【51CTO.com獨家特稿】這周正好是我國的傳統節(jié)日端午節(jié)，許多朋友都趁這難得的三天假期出外旅游，不過IT行業(yè)向來沒有放假的傳統，因此本周的安全圈子也有不少值得關注的新聞。首先仍是需要時刻關注的漏洞攻擊方向，除了老面孔微軟和Apple的產品外，本周移動設備廠商RIM也一同上榜。作為推動軟件安全的重要一步，微軟在本周發(fā)布了免費的軟件安全模板。針對虛擬化和云應用市場的快速發(fā)展，眾多反病毒廠商紛紛在近期推出了自己的產品，AMTSO本周新推出的新測試標準將對該領域的應用產生積極影響。在本期回顧的最后，筆者仍為朋友們專心挑選了兩個值得一讀的推薦閱讀文章。　　

本周（090525至090531）安全要聞回顧

本周的的信息安全威脅等級為中，主要的威脅類型為小規(guī)模的微軟漏洞攻擊行為，請朋友們留意各軟件廠商發(fā)布的安全更新，并及時更新防火墻和反病毒軟件等安全工具?！　?/P>

漏洞攻擊：微軟蘋果再爆安全漏洞；黑莓也有PDF漏洞；關注指數：高　　

繼前兩周微軟Web服務器IIS中發(fā)現WebDAV訪問控制的嚴重漏洞后，本周微軟另外一個產品DirectX中再次發(fā)現嚴重安全漏洞。該漏洞存在于廣泛安裝在Windows系統上DirectX產品的DirectShow組件，由于DirectShow在處理QuickTime媒體文件時存在缺陷，黑客可通過向用戶發(fā)送特定格式內容的QuickTime媒體文件攻擊該漏洞，如果用戶不小心開啟了這樣的QuickTime攻擊文件，將可能執(zhí)行并感染黑客預先放置的惡意軟件。

盡管這個DirectShow漏洞并不是傳統意義上的瀏覽器漏洞，但理論上說使用DirectShow作為媒體播放插件的瀏覽器都有可能會被該漏洞所成功攻擊。根據微軟的進一步調查，該漏洞將會影響較早期的Windows 2000 SP4、Windows XP和Windows 2003操作系統，而較新的Windows Vista和2008將不受影響，此外，微軟尚未確認什么時候會推出針對該漏洞的安全更新，朋友們需要密切關注微軟進一步的通知，并開啟系統的自動更新功能。不過微軟也在官方站點上提供了防御該漏洞的臨時措施，需要的朋友可到以下網址了解下：　　

http://www.microsoft.com/technet/security/advisory/971778.mspx　　

Apple的操作系統MacOSX本周也被爆出存在安全漏洞。根據安全廠商Intego的報告，MacOSX系統在處理經過特定編碼的JavaApplet時，會允許攻擊者跳過系統的安全控制遠程執(zhí)行代碼。該漏洞已存在超過6個月，但Apple一直沒有就此發(fā)表看法或推出安全更新。該漏洞要處理起來并不困難，用戶只需要在瀏覽器中禁用掉JavaScript的運行即可?！　?/P>

除了微軟和Apple這樣的老面孔外，本周的漏洞攻擊領域還新上榜了一家移動計算市場的知名廠商RIM。本周早些時候RIM發(fā)布安全公告稱，使用RIM操作系統的BlackBerry黑莓手機及在x86平臺上配套的BlackBerry Enterprise Server都存在PDF文件處理安全漏洞，如果該漏洞被觸發(fā)，在BlackBerry手機上會導致手機內存溢出失去響應等問題，而在x86平臺的表現則更為嚴重，將有可能導致執(zhí)行黑客預置代碼等嚴重后果。目前互聯網上尚未聽說有針對該漏洞的大規(guī)模攻擊活動，廠商RIM沒有對上述幾個產品提供安全更新，朋友們如果正在使用上述產品，建議不要開啟來歷不明的PDF文件，或通過設置禁用對PDF文檔的支持?！　?/P>

軟件安全：微軟發(fā)布免費軟件安全模板；關注指數：中　　

作為對去年11月份推行軟件安全活動的后續(xù)行動，微軟本周發(fā)布了一個免費的軟件安全模板，這個名為SDL模板的工具除了能夠集成到微軟自家的Visual Studio外，還能用到第三方的開發(fā)環(huán)境中，從而更好的幫助開發(fā)者在軟件產品的開發(fā)階段實施軟件安全戰(zhàn)略。目前微軟最新的軟件安全開發(fā)生命周期架構（Security Development Lifecycle，簡稱SDL）的最新版本為4.1，去年年底微軟曾發(fā)布了SDL優(yōu)化體系和SDL威脅建模工具（TMT），現在微軟又再發(fā)表SDL模板這一免費的工具，顯然對微軟推行Windows 平臺下的軟件安全體系有不小的積極作用。當前軟件漏洞已經成為用戶信息安全的最大威脅之一，而軟件安全領域經過這兩年的發(fā)展，也逐漸開始引起各大安全廠商的注意，不過現在軟件安全市場內成熟的產品和服務不多，最終用戶對軟件安全的認知程度也不是很高，這種現狀值得國內安全廠商關注?！　?/P>

反病毒：新標準支持云應用反病毒的測試；關注指數：中　　

云是這幾年IT圈子里很熱的話題，各種云相關的解決方案如雨后春筍般出現，安全業(yè)界自然也不會落后，在前段時間舊金山舉行的RSA安全會議上，許多廠商云概念的安全產品。在這樣紛繁復雜的安全產品中，用戶應該如何選擇和評估一套適合自己情況的云安全產品？基于此考慮，由多個知名反病毒廠商組成的反惡意軟件測試標準組織（AMTSO）本周推出新的《云安全產品測試最佳實踐》，該份標準旨在幫助用戶更好的測試各種帶有云概念的安全產品，并涵蓋了虛擬化、數據泄露、采樣和比較等方面的指導性意見。從技術角度上來說，這份標準不能算是一份完全適用于最終用戶的測試標準，因為它并沒有提供各項測試的操作流程和標準的測試指標，只能算是指導安全廠商、第三方產品測評機構如何進行測試的指導性標準。不過這份標準在方向的設置上相當全面，安全廠商如果要涉足云安全產品的開發(fā)，可以將其作為架構功能設計的主要參考資料?！　?/P>

推薦閱讀：

1） McAfee的網絡犯罪教育網站；推薦指數：高  

網絡犯罪正日益成為現代網絡社會揮之不去的噩夢，然而絕大多數用戶對網絡犯罪的概念仍十分模糊，更無從談起如何保護自己不受網絡犯罪的侵害。安全廠商McAfee本周推出一個新的網絡犯罪教育網站，并制作了一個名為H*Commerce的系列教育視頻，推薦朋友們都了解一下。該網站地址如下：

http://www.stophcommerce.com/

2） 技術分析：如何防止惡意的內部攻擊者？推薦指數：高  

俗話說堡壘最容易從內部攻破，企業(yè)在建設信息安全體系的時候會面臨同樣的問題，無論企業(yè)在安全產品花費多少投資，一個心懷不滿的員工總有機會給企業(yè)內部網絡造成嚴重的損失。Darkreading.com本周新推出的報告《如何防止惡意的內部攻擊者》，主要關注如何保護企業(yè)的敏感數據不受內部人員的威脅，推薦有興趣的朋友閱讀一下。報告的下載地址如下：

http://www.darkreading.com/insiderthreat/security/attacks/showArticle.jhtml?articleID=217600658&subSection=Attacks/breaches

【51CTO.COM 獨家特稿，轉載請注明出處及作者！】

>>更多安全要聞回顧