12月第四周安全回顾：双节期间微软忙补新漏洞，新Hash将测试

本文同时发表在： [url]http://netsecurity.51cto.com/art/200901/104600.htm[/url]

 

本周（081222至081228）安全业界放假不放松，因为本周恰逢西方的假期季度（圣诞节加新年），安全圈子里值得关注的消息很少，基本仍以***和威胁方面的为主。微软SQL数据库爆出安全漏洞，目前尚无补丁但已有如何***漏洞的介绍；节日礼物不安全，内藏恶意软件的数码产品威胁消费者；安全技术方面，NIST正在制定的新Hash标准将开始公开测试；在本期回顾的最后，笔者将为你们带来两个值得一读的推荐阅读文章。

本周的信息安全威胁等级为低。

 

漏洞***：微软SQL数据库新安全漏洞威胁巨大；关注指数：高

 

对微软来讲，2008年的年底显然是一个很是忙碌的时刻，前两周微软才匆忙的为威胁巨大的IE7漏洞推出紧急安全补丁，本周就又有安全研究人员爆出微软另一个主要产品——SQL Server数据库服务器中存在的严重安全漏洞。根据12月23日Securityfocus.com的消息，来自安全厂商SEC consult Vulnerability Labs的研究人员Bernhard Mueller发布一份报告称，在微软的SQL Server数据库服务器产品中存在一个致命的安全漏洞，***能够经过***SQL Server中存在数据处理缺陷的'sp_replwritetovarbin'存储过程，在用户的系统上以SQL Server的权限执行系统命令，并严重威胁全部使用SQL Server做为动态页面数据的网站，和利用SQL Server提供数据库服务的其余应用系统的安全。根据12月23日Darkreading.com的消息，微软已经在本身的官方站点上发布针对该漏洞的紧急安全公告，确认该漏洞将会影响除微软最新的SQL Server 2008以外的全部SQL Server版本。目前微软仍未推出针对该安全漏洞的补丁，但微软和安全厂商已经就用户如何防护针对该漏洞的***提供了一些过渡解决方案，用户可先禁用SQL Server服务器的远程链接功能，或经过部署应用程序防火墙等措施，防护***借助SQL注入技术实施针对上述漏洞的***。

该安全漏洞的公开过程，也再次暴露出安全行业和软件厂商之间缺少足够的沟通，该漏洞的发现者称，早在四月份就已经通知微软有关SQL Server存在该安全漏洞，并提供了详细的漏洞信息，但微软一直漠不关心，所以漏洞发现者才将该漏洞的详细信息和***方式发布到互联网上。但安全行业也广泛质疑该漏洞发现者的行为，并认为其在该漏洞未提供补丁程序前就公开漏洞细节是至关不道德的行为，对此笔者也深觉得然，毕竟未修补的漏洞及其细节一旦公开到互联网上，对用户形成的威胁和损失是难以估算的。笔者建议，SQL Server用户应关注微软对该漏洞处理的最新进展，在目前还没有有补丁程序的状况下，建议经过更新防火墙规则，删除'sp_replwritetovarbin'存储过程、修正Web应用程序代码等方式，尽量的下降乃至消除该漏洞对Web网站和系统的威胁和影响。

 

恶意软件：节日礼物不安全，内藏恶意软件的数码产品威胁消费者；关注指数：高

近两年来，刚出厂的消费类数码产品包含恶意软件已经不算是很新的新闻，不过此次事件的主角是知名的电子厂商三星却是第一次了。根据12月24日Securityfocus.com的消息，很多用户都反映，他们早些时候从Amazon购买的三星数码相框，都包含了一个名为Win32.Salty的恶意软件，该恶意软件在六个多月前就能被市面上流行的反病毒软件所查杀。三星电子在本月曾就其数码相框产品感染恶意软件发表过一个安全公告，建议用户先使用反病毒软件清除数码相框上的恶意软件，再从新安装更新版本的数码相框管理软件。该事件再次暴露出消费类数码产品在销售前仍缺少有效的数据安全检测，由于早在一年多前，安全专家就曾发表过安全警告，称带有存储功能的消费类数码产品有可能成为恶意软件传播源，而美国销售商Best Buy（百思买）也曾由于这个缘由，今年1月将其销售的某型号数码相框撤下货架。而对消费者来讲，若是节假日里收到带有内置存储器的三星数码相框或者别的相似产品，在使用前最好仍是先用反病毒软件来检查下内存中的文件是否安全，要不藏有恶意软件之类的“意外惊喜”就很差了。

 

安全技术：新的Hash标准将进行公开测试；关注指数：中

Hash技术是一种经过必定的加密算法，将用户或系统的明文数据转化成加密数据的技术，它和常见的加密算法不一样的地方在于，Hash加密是单向的，只能将明文转化为密文，而不能将密文再次转换成明文。所以，Hash算法经常使用于保存密码、校验值等须要防止破解的敏感信息，目前最为经常使用的是MD5和SHA算法，而这两种算法的早期版本MD4和SHA-1，都存在着容易被破解的缺陷。为了寻找下一代更安全的Hash算法，标准制定者美国技术标准学会（NIST）正准备举行一次大规模的测试，根据12月22日Securityfocus.com的消息，NIST即将举行的针对Hash算法的大规模公开测试中，将采用接近实战***的方法来找出能够取代当前Hash算法的替代标准，本次测试将组建51个不一样的测试组，并对待选的标准进行***尝试和效能评估，最终没有被攻破的候选者就是获胜者。不过NIST也表示，由于当前使用的SHA-2标准仍没有可实现的***方法，NIST也并不急于选择一个SHA-2 Hash标准的替代品。对Hash算法设计和***方法有兴趣的朋友，能够到NIST针对这次活动开设的网站去了解一下，网址以下：

[url]http://csrc.nist.gov/groups/ST/hash/sha-3/Round1/submissions_rnd1.html[/url]

 

推荐阅读：

1） 2008年信息安全领域的6个关键词；推荐指数：高

接近年末，总结关键词成为互联网上对2008年进行评价的最流行形式，安全业界固然也不能例外。Darkreading.com文章《2008年信息安全领域的6个关键词》，就总结了2008年最具表明性的6个关键词及其幕后事件，推荐朋友们阅读一下。文章地址以下：
[url]http://www.darkreading.com/security/management/showArticle.jhtml?articleID=212501928&subSection=Security+administration/management[/url]

2） 如何在兼并收购中保护敏感数据？推荐指数：高

兼并收购成为众多企业度过本次经济危机的无奈选择，但兼并收购过程当中的业务整合，每每成为敏感数据泄漏事件高发的威胁阶段，如何保护敏感数据就成为兼并收购顺利进行的关键。eWeek.com文章《如何在兼并收购中保护敏感数据》对此进行了详细的讨论，推荐相关领域的朋友们了解一下。
文章的地址以下：

[url]http://www.eweek.com/c/a/Security/How-to-Protect-Data-during-Financial-Mergers-and-Acquisitions/?kc=rss[/url]