【51CTO.com獨(dú)家特稿】這周正好是我國(guó)的傳統(tǒng)節(jié)日端午節(jié)，許多朋友都趁這難得的三天假期出外旅游，不過(guò)IT行業(yè)向來(lái)沒(méi)有放假的傳統(tǒng)，因此本周的安全圈子也有不少值得關(guān)注的新聞。首先仍是需要時(shí)刻關(guān)注的漏洞攻擊方向，除了老面孔微軟和Apple的產(chǎn)品外，本周移動(dòng)設(shè)備廠商RIM也一同上榜。作為推動(dòng)軟件安全的重要一步，微軟在本周發(fā)布了免費(fèi)的軟件安全模板。針對(duì)虛擬化和云應(yīng)用市場(chǎng)的快速發(fā)展，眾多反病毒廠商紛紛在近期推出了自己的產(chǎn)品，AMTSO本周新推出的新測(cè)試標(biāo)準(zhǔn)將對(duì)該領(lǐng)域的應(yīng)用產(chǎn)生積極影響。在本期回顧的最后，筆者仍為朋友們專心挑選了兩個(gè)值得一讀的推薦閱讀文章?！　?/P>

本周（090525至090531）安全要聞回顧

本周的的信息安全威脅等級(jí)為中，主要的威脅類型為小規(guī)模的微軟漏洞攻擊行為，請(qǐng)朋友們留意各軟件廠商發(fā)布的安全更新，并及時(shí)更新防火墻和反病毒軟件等安全工具?！　?/P>

漏洞攻擊：微軟蘋果再爆安全漏洞；黑莓也有PDF漏洞；關(guān)注指數(shù)：高　　

繼前兩周微軟Web服務(wù)器IIS中發(fā)現(xiàn)WebDAV訪問(wèn)控制的嚴(yán)重漏洞后，本周微軟另外一個(gè)產(chǎn)品DirectX中再次發(fā)現(xiàn)嚴(yán)重安全漏洞。該漏洞存在于廣泛安裝在Windows系統(tǒng)上DirectX產(chǎn)品的DirectShow組件，由于DirectShow在處理QuickTime媒體文件時(shí)存在缺陷，黑客可通過(guò)向用戶發(fā)送特定格式內(nèi)容的QuickTime媒體文件攻擊該漏洞，如果用戶不小心開啟了這樣的QuickTime攻擊文件，將可能執(zhí)行并感染黑客預(yù)先放置的惡意軟件。

盡管這個(gè)DirectShow漏洞并不是傳統(tǒng)意義上的瀏覽器漏洞，但理論上說(shuō)使用DirectShow作為媒體播放插件的瀏覽器都有可能會(huì)被該漏洞所成功攻擊。根據(jù)微軟的進(jìn)一步調(diào)查，該漏洞將會(huì)影響較早期的Windows 2000 SP4、Windows XP和Windows 2003操作系統(tǒng)，而較新的Windows Vista和2008將不受影響，此外，微軟尚未確認(rèn)什么時(shí)候會(huì)推出針對(duì)該漏洞的安全更新，朋友們需要密切關(guān)注微軟進(jìn)一步的通知，并開啟系統(tǒng)的自動(dòng)更新功能。不過(guò)微軟也在官方站點(diǎn)上提供了防御該漏洞的臨時(shí)措施，需要的朋友可到以下網(wǎng)址了解下：　　

http://www.microsoft.com/technet/security/advisory/971778.mspx　　

Apple的操作系統(tǒng)MacOSX本周也被爆出存在安全漏洞。根據(jù)安全廠商Intego的報(bào)告，MacOSX系統(tǒng)在處理經(jīng)過(guò)特定編碼的JavaApplet時(shí)，會(huì)允許攻擊者跳過(guò)系統(tǒng)的安全控制遠(yuǎn)程執(zhí)行代碼。該漏洞已存在超過(guò)6個(gè)月，但Apple一直沒(méi)有就此發(fā)表看法或推出安全更新。該漏洞要處理起來(lái)并不困難，用戶只需要在瀏覽器中禁用掉JavaScript的運(yùn)行即可?！　?/P>

除了微軟和Apple這樣的老面孔外，本周的漏洞攻擊領(lǐng)域還新上榜了一家移動(dòng)計(jì)算市場(chǎng)的知名廠商RIM。本周早些時(shí)候RIM發(fā)布安全公告稱，使用RIM操作系統(tǒng)的BlackBerry黑莓手機(jī)及在x86平臺(tái)上配套的BlackBerry Enterprise Server都存在PDF文件處理安全漏洞，如果該漏洞被觸發(fā)，在BlackBerry手機(jī)上會(huì)導(dǎo)致手機(jī)內(nèi)存溢出失去響應(yīng)等問(wèn)題，而在x86平臺(tái)的表現(xiàn)則更為嚴(yán)重，將有可能導(dǎo)致執(zhí)行黑客預(yù)置代碼等嚴(yán)重后果。目前互聯(lián)網(wǎng)上尚未聽說(shuō)有針對(duì)該漏洞的大規(guī)模攻擊活動(dòng)，廠商RIM沒(méi)有對(duì)上述幾個(gè)產(chǎn)品提供安全更新，朋友們?nèi)绻谑褂蒙鲜霎a(chǎn)品，建議不要開啟來(lái)歷不明的PDF文件，或通過(guò)設(shè)置禁用對(duì)PDF文檔的支持?！　?/P>

軟件安全：微軟發(fā)布免費(fèi)軟件安全模板；關(guān)注指數(shù)：中　　

作為對(duì)去年11月份推行軟件安全活動(dòng)的后續(xù)行動(dòng)，微軟本周發(fā)布了一個(gè)免費(fèi)的軟件安全模板，這個(gè)名為SDL模板的工具除了能夠集成到微軟自家的Visual Studio外，還能用到第三方的開發(fā)環(huán)境中，從而更好的幫助開發(fā)者在軟件產(chǎn)品的開發(fā)階段實(shí)施軟件安全戰(zhàn)略。目前微軟最新的軟件安全開發(fā)生命周期架構(gòu)（Security Development Lifecycle，簡(jiǎn)稱SDL）的最新版本為4.1，去年年底微軟曾發(fā)布了SDL優(yōu)化體系和SDL威脅建模工具（TMT），現(xiàn)在微軟又再發(fā)表SDL模板這一免費(fèi)的工具，顯然對(duì)微軟推行Windows 平臺(tái)下的軟件安全體系有不小的積極作用。當(dāng)前軟件漏洞已經(jīng)成為用戶信息安全的最大威脅之一，而軟件安全領(lǐng)域經(jīng)過(guò)這兩年的發(fā)展，也逐漸開始引起各大安全廠商的注意，不過(guò)現(xiàn)在軟件安全市場(chǎng)內(nèi)成熟的產(chǎn)品和服務(wù)不多，最終用戶對(duì)軟件安全的認(rèn)知程度也不是很高，這種現(xiàn)狀值得國(guó)內(nèi)安全廠商關(guān)注?！　?/P>

反病毒：新標(biāo)準(zhǔn)支持云應(yīng)用反病毒的測(cè)試；關(guān)注指數(shù)：中　　

云是這幾年IT圈子里很熱的話題，各種云相關(guān)的解決方案如雨后春筍般出現(xiàn)，安全業(yè)界自然也不會(huì)落后，在前段時(shí)間舊金山舉行的RSA安全會(huì)議上，許多廠商云概念的安全產(chǎn)品。在這樣紛繁復(fù)雜的安全產(chǎn)品中，用戶應(yīng)該如何選擇和評(píng)估一套適合自己情況的云安全產(chǎn)品？基于此考慮，由多個(gè)知名反病毒廠商組成的反惡意軟件測(cè)試標(biāo)準(zhǔn)組織（AMTSO）本周推出新的《云安全產(chǎn)品測(cè)試最佳實(shí)踐》，該份標(biāo)準(zhǔn)旨在幫助用戶更好的測(cè)試各種帶有云概念的安全產(chǎn)品，并涵蓋了虛擬化、數(shù)據(jù)泄露、采樣和比較等方面的指導(dǎo)性意見。從技術(shù)角度上來(lái)說(shuō)，這份標(biāo)準(zhǔn)不能算是一份完全適用于最終用戶的測(cè)試標(biāo)準(zhǔn)，因?yàn)樗](méi)有提供各項(xiàng)測(cè)試的操作流程和標(biāo)準(zhǔn)的測(cè)試指標(biāo)，只能算是指導(dǎo)安全廠商、第三方產(chǎn)品測(cè)評(píng)機(jī)構(gòu)如何進(jìn)行測(cè)試的指導(dǎo)性標(biāo)準(zhǔn)。不過(guò)這份標(biāo)準(zhǔn)在方向的設(shè)置上相當(dāng)全面，安全廠商如果要涉足云安全產(chǎn)品的開發(fā)，可以將其作為架構(gòu)功能設(shè)計(jì)的主要參考資料。　　

推薦閱讀：

1） McAfee的網(wǎng)絡(luò)犯罪教育網(wǎng)站；推薦指數(shù)：高  

網(wǎng)絡(luò)犯罪正日益成為現(xiàn)代網(wǎng)絡(luò)社會(huì)揮之不去的噩夢(mèng)，然而絕大多數(shù)用戶對(duì)網(wǎng)絡(luò)犯罪的概念仍十分模糊，更無(wú)從談起如何保護(hù)自己不受網(wǎng)絡(luò)犯罪的侵害。安全廠商McAfee本周推出一個(gè)新的網(wǎng)絡(luò)犯罪教育網(wǎng)站，并制作了一個(gè)名為H*Commerce的系列教育視頻，推薦朋友們都了解一下。該網(wǎng)站地址如下：

http://www.stophcommerce.com/

2） 技術(shù)分析：如何防止惡意的內(nèi)部攻擊者？推薦指數(shù)：高  

俗話說(shuō)堡壘最容易從內(nèi)部攻破，企業(yè)在建設(shè)信息安全體系的時(shí)候會(huì)面臨同樣的問(wèn)題，無(wú)論企業(yè)在安全產(chǎn)品花費(fèi)多少投資，一個(gè)心懷不滿的員工總有機(jī)會(huì)給企業(yè)內(nèi)部網(wǎng)絡(luò)造成嚴(yán)重的損失。Darkreading.com本周新推出的報(bào)告《如何防止惡意的內(nèi)部攻擊者》，主要關(guān)注如何保護(hù)企業(yè)的敏感數(shù)據(jù)不受內(nèi)部人員的威脅，推薦有興趣的朋友閱讀一下。報(bào)告的下載地址如下：

http://www.darkreading.com/insiderthreat/security/attacks/showArticle.jhtml?articleID=217600658&subSection=Attacks/breaches

【51CTO.COM 獨(dú)家特稿，轉(zhuǎn)載請(qǐng)注明出處及作者！】

>>更多安全要聞回顧