12月第三周安全要闻回顾:浏览器安全不容忽视,SSL弱点影响网站安全
2024-04-10 02:41:10
本周(081215至081221)安全方面的新闻众多,主要集中在***与威胁趋势方面。浏览器安全方向波澜起伏,微软推出了针对上周公开的IE7新漏洞的紧急安全补丁,但目前互联网上针对该漏洞的大规模***仍在继续,******的手法也变得更为多样和隐蔽;Firefox也在本周进行了一次漏洞更新,但其他的第三方浏览器则又再次被发现存在安全隐患。威胁趋势方面,本期回顾将就SSL的部署安全、2009年的垃圾邮件***和SNS网站的用户安全这三个方面进行深入的关注。在本期回顾的最后部分,笔者还将向朋友们介绍一款上周推出的拒绝服务检测工具,并为朋友们带来2个值得一读的推荐阅读文章。
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
本周的信息安全威胁等级为低。
浏览器安全:针对IE7新漏洞的***仍在继续,微软推出紧急补丁;Chrome和Safari再报弱点;关注指数:高
在上周微软IE7浏览器爆出严重的远程代码执行漏洞之后,安全行业就检测到***对该漏洞发起的大规模***,微软和安全厂商也紧急的向用户提供了防御该漏洞***的应对措施和建议。但从多个安全厂商本周的监测情况来看,***针对该漏洞的大规模***目前仍在继续,***的手法也开始变得更为多样和隐蔽。根据12月15日eWeek.com的消息,***正在大规模的对合法网站进行***,并将攻下的合法网站用于通过IE7新漏洞进行的恶意软件散布,微软及其他安全厂商的报告也证实了这一点,微软称已经检测到感染恶意软件的IE7用户显著增加,而反病毒厂商趋势科技也在另外一份报告中称,截至上周末为止,已经至少有6000多个网站被***攻陷并放置IE7新漏洞的利用程序,用户浏览合法网站的风险显著上升。另外,除了常规的基于网站发起的***之外,***还将恶意网站与其他的技术相结合,发起更有针对性的***:根据12月17日反病毒厂商McAfee的消息,McAfee AvertLabs根据用户提交的文件样本,发现了***使用了将IE7新漏洞的漏洞利用程序与微软的Word文档相结合的新***方法。该***的实现方法并不复杂,***在Word文档中嵌入一个打开网页的活动控件,并将其开启目标指向包含有IE7新漏洞***程序的恶意页面,然后***可将该文件通过电子邮件等方式发送给用户,如果用户不慎开启该文件,则会自动开启***预先设置的恶意网站,并在用户系统上下载并运行恶意软件,不太熟悉技术的用户最易遭受这种类型的***。针对当前严峻的IE7浏览器威胁形势,微软继上周向用户提供修补漏洞的紧急措施之后,本周终于推出了针对该漏洞的紧急安全补丁。根据12月18日ITnews.com.au的报道,微软当天推出了针对IE7漏洞的紧急安全补丁,笔者建议IE7用户应尽快通过自动升级或自己从微软网站上下载安全更新,以修补IE7中存在的严重漏洞。在同一天,微软在浏览器市场上的主要竞争对手Firefox也推出了安全更新程序,主要修补Firefox 2和3在前一段时间被安全厂商发现的多个漏洞,建议Firefox用户也尽快通过自动更新下载安装。不过Firefox用户需要注意,如果使用的是Firefox 2.0.0.19版本,应尽快升级到最新的Firefox版本,Mozilla在本次安全更新之后,将不再对Firefox 2.0.0.19版本提供安全更新支持。
微软IE7和Firefox用户本周终于等到了安全更新,但别的第三方浏览器的用户却暂时不能放松,根据12月15日eWeek.com的消息,安全厂商Chapin Information Service日前对市场上流行的5个浏览器进行了一系列密码管理相关的测试,结果显示,Firefox和Opera是密码管理保护最为到位的两个浏览器产品,微软IE7的表现只能用平庸来评价,而Google Chrome及Apple Safari浏览器只能通过极少几项测试,被评测厂商评为密码管理保护最差的浏览器。不过经验表明,虽然浏览器的保存密码功能能够帮助用户管理密码,但各厂商的浏览器产品都或多或少的存在密码管理上的缺陷,如果用户的密码个数不多,建议用户不用使用浏览器来记录密码,通过第三方的密码管理软件,或简单如笔和纸这样的安全性还会高一点。
威胁趋势:SSL部署安全问题突出;2009年垃圾邮件威胁将明显上升;SNS站点安全影响超过预计;关注指数:高
在关键的网页服务上使用SSL来加强用户数据传输的安全性,是网站运营商常见的做法,朋友们平时浏览网站时,如果遇到浏览器的地址栏显示为https时,就是网站的SSL加密链接正在保护用户的数据传输安全。但最近安全厂商的研究表明,不安全的SSL部署方法,不单无法有效的保护用户数据的传输安全,而且还会因为SSL的存在带给用户虚假的安全感。根据12月16日Darkreading.com的消息,在本月底柏林即将举行的Chaos Communication Camp***会议上,安全厂商Canola & Jones的研究人员将为与会者演示当前SSL部署所面临的31个严重安全问题。根据目前透露出来的消息,SSL部署的威胁主要集中在签名管理、加密方式及使用方法上,安全研究人员发现不少主流网站使用的SSL证书已经过期或是采用自签名方式,而在加密方式的选择上,不少网站选择了已知存在缺陷的SSL v2和40位加密的RC-4方法,这样的加密通信很容易被***所破解。而当前互联网上数量众多的证书提供商(CA),其缺乏统一标准及管理的现状也使得SSL部署的安全性无法得到较好的保证。对于SSL部署的安全问题,笔者在前半年的回顾中,曾推荐过VeriSign公司的扩展证书EV SSL技术算是比较好的解决方案,最近国内有不少金融机构都开始使用EV SSL以提供额外的安全验证保护,推荐有较高安全需求的网站运营商了解一下EV SSL的相关信息。
而在对用户影响较大的垃圾邮件***方面,安全厂商对明年给出了较为悲观的预测。根据12月18日ITnews.com.au的消息,反垃圾邮件厂商Barracuda当天发布2009年垃圾邮件威胁预测报告称,尽管在2008年内,垃圾邮件在电子邮件总量中的百分比与上年持平,仍保持在90至95%之间,但在2009年内垃圾邮件的数量将会明显上升,并有可能到达并超过电子邮件总数95%这个数字。Barracuda还称,在2008年末几个月内,安全行业和互联网服务提供商相互协作,摧毁了一系列以发送垃圾邮件为主要目的 的***网络,但这几个月中垃圾邮件的数量并没有明显的下降,显示了垃圾邮件发送网络生命力的顽强,同时垃圾邮件与网络钓鱼***、恶意软件发送等***行为的相互结合,也将在2009年有进一步发展的趋势。笔者建议,作为一个全球性的信息安全问题,垃圾邮件的威胁短时间内仍将保持上升的势头,但对企业用户来说,一个有效的反垃圾邮件解决方案就足以比较有效的防御外界垃圾邮件的侵袭;笔者也建议个人用户培养良好的安全上网习惯,不随意开启来源不明的电子邮件,也能保护自己不至于成为电子邮件病毒的受害者。
今年在国内广为流行的社会关系网络网站(SNS网站),也再次成为2009年主要的安全威胁。根据12月17日eWeek.com的报道,多个安全厂商的研究人员都认为,SNS网站的流行,吸引了大量用户的参与,也直接为这些用户所属的企业造成了越来越严重的安全威胁。而最近一系列针对SNS网站的***活动也表明,***对SNS网站的各种***,不单会影响SNS用户的账户安全,***也有可能借助SNS网站用户的弱点,***用户所属的企业及其网络设施,这一点在今年拉斯×××举行的黑帽会议上已经得到证实。许多企业单纯的使用网站地址过滤等方法限制用户在上班时间访问SNS网站,但效果并不尽如人意,用户也倾向于使用代理等技术来突破企业的封锁。笔者建议,企业对用户使用SNS网站的现象,除了常规的应用技术手段进行封禁之外,也应该同时采用管理和培训的方式,加强用户的安全意识,在有条件的情况下,可引导用户合理的根据企业安全策略使用SNS网站,并未企业的经营创造价值。
安全工具:免费拒绝服务***测试工具;推荐指数:高
根据12月16日Darkreading.com的消息,一个意大利的安全研究人员Acri Emanuele在一个安全社区发布了其最新的拒绝服务***(DOS)测试工具,该工具能够模拟TCP会话连接的三个阶段,并能在短时间内让TCP服务器停止服务。有兴趣的朋友可以用它来测试一下自己的网站或服务器能够抵御怎样强度的拒绝服务工具,不过笔者要提醒一句,不要用这个工具来测试其他的合法网站,否则后果自负。
该工具的下载地址如下:
[url]http://complemento.sourceforge.net/[/url]
推荐阅读:
1) 2008年最酷的5个******方式;推荐指数:高
Darkreading.com 日前评出了2008年最酷的5个******方式,这5个***方式都是构思巧妙,也会造成可怕后果的类型,包括公路电子收费系统、永久拒绝服务***等,推荐有兴趣的朋友了解一下。
文章的地址如下:
[url]http://www.darkreading.com/security/vulnerabilities/showArticle.jhtml;jsessionid=JQYQRP004D1RQQSNDLOSKH0CJUNN2JVN?articleID=212500902[/url]
2) 美国针对电子医疗档案的新隐私保护指导;推荐指数:高
目前越来越多的医疗机构采用电子形式来保存电子档案,但不少的机构往往不太了解如何有效的保护这些敏感数据。根据美国新总统奥巴马的策略,美国卫生部最近制定了一个新的电子医疗档案隐私保护指导,推荐相关部门和医疗行业的朋友们了解一下。
文章的地址如下:
[url]http://news.cnet.com/8301-13578_3-10123549-38.html[/url]
转载于:https://blog.51cto.com/J0ker/123978
12月第三周安全要闻回顾:浏览器安全不容忽视,SSL弱点影响网站安全相关推荐
- 12月第三周各国域名总量榜:中国729万居全球第二
IDC评述网(idcps.com)12月26日报道:根据WebHosting.info最新数据,截至2013年12月23日,中国域名总量已增至7,293,614个,仅次美国,居全球第二名,12月第三周 ...
- 12月第3周网络安全报告:发现放马站点域名131个
IDC评述网(idcps.com)12月29日报道:根据CNCERT抽样监测结果和国家信息安全漏洞共享平台(CNVD)发布的数据得悉,在12月第3周(2015-12-14至2015-12-20)期间, ...
- 瑞克斯外汇平台9月第三周时事(二)
瑞克斯外汇平台9月第三周时事(二) 11.近日,国际咨询机构麦肯锡公司发布一份名为<表现优异者:高增长的新兴经济体和推动它们的企业>的报告称,从长远看,新兴经济体仍将是世界经济增长引擎. ...
- 12月第1周全球五大顶级域名总量呈负增长 减2.5万个
IDC评述网(idcps.com)12月18日报道:根据WebHosting.info最新数据显示,在12月第1周,全球五大顶级域名总量有136,184,666个,净减25,797个,降幅明显.究其原 ...
- 5月第三周全球域名解析商Top15:万网DNSPod份额上涨
IDC评述网(idcps.com)05月27日报道:据域名统计机构WebHosting.info数据得知,在5月第三周(5月13日-5月19日)期间,全球域名市场基本保持稳定.与上周相比,美国域名解析 ...
- 12月第1周.BIZ域名总量TOP10:仅中德澳3国持续上涨
IDC评述网(idcps.com)12月15日报道:根据WebHosting.info最新数据显示,在12月第1周全球.BIZ域名总量十强排行榜中,仅中国.德国与澳大利亚成功上涨,与上周对比,可知它们 ...
- .INFO域名总量跌破700万,8月第三周净减51,477个
中国IDC评述网08月23日报道:近日,据WebHosting.info公布的数据显示,截至2012年8月20日,全球.INFO域名注册总量已跌破700万个,为6,976,763个,8月第二周持续负增 ...
- 11月第三周.COM增13.8万 ×××域名.XXX减9个
据Registrar Stats最新实时数据,截至2013年11月22日,全球.COM域名注册总量达到了111,429,666个,环比上周增137,840万个.而亚洲顶级域名.ASIA仍深陷低潮期,环 ...
- 12月第2周.NET总量TOP10:中土意涨幅均环比增大
IDC评述网(idcps.com)12月22日报道:根据WebHosting.info公布的最新数据显示,12月第2周全球各国.NET域名总量十强排行榜中,依然是中国.土耳其与意大利成功实现上涨.其中 ...
最新文章
- 一种结合混沌密码理论的彩色图象水印算法
- android intent短信,android – 通过Intent发送短信,并知道短信是否已被发送
- BugkuCTF-Misc:闪的好快
- 如何获取组SPGroup的描述Description信息
- 二叉查找树转换成有序的双向链表
- java 枚举(enum) 全面解读
- sentinel卫星_IKONOS卫星 遥感影像解译数据 波段
- CSS的样式小计(1)
- python新闻联播分类_如何利用人脸识别自动切分视频
- 那些年我们踩过的坑-NSTimer
- slam入门——十四讲笔记(四)
- ORACLE_SID环境变量写错,因未设置系统环境变量ORACLE_SID导致ORA-12162错误
- 极值点、驻点、拐点的区别和联系
- dropout层加在哪里_神经网络Dropout层中为什么dropout后还需要进行rescale?
- 如何免费将一个PDF拆分成多个文件?
- 硬盘划分主分区、扩展分区、逻辑分区、活动分区有什么不同?
- Python使用string.Formatter()制作打印模板
- centos7用html5播放器,centos7安装多媒体播放器SMPlayer
- 利用XML生成Word
- IE和Outlook Express的翻译插件设计