3月第一周安全要闻回顾：恶意软件谷歌忙 Firefox成漏洞王

本文同时发布在： [url]http://netsecurity.51cto.com/art/200903/114337.htm[/url]

 

近期安全方面值得关注的新闻很多，微软本周都将推出安全更新，虽然也算是准时，但和上月愈演愈烈的漏洞***活动比起来仍是稍嫌晚了点。说到漏洞就不能不说与之相关的软件安全问题，软件安全已经开始为软件厂商所关注，但软件界仍较缺少对软件安全项目进行有效评估的工具，本周新鲜出炉的软件安全项目测评标准是否能担此重任？

搜索引擎排名本是方便商家网络推广的工具，但无孔不入的恶意软件也开始使用这一工具进行传播，本期回顾笔者将和朋友们一块儿关注Google Trends是如何被恶意软件所利用的。威胁趋势方面，日渐流行的轻省笔记本成为******用户数据的新目标，而最为古老的***手段之一——战争拨号（War dialing）也从新开始成为******企业用户的工具。在本期回顾的最后，笔者将为朋友们介绍一个开源的新安全工具，并同时准备了两篇推荐阅读文章。

本周的安全威胁等级为中。

 

漏洞***：

微软发布3月例行安全更新；报告显示去年Firefox漏洞远多于其余浏览器；关注指数：高

尽管这几个星期以来，各类针对微软产品漏洞的***和相关的恶意软件一直是安全圈子里的热门话题，但微软仍是没有像去年11月那样推出多个紧急补丁，而是循序渐进的发布例行的安全更新。本周又是微软每个月推出例行安全更新的日期，根据微软以前发布的3月安全更新公告，微软将在本月例行安全更新中为用户提供3个补丁程序，都是针对Windows及其相关组件中存在的安全漏洞。其中的MS09-006 Windows图像处理漏洞，会致使Windows在处理EMF和WMF图形文件时出现不可预测的行为，从而运行恶意代码，***将可能用该漏洞制做成传播恶意软件的网页***，并经过伪造或攻陷的合法网站威胁用户系统安全。笔者建议，用户应尽快从微软的站点下载或经过Windows Update服务应该针对该漏洞的补丁程序。另外，值得注意的是，微软仍没有针对上个月就曾发布安全公告的Office Excel中存在的远程代码执行漏洞提供补丁程序，所以，用户在使用Office Excel来处理各类文档文件时，仍应该注意不要开启来自不可信来源的Excel文件，以避免感染恶意软件并形成敏感信息的丢失。
目前最不安全的浏览器是哪个？本周安全厂商Securnia发布的研究报告能够给朋友们一个参考答案。根据Securnia这份2008年浏览器安全研究报告，开放源代码的浏览器Mozilla Firefox拿到了“漏洞最多的浏览器”这一称号，由于在2008年整年Firefox共报告了115个不一样安全等级的漏洞，这个数字几乎是IE、Apple Safari等其余浏览器的在2008年漏洞数的两倍。不过漏洞多并不必定就说明是最不安全的，Securnia的报告也显示，Mozilla Firefox的漏洞修补速度也比其余厂商浏览器快得多，漏洞修补最慢的是微软IE，在2008年曾有漏洞在公开后294天才发布安全更新的历史。笔者认为，浏览器的选择其实主要要看使用环境和用户习惯，漏洞数只能做为一个参考指标，兼容性和稳定性等其余指标也一样重要，更重要的是用户要培养安全浏览的习惯，避免登陆来源不明的网站，并保证系统补丁和反病毒软件等为最新，这样才能尽量的保证用户浏览网站时不受恶意软件的侵袭。

 

软件安全：

Fortify和Cigital推出软件安全项目测评指标；关注指数：中

软件安全在近几年已经逐渐为软件厂商所接受，成为软件厂商在开发新产品时一定考虑的一个关键因素，几个领先的软件厂商也纷纷推出了各自的软件安全标准，但目前在如何成功的实施一个软件安全项目这个问题的解答上，许多软件厂商仍处在比较初级的探索阶段。

本周业界领先的软件安全厂商Fortify和咨询厂商Cigital合做推出了一个新的软件安全项目测评指标，就在帮助软件厂商实施软件安全项目方面提供了一个不错的指导。

Fortify和Cigital结合了目前市场上应用最为成功的九种不一样软件安全标准的长处，研究人员还普遍的访问了包括EMC、微软、Adobe等知名软件厂商在内的25家厂商，从中吸收了不少软件安全领域的经验和教训，最终造成了这份名为《构建安全的成熟模式（Building Security In a Maturity Model，BSIMM）》的白皮书，有兴趣的朋友能够从 [url]www.bsi-mm.com[/url]网站获取这份白皮书的最新版本。

笔者通读过这份白皮书，认为确实很适合软件企业计划并实施软件安全项目，并衡量当前正在实施的软件安全项目是否足够完整和有效。笔者也将在将来的时间内更多的关注软件安全相关的技术和理念，并将用一系列的专题为朋友们介绍软件安全领域的知识，敬请期待！

恶意软件：

恶意软件借Google Trends扩散；关注指数：高

搜索排行榜是搜索引擎为方便用户找到最热门信息而推出的一个有效工具，广大的商家也能够经过搜索排行来推广本身的商品，然而根据反病毒厂商最近一段时间的研究结果，恶意软件也开始学着利用搜索排行来“推销”本身。

本周来自反病毒厂商McAfee Avert Labs实验室的研究人员称，目前已经有很多恶意软件做者经过用于分析用户搜索习惯的Google Trends，来分析用户最近搜索的热门关键词，而后将带有恶意软件的页面设置相同的关键词并使用搜索引擎优化的手段进行优化，当用户搜索这些热门关键词时，带有恶意软件的页面就会出如今搜索结果的前列。若是用户不当心点击了这些恶意网站，就有可能感染各类以盗窃用户信息为目的的恶意软件。

恶意软件这种传播方法并不算很新颖，去年10月份，就曾有研究人员警告网络犯罪集团正利用相似的手法来传播恶意软件，此次McAfee的警告显示已经有至关多的恶意软件开始使用搜索排行进行扩散的这一趋势。

另外，也从侧面暴露出一个问题：各搜索服务提供商的搜索安全技术，并不像它们所声称的那样拥有高准确率。笔者建议，用户在使用搜索引擎时，不要随意点击陌生的网站搜索结果，哪怕是排在搜索结果前列，说不定它就是一个***精心设计的恶意网站，另外有个小诀窍朋友们也能够试试，使用搜索引擎提供的快照功能会有必定的保护效果。

威胁趋势：

War Dialing***的新发展；轻省笔记本成为***新目标；关注指数：高

战争拨号（War Dialing）是历史最为悠久的******手段之一，其实施过程并不复杂，***经过电话调制解调器向某个企业的电话号码进行拨号，若是正好某个号码上正好连着调制解调器，***就可能经过该调制解调器创建链接，并最终进入目标企业的内部网络。

随着各类宽带和高速网络技术的兴起，以及其余***手段的快速发展，许多新生代***并不知道传统的战争拨号***。不过***圈中并无放弃对战争拨号***的研究，早在2002年就曾有一个研究人员声称90%的企业均可以经过调制解调器网络进入其内部网络，而在7年后的今天，随着VoIP等新技术的成熟和普遍应用，调制解调器网络仍然是许多企业忽视但又现实存在的严重安全威胁，尤为是使用了远程监视和数据采集系统（SCADA）的企业用户。

知名安全工具Metasploit的做者目前就正在开发一款名为Warvox的企业电话系统审计软件，该工具实际上就是利用VoIP技术，对指定范围的电话号码进行战争拨号***，据做者称，该工具只须要一个标准的宽带链接和标准的VoIP帐户，而无需大量的电话线路，而且可以以每小时1000个号码的速度进行扫描。笔者以为，虽然战争拨号技术历史已经很悠久，但要说它是彻底过期的也有失偏颇，若是是在合法的***测试或司法取证中，这款工具的合理使用说不定就会起到出人意料的效果。

自从2007年华硕首先推出Eeepc以来，以低成本和轻小为卖点的轻省笔记本（Netbook）就开始广受用户的欢迎，大多数的计算机厂商也纷纷推出了此类产品。不过因为轻省笔记本在机能和软件配置上与当前主流的笔记本计算机有较大的差距，轻省笔记本正日益成为******的新目标。

目前轻省笔记本大都使用Intel和VIA两家厂商的低能耗CPU，为了节省成本，内存大都是512M或1G，虽然可以流畅运行Windows XP和定制的Linux，但若是运行较多程序，速度和电池寿命上的衰减仍是比较明显的，用户大多倾向于最简化轻省笔记本上的系统和软件，在轻省笔记本使用反病毒或防火墙等标准安全软件的用户也很少。

所以，轻省笔记本用户就成为***的新***目标，安全软件的缺失使得这些用户很容易感染各类恶意软件，并且轻省笔记本的便携性也让用户访问外界无线链接的机会增多，也增添了用户不安全使用无线链接形成的敏感信息泄漏风险。笔者认为，尽管可能会致使系统运行减慢，轻省笔记本用户在条件容许的状况下仍是应该安装反病毒软件，选择占用系统资源较少的便可；同时不要随意在外界的不加密无线链接上使用本身帐户等隐私信息，以防止本身的隐私信息在不经意间落入***手中。

工具推荐：OSSEC 2.0

OSSEC是一套功能强大的开放源代码主机IDS（HIDS），它可以执行主机日志分析、文件完整性检查、Rootkit检测、实时警告和响应等功能。本周OSSEC的最新版本2.0推出，除了上述功能外，还多了策略支持、多语言、新报告工具等新特性，并能运行在Windows和Unix的系统上，推荐朋友们在服务器上安装使用。OSSEC的官方网站为： [url]http://www.ossec.net/main/ossec-v20-released[/url]

推荐阅读：

1） 促进安全战略的5个原则；推荐指数：高

如何创建一个高效率的信息安全战略，一直是企业实施安全管理的核心内容，当前的企业和信息安全专家除了要了解技术以外，熟悉如何将安全技术和业务紧密结合更为重要。Forrester Research本周提供的《促进安全战略的5个原则》，能够做为企业实施安全战略的一个有益参考，推荐有兴趣的朋友阅读一下。文章的地址以下：
[url]http://www.itnews.com.au/News/98122[/url],five-principles-underpinning-robust-security-strategies.aspx

2） 如何防止元数据泄漏你的隐私？推荐指数：中

前两期的回顾笔者曾提到过元数据对用户隐私信息可能形成的威胁。Darkreading.com的新文章《如何防止元数据泄漏你的隐私》就对这个问题提出了几个建议，对隐私保护有兴趣的朋友能够从如下地址读到这个文章：
[url]http://www.darkreading.com/insiderthreat/security/vulnerabilities/showArticle.jhtml?articleID=215800964&subSection=Vulnerabilities+and+threats[/url]