12月第2周安全回顾 微软12月补丁发布 RSA报告称内贼难防

本文同时发表在： [url]http://netsecurity.51cto.com/art/200712/62549.htm[/url]

 

本周（1210至1216）安全方面值得关注的新闻集中在漏洞补丁、反恶意软件、安全管理方面。

漏洞补丁：Microsoft 12月补丁升级发布；关注指数：高

新闻：周二，Microsoft当天按时发布了12月份的例行安全补丁，共修补了7处漏洞。其中，有三个漏洞属于严重级别，影响到的产品包括DirectX、Windows Media Player和Internet Explorer，另外的四个漏洞属于重要级别，分别影响SMBv2、Message Queuing、Windows内核和Macrovision 驱动。值得注意的是，在这7个补丁所针对的漏洞当中，有5个是属于危险的远程代码执行漏洞，剩下的两个也是较为危险的本地权限提升漏洞。另外，Microsoft 同时还发布了Office 2007 Service Pack 1，为Office 2007产品提供了一次全面的补丁升级。

笔者观点：本月的第二周周二又是Microsoft例行发布补丁升级的日子，周三上班的时候相信许多朋友都看到Windows Update又开始自动下载并安装更新。和Microsoft 11月的例行补丁升级只提供2个补丁的反常情况相比，12月的补丁数量升级更接近Microsoft平时“正常”的更新数量——10月份Microsoft的例行更新补丁也是7个。根据笔者了解到的情况，针对本月补丁升级的两个本地权限提升漏洞MS07-063和MS07-067的0Day攻击程序在补丁发布之前已经在互联网上为攻击者所使用，攻击者通常会通过攻击这两个漏洞来获得网站的管理员权限，通常是借助之前已经拿下的Webshell完成的，网站的管理员要及时更新本月的补丁，并特别注意自己的服务器是否被攻击者利用这两个漏洞所攻击。用户也应该特别注意12月的补丁更新中和IE及Windows Media Player有关的漏洞，虽然目前互联网上尚未出现针对这两个漏洞的攻击报告，但因为这种和浏览器相关漏洞的高危险性，用户应该及时更新对应的漏洞补丁，并将反病毒软件或其他安全软件的版本更新到最新。由于Microsoft在最近同时更新了WGA Windows正版验证工具，许多用户可能会遇到使用Windows Update无法更新补丁的情况，建议用户通过Microsoft网站或使用WSUS等补丁管理程序进行补丁的升级，以避免成为攻击者的猎物。另外，Microsoft 所发布的Office 2007 SP1，除了在安全性上有所提升外，速度也有了一定程度的提升，推荐目前使用Office 2007的用户使用Microsoft Update或手工下载更新。

 

反恶意软件：关注Trojan 2.0；关注指数：高

新闻：周一，Web安全网关厂商Finjan日前发表第四季度的Web安全趋势研究报告称，利用传统Web 2.0技术并攻击Web Services的新类型木马程序已经出现，这种新类型木马会控制Web Services，并允许攻击者进行更广泛的攻击活动，包括在发送垃圾邮件的Botnet、通过键盘记录实现的身份窃贼、经济诈骗及商业机密收集等。

笔者观点：在上期的安全要闻回顾里，笔者曾给大家整理并回顾了多家安全厂商对2008年的威胁预测报告，各大厂商都不约而同的将Web 2.0技术和站点归入威胁列表当中，而相当一部分厂商的还将Web 2.0列入到威胁榜的前列。Finjan本周发布的安全预告中同样将Web 2.0列入了威胁榜，但威胁的对象从用户转移到了Web 2.0站点和技术本身。Web 2.0和用户的关系类似于镜子的两面，Web 2.0的站点因为Trojan 2.0、XSS等各种攻击手段而被攻击者攻陷并控制，用户则因为访问被攻击者所控制的Web 2.0站点而成为攻击者的猎物。目前安全厂商大多关注于如何保证用户端在进行Web 2.0站点的浏览时的安全，但Web 2.0站点本身，尤其是规模较小的Web2.0站点的安全却较少被关注。笔者认为，大部分的Web 2.0站点尽管规模较小，用户数量没有大型站点多，但站点数量和平均用户仍非常可观，针对它们的低成本定制安全审计及运维服务应该会有较好的市场前景。

 

安全管理：内部人员的粗心是导致信息安全事件的最主要原因；关注指数：高

新闻：周三，安全厂商RSA当天发布调查报告称，内部人员常常会忽略在工作场所发生的异常情况，这些异常情况往往是导致发生大规模信息安全事件的起因。这份调查报告是RSA在11月份进行的，主要调查企业和政府部门员工日常工作中存在潜在信息安全风险的行为。

笔者观点：在企业的安全管理中，人的因素是最重要的。俗话说，三分技术七分管理，没有用户在日常工作中的安全操作和安全管理的服从，企业即使部署非常先进的安全方案，也会因为用户的有意无意的不安全操作而破坏整体的安全性。目前这种情况在国内非常普遍，即使是对安全要求最高的金融行业，内部人员不遵守安全规范的情况也是比较常见的。笔者认为，国内的企业尽管在最近几年越来越重视信息安全，也舍得在安全方案的购置上投入大量的人力物力，但由于安全意识教育薄弱的问题仍是实施信息安全要解决的首要问题。