支付卡漏洞、Heartbleed漏洞以及前不久曝光的Shellshock漏洞，讓人們深深意識到信息安全形勢的嚴(yán)峻。然而一波未平一波又起，上周又曝出了俄羅斯黑客利用微軟Windows系統(tǒng)中的漏洞對歐美國家政府、北約，以及烏克蘭政府展開間諜活動。報告稱，俄羅斯黑客攻擊的目標(biāo)還包括歐洲的能源和電信行業(yè)公司，以及美國一些未披露的學(xué)術(shù)機(jī)構(gòu)。

俄羅斯黑客利用Windows系統(tǒng)漏洞展開間諜活動

[[121289]]

據(jù)了解，該漏洞影響win vista,win7等以上操作系統(tǒng)，利用微軟文檔就可以觸發(fā)該漏洞，而且該漏洞為邏輯漏洞，很容易利用成功。當(dāng)前樣本已經(jīng)擴(kuò)散且容易改造被黑客二次利用。

Windows任意代碼執(zhí)行0day(CVE-2014-4114)分析報告

另外，上周谷歌曝出的新SSL安全漏洞也值得大家關(guān)注。據(jù)路透社報道，三名谷歌研究人員在廣泛使用的SSL網(wǎng)頁加密技術(shù)中發(fā)現(xiàn)了一處安全漏洞。研究人員稱，黑客可以利用這一漏洞發(fā)動Padding Oracle攻擊，竊取數(shù)據(jù)。這一問題出現(xiàn)在已有18年之久的SSL 3.0加密標(biāo)準(zhǔn)中，該標(biāo)準(zhǔn)被廣泛用于網(wǎng)頁瀏覽器和網(wǎng)站。

谷歌稱發(fā)現(xiàn)SSL網(wǎng)頁加密漏洞 或引發(fā)攻擊

[[121290]]

緊接著，Google發(fā)布了一份關(guān)于SSLv3漏洞的簡要分析報告。根據(jù)Google的說法，該漏洞貫穿于所有的SSLv3版本中，利用該漏洞，黑客可以通過中間人攻擊等類似的方式(只要劫持到的數(shù)據(jù)加密兩端均使用SSL3.0)，便可以成功獲取到傳輸數(shù)據(jù)(例如cookies)。

Google發(fā)布SSLv3漏洞簡要分析報告

[[121291]]

目前，被檢測出來的網(wǎng)絡(luò)安全漏洞在逐年增長，而且安全漏洞的成本也在增加，但企業(yè)的安全預(yù)算卻并沒有太多增長。

據(jù)相關(guān)報告顯示，小企業(yè)安全漏洞的成本卻在下降，比例為37%;中型企業(yè)的安全漏洞成本呈小幅增長，比例為25%，而大型企業(yè)的安全漏洞成本增長最高，比例為53%。

安全漏洞的成本呈上升趨勢