中秋過後,要做的事情還真是不少,尤其上週的信息安全領域發生的幾件值得關注的事件,QuickTime 曝出新的零日漏洞,51CTO安全專家樑林認爲由於關於該漏洞及其漏洞利用程序的細節還不完善,很有可能被國內外運營殭屍網絡的網絡犯罪團伙利用。樑林也建議大家,爲避免造成不必要的損失,一定關注Apple的安全公告,及時打補丁。
零日漏洞是大家都不願意看到的,但與此相比,就目前國內軟件業的情況來看,軟件安全相關的產品開發、服務和諮詢都相當有市場,所以微軟即將發佈的安全開發模型倒是很值得業內期待。總體來說,上週(080915至080921)的信息安全威脅等級還是比較低的。
漏洞***:QuickTime 0day漏洞現身;關注指數:高
新聞:9月19日,安全專家警告稱新的QuickTime 0Day漏洞已現身。該漏洞屬於“分界範圍錯誤”類型, 來自於QuickTime播放器對多媒體文件的文件頭信息的處理缺陷,***者可以將精心構造的XML信息插入到音頻或視頻文件的文件頭,利用該漏洞使用戶的QuickTime播放器崩潰。目前已經確認該漏洞會影響Mac和Windows平臺上的QuickTime 7.5.5版本和iTunes 8,這是在不久前Apple宣佈退出QuickTime補丁之後公開的首個漏洞,因爲目前尚未確認該漏洞是否會允許***者在用戶系統上執行惡意代碼,所以該漏洞的威脅等級只標記爲低。
樑林認爲:因爲目前互聯網上還沒有關於該漏洞及其漏洞利用程序的具體細節,判斷該漏洞對用戶的威脅程度還爲時尚早。但從之前的類似漏洞來判斷,最有可能獲取和使用該漏洞的***者是國內外運營殭屍網絡的網絡犯罪團伙,他們可能會採用垃圾郵件發送***文件、製作虛假的多媒體下載網站、替換合法網站的多媒體文件爲***文件等多種***手法,對用戶發起***,如果用戶安裝有存在漏洞的QuickTime和iTunes版本,同時不慎開啓包含***代碼的惡意媒體文件, 將有可能感染***者散佈的惡意軟件。筆者建議用戶關注Apple的安全公告,並開啓QuickTime和iTunes的自動升級功能,同時儘量不要下載電子郵件中包含的媒體文件,以防遭受***者利用上述漏洞發起的***。
安全開發:Microsoft即將發佈安全開發模型;關注指數:高
新聞:9月16日,Microsoft週二發佈公告稱,計劃在今年11月份啓動三個安全開發項目,已幫助軟件廠商減少軟件產品中存在的漏洞,併爲未來構建更爲安全的軟件產品。Microsoft的三個安全開發項目包括提供軟件安全服務的SDL Pro Network、優化軟件安全過程的SDL Optimization Model和用於軟件安全建模的SDL Threat Modeling Tool 3.0。
樑林認爲:軟件中存在的各種安全漏洞,一直是用戶信息系統和內部網絡的安全的最大威脅,不但會導致用戶的信息系統服務遲緩或停滯,也經常使用戶寶貴的數據意外損失,更爲嚴重的是,軟件漏洞的存在,使得企業外部和內部的***者能夠輕易的突破企業的各種安全設施,進入企業的內部網絡和系統,並竊取各種敏感的數據,最近兩年發生的多起企業敏感數據泄漏案件就是一個明證。
作爲企業軟件產品的重要供應商,Microsoft從2002年開始在其軟件產品開發中推行安全開發生命週期(Security Develop Lifecycle,SDL),經過5年多的使用,Microsoft在其主要的Windows、Office等產品線上得到了安全漏洞逐年減少的益處,對安全漏洞的響應速度也比使用SDL之前快了不少。目前國內的軟件廠商使用安全開發原理進行軟件開發的並不多,對軟件代碼的安全審覈測試也只停留在手工階段,國際上知名的軟件安全廠商中沒有一家中國廠商。Microsoft推行的三個軟件安全項目對國內企業會產生什麼樣的影響,現在下結論還爲時尚早,但就目前國內軟件業的情況來看,軟件安全相關的產品開發、服務和諮詢都相當有市場,筆者建議國內的安全行業可以留意一下這方面的發展情況。
專家推薦閱讀:
1)2009年反病毒產品的新功能;推薦指數:中
隨着2009年的日益臨近,衆多的反病毒廠商都紛紛推出了自己的2009年版的反病毒軟件,面對繁雜的針對個人用戶的消費型反病毒產品,用戶如何才能比較和判斷它們的優劣?eWeek.com上週對十多個主流的2009年反病毒產品進行詳細的測評,並給出了詳盡的測評報告,打算更新反病毒軟件的朋友可以通過這個文章瞭解一下:
原文地址:
[url]http://www.eweek.com/c/a/Security/Antivirus-Suite-Features-for-2009/[/url]
原文地址:
[url]http://www.eweek.com/c/a/Security/Antivirus-Suite-Features-for-2009/[/url]
2)如何安全刪除數據?推薦指數:中
目前市面上有多個不同的安全數據刪除標準,不少主流的電子設備和軟件廠商也提供了自己的企業級數據刪除產品,如果用戶在購買和使用這類產品時候沒有正確進行,將有可能帶來嚴重的安全和法律風險。eWeek.com文章《如何安全刪除數據》可以當作一份不錯的指南:
原文地址:
[url]http://www.eweek.com/c/a/Security/How-To-Really-Delete-Data-For-Absolutely-Sure/?kc=rss[/url]
[url]http://www.eweek.com/c/a/Security/How-To-Really-Delete-Data-For-Absolutely-Sure/?kc=rss[/url]
3)如何制定企業數據加密策略;推薦指數:高
在當前這個數據丟失會導致企業嚴重經濟和聲譽損失的時代,數據加密可說是企業保護數據的最後一道保障,數據加密可以有效的保護企業的敏感數據在意外丟失或泄漏事件發生的情況下,不至於對外泄漏,並保護企業的形象和聲譽不受損失。但是,如果沒有一個有效的數據加密實施和管理策略,數據加密很難充分發揮作用。推薦最近有興趣部署數據加密產品的朋友瞭解由數據加密廠商PGP和CREDANT提供的企業數據加密指南:
展會關注:
1) OWASP NYC AppSec 2008 Web應用安全會議
即將於9月24日-25日在紐約舉行的OWASP NYC AppSec會議將主要討論目前最熱的Web應用程序安全、開發和***等相關問題,並有衆多的知名軟件、安全廠商及中立機構參加,筆者將密切關注該安全會議的進展,爲讀者帶來最及時最深入的跟蹤分析。