虽然市场上的软件多如牛毛,但是黑客们最青睐的也就是那么几款,其中微软的产品是逃脱不掉的。究竟微软的产品有多受欢迎呢?从微软发布的补丁数和修复的漏洞攻击数量中可以略见一二。
微 软在2009年共发布了72个月度安全补丁,其中上半年有27个,下半年则多达45个,除此之外微软还在7月底临时发布了2个紧急安全补丁,也就是整个 2009年微软一共发布了74个安全补丁,修复了190个安全漏洞。其中,1月份的补丁数最少,只有1个,修复了3个漏洞;最多的一次补丁发布是在10月 份,共13个补丁,修复了20多个各种类型的安全漏洞。
在过去一年里,微软的补丁中有44个为关键级别,这也是微软补丁的最高等级。此外,27个为重要级别,还有3个为中等级别。在这74个补丁所修复的漏洞中,132个被列为高危级别,53个为严重级别,另外5个为中等级别。
按照漏洞类别分类,2009年中微软共发布了55个修复远程代码执行的补丁,5个拒绝式服务补丁,3个欺诈补丁,10个权限提升补丁,1个信息泄露补丁。这74个安全补丁共修复了157个远程代码执行漏洞,7个拒绝式服务漏洞,7个欺诈漏洞,18个权限提升漏洞,1个信息泄露漏洞。
操作系统方面Windows Server 2003是今年微软软件中漏洞最多的一款,共出现了34个安全漏洞。Windows Server 2008和Windows XP均出现了30个漏洞,其次为Windows Vista和Windows 2000,共存在26个漏洞。Windows 7则是2009年补丁和漏洞最少的操作系统,微软仅为其发布了一个补丁,修复了3个漏洞。
浏览器方面,IE6在今年只出现了7次漏洞攻击,IE5和IE7共存在6个漏洞,IE8为4个。
Office 2003是微软办公软件中漏洞最多的一款,微软共修复了其中13个漏洞。Office XP为11个,Office 2007为10个,Office 2000的补丁数最少,仅修复了其中出现的8个漏洞。Mac版Office 2004和Office 2008均出现了6个漏洞。
这样的规模在最近几年属于正常水平,稍微多于2007年的69个,略少于2006年和2008年的78个,但是再往前数的话就显得多了:2005年只有55个,2004年更是“仅仅”45个。
编译/驱动之家
安全研究人员本周一披露了一个新的没有补丁的Windows安全漏洞。一些专家认为,利用这个安全漏洞能够远程劫持用户的PC。
微软称,它正在调查这个安全漏洞,但是,到目前为止,微软还没有提供它进行分析的任何信息。微软安全反应中心部门经理Jerry Bryant星期二在电子邮件中称,微软正在调查公开宣布的Windows SMB(服务器消息块)中可能存在的一个安全漏洞。
一旦完成调查,我们将采取适当的措施帮助保护用户。这些措施可能包括通过每月的发布流程提供一个安全补丁,发布周期之外的补丁或者提供额外的指南帮助用户保护自己。
一个网名为“Cupidon-3005”的安全研究人员本周一发布了利用这个安全漏洞的代码。这个安全漏洞据说存在于“mrxsmb.sys”驱动程序中的“BowserWriteErrorLogEntry()”函数中。这个驱动程序处理发给Windows用于网络通讯的服务器消息块协议的请求。
服务器消息块主要用于向Windows机器提供文件和打印机共享。
法国安全公司Vupen把这个安全漏洞列为严重等级的安全漏洞,指出成功地利用这个安全漏洞能够引起拒绝服务攻击或者完全控制有漏洞的计算机。
Vupen证实称,Windows XP SP3和Windows Server 2003 SP2容易受到这种攻击。丹麦安全公司Secunia称,其它版本的Windows也受到了影响。
最近微软安全研究人员计划改变信息安全策略,修改当前信息安全披露制度,以使其对发现和修补漏洞的处理变得更加容易和安全。
据悉,目前在信息产业掀起了关于“全面披露”(FD)制度优点的争论,而在该制度下很多疵病信息在补丁可用之前就被公开了。另一种信息披露制度是“揭露协议”(RD)信息披露制度,而在该制度下,需要等到补丁可用时信息才会被公开。
微软高级安全战略家卡蒂穆索瑞斯(Katie Moussouris)指出:“包括微软之内的大多数供应商倾向于选用“揭露协议”信息披露制度,而人们会有一种从全面披露到‘揭露协议’信息披露方式改变带来的落差感。 ‘揭露协议’只有在这种情况下才被弃用,即弃用是为了增强安全性、保护用户和系统的安全” 。该篇博文所倡导的信息披露制度嬴得了产业内一些大公司的支持。
据悉,微软正计划的“协调信息披露”(Coordinated Vulnerability Disclosureb,CDV)制度大部分内容与当前‘揭露协议’信息披露制度相似。但是二者也有区别,即如果攻击被广泛发现,微软公司和研究人员将会发出警告,指出存在的问题和可能确保系统安全的解决方案。
穆索瑞斯表示:“微软不赞成全面披露制度,公司研究人员仍然在研究使公布信息的举动能在某些原则下进行,这样便于公司协调所有公告并保护用户的安全。”微软可依赖计算部门安全技术高级管理人员马特汤姆林森(Matt Thomlinson)表示:“实行全面披露制度太过极端,我们现在所做的一切只是为了保护用户,‘协调信息披露’制度才更有利于保护用户的安全”。
姜太公钓鱼,愿者上钩。在诈骗者眼中,所有人都是他们要钓的“鱼”,当然钓的不是你本身,而是你口袋中的钞票。网络钓鱼(Phishing)在网络上为你设下圈套,通过处心积虑的技术手段伪造出假可乱真的网站、E-Mail、短信等信息,诱惑你“自愿”交出重要信息(如银行账户密码)。网络钓鱼并不是一种新的入侵方法,但是它的危害范围却在逐渐扩大,成为最具威胁的网络安全事件。中国反钓鱼网站联盟刚刚发布的最新月报显示,联盟受理并暂停域名解析的钓鱼网站为1785个,较3月增长70%,约有4500万网民因网络钓鱼蒙受损失。
2010年3月30日,中国互联网络信息中心(CNNIC)和国家互联网应急中心(CNCERT)在京联合发布《2009年中国网民网络信息安全状况调查系列报告》。《报告》数据显示,2009年,52%的网民曾遭遇过网络安全事件,网民处理安全事件所支出的相关服务费用共计153亿元人民币。
2010年4月29日,EMC信息安全事业部RSA发布的《2010年全球网上消费者安全调查》结果显示:在接受调查的全球22个国家中,中国用户对强网站身份认证最积极,达到96.92%。
许多网络交易就被这一个个以假乱真的交易页面骗走了钱财,这种不愉快的经历让那些上当受骗的用户,对网络购物望而怯步。不仅如此,网络欺诈除了给网民带来经济损失,也给企业带来品牌形象损伤。严重地影响了在线金融服务、电子商务的发展,危害公众利益,影响公众应用互联网的信心。
中国反钓鱼网站联盟所提供的十大网络防骗术
一、域名实名制从源头杜绝违法犯罪。域名实名制要求用户注册域名时,填写真实、准确、完整的注册信息。管理机构对域名申请单位的营业执照,法人代表,具体地址,经营规模是否真实可靠进行实质性的审查,并在相关行政机关备案。域名是互联网上的具有唯一性的标识,每一个域名的注册都是独一无二、不可重复的。实施了域名实名制之后,使得对互联网上的违法行为的监管变得更加容易,从源头上有效遏制了网络犯罪。
二、通过第三方网站身份诚信认证辨别网站真实性。目前不少网站已经在网站首页底部安装了第三方网站身份诚信认证,网民应首先通过第三方权威机构的网站资质信息(企业登记信息、网站域名注册信息等)来判断网站的真实身份,以规避网络风险。网民在应用电子商务网站时应养成查看网站身份信息的使用习惯。
三、使用数字证书。金融机构都为网上银行用户开通了数字证书服务,这些数字证书所具备的安全性,可以较好地保护银行用户的安全。这类的网站的网址都是“https”开头的。网民在网站输入自己的身份信息、银行帐号密码时候,如果发现网站地址不是“https”开头的,应谨慎对待,最好终止填写信息。
四、使用安全锁(即U盾)。在登录网上银行时,需将U盾插入电脑USB端口并输入U盾密码,如不小心泄露了网上银行用户名和密码,只要U盾仍然掌握在自己手中,或者连U盾也丢失但U盾的密码仍然掌握在自己手中,他人都无法登录你的网上银行。
五、如果您的网络账户中存在财产或重要的隐私信息,请在输入账号和密码前注意确认所在网站是否为官方网站。
六、对于网上出售的商品价格明显低于市场售价的应多加小心,更不要轻易打开对方发来的链接地址。拍下物品后不要立刻付款,关闭交易窗口,打开“已买到的宝贝”页面,确认购买成功后再付款。网上交易务必使用第三方支付平台,使用中应仔细核对网址是否正确。若实在无法使用第三方支付平台付款,最好选择货到付款。
七、安装正版安全软件,并定期打补丁和查杀,封堵住木马入侵的通道,以确保自己的电脑中没有木马。
八、勿轻信“中奖”消息——利用“中奖”骗取汇款是最常用的网络骗术。
九、不轻易拨打声讯业务的电话号码。如果欺诈者留下手机号码或者电话号码,可通过搜索引擎查询该号码的相关信息:如果号码属地与标示公司地距离太大的,就值得怀疑;如果同一号码的主人在网络上公布信息有天壤之别,就要小心;如果有网友公布的受骗记录中出现该号码,就很可能是网络欺诈。
十、发现受骗,要马上报警。妥善保管交易流水单等物证,为有关部门追查网络诈骗创造最佳时机。