8月第3周安全回顧微軟發8月補丁開源反毒軟體被收購

本文同時發表在：[url]http://netsecurity.51cto.com/art/200708/53754.htm[/url]

 

本週（0813至0819）安全方面值得關注的新聞集中在漏洞攻擊、安全行業動態、安全產品和威脅趨勢方面。

漏洞攻擊：

Microsoft放出八月補丁，需注意瀏覽器相關漏洞，關注指數：高


新聞：週二，來自多家媒體的訊息，Microsoft當天按時釋出了八月的Windows及其他Microsoft軟體的補丁程式，從MS07042至MS07050共9個。除了MS07049 Virtual PC程式碼執行漏洞能夠影響客戶端和伺服器之外，其他8個漏洞均被劃分為影響客戶端的嚴重級別的漏洞。

分析：在針對客戶端的漏洞中，使用者需要注意MS07046 GDI和MS07050 VML這兩個漏洞，其中MS07046是MS06001的發展版本，MS07050是MS07004的發展版本。由於這兩個漏洞都屬於通過IE以當前使用者許可權來執行程式碼的遠端漏洞，攻擊者常用這類遠端漏洞製作惡意網頁，通過Web將各種惡意軟體種植到使用者的系統中。根據通常的規律，在每次Microsoft補丁推出的2周內是黑客利用當前漏洞進行攻擊的最頻繁的階段，因此，雖然目前網上尚未出現針對MS07046和MS07050的漏洞攻擊程式，但因為這兩個漏洞的實現細節早已公佈在網際網路上，估計攻擊程式的出現也就是近段時間之內。

筆者建議：使用者應保證自己的作業系統補丁和反病毒程式版本為最新，尤其是不能通過Windows Update和自動更新升級的使用者，請手動 從Microsoft的網站上下載補丁程式更新系統。使用者還應注意不要隨意開啟不受信任的網站，並隨時注意自己的系統是否有反應緩慢、游標閃爍等異常情況。


安全行業動態：

Novell收購安全管理公司Senforce，關注指數：中

新聞：週一，Novell宣佈收購安全管理公司Senforce，但Novell沒有透露這個收購案的涉及金額，也沒有透露將有多少Senforce員工加入Novell。Novell和Senforce的合作始於今年早些時候，當時Novell把Senforce的終端安全產品OEM為Zenworks終端安全套裝。

分析：收購Senforce將對Novell未來的安全產品戰略產生積極的影響，Novell除了可獲得Senforce所擅長的身份管理、系統管理和安全管理技術，還有Senforce的整個技術團隊。Novell在收購Senforce之後將繼續開發Zenworks終端安全套裝，不過業界有的廠商認為，Zenworks和別的終端安全套裝相比，還缺少關鍵的反惡意軟體元件。對於這點，筆者有不同看法，Novell同時也是一家作業系統廠商，它的SUSE Linux是商業Linux發行版中較為成功的，Novell現在收購Senforce，除了豐富自己的產品線外，更有可能的是要在Linux系統的安全管理方面拔得頭籌。Linux的安全管理對較為缺乏經驗的企業使用者來說比較困難，現在SUSE Linux加上安全管理方案，顯然對企業使用者會有相當大的吸引力。

Sourcefire收購開源反病毒軟體專案，關注指數：高

新聞：週五，安全廠商Sourcefire當天宣佈，收購開源反病毒軟體專案ClamAV，並計劃將ClamAV用於其當前的UTM產品中。ClamAV是著名的開源軟體，曾被整合到許多企業級的UTM、Web和E-mail安全閘道器中。

分析：免費、開源、快速加上較好的使用效果，作為開源軟體裡面少有的反病毒專案，ClamAV被許多安全廠商，尤其是規模較小的廠商選擇為自己安全產品的元件，用在許多企業級的UTM、Web安全閘道器、E-mail安全閘道器裡面。Sourcefire收購ClamAV之後，這一大塊廠商的產品的反病毒功能的授權和服務將成為未知數，儘管目前Sourcefire承諾會對這些廠商提供特殊的ClamAV使用授權，但顯然仍然會對這些廠商和他們的使用者造成不小的影響。ClamAV收購後給UTM及安全閘道器廠商留下的反病毒技術空白，對國內的反病毒廠商來說，說不定是一次難得的機遇。

安全產品：

Symantec和Intel聯合開發可以內建於微處理器的安全產品，關注指數：中

新聞：週三，Symantec的副總裁Rowan Trollope週二說，Symantec目前正在和Intel聯合開發可以內建於微處理器的安全產品，這種技術基於Intel的虛擬化技術，將用在未來的安全裝置中。

分析：隨著資料處理的效率和速度要求的提高，對安全功能的實現要求也越來越高，在高壓力環境下，用硬體代替軟體來實現安全功能漸漸成為主流。目前硬體級的安全實現主要有兩種型別，其中常見的是，安全裝置仍然是一臺定製的伺服器或PC，使用精簡過的通用作業系統（通常是Linux），安全功能由安裝在作業系統上的軟體實現，但軟體效率較差；另外一種是使用專門設計的安全晶片，直接將安全功能用晶片來實現，但硬體成本較高。Symantec和Intel目前聯合開發的技術克服了上述兩種方案的缺點，它使用通用的CPU和平臺架構來降低硬體成本，並使用專門開發的軟體直接執行於CPU上，來提高軟體執行效率。筆者認為，由於這種安全功能的實現方法價效比相當好，應該會被更多較大較有實力的安全廠商所接受，同樣擁有虛擬化技術的AMD也會加入競爭，但對於較小的安全廠商來說，採用上述的第一種安全裝置的實施方法仍是首選。

威脅趨勢：


針對IPS的逆向工程將造成嚴重安全威脅，關注指數：中

新聞：週二，諮詢機構Gartner說，Black Hat會議上公開的IPS逆向工程技術將有可能造成嚴重的安全威脅，攻擊者可以通過對IPS進行逆向工程，挖掘出IPS處理入侵資料的技術細節，並尋求躲避IPS進行攻擊的方法。

分析：企業中廣泛使用IPS，對加強內網中的入侵防護起了積極的作用。從Black Hat會議的資訊來看，IPS帶來的風險在於對入侵行為資料庫的保護不足上，Gartner的報告指出，攻擊者可以通過對IPS的入侵行為資料庫進行逆向分析，可以得出某種被IPS攔截的0Day漏洞的具體技術資料，從而重現這種漏洞，並用於攻擊其他沒有IPS保護的目標；另外入侵者還可以修改自己的攻擊特徵，從而達到躲避IPS的目的。筆者認為，雖然技術上可行，但攻擊者通過IPS的資料庫逆向工程來重現一個0Day漏洞，難度是很高的。比較有可能的是攻擊者通過逆向工程獲得躲避IPS的方法，不過已經部署有IPS的企業不需要對此太過擔心，因為漏洞利用程式的溢位程式碼有嚴格的格式規定，一個位元組的改變也有可能導致攻擊失敗，即使攻擊者有很低的機率避過IPS的探測併成功攻擊，企業使用者還可以通過反病毒軟體、防火牆等其他安全方案來進行防禦，對企業使用者來說，真正重要的是部署好層次化的深度防禦（Layered、In-depth）的內部網路安全體系。