【51CTO.com 獨(dú)家特稿】本周（081222至081228）安全業(yè)界放假不放松，由于本周恰逢西方的假期季度（圣誕節(jié)加新年），安全圈子里值得關(guān)注的消息不多，基本仍以攻擊和威脅方面的為主。微軟SQL數(shù)據(jù)庫爆出安全漏洞，目前尚無補(bǔ)丁但已有如何攻擊漏洞的介紹；節(jié)日禮物不安全，內(nèi)藏惡意軟件的數(shù)碼產(chǎn)品威脅消費(fèi)者；安全技術(shù)方面，NIST正在制定的新Hash標(biāo)準(zhǔn)將開始公開測試；在本期回顧的最后，筆者將為大家?guī)韮蓚€(gè)值得一讀的推薦閱讀文章。

本周的信息安全威脅等級(jí)為低。

漏洞攻擊：微軟SQL數(shù)據(jù)庫新安全漏洞威脅巨大；關(guān)注指數(shù)：高

對(duì)微軟來說，2008年的年末顯然是一個(gè)非常忙碌的時(shí)刻，前兩周微軟才匆忙的為威脅巨大的IE7漏洞推出緊急安全補(bǔ)丁，本周就又有安全研究人員爆出微軟另外一個(gè)主要產(chǎn)品——SQL Server數(shù)據(jù)庫服務(wù)器中存在的嚴(yán)重安全漏洞。根據(jù)12月23日Securityfocus.com的消息，來自安全廠商SEC consult Vulnerability Labs的研究人員Bernhard Mueller發(fā)布一份報(bào)告稱，在微軟的SQL Server數(shù)據(jù)庫服務(wù)器產(chǎn)品中存在一個(gè)致命的安全漏洞，黑客可以通過攻擊SQL Server中存在數(shù)據(jù)處理缺陷的'sp_replwritetovarbin'存儲(chǔ)過程，在用戶的系統(tǒng)上以SQL Server的權(quán)限執(zhí)行系統(tǒng)命令，并嚴(yán)重威脅所有使用SQL Server作為動(dòng)態(tài)頁面數(shù)據(jù)的網(wǎng)站，和利用SQL Server提供數(shù)據(jù)庫服務(wù)的其他應(yīng)用系統(tǒng)的安全。根據(jù)12月23日Darkreading.com的消息，微軟已經(jīng)在自己的官方站點(diǎn)上發(fā)布針對(duì)該漏洞的緊急安全公告，確認(rèn)該漏洞將會(huì)影響除微軟最新的SQL Server 2008之外的所有SQL Server版本。目前微軟仍未推出針對(duì)該安全漏洞的補(bǔ)丁，但微軟和安全廠商已經(jīng)就用戶如何防御針對(duì)該漏洞的攻擊提供了一些過渡解決方案，用戶可先禁用SQL Server服務(wù)器的遠(yuǎn)程連接功能，或通過部署應(yīng)用程序防火墻等措施，防御黑客借助SQL注入技術(shù)實(shí)施針對(duì)上述漏洞的攻擊。

該安全漏洞的公開過程，也再次暴露出安全行業(yè)和軟件廠商之間缺乏足夠的溝通，該漏洞的發(fā)現(xiàn)者稱，早在四月份就已經(jīng)通知微軟有關(guān)SQL Server存在該安全漏洞，并提供了詳細(xì)的漏洞信息，但微軟一直不聞不問，因此漏洞發(fā)現(xiàn)者才將該漏洞的詳細(xì)信息和攻擊方式發(fā)布到互聯(lián)網(wǎng)上。但安全行業(yè)也普遍質(zhì)疑該漏洞發(fā)現(xiàn)者的行為，并認(rèn)為其在該漏洞未提供補(bǔ)丁程序前就公開漏洞細(xì)節(jié)是相當(dāng)不道德的行為，對(duì)此筆者也深以為然，畢竟未修補(bǔ)的漏洞及其細(xì)節(jié)一旦公開到互聯(lián)網(wǎng)上，對(duì)用戶造成的威脅和損失是難以估算的。筆者建議，SQL Server用戶應(yīng)關(guān)注微軟對(duì)該漏洞處理的最新進(jìn)展，在目前尚未有補(bǔ)丁程序的情況下，建議通過更新防火墻規(guī)則，刪除'sp_replwritetovarbin'存儲(chǔ)過程、修正Web應(yīng)用程序代碼等方式，盡可能的降低乃至消除該漏洞對(duì)Web網(wǎng)站和系統(tǒng)的威脅和影響。

惡意軟件：節(jié)日禮物不安全，內(nèi)藏惡意軟件的數(shù)碼產(chǎn)品威脅消費(fèi)者；關(guān)注指數(shù)：高

近兩年來，剛出廠的消費(fèi)類數(shù)碼產(chǎn)品包含惡意軟件已經(jīng)不算是很新的新聞，不過這次事件的主角是知名的電子廠商三星倒是第一次了。根據(jù)12月24日Securityfocus.com的消息，不少用戶都反映，他們?cè)缧r(shí)候從Amazon購買的三星數(shù)碼相框，都包含了一個(gè)名為Win32.Salty的惡意軟件，該惡意軟件在六個(gè)多月前就能被市面上流行的反病毒軟件所查殺。三星電子在本月曾就其數(shù)碼相框產(chǎn)品感染惡意軟件發(fā)表過一個(gè)安全公告，建議用戶先使用反病毒軟件清除數(shù)碼相框上的惡意軟件，再重新安裝更新版本的數(shù)碼相框管理軟件。該事件再次暴露出消費(fèi)類數(shù)碼產(chǎn)品在銷售前仍缺乏有效的數(shù)據(jù)安全檢測，因?yàn)樵缭谝荒甓嗲?，安全專家就曾發(fā)表過安全警告，稱帶有存儲(chǔ)功能的消費(fèi)類數(shù)碼產(chǎn)品有可能成為惡意軟件傳播源，而美國銷售商Best Buy（百思買）也曾因?yàn)檫@個(gè)原因，今年1月將其銷售的某型號(hào)數(shù)碼相框撤下貨架。而對(duì)消費(fèi)者來說，如果節(jié)假日里收到帶有內(nèi)置存儲(chǔ)器的三星數(shù)碼相框或者別的類似產(chǎn)品，在使用前最好還是先用反病毒軟件來檢查下內(nèi)存中的文件是否安全，要不藏有惡意軟件之類的“意外驚喜”就不好了。

安全技術(shù)：新的Hash標(biāo)準(zhǔn)將進(jìn)行公開測試；關(guān)注指數(shù)：中

Hash技術(shù)是一種通過一定的加密算法，將用戶或系統(tǒng)的明文數(shù)據(jù)轉(zhuǎn)化成加密數(shù)據(jù)的技術(shù)，它和常見的加密算法不同的地方在于，Hash加密是單向的，只能將明文轉(zhuǎn)化為密文，而不能將密文再次轉(zhuǎn)換成明文。因此，Hash算法常用于保存密碼、校驗(yàn)值等需要防止破解的敏感信息，目前最為常用的是MD5和SHA算法，而這兩種算法的早期版本MD4和SHA-1，都存在著容易被破解的缺陷。為了尋找下一代更安全的Hash算法，標(biāo)準(zhǔn)制定者美國技術(shù)標(biāo)準(zhǔn)學(xué)會(huì)（NIST）正準(zhǔn)備舉行一次大規(guī)模的測試，根據(jù)12月22日Securityfocus.com的消息，NIST即將舉行的針對(duì)Hash算法的大規(guī)模公開測試中，將采用接近實(shí)戰(zhàn)攻擊的方法來找出可以取代當(dāng)前Hash算法的替代標(biāo)準(zhǔn)，本次測試將組建51個(gè)不同的測試組，并對(duì)待選的標(biāo)準(zhǔn)進(jìn)行攻擊嘗試和效能評(píng)估，最終沒有被攻破的候選者就是獲勝者。不過NIST也表示，因?yàn)楫?dāng)前使用的SHA-2標(biāo)準(zhǔn)仍沒有可實(shí)現(xiàn)的攻擊方法，NIST也并不急于選擇一個(gè)SHA-2 Hash標(biāo)準(zhǔn)的替代品。對(duì)Hash算法設(shè)計(jì)和攻擊方法有興趣的朋友，可以到NIST針對(duì)此次活動(dòng)開設(shè)的網(wǎng)站去了解一下，網(wǎng)址如下：
  
 http://csrc.nist.gov/groups/ST/hash/sha-3/Round1/submissions_rnd1.html

推薦閱讀：

1） 2008年信息安全領(lǐng)域的6個(gè)關(guān)鍵詞；推薦指數(shù)：高

接近年底，總結(jié)關(guān)鍵詞成為互聯(lián)網(wǎng)上對(duì)2008年進(jìn)行評(píng)價(jià)的最流行形式，安全業(yè)界當(dāng)然也不能例外。Darkreading.com文章《2008年信息安全領(lǐng)域的6個(gè)關(guān)鍵詞》，就總結(jié)了2008年最具代表性的6個(gè)關(guān)鍵詞及其幕后事件，推薦朋友們閱讀一下。文章地址如下：
http://www.darkreading.com/security/management/showArticle.jhtml?articleID=212501928&subSection=Security+administration/management

2） 如何在兼并收購中保護(hù)敏感數(shù)據(jù)？推薦指數(shù)：高

兼并收購成為眾多企業(yè)度過本次經(jīng)濟(jì)危機(jī)的無奈選擇，但兼并收購過程中的業(yè)務(wù)整合，往往成為敏感數(shù)據(jù)泄漏事件高發(fā)的威脅階段，如何保護(hù)敏感數(shù)據(jù)就成為兼并收購順利進(jìn)行的關(guān)鍵。eWeek.com文章《如何在兼并收購中保護(hù)敏感數(shù)據(jù)》對(duì)此進(jìn)行了詳細(xì)的討論，推薦相關(guān)領(lǐng)域的朋友們了解一下。
文章的地址如下：

http://www.eweek.com/c/a/Security/How-to-Protect-Data-during-Financial-Mergers-and-Acquisitions/?kc=rss

【51CTO.COM 獨(dú)家特稿，轉(zhuǎn)載請(qǐng)注明出處及作者！】