网络安全公司赛门铁克(Symantec)表示,尽管微软在1月21日发布了IE补丁,但IE漏洞仍将会被黑客利用。
赛门铁克高级安全反应经理凯 文霍根(Kevin Hogan)称,“针对谷歌的攻击已经过去,但是我们将会继续看到黑客利用IE的安全漏洞来进行攻击。”赛门铁克宣称已经检测到了新型in-the- wild病毒针对IE同种漏洞的攻击。该公司同时指出了数百个服务器分别位于韩国和波兰等国的网站。这些网站包含的恶意代码能绕过未打补丁的IE6的安全 监测。特洛伊木马程序更是能让黑客对受病毒感染的电脑实行完全控制。
霍根表示,公司和个人用户必须为他们的浏览器打上补丁,或者把他们的浏览器升级到最新版的IE。IE7和IE8中的附加安全措施则能阻止黑客利用IE漏洞来进行袭击。
获根还揭露了原版Trojan.Hydrap木马的进一步细节信息。这种木马程序导致了针对谷歌和其它公司的袭击,“我们谈论的不是一种让服务断线的攻击,受感染的电脑被黑客用作了一个平台,黑客能利用这个平台进行进一步的破坏活动。”
问及为何网络技术公司的职员仍在运行老化的IE6浏览器时,霍根表示“无可奉告”,并附加道:“这些技术公司拥有成千上万的节点,因此公司中有一些职员运行过时的浏览器是无法避免的。”
微软去年Pwn2Own黑客大赛上发现的漏洞,在9个月后终于得到了修补,但是短短一天过后,就有研究者公布了新的Windows补丁的攻击代码。
这个被微软定义为最高危险等级“危急”的漏洞早在9个月前的黑客大赛上就发现了,当时它被其发现者用于强强联手攻击Internet Explorer 8 (IE8),并为其赢得了10000美元的奖金。
Vreugdenhil在去年的Pwn2Own上只用了2分钟就攻击了IE8,被称为“技术上令人印象深刻的”。他不光用了两个漏洞,而这两个漏洞都可以自身被利用,他还令两个漏洞同时奏效。
Vreugdenhil指出,这个攻击代码并不适用于实施犯罪的人,单单运行该开发程序不会起作用,不过IE会瘫痪。TippingPoint公司的Portnoy认为微软在9个月后才迟迟做出修补表现出他们在交流上的工作失误,因为微软认为该漏洞不可开发,而Vreugdenhil的工作则证明这是可以开发的,但直到Vreugdenhil到美国的TippingPoint工作后,他们才正式和微软联络上并指出这个漏洞的可开发性。
上个月微软再次就其对ASLR和DEP的信任表态,认为他们对目前可预想的攻击都可以做出强有力的对策。Portnoy对此持反对意见,“他们看不到漏洞不代表这些漏洞没有被利用过。这只是能说明微软还没发现它们”。今年3月9日至11 日,将在CanSecWest安全会议上举行新一届Pwn2Own比赛,届时将主要关注对浏览器和手机的开发。不过今年的现金大奖将颁给成功入侵手机宽带处理器的研究者,因为这将为开发处理无线通讯信号的芯片固件漏洞提供思路。
微软将于下星期将发布两个安全补丁修复Windows的三个安全漏洞。其中一个补丁是微软最高级别的“严重”的补丁,另一个是“重要”级别的安全补丁。这两个补丁都将修复Windows中的安全漏洞。nCircle安全公司的安全运营经理Andrew Storms称,修复Vista漏洞的那个补丁令人感到困惑。这个东西也许只有Vista有,而在Windows 7系统中不存在,或者为Windows 7重新编写了。
一些人推测这个安全漏洞也许存在于Vista系统的一个很少使用的组件中,如任务编排程序等。
至于第二个安全补丁,微软也没有提供更多的线索。Storms称,微软的第二个安全补丁很可能修复存在于操作系统动态链接库中的安全漏洞,也许是一个驱动程序或者数据库连接器。这对于操作系统都是非常重要的。
本周三发生了首次重大的云计算数据突破事件。微软宣布称,微软BPOS(商务办公在线套装软件)中包含的数据已经被非授权用户下载。
人们对这种事件的直接反应也许是责怪黑客。但是,这次的事件却与黑客无关。微软的Clint Patterson说,这次数据突破事件是由于微软在美国、欧洲和亚洲的数据中心的一个没有确定的设置错误造成的。BPOS软件中的离线地址簿在“非常特 别的情况下”提供给了非授权用户。这个地址簿包含企业的联络人信息。Patterson对于这个错误表示道歉。
微软称,这个错误在发现之后两个小时就修复了。微软称,它拥有跟踪设施,使它能够与那些错误地下载这些数据的人取得联系以便清除这些数据。
然而,整个事件让那些考虑在明年使用云计算的人感到担心,特别是让考虑使用与Office套装软件捆绑在一起的微软主要云计算产品Office 365的那些人感到担心。
业内人士称,在考虑使用任何厂商的提供的云计算服务的时候,有三个基本的威胁会导致数据泄漏:第一,云计算软件的配置错误或者软件中的瑕疵。第二,黑客窃取数据,为了取乐或者赚钱。第三,员工处理数据的疏忽。
云计算的应用还有许多问题。很难相信一些人所说的2011年将是云计算成为主流的一年。