12月第四周安全回顧：雙節期間微軟忙補新漏洞，新Hash將測試

本文同時發表在：[url]http://netsecurity.51cto.com/art/200901/104600.htm[/url]

 

本週（081222至081228）安全業界放假不放鬆，由於本週恰逢西方的假期季度（聖誕節加新年），安全圈子裡值得關注的訊息不多，基本仍以攻擊和威脅方面的為主。微軟SQL資料庫爆出安全漏洞，目前尚無補丁但已有如何攻擊漏洞的介紹；節日禮物不安全，內藏惡意軟體的數碼產品威脅消費者；安全技術方面，NIST正在制定的新Hash標準將開始公開測試；在本期回顧的最後，筆者將為大家帶來兩個值得一讀的推薦閱讀文章。

 

 

對微軟來說，2008年的年末顯然是一個非常忙碌的時刻，前兩週微軟才匆忙的為威脅巨大的IE7漏洞推出緊急安全補丁，本週就又有安全研究人員爆出微軟另外一個主要產品——SQL Server資料庫伺服器中存在的嚴重安全漏洞。根據12月23日Securityfocus.com的訊息，來自安全廠商SEC consult Vulnerability Labs的研究人員Bernhard Mueller釋出一份報告稱，在微軟的SQL Server資料庫伺服器產品中存在一個致命的安全漏洞，黑客可以通過攻擊SQL Server中存在資料處理缺陷的`sp_replwritetovarbin`儲存過程，在使用者的系統上以SQL Server的許可權執行系統命令，並嚴重威脅所有使用SQL Server作為動態頁面資料的網站，和利用SQL Server提供資料庫服務的其他應用系統的安全。根據12月23日Darkreading.com的訊息，微軟已經在自己的官方站點上釋出針對該漏洞的緊急安全公告，確認該漏洞將會影響除微軟最新的SQL Server 2008之外的所有SQL Server版本。目前微軟仍未推出針對該安全漏洞的補丁，但微軟和安全廠商已經就使用者如何防禦針對該漏洞的攻擊提供了一些過渡解決方案，使用者可先禁用SQL Server伺服器的遠端連線功能，或通過部署應用程式防火牆等措施，防禦黑客藉助SQL隱碼攻擊技術實施針對上述漏洞的攻擊。

該安全漏洞的公開過程，也再次暴露出安全行業和軟體廠商之間缺乏足夠的溝通，該漏洞的發現者稱，早在四月份就已經通知微軟有關SQL Server存在該安全漏洞，並提供了詳細的漏洞資訊，但微軟一直不聞不問，因此漏洞發現者才將該漏洞的詳細資訊和攻擊方式釋出到網際網路上。但安全行業也普遍質疑該漏洞發現者的行為，並認為其在該漏洞未提供補丁程式前就公開漏洞細節是相當不道德的行為，對此筆者也深以為然，畢竟未修補的漏洞及其細節一旦公開到網際網路上，對使用者造成的威脅和損失是難以估算的。筆者建議，SQL Server使用者應關注微軟對該漏洞處理的最新進展，在目前尚未有補丁程式的情況下，建議通過更新防火牆規則，刪除`sp_replwritetovarbin`儲存過程、修正Web應用程式程式碼等方式，儘可能的降低乃至消除該漏洞對Web網站和系統的威脅和影響。

 

近兩年來，剛出廠的消費類數碼產品包含惡意軟體已經不算是很新的新聞，不過這次事件的主角是知名的電子廠商三星倒是第一次了。根據12月24日Securityfocus.com的訊息，不少使用者都反映，他們早些時候從Amazon購買的三星數碼相框，都包含了一個名為Win32.Salty的惡意軟體，該惡意軟體在六個多月前就能被市面上流行的反病毒軟體所查殺。三星電子在本月曾就其數碼相框產品感染惡意軟體發表過一個安全公告，建議使用者先使用反病毒軟體清除數碼相框上的惡意軟體，再重新安裝更新版本的數碼相框管理軟體。該事件再次暴露出消費類數碼產品在銷售前仍缺乏有效的資料安全檢測，因為早在一年多前，安全專家就曾發表過安全警告，稱帶有儲存功能的消費類數碼產品有可能成為惡意軟體傳播源，而美國銷售商Best Buy（百思買）也曾因為這個原因，今年1月將其銷售的某型號數碼相框撤下貨架。而對消費者來說，如果節假日裡收到帶有內建儲存器的三星數碼相框或者別的類似產品，在使用前最好還是先用反病毒軟體來檢查下記憶體中的檔案是否安全，要不藏有惡意軟體之類的“意外驚喜”就不好了。

 

Hash技術是一種通過一定的加密演算法，將使用者或系統的明文資料轉化成加密資料的技術，它和常見的加密演算法不同的地方在於，Hash加密是單向的，只能將明文轉化為密文，而不能將密文再次轉換成明文。因此，Hash演算法常用於儲存密碼、校驗值等需要防止破解的敏感資訊，目前最為常用的是MD5和SHA演算法，而這兩種演算法的早期版本MD4和SHA-1，都存在著容易被破解的缺陷。為了尋找下一代更安全的Hash演算法，標準制定者美國技術標準學會（NIST）正準備舉行一次大規模的測試，根據12月22日Securityfocus.com的訊息，NIST即將舉行的針對Hash演算法的大規模公開測試中，將採用接近實戰攻擊的方法來找出可以取代當前Hash演算法的替代標準，本次測試將組建51個不同的測試組，並對待選的標準進行攻擊嘗試和效能評估，最終沒有被攻破的候選者就是獲勝者。不過NIST也表示，因為當前使用的SHA-2標準仍沒有可實現的攻擊方法，NIST也並不急於選擇一個SHA-2 Hash標準的替代品。對Hash演算法設計和攻擊方法有興趣的朋友，可以到NIST針對此次活動開設的網站去了解一下，網址如下：

[url]http://csrc.nist.gov/groups/ST/hash/sha-3/Round1/submissions_rnd1.html[/url]

 

接近年底，總結關鍵詞成為網際網路上對2008年進行評價的最流行形式，安全業界當然也不能例外。Darkreading.com文章《2008年資訊保安領域的6個關鍵詞》，就總結了2008年最具代表性的6個關鍵詞及其幕後事件，推薦朋友們閱讀一下。文章地址如下：
[url]http://www.darkreading.com/security/management/showArticle.jhtml?articleID=212501928&subSection=Security+administration/management[/url]

兼併收購成為眾多企業度過本次經濟危機的無奈選擇，但兼併收購過程中的業務整合，往往成為敏感資料洩漏事件高發的威脅階段，如何保護敏感資料就成為兼併收購順利進行的關鍵。eWeek.com文章《如何在兼併收購中保護敏感資料》對此進行了詳細的討論，推薦相關領域的朋友們瞭解一下。

文章的地址如下：