【51CTO.com 獨家特稿】本周（090223至090301）安全方面值得關(guān)注的新聞仍主要以攻擊和威脅方向的為主，繼前兩周推出一批安全更新程序后，主流軟件廠商的軟件本周仍爆出了嚴(yán)重的安全漏洞，微軟和Adobe的產(chǎn)品均不能幸免，而網(wǎng)絡(luò)廠商Cisco也發(fā)布安全公告稱，其多個產(chǎn)品中存在有可能被攻擊者利用的安全漏洞。

安全技術(shù)方面，Google本周開始組織的Native Client安全測試，從一個側(cè)面反映了Google對瀏覽器安全技術(shù)的研究方向，本期回顧就讓筆者和朋友們一起了解下這個新聞。

在本期回顧的最后，筆者仍為朋友們精心挑選了兩個值得一讀的推薦閱讀文章。

本周的安全威脅等級為中。黑客對主流軟件廠商產(chǎn)品中存在的已知漏洞進(jìn)行攻擊的風(fēng)險較高，筆者建議用戶關(guān)注軟件廠商的安全更新發(fā)布進(jìn)度，及時從軟件廠商的升級站點上下載并安裝安全更新程序。

漏洞攻擊：

微軟和Adobe產(chǎn)品頻繁出現(xiàn)威脅嚴(yán)重的新漏洞，網(wǎng)絡(luò)廠商Cisco產(chǎn)品中也出現(xiàn)嚴(yán)重漏洞；關(guān)注指數(shù)：高

2009年的第一季度看起來主流軟件廠商產(chǎn)品的安全漏洞大爆發(fā)時期。上兩周微軟、Adobe和Apple等主流的軟件廠商才發(fā)布了為數(shù)不少的安全更新程序，許多用戶仍沒有或正計劃使用這些安全更新，本周又有多個主流軟件廠商的產(chǎn)品中再次爆出了威脅嚴(yán)重的新漏洞。

本周二微軟發(fā)布安全公告稱，Office Excel中目前已經(jīng)確認(rèn)存在一個嚴(yán)重的安全漏洞，并影響Office 2000/2003/2007和Office 2008 for Mac等多個不同的Office版本。該漏洞屬于對用戶威脅最嚴(yán)重的遠(yuǎn)程代碼執(zhí)行漏洞，如果黑客成功攻擊該漏洞，將可以在用戶系統(tǒng)上執(zhí)行事先設(shè)置好的惡意程序，并造成進(jìn)一步的破壞。

根據(jù)微軟的安全公告，目前黑客可能已經(jīng)廣泛的使用該漏洞對用戶實施有針對性的攻擊，而來自多個反病毒廠商的消息也從側(cè)面確認(rèn)了該漏洞的存在，Symantec稱，已經(jīng)在其最新的病毒定義中增加了對該漏洞攻擊文件的特定，并命名為Trojan.Mdropper.AC。

不過微軟暫時還未能推出針對該漏洞的安全更新程序，筆者建議用戶在這段時間內(nèi)不要輕易開啟來自不可信來源的Excel文件，并使用反病毒軟件掃描每一個進(jìn)入自己網(wǎng)絡(luò)的Office文件，如果系統(tǒng)硬件支持，開啟系統(tǒng)的數(shù)據(jù)執(zhí)行保護(hù)DEP選項也能在一定程度上保護(hù)用戶的系統(tǒng)不受此類漏洞的攻擊。

Adobe流行的PDF處理和閱讀軟件Acrobat及 Reader在本周也出現(xiàn)了對用戶威脅嚴(yán)重的遠(yuǎn)程代碼執(zhí)行漏洞。根據(jù)Adobe在周一發(fā)布的安全公告，該漏洞已經(jīng)確認(rèn)存在于Adobe Acrobat和Reader兩個產(chǎn)品系列中，這兩個產(chǎn)品在處理PDF文件中的Java Script程序時會出現(xiàn)內(nèi)存錯誤問題，并進(jìn)一步導(dǎo)致出現(xiàn)執(zhí)行不可預(yù)見的行為，或執(zhí)行黑客事先設(shè)置好的惡意程序，Adobe同時還確認(rèn)了該漏洞存在于Acrobat和Reader 9.0及以前版本中。

安全廠商Shadowserver的研究人員稱，目前該漏洞已經(jīng)被黑客用于小規(guī)模的針對性攻擊中，反病毒廠商Symantec也于當(dāng)天表示，已經(jīng)將針對該漏洞的攻擊文件特征添加到其病毒數(shù)據(jù)庫中，并命名為bloodhound.exploit.213。不過Adobe也表示，由于針對該漏洞的安全更新正在開發(fā)當(dāng)中，最早要到3月11號才能向公眾發(fā)布，因此在這段時間內(nèi)，筆者建議用戶通過禁用Acrobat和Reader的Java Script解釋功能，來防止該漏洞被黑客所攻擊，并遭受進(jìn)一步的數(shù)據(jù)或隱私信息損失。

另外，Adobe在本周更新了媒體播放器軟件Flash Player，并修正了其中存在的5個安全漏洞，由于除了單獨安裝的版本外，F(xiàn)lash Player并不支持自動升級，筆者建議朋友們盡快登錄Adobe網(wǎng)站上的Flash Player安裝頁面手動更新Flash Player，防止遭受黑客通過Flash漏洞發(fā)起的惡意網(wǎng)站和惡意軟件攻擊。

網(wǎng)絡(luò)廠商Cisco本周也發(fā)布安全公告稱，確認(rèn)在Cisco ACE Application Control Engine Module和Cisco ACE 4710 Application Control Engine中存在多個安全漏洞，其中三個安全漏洞的威脅等級較高，并以確認(rèn)目前已經(jīng)有有效的漏洞利用代碼或方式。Cisco同時發(fā)布了針對本次安全公告的安全更新程序，使用對應(yīng)產(chǎn)品的用戶可以通過Cisco網(wǎng)站下載更新程序，并根據(jù)安全公告內(nèi)的操作指南進(jìn)行安全配置操作。
　　
安全技術(shù)：

Google開始Native Client攻擊挑戰(zhàn)活動；關(guān)注指數(shù)：高

Google繼推出Chrome瀏覽器和安全搜索技術(shù)之后，在瀏覽器安全領(lǐng)域繼續(xù)保持活躍，本周開始的Google Native Client攻擊挑戰(zhàn)活動，將顯示Google在瀏覽器安全技術(shù)領(lǐng)域達(dá)到的新水平。Google Native Client攻擊挑戰(zhàn)活動從本周開始，將在5月5日結(jié)束，Google還準(zhǔn)備了5檔象征意義（8192、4096、2048和1024美元）的獎金，將頒發(fā)給挖掘出Native Client最有創(chuàng)意的5個漏洞的研究人員。

Native Client是Google正在進(jìn)行的一個開放源代碼項目，其目標(biāo)是在Web應(yīng)用上運行原生的x86體系代碼，其實現(xiàn)原理就是通過在Web應(yīng)用程序和瀏覽器之間增加一個可以運行在不同操作系統(tǒng)平臺上的沙箱模型，并保證原生的x86代碼能夠安全的在該沙箱模型中執(zhí)行。目前Google的研究人員已經(jīng)成功的在Native Client體系上執(zhí)行3D射擊游戲Quake和腳本解釋語言Lua，測試的結(jié)果也表明，通過Native Client來執(zhí)行的x86代碼執(zhí)行速度與直接在系統(tǒng)中執(zhí)行相差無幾。

筆者認(rèn)為，如果Native Client技術(shù)發(fā)展成熟，并確認(rèn)其安全性和執(zhí)行效率，Native Client能夠支持的應(yīng)用程序就會大量增長，甚至出現(xiàn)能夠運行在Native Client中的操作系統(tǒng)，集成Native Client技術(shù)的瀏覽器也將成為Google進(jìn)入虛擬化領(lǐng)域的新武器，Web OS的出現(xiàn)也指日可待。有興趣的朋友也可以通過Native Client在Google Code站點上的頁面進(jìn)一步了解它的設(shè)計和運作原理，網(wǎng)站地址如下：http://nativeclient.googlecode.com/
　　
推薦閱讀：

1） 如何使用雙因素驗證來消除網(wǎng)絡(luò)風(fēng)險；推薦指數(shù)：高

網(wǎng)絡(luò)弱口令一直是對企業(yè)內(nèi)部網(wǎng)絡(luò)最為嚴(yán)重的安全威脅之一，除了成為黑客滲透企業(yè)內(nèi)部網(wǎng)絡(luò)的主要方式之外，網(wǎng)絡(luò)弱口令也常被各種自動化的惡意軟件用于在企業(yè)內(nèi)部網(wǎng)絡(luò)中大肆擴(kuò)散。隨著雙因素驗證技術(shù)的發(fā)展成熟和成本進(jìn)一步降低，企業(yè)開始傾向于使用比傳統(tǒng)密碼驗證安全得多的雙因素驗證，但如何選擇最合適的雙因素驗證方案，卻成為眾多企業(yè)對雙因素驗證望而卻步的原因。

eWeek.com文章《如何使用雙因素驗證來消除網(wǎng)絡(luò)風(fēng)險》詳細(xì)的介紹了雙因素驗證及其應(yīng)用，推薦有興趣的朋友了解下。

文章的地址如下：
http://www.eweek.com/c/a/Security/How-to-Thwart-Network-Attacks-with-TwoFactor-Authentication/?kc=rss

2） 如何花更少的錢得到更好的安全保障；推薦指數(shù)：高

經(jīng)濟(jì)危機(jī)的影響使得大多數(shù)企業(yè)被迫削減各方面的開支，IT預(yù)算和安全預(yù)算成為首當(dāng)其沖受削減的目標(biāo)，如何在減少的安全預(yù)算下仍保證能夠獲得更好的安全保障？筆者推薦本周darkreading.com的文章《如何花更少的錢得到更好的安全保障》，文章地址如下：
http://www.darkreading.com/security/management/showArticle.jhtml?articleID=214600349&subSection=Security+administration/management

【51CTO.COM 獨家特稿，轉(zhuǎn)載請注明出處及作者！】