8月第3周安全回顾 微软发8月补丁 开源反毒软件被收购

本文同时发表在： [url]http://netsecurity.51cto.com/art/200708/53754.htm[/url]

 

本周（0813至0819）安全方面值得关注的新闻集中在漏洞攻击、安全行业动态、安全产品和威胁趋势方面。

漏洞攻击：

Microsoft放出八月补丁，需注意浏览器相关漏洞，关注指数：高

新闻：周二，来自多家媒体的消息，Microsoft当天按时发布了八月的Windows及其他Microsoft软件的补丁程序，从MS07042至MS07050共9个。除了MS07049 Virtual PC代码执行漏洞能够影响客户端和服务器之外，其他8个漏洞均被划分为影响客户端的严重级别的漏洞。

分析：在针对客户端的漏洞中，用户需要注意MS07046 GDI和MS07050 VML这两个漏洞，其中MS07046是MS06001的发展版本，MS07050是MS07004的发展版本。由于这两个漏洞都属于通过IE以当前用户权限来执行代码的远程漏洞，攻击者常用这类远程漏洞制作恶意网页，通过Web将各种恶意软件种植到用户的系统中。根据通常的规律，在每次Microsoft补丁推出的2周内是黑客利用当前漏洞进行攻击的最频繁的阶段，因此，虽然目前网上尚未出现针对MS07046和MS07050的漏洞攻击程序，但因为这两个漏洞的实现细节早已公布在互联网上，估计攻击程序的出现也就是近段时间之内。

笔者建议：用户应保证自己的操作系统补丁和反病毒程序版本为最新，尤其是不能通过Windows Update和自动更新升级的用户，请手动 从Microsoft的网站上下载补丁程序更新系统。用户还应注意不要随意打开不受信任的网站，并随时注意自己的系统是否有反应缓慢、光标闪烁等异常情况。

安全行业动态：

Novell收购安全管理公司Senforce，关注指数：中

新闻：周一，Novell宣布收购安全管理公司Senforce，但Novell没有透露这个收购案的涉及金额，也没有透露将有多少Senforce员工加入Novell。Novell和Senforce的合作始于今年早些时候，当时Novell把Senforce的终端安全产品OEM为Zenworks终端安全套装。

分析：收购Senforce将对Novell未来的安全产品战略产生积极的影响，Novell除了可获得Senforce所擅长的身份管理、系统管理和安全管理技术，还有Senforce的整个技术团队。Novell在收购Senforce之后将继续开发Zenworks终端安全套装，不过业界有的厂商认为，Zenworks和别的终端安全套装相比，还缺少关键的反恶意软件组件。对于这点，笔者有不同看法，Novell同时也是一家操作系统厂商，它的SUSE Linux是商业Linux发行版中较为成功的，Novell现在收购Senforce，除了丰富自己的产品线外，更有可能的是要在Linux系统的安全管理方面拔得头筹。Linux的安全管理对较为缺乏经验的企业用户来说比较困难，现在SUSE Linux加上安全管理方案，显然对企业用户会有相当大的吸引力。

Sourcefire收购开源反病毒软件项目，关注指数：高

新闻：周五，安全厂商Sourcefire当天宣布，收购开源反病毒软件项目ClamAV，并计划将ClamAV用于其当前的UTM产品中。ClamAV是著名的开源软件，曾被集成到许多企业级的UTM、Web和E-mail安全网关中。

分析：免费、开源、快速加上较好的使用效果，作为开源软件里面少有的反病毒项目，ClamAV被许多安全厂商，尤其是规模较小的厂商选择为自己安全产品的组件，用在许多企业级的UTM、Web安全网关、E-mail安全网关里面。Sourcefire收购ClamAV之后，这一大块厂商的产品的反病毒功能的授权和服务将成为未知数，尽管目前Sourcefire承诺会对这些厂商提供特殊的ClamAV使用授权，但显然仍然会对这些厂商和他们的用户造成不小的影响。ClamAV收购后给UTM及安全网关厂商留下的反病毒技术空白，对国内的反病毒厂商来说，说不定是一次难得的机遇。

安全产品：

Symantec和Intel联合开发可以内置于微处理器的安全产品，关注指数：中

新闻：周三，Symantec的副总裁Rowan Trollope周二说，Symantec目前正在和Intel联合开发可以内置于微处理器的安全产品，这种技术基于Intel的虚拟化技术，将用在未来的安全设备中。

分析：随着数据处理的效率和速度要求的提高，对安全功能的实现要求也越来越高，在高压力环境下，用硬件代替软件来实现安全功能渐渐成为主流。目前硬件级的安全实现主要有两种类型，其中常见的是，安全设备仍然是一台定制的服务器或PC，使用精简过的通用操作系统（通常是Linux），安全功能由安装在操作系统上的软件实现，但软件效率较差；另外一种是使用专门设计的安全芯片，直接将安全功能用芯片来实现，但硬件成本较高。Symantec和Intel目前联合开发的技术克服了上述两种方案的缺点，它使用通用的CPU和平台架构来降低硬件成本，并使用专门开发的软件直接运行于CPU上，来提高软件执行效率。笔者认为，由于这种安全功能的实现方法性价比相当好，应该会被更多较大较有实力的安全厂商所接受，同样拥有虚拟化技术的AMD也会加入竞争，但对于较小的安全厂商来说，采用上述的第一种安全设备的实施方法仍是首选。

威胁趋势：

针对IPS的逆向工程将造成严重安全威胁，关注指数：中

新闻：周二，咨询机构Gartner说，Black Hat会议上公开的IPS逆向工程技术将有可能造成严重的安全威胁，攻击者可以通过对IPS进行逆向工程，挖掘出IPS处理入侵数据的技术细节，并寻求躲避IPS进行攻击的方法。

分析：企业中广泛使用IPS，对加强内网中的入侵防护起了积极的作用。从Black Hat会议的信息来看，IPS带来的风险在于对入侵行为数据库的保护不足上，Gartner的报告指出，攻击者可以通过对IPS的入侵行为数据库进行逆向分析，可以得出某种被IPS拦截的0Day漏洞的具体技术数据，从而重现这种漏洞，并用于攻击其他没有IPS保护的目标；另外入侵者还可以修改自己的攻击特征，从而达到躲避IPS的目的。笔者认为，虽然技术上可行，但攻击者通过IPS的数据库逆向工程来重现一个0Day漏洞，难度是很高的。比较有可能的是攻击者通过逆向工程获得躲避IPS的方法，不过已经部署有IPS的企业不需要对此太过担心，因为漏洞利用程序的溢出代码有严格的格式规定，一个字节的改变也有可能导致攻击失败，即使攻击者有很低的几率避过IPS的探测并成功攻击，企业用户还可以通过反病毒软件、防火墙等其他安全方案来进行防御，对企业用户来说，真正重要的是部署好层次化的深度防御（Layered、In-depth）的内部网络安全体系。