12月第2周安全回顾:IE再爆严重漏洞 火狐却成漏洞王 推荐

本文同时发布在：http://netsecurity.51cto.com/art/200812/102098.htm

本周(081207-081214)安全业界热点众多，微软上周按时推出了12月份的例行补丁包，但微软产品上接踵而来的严重漏洞，却让这次的补丁升级可能难以成为微软2008补丁的最后一波；微软在浏览器市场上的主要竞争对手Firefox也遭遇寒冬，“荣登”2008年软件漏洞榜的榜首。利用漏洞的恶意软件和黑客攻击事件仍在快速上升，攻击水平和发生数量都创了新高；与此同时，新的恶意软件仍层出不穷，反病毒厂商再次捕获攻击DNS和DHCP应用的新恶意软件；隐私保护方面，微软将成为首个满足欧盟搜索隐私保护条例的搜索服务提供商；在本期回顾的最后，笔者将为大家介绍上周推出的有代表性的安全产品，以及一篇值得一读的推荐文章。

本周的信息安全威胁等级为中。黑客主要针对微软12月补丁包修补的漏洞，以及尚未修补的微软IE及WordPad程序漏洞进行大规模的网络攻击，建议朋友们关注微软的相关安全公告和补丁程序发布情况，并及时更新对应的补丁程序，同时应开启反病毒及防火墙软件，并保持这些软件的版本和数据库为最新。

漏洞攻击：微软产品再次爆出严重安全漏洞；Firefox“荣登”2008年软件漏洞榜榜首；关注指数：高
上周微软准时推出12月的例行补丁升级，不少用户在微软推出后的第一时间更新了补丁。安全业界普遍认为，12月的例行补丁升级将是2008年微软补丁行动的最后一波，然而本周事态的发展显然大大出乎了人们的意料之外。根据12月11日多家媒体的报道，目前黑客正利用一个尚未有补丁的Internet Explorer 7漏洞疯狂攻击互联网用户。该漏洞存在于IE7处理XML标记的过程中，某些特定XML标记将会触发该漏洞，并使IE7执行无法预料的行为。该漏洞的第一个利用程序，在微软发布起12月例行补丁包不到24个小时就被公开在互联网上，目前据信该漏洞已经被黑客广泛用于攻击互联网用户，如果用户不小心打开了含有该漏洞攻击程序的网站页面，将很有可能遭受攻击并感染黑客预先放置的恶意软件。为了造成更大的影响范围，黑客已攻击了为数众多的合法网站，并植入漏洞攻击程序和恶意软件。
由于目前微软尚未推出安全补丁，用户在浏览网站时应加倍小心，并开启反病毒和防火墙软件。应用微软提供的应急替代方案：关闭活动脚本功能、启用系统的数据执行保护等都可以防御针对该漏洞的攻击，建议用户同时更改这些安全设置。而微软的另外一个产品WordPad也爆出了安全漏洞，安全研究人员发现在WordPad在打开特定的*.wri文件时，有可能触发一个安全漏洞，并使其执行不可预料的行为。黑客将采取将包含攻击程序的文件以电子邮件附件的形式发给用户，如果用户不慎开启，就将有可能感染黑客预先放置的恶意软件。建议用户收到*.wri类型文件为附件的电子邮件时切勿打开，或利用边界防火墙等设备将有这种特征的电子邮件过滤掉。
尽管微软的IE浏览器频频发现漏洞，但微软在浏览器市场的主要对手Firefox最近也不顺利，竟“荣登”2008年应用程序漏洞榜的首位。根据12月13日ITnews.com.au的报道，开源浏览器Firefox因为在年内共发现40个漏洞，从而成为2008年用户常用软件中漏洞最多的一个，而Adobe PDF Reader和微软MSN Messenger分列二三。因为相当多的Firefox用户并没有开启自动升级功能，虽然Firefox漏洞等级都不算太高，但仍有可能对用户的系统和网络造成不小的威胁。建议用户在使用Firefox及其他第三方浏览器软件时，开启自带的自动更新功能，或定期手动检查更新。

威胁趋势：ISS称攻击事件每天发生25亿起，攻击手法越发多样和先进；关注指数：高
由于进入08年第四季度以来，各软件厂商的主要操作系统及应用软件产品均爆出了不少威胁程度不同的安全漏洞，而经济危机影响的进一步深化，黑客和网络犯罪集团通过互联网对用户发起的攻击有飞速增加的趋势。根据12月8日ITnews.com.au的报道，IBM下属的安全厂商ISS发布报告称，目前针对用户系统和网络的威胁呈现这样一个现象：在过去的4个月里，基于网络和网站页面的攻击出现了超过30%的增长，而根据对ISS的3700个受控安全管理客户的系统及网络的监控结果，在过去的四个月里，ISS平均每天能够接收到18亿到25亿个安全事件。笔者认为，根据经验，在ISS所接收到的安全事件中，大概有95%的安全事件属于威胁程度较低的特权使用或其它操作行为引发的误报信息，而剩下的5%则可能是威胁较高的攻击事件，比如由外部黑客、蠕虫及僵尸网络等自动攻击发起的攻击等。
而根据安全业界的检测结果，最近四个月内的网络攻击除了发生次数急剧增加之外，还呈现手法多样和技术水平越来越先进的特征：根据12月11日ITnews.com.au的消息，反病毒厂商卡巴斯基称，截至2008年年末，卡巴斯基实验室共捕获恶意软件总数为1500万种，而在2007年末，这个数字只有200万，另外一个反病毒厂商F-secure也证实了这一点，称2008年内出现的恶意软件数量，超过了过去21年的总和。这说明恶意软件的技术水平比2007年有了显著的提高，极快的变种速度也使得反病毒软件对恶意软件的检测和查杀效率下降明显。而安全业界的研究成果也表明，参与网络地下经济的黑客人数也在同时快速增长中，明年针对用户的信用卡等隐私信息发起的攻击将会进一步上升，用户的安全威胁形势仍十分严峻。51CTO安全要闻回顾专栏将在未来继续关注用户安全威胁趋势方面的消息，并为朋友们提供深度的回顾分析和安全建议。

反恶意软件：攻击DNS和DHCP应用的新恶意软件出现；关注指数：高
上周恶意软件掀起了一轮新的攻击高潮，并在攻击中使用了今年中流行一时的最新攻击技术。根据12月8日eWeek.com的消息，反病毒厂商Symantec和McAfee称，捕获到一个能够利用DNS和DHCP技术进行攻击的新型特洛伊木马，这个名为DNSChanger的特洛伊木马在控制用户网络中的某台计算机之后，除了会改变用户ADSL等网络设备的默认DNS服务器设置之外，还能够建立一个恶意的DHCP服务器，并为新加入网络的系统分配带有恶意DNS地址的IP地址。如果用户的网络感染这种恶意软件，则用户整个网络的域名解析将会被恶意软件释放者所控制，用户所浏览及登录的网址都将会被解析到攻击者精心设计的恶意网站。
尽管到上周末为止，反病毒厂商并没有确认该恶意软件有大规模扩散的迹象，但根据该恶意软件所用的攻击扩散技术，如果用户网络尤其是大规模的企业网络感染该类型的恶意软件，将会造成相当严重的损失。笔者建议，用户除了应将自己的反病毒软件和防火墙更新到最新版本外，如果网络内的节点不多，网络管理员可为网络中的每个系统设置静态IP。管理员使用嗅探器软件对网络内的DHCP通讯进行检查，也可以发现这种类型的恶意软件是否存在。

隐私保护：微软将成为首个满足欧盟搜索隐私保护的搜索服务提供商；关注指数：中
Google、微软Live及Yahoo等为用户提供免费互联网搜索服务的提供商，将用户的搜索数据用于分析及其他用途，很早之前就成为一种公开的秘密，搜索服务提供商收集用户的搜索数据，分析用户的搜索习惯，虽然可以改善用户的搜索体验和效率，但从另外一个角度来说，搜索服务提供商也能将这些隐私数据用于商业目的。根据12月10日ITnews.com.au的报道，欧盟委员会在08年4月曾发布了如何保护用户搜索隐私的指导意见，时隔半年多之后，微软将成为首家满足该指导意见的搜索服务提供商。微软在上周早些时候给欧盟委员会的信中称，将会根据欧盟搜索隐私保护指导意见的规定，将用户搜索数据的保存时限减少到6个月。
与此同时，Google表示，会将用户搜索数据的保存时间缩短到9个月，但这个时间仍长于欧盟指导意见的规定。笔者建议，因为即使是搜索数据保存时间最短的微软，也会将用户的搜索数据保存长达6个月，为了保护隐私或其他敏感信息，建议朋友们不要轻易使用搜索引擎搜索如身份证号、姓名、电话号码等敏感信息，防止因为使用搜索引擎而导致的敏感信息泄漏及可能造成的损失。

安全产品：下一代的防火墙将提供有限的数据泄露防御功能；
数据泄露防御从前年起开始成为安全市场中的一个新热点，不少安全厂商也纷纷推出了自己的相应产品，但这个市场一直处于叫好不叫座的状态之中。现在，一个新的竞争者即将进入数据泄露防御市场进行厮杀，这就是带有基本数据泄露防御功能的防火墙产品，这款由安全厂商Palo Alto推出的防火墙产品，能够自动检测外流数据中是否包含身份证号和信用卡号这样的敏感数据并自动拦截过滤，虽然拦截效率可能不高，但这款产品的创意确实不错，也能满足一般中小企业用户对数据泄露防御的基础需求。

推荐阅读：Google的浏览器安全手册；推荐指数：高
Google在推出Chrome浏览器之后，看起来对浏览器市场的热情是越来越高——12月11日，Google推出了一套名为《浏览器安全手册》的文档，这套文档详细介绍了浏览器的分类、操作及技术细节、安全建议等多个较有技术深度的要点，推荐朋友们都看看，了解下浏览器的运作和安全原理。