本周(0724至0729)安全方面值得关注的新闻集中在Web安全、反垃圾邮件和服务器安全方面。
Web安全:Java运行环境将成为下一波Web安全威胁的主要目标
新闻:周一,Symantec的技术人员在该公司blog说,针对Java运行环境(Runtime Environment)的攻击是一种新的安全威胁,之前虽然曾有研究人员发布过Java安全问题的研究报告,但实现攻击都比较困难。这次Symantec DeepSight威胁响应小组发现,由于前一段Java运行环境以及它的组件发现了一些漏洞,互联网上针对这些漏洞的攻击活动显著增加。
分析:从90年代中期Sun推出Java开始,Java就被认为是一种安全的跨平台语言,它的初始设计使其对其他语言中常见的缓冲区溢出、权限过大等漏洞免疫。虽然之前曾有一些研究人员发表过Java安全的研究报告和演示,但他们所采用的Java环境都是经过修改,在默认安装中不曾存在的。但Java的这个安全记录在近一段时间被Java 运行环境及其他组件所爆出的漏洞打破:今年1月,Sun发布了Java 运行环境GIF图像缓冲区溢出漏洞;7月3日,SecurityFocus发布了Sun JDK JPG/BMP图像处理器多个漏洞;7月9日,eEye发布了Java 运行环境 Webstart JNLP文件堆栈溢出漏洞。值得注意的是,这些漏洞都针对Java运行环境,安全业界对Java安全的兴趣正从Java语言本身转移到Java的客户端运行环境中,攻击者同样会考虑利用公开的Java运行环境漏洞发起新一波来自Web的攻击。和上周笔者所建议注意的Flash漏洞一样,由于Java运行环境在客户端机器上的部署数量大,其自动的安全升级也相对滞后,因此,笔者认为,虽然目前互联网上尚未出现大规模的针对Java运行环境的攻击,用户也要明白这类攻击的严重程度和其他攻击的并无两样。用户应该及时到Sun的官方网站及其他相关厂商的页面上更新自己的Java环境,切勿浏览不安全的网站,有条件的用户还可以使用IDS/IPS增加防护的层次,并及时更新IDS/IPS的特征码数据库。
统计显示80%存在恶意代码的网站为合法网站
新闻:周二,反病毒厂商Sophos发布了2007年上半年病毒报告,报告中指出2007年上半年Web取代E-mail成为恶意代码攻击发起的主要来源,在包含恶意代码的网站中,有80%的网站是被黑客所入侵控制的合法网站,其中又以使用Apache web服务器的为主。
分析:Web取代E-mail成为恶意代码攻击的主要来源已经成为安全业界的共识,但Sophos的病毒报告所统计出来的“包含恶意代码的网站80%是合法网站”这一结果可能会让用户感到意外,但实际情况和报告中提到的并无太大的出入。由于用户的安全意识日益增强,对E-mail或其他来源的网络链接不会随便点击,而合法网站的访问量要远远大于攻击者自己架设的恶意网站,合法网站很自然就成为黑客发起攻击的首选目标。国内互联网的情况也大同小异,游戏、财经、论坛等网站都是黑客经常攻击的目标。网站管理员的维护水平和响应速度的参差不齐也是导致合法网站占包含恶意代码的网站的80%的重要原因。笔者认为,网站应该和用户、安全行业应该加强沟通,提高网站管理员的安全技术水平、保持用户和网站之间通畅的沟通渠道,还有安全行业及时提供最新的技术和威胁反馈,这样,才能尽可能的减少合法网站成为攻击者传播恶意代码帮凶的可能性。
反垃圾邮件:Excel文件成为垃圾邮件发送者的新选择
新闻:周一,来自Mcafee Avert实验室的消息,继前三周使用PDF作为附件的垃圾邮件持续增长外,研究人员捕获了新的垃圾邮件变种。这种垃圾邮件使用Excel的XLS文档作为附件,并在XLS中插入了包含广告内容的图片。
分析:如同安全业界在PDF附件的垃圾邮件开始流行的时候预测的那样,垃圾邮件发送者很快就把附件格式转移到其他普通用户机器上常用的文件格式。可以预见,垃圾邮件发送者将逐渐放弃在邮件主题或内容上进行改变的方式,更多的使用各种文件格式的附件作为广告信息的载体。Office系列的文档格式将是未来一段时间垃圾邮件发送者要使用的附件,但由于普通用户机器上常见文件格式不多,垃圾邮件发送者将采用多种格式嵌套使用的方式,来躲避垃圾邮件过滤方案的拦截,例如此次Mcafee发现的XLS垃圾邮件便是由内嵌有图片的XLS文档,再经过zip压缩过再发送的。另外,Office系列的文档作为垃圾邮件附件还会给用户带来恶意软件威胁,垃圾邮件发送者还有可能在垃圾邮件附件中带有Office漏洞溢出代码的Office文档。这样如果用户不慎打开附件,用户有可能以为附件是损坏的Office文件,其实很有可能已经感染恶意软件。对此类文档附件的垃圾邮件,安全业界目前尚无很有效的防御方式,只能依靠用户自己提高安全意识,不要开启来自非可信地址的邮件及其附件。
服务器安全:虚拟化环境安全手册即将推出
新闻:周五,非盈利性组织互联网安全中心(Center for Internet Security, CIS)即将推出业界第一份描述虚拟化环境安全模型、提供虚拟化环境安全配置方法的手册。
分析:因为虚拟化应用有设备利用率高、节省开支、用户友好等优点,企业越来越多的使用虚拟化技术。但同时由于虚拟化环境与实体环境有诸多的不同点,常见的实体环境安全配置方法并不完全适用于虚拟化环境,许多用户也因为安全问题而对虚拟化技术保持观望的态度。笔者认为,CIS即将推出的虚拟化环境安全手册是安全业界对虚拟化 安全技术的有益尝试,也将对推进企业部署虚拟化应用产生积极的影响,国内的安全厂商也可以适当关注一下这方面的技术发展。
Web安全:Java运行环境将成为下一波Web安全威胁的主要目标
新闻:周一,Symantec的技术人员在该公司blog说,针对Java运行环境(Runtime Environment)的攻击是一种新的安全威胁,之前虽然曾有研究人员发布过Java安全问题的研究报告,但实现攻击都比较困难。这次Symantec DeepSight威胁响应小组发现,由于前一段Java运行环境以及它的组件发现了一些漏洞,互联网上针对这些漏洞的攻击活动显著增加。
分析:从90年代中期Sun推出Java开始,Java就被认为是一种安全的跨平台语言,它的初始设计使其对其他语言中常见的缓冲区溢出、权限过大等漏洞免疫。虽然之前曾有一些研究人员发表过Java安全的研究报告和演示,但他们所采用的Java环境都是经过修改,在默认安装中不曾存在的。但Java的这个安全记录在近一段时间被Java 运行环境及其他组件所爆出的漏洞打破:今年1月,Sun发布了Java 运行环境GIF图像缓冲区溢出漏洞;7月3日,SecurityFocus发布了Sun JDK JPG/BMP图像处理器多个漏洞;7月9日,eEye发布了Java 运行环境 Webstart JNLP文件堆栈溢出漏洞。值得注意的是,这些漏洞都针对Java运行环境,安全业界对Java安全的兴趣正从Java语言本身转移到Java的客户端运行环境中,攻击者同样会考虑利用公开的Java运行环境漏洞发起新一波来自Web的攻击。和上周笔者所建议注意的Flash漏洞一样,由于Java运行环境在客户端机器上的部署数量大,其自动的安全升级也相对滞后,因此,笔者认为,虽然目前互联网上尚未出现大规模的针对Java运行环境的攻击,用户也要明白这类攻击的严重程度和其他攻击的并无两样。用户应该及时到Sun的官方网站及其他相关厂商的页面上更新自己的Java环境,切勿浏览不安全的网站,有条件的用户还可以使用IDS/IPS增加防护的层次,并及时更新IDS/IPS的特征码数据库。
统计显示80%存在恶意代码的网站为合法网站
新闻:周二,反病毒厂商Sophos发布了2007年上半年病毒报告,报告中指出2007年上半年Web取代E-mail成为恶意代码攻击发起的主要来源,在包含恶意代码的网站中,有80%的网站是被黑客所入侵控制的合法网站,其中又以使用Apache web服务器的为主。
分析:Web取代E-mail成为恶意代码攻击的主要来源已经成为安全业界的共识,但Sophos的病毒报告所统计出来的“包含恶意代码的网站80%是合法网站”这一结果可能会让用户感到意外,但实际情况和报告中提到的并无太大的出入。由于用户的安全意识日益增强,对E-mail或其他来源的网络链接不会随便点击,而合法网站的访问量要远远大于攻击者自己架设的恶意网站,合法网站很自然就成为黑客发起攻击的首选目标。国内互联网的情况也大同小异,游戏、财经、论坛等网站都是黑客经常攻击的目标。网站管理员的维护水平和响应速度的参差不齐也是导致合法网站占包含恶意代码的网站的80%的重要原因。笔者认为,网站应该和用户、安全行业应该加强沟通,提高网站管理员的安全技术水平、保持用户和网站之间通畅的沟通渠道,还有安全行业及时提供最新的技术和威胁反馈,这样,才能尽可能的减少合法网站成为攻击者传播恶意代码帮凶的可能性。
反垃圾邮件:Excel文件成为垃圾邮件发送者的新选择
新闻:周一,来自Mcafee Avert实验室的消息,继前三周使用PDF作为附件的垃圾邮件持续增长外,研究人员捕获了新的垃圾邮件变种。这种垃圾邮件使用Excel的XLS文档作为附件,并在XLS中插入了包含广告内容的图片。
分析:如同安全业界在PDF附件的垃圾邮件开始流行的时候预测的那样,垃圾邮件发送者很快就把附件格式转移到其他普通用户机器上常用的文件格式。可以预见,垃圾邮件发送者将逐渐放弃在邮件主题或内容上进行改变的方式,更多的使用各种文件格式的附件作为广告信息的载体。Office系列的文档格式将是未来一段时间垃圾邮件发送者要使用的附件,但由于普通用户机器上常见文件格式不多,垃圾邮件发送者将采用多种格式嵌套使用的方式,来躲避垃圾邮件过滤方案的拦截,例如此次Mcafee发现的XLS垃圾邮件便是由内嵌有图片的XLS文档,再经过zip压缩过再发送的。另外,Office系列的文档作为垃圾邮件附件还会给用户带来恶意软件威胁,垃圾邮件发送者还有可能在垃圾邮件附件中带有Office漏洞溢出代码的Office文档。这样如果用户不慎打开附件,用户有可能以为附件是损坏的Office文件,其实很有可能已经感染恶意软件。对此类文档附件的垃圾邮件,安全业界目前尚无很有效的防御方式,只能依靠用户自己提高安全意识,不要开启来自非可信地址的邮件及其附件。
服务器安全:虚拟化环境安全手册即将推出
新闻:周五,非盈利性组织互联网安全中心(Center for Internet Security, CIS)即将推出业界第一份描述虚拟化环境安全模型、提供虚拟化环境安全配置方法的手册。
分析:因为虚拟化应用有设备利用率高、节省开支、用户友好等优点,企业越来越多的使用虚拟化技术。但同时由于虚拟化环境与实体环境有诸多的不同点,常见的实体环境安全配置方法并不完全适用于虚拟化环境,许多用户也因为安全问题而对虚拟化技术保持观望的态度。笔者认为,CIS即将推出的虚拟化环境安全手册是安全业界对虚拟化 安全技术的有益尝试,也将对推进企业部署虚拟化应用产生积极的影响,国内的安全厂商也可以适当关注一下这方面的技术发展。
本文转自J0ker51CTO博客,原文链接:http://blog.51cto.com/J0ker/36203,如需转载请自行联系原作者
