獲得躲避IPS的方法,不過已經部署有IPS的企業不需要對此太過擔心,因為漏洞利用程式的溢位程式碼有嚴格的格式規定,一個位元組的改變也有可能導致***失敗,即使***者有很低的機率避過IPS的探測併成功***,企業使用者還可以通過反病毒軟體、防火牆等其他安全方案來進行防禦,對企業使用者來說,真正重要的是部署好層次化的深度防禦(Layered、In-depth)的內部網路安全體系。