10月第2周安全回顾 Web安全认证架构成型 PDF阅读器存漏洞

本文同时发表在： [url]http://netsecurity.51cto.com/art/200710/58091.htm[/url]

 

本周（1008至1014）安全方面值得关注的新闻集中在Web应用安全、漏洞***、开发安全和VoIP安全方面。

Web应用安全：OWASP准备推出网站安全认证架构，关注指数：高

新闻：周一，开源的Web应用安全组织OWASP（Open Web Application Security Project）目前正准备推出网站安全认证架构，这个网站安全认证架构将主要面向网站上的Web应用程序，并提供详细的安全认证标准以用于评测并标识网站为安全。

笔者观点：从今年年初开始，Web已经取代E-mail成为恶意软件传播的第一途径，另外的一些来自Web的***，好比跨站脚本、钓鱼网站等也一直呈上升趋势。所以，如何保证互联网上的浏览安全已经成为用户一件很是急迫的事情。对用户来讲，除了常见的注意及时更新系统和安全软件版本、尽量只登陆可信站点以外，其实更完全的方法是从Web站点的安全性入手，为用户提供安全浏览的保证。尽管目前市场上已经有多个标记Web站点是否合法的认证，如国际上的VeriSign和Cybertrust认证及其余国家性质的电子商务站点认证标志，但这些都只是从电子商务而非Web站点自己所用技术的角度来衡量Web站点的安全性。另外，安全行业的大部分厂商对Web站点进行安全评估时，也大多只使用扫描工具对Web站点进行简单的扫描，并不能比较完全的发现问题。

笔者认为，OWASP此次将要推出的网站安全认证架构至关值得期待，对Web站点来讲，这个安全认证架构自己针对的是Web应用程序，它将要提供的检测流程也能尽量的保证Web站点不受最新的漏洞影响，得到这个构架的承认将会对提升用户使用体验有好处；对安全厂商来讲，可否利用这个架构对Web站点进行安全评估，并进行持续的安全维护服务，颇有可能成为进入Web站点安全市场的一个必须资质。

漏洞***：Adobe称Acrobat Reader中存在严重漏洞，关注指数：高

新闻1：周三，来自yahoo的消息，Adobe日前宣布，在多个版本的Acrobat Reader发现存在严重漏洞，***者有可能利用这个漏洞在用户不知情的状况下安装恶意软件。目前Adobe已经确认这个漏洞会发生在安装有IE7的Windows XP SP2的计算机上，其余平台尚无***报告，Adobe也没有提供更多关于漏洞的细节，并称升级补丁将在10月底提供。

笔者观点：今年来，针对Acrobat以及PDF文档***频繁发生，以前的垃圾邮件使用PDF做为文件附件广为散发即是最近发生的针对PDF的***，此次Adobe所公布的漏洞再次显示PDF文档及Acrobat Reader自己正愈来愈成为***者的目标。去年末笔者所认为的随着Microsoft对Windows及IE安全的重视，针对IE自己的***将转移到IE的第三方浏览器插件上的事情看来要在Acrobat Reader上重演，由于Microsoft对Windows及Office系统安全的重视，***者针对Microsoft产品发起0Day***的难度和成本大大提升，用户面十分普遍的Acrobat Reader，及其余用户数量巨大的第三方软件将颇有可能成为下一波0Day漏洞***的对象，业界及用户应对此有充分的认识。

开发安全：******开发中的应用程序渐成趋势，Fortify 提供应对方案，关注指数：中

新闻：周四，一种称为“Cross-Build Injection”的新***悄然出如今开发业界，这种***与以往***者在已发布的应用程序中使用各类方法查找漏洞并进行***不一样，***者利用各类途径，好比提供带后门的编译组件或编译脚本，或进行过恶意代码插入的源程序，当用户或二次开发者使用这些修改过的代码和组件时，将存在巨大的潜在风险。代码安全厂商Fortify已经发布了一份指导，指导开发厂商如何避免这类***。

笔者观点：Cross-Build Injection这种基于源代码的***最先曾出现先2002年，当时OpenSSH和Sendmail的源代码曾被***恶意修改，并加入后门代码。但当时由于受影响的软件都是用户众多的开源软件，因此***的行为很快被发现并解除威胁。笔者认为，Cross-Build Injection这种***将以两种方式影响用户：其一由于企业中使用开源软件的比重日益增多，若是从不可信或被***侵入过的来源得到源代码并自主编译、部署，企业便有可能将威胁带入内部网络当中；还有一种威胁的形式是来自于小型或我的开发者，他们为下降成本，一般会采用现成的开发组件，若是组件的来源不可信，而企业又选用了这样开发出现的应用软件，也颇有可能将威胁带入内部网络。但由于目前Cross-Build Injection***方式尚无十分有效的应对措施，因此企业在使用开源软件或购买应用软件时，应该将软件的代码安全因素考虑在内。

***趋势：Vishing，Skype和VoIP诈骗，关注指数：中

新闻：周三，来自互联网应急响应组织ISC的消息，近一段时间来，针对Skype用户的诈骗及钓鱼***有持续上升的趋势，安全专家将这种针对VoIP用户或基于VoIP技术的欺诈方式称之为Vishing（参考网络钓鱼的词Phishing）。目前存在的***方式主要有2种，一种是经过Skype匿名信息或电子邮件通知Skype用户中奖，另一种则是更进一步的用Skype的语音邮件功能给用户发送有欺诈内容的语音留言，特别值得注意的是，第一种***方式在国内也有出现。

笔者观点：因为Skype用户日益增多，同时Skype的PC-to-Phone服务是付费服务，所以针对Skype用户帐户上的Skype点数的***也开始增多，并且国内也出现针对Skype的***这一点也应该引发用户的关注。Skype默认公开用户的注册电子邮件地址和容许接受陌生人信息也是使Skype用户易受***的内在缘由。笔者建议，为了应对Vishing***，Skype用户在使用时应该设置电子邮件隐私策略，不对外公开本身的电子邮件地址；同时用户还应该阻止来自陌生人的信息，并加强使用安全意识，不要轻易相信获奖信息或随便点击Skype对话中的链接。