5月第2周安全回顾 Wi-Fi无线安全建议 微软修补4个漏洞 推荐

本文同时发布在：http://netsecurity.51cto.com/art/200805/73099.htm

本周（080505至080511）信息安全威胁程度为低。

推荐阅读：
1）FBI官方Wi-Fi无线安全建议；推荐指数：高
介绍：来自FBI（美国联邦调查局）的信息安全建议自然不同凡响，5月6号FBI所提供的Wi-Fi无线安全建议文章尽管不长，但也依然相当值得一读。这篇文章结构紧凑，从用户最常见的应用场景（机场的免费无线服务）开始展开话题、然后介绍世界的免费无线服务分布情况、黑客如何威胁使用免费无线服务的用户，到最后用几个简单而实用的无线安全使用建议结束文章，对不太了解无线安全的读者来说，相当有参考价值。
2）黑客的选择：最常见的6种数据库攻击手法；推荐指数：高
介绍：Darkreading5月8号的推荐文章。这篇7页的文章用翔实易懂的文字，介绍了黑客对数据库发起攻击时最常使用的6种攻击手法，包括密码破解、权限提升、攻击多余数据库服务、攻击数据库软件漏洞、SQL注入和偷窃数据库备份媒介。此外，这篇文章还详细的描述了这6种攻击手法的技术实现以及防御方法。这篇文章对读者的技术起点要求不高，并不需要读者拥有数据库专家的能力，推荐日常工作中使用数据库或对数据库安全有兴趣的读者仔细阅读一下。

媒体方面，本周值得关注的新闻集中在漏洞补丁、反垃圾邮件和搜索安全领域。
漏洞补丁：Microsoft将在下周二修补4个漏洞；关注指数：高
新闻：周四，来自Computerworld.com的消息，Microsoft当天透露了下周二发布的例行补丁升级的有关消息，此次例行补丁升级将包括3个等级为严重的补丁程序，分别对应MicrosoftAccessJet数据库引擎、MicrosoftWord和MicrosoftPublisher中存在的远程代码执行漏洞；还包括1个等级为中等的补丁程序，对应的是MicrosoftOneCare、Antigen和Forefront等安全产品中存在的拒绝服务漏洞。
分析：Microsoft五月的例行补丁升级有两个特点值得关注，首先，是其仅包含4个补丁程序，仅次于今年1月份只有2个补丁的补丁升级，这应该是与Microsoft与4月15日发布WindowsVistaSP1和本月6号发布的WindowsXPSP3有较大关系。其次，其包含的补丁的，等级为严重的补丁程序都是针对MicrosoftOffice系列产品，其中针对AccessJet数据库引擎的漏洞还是Microsoft早几个月就发布警告提示的漏洞，显示尽管Microsoft在近两年来努力的提升Office系统的软件质量，并更快的响应影响Office系统的漏洞，但目前Office系统仍是Microsoft产品中遭受攻击最多的产品。此外，Microsoft最新的安全产品OneCare、Antigen和Forefront中也成为本月补丁的修补对象，尽管只是中等级别的拒绝服务类漏洞，但攻击者仍有能力通过攻击这类漏洞，使整个企业的安全保护失效，从而进行更为深入的攻击。
笔者建议：企业应密切注意Microsoft五月补丁升级发布的日期（国内为周三的上午），并及时进行受影响产品的补丁升级操作。本月的补丁升级中不涉及到Windows系统，但企业仍应该计划好补丁升级的顺序和步骤，防止影响到业务的正常进行和敏感数据的安全。考虑到因为补丁的公开，使用上述漏洞针对Office的攻击有可能会出现一个小的高潮，企业也应该对此做好相应的准备。

反垃圾邮件：垃圾邮件迎来30岁生日；关注指数：高
新闻：周一，来自多家媒体的消息，今年5月3日是世界上出现垃圾邮件30周年的纪念日。垃圾邮件的出现彻底改变了全球各地的人们使用电子邮件服务的情况。最早的垃圾邮件出现在1978年5月3日，DEC计算机公司的营销人员向美国西海岸的大约400个人发送了营销电子邮件，当时这个电子邮件没有被称作垃圾邮件，这封邮件的发送者也只是为了向收件人介绍最新的产品。但目前垃圾邮件已经成为一种攻击者最为常用的、对电子邮件用户影响巨大的手段，并严重的阻塞了电子邮件服务和互联网通讯。
笔者观点：尽管垃圾邮件已经过了它的30周年纪念日，但并不代表这种攻击手法已经过时，相反，我们所使用的电子邮件邮箱中的垃圾邮件依然很多，多到影响了我们的正常使用。各个安全厂商和电子邮件服务商，常常宣传自己的产品对垃圾邮件的效果多好多好，但垃圾邮件仍然是正常电子邮件服务和互联网通讯阻塞的主要原因。各种媒体上也经常可以看到与垃圾邮件攻击相关的新闻——有兴趣的朋友可以在51CTO的垃圾邮件30周年专题（http://netsecurity.51cto.com/art/200601/16114.htm）中获得关于垃圾邮件的更全面消息。随着垃圾邮件攻与防之间的竞争日趋激烈，笔者认为，在未来的一段时间里，垃圾邮件的发展仍将领先反垃圾邮件技术，垃圾邮件的攻击还将呈现更多、更新、更快的3个特点，具体将表现为：垃圾邮件的发送量将远超过现有反垃圾邮件方案能够处理的能力，即使有1%的垃圾邮件发送成功也将是一个巨大的数字；垃圾邮件发送者会更快更多的使用各种新的伪装技术，来突破现有的反垃圾邮件技术的防御；整个垃圾邮件社区共享新技术的速度也将会更快，远远超过反垃圾邮件产业的响应速度。

搜索安全：Yahoo与McAfee合作助推搜索安全；关注指数：高
新闻：周二，来自InformationWeek.com的消息，搜索服务提供商Yahoo和安全厂商McAfee当天宣布，将合作推出名为SearchScan的安全搜索服务。该技术基于McAfee成熟的SiteAdvisor技术，能够自动识别Yahoo搜索结果中包含有广告软件、恶意软件、网络钓鱼攻击和垃圾邮件相关的网站，并使用醒目的红字标识出来。用户可以根据Yahoo的提示，远离可能存在潜在威胁的网站。
分析：从去年2月份开始，Google首先发起了安全搜索的运动，并进行了一系列的宣传活动，其中最为知名的是Google的月度搜索安全报告和Stopbadware.org网站。但直到现在，搜索行业内对Google安全搜索运动的响应者寥寥无几，众多的搜索服务提供商都处于观望或不关注状态。Yahoo和McAfee合作推出的安全搜索服务，显示搜索引擎上提供安全访问建议的行为已经逐渐在搜索行业中流行起来，应该可以视作搜索行业和用户进一步意识到安全搜索是搜索服务的一个必要功能的表现。从技术实现来看，Yahoo目前使用的McAfeeSiteAdvisor技术，要比Google现有的搜索安全技术覆盖面更广，功能也更为强大，但Google胜在领先于整个行业推出安全搜索服务。
笔者认为：在搜索结果上附加简单的安全检查功能并无太大的技术难度，对搜索服务提供商来说，其实需要得更多的是相关的恶意软件、恶意网站数据库完善所需的时间。随着互联网上恶意网站数量的快速增加，国内用户的浏览安全意识的提高，他们对安全搜索的需求只是时间问题，建议国内的搜索服务提供商对搜索安全及相关的技术领域投入更多的关注。