10月第2周安全回顾 Web安全认证架构成型 PDF阅读器存漏洞

本文同时发表在：[url]http://netsecurity.51cto.com/art/200710/58091.htm[/url]

 

本周（1008至1014）安全方面值得关注的新闻集中在Web应用安全、漏洞攻击、开发安全和VoIP安全方面。

Web应用安全：OWASP准备推出网站安全认证架构，关注指数：高

新闻：周一，开源的Web应用安全组织OWASP（Open Web Application Security Project）目前正准备推出网站安全认证架构，这个网站安全认证架构将主要面向网站上的Web应用程序，并提供详细的安全认证标准以用于评测并标识网站为安全。

笔者观点：从今年年初开始，Web已经取代E-mail成为恶意软件传播的第一途径，另外的一些来自Web的攻击，比如跨站脚本、钓鱼网站等也一直呈上升趋势。因此，如何保证互联网上的浏览安全已经成为用户一件非常急迫的事情。对用户来说，除了常见的注意及时更新系统和安全软件版本、尽可能只登录可信站点之外，其实更彻底的方法是从Web站点的安全性入手，为用户提供安全浏览的保证。尽管目前市场上已经有多个标记Web站点是否合法的认证，如国际上的VeriSign和Cybertrust认证及其他国家性质的电子商务站点认证标志，但这些都只是从电子商务而非Web站点本身所用技术的角度来衡量Web站点的安全性。另外，安全行业的大部分厂商对Web站点进行安全评估时，也大多只使用扫描工具对Web站点进行简单的扫描，并不能比较彻底的发现问题。

笔者认为，OWASP这次将要推出的网站安全认证架构相当值得期待，对Web站点来说，这个安全认证架构本身针对的是Web应用程序，它将要提供的检测流程也能尽可能的保证Web站点不受最新的漏洞影响，获得这个构架的认可将会对提高用户使用体验有好处；对安全厂商来说，能否利用这个架构对Web站点进行安全评估，并进行持续的安全维护服务，很有可能成为进入Web站点安全市场的一个必须资质。

漏洞攻击：Adobe称Acrobat Reader中存在严重漏洞，关注指数：高

新闻1：周三，来自yahoo的消息，Adobe日前宣布，在多个版本的Acrobat Reader发现存在严重漏洞，攻击者有可能利用这个漏洞在用户不知情的情况下安装恶意软件。目前Adobe已经确认这个漏洞会发生在安装有IE7的Windows XP SP2的计算机上，其他平台尚无攻击报告，Adobe也没有提供更多关于漏洞的细节，并称升级补丁将在10月底提供。

笔者观点：今年来，针对Acrobat以及PDF文档攻击频繁发生，之前的垃圾邮件使用PDF作为文件附件广为散发便是最近发生的针对PDF的攻击，这次Adobe所公布的漏洞再次显示PDF文档及Acrobat Reader本身正越来越成为攻击者的目标。去年底笔者所认为的随着Microsoft对Windows及IE安全的重视，针对IE本身的攻击将转移到IE的第三方浏览器插件上的事情看来要在Acrobat Reader上重演，因为Microsoft对Windows及Office系统安全的重视，攻击者针对Microsoft产品发起0Day攻击的难度和成本大大提高，用户面十分广泛的Acrobat Reader，及其他用户数量巨大的第三方软件将很有可能成为下一波0Day漏洞攻击的对象，业界及用户应对此有充分的认识。

开发安全：黑客攻击开发中的应用程序渐成趋势，Fortify 提供应对方案，关注指数：中

新闻：周四，一种称为“Cross-Build Injection”的新攻击悄然出现在开发业界，这种攻击与以往攻击者在已发布的应用程序中使用各种方法查找漏洞并进行攻击不同，攻击者利用各种途径，比如提供带后门的编译组件或编译脚本，或进行过恶意代码插入的源程序，当用户或二次开发者使用这些修改过的代码和组件时，将存在巨大的潜在风险。代码安全厂商Fortify已经发布了一份指导，指导开发厂商如何避免这类攻击。

笔者观点：Cross-Build Injection这种基于源代码的攻击最早曾出现先2002年，当时OpenSSH和Sendmail的源代码曾被黑客恶意修改，并加入后门代码。但当时因为受影响的软件都是用户众多的开源软件，所以黑客的行为很快被发现并解除威胁。笔者认为，Cross-Build Injection这种攻击将以两种方式影响用户：其一因为企业中使用开源软件的比重日益增多，如果从不可信或被黑客侵入过的来源获得源代码并自主编译、部署，企业便有可能将威胁带入内部网络当中；还有一种威胁的形式是来自于小型或个人开发者，他们为降低成本，通常会采用现成的开发组件，如果组件的来源不可信，而企业又选用了这样开发出现的应用软件，也很有可能将威胁带入内部网络。但因为目前Cross-Build Injection攻击方式尚无十分有效的应对措施，所以企业在使用开源软件或购买应用软件时，应该将软件的代码安全因素考虑在内。

攻击趋势：Vishing，Skype和VoIP诈骗，关注指数：中

新闻：周三，来自互联网应急响应组织ISC的消息，近一段时间来，针对Skype用户的诈骗及钓鱼攻击有持续上升的趋势，安全专家将这种针对VoIP用户或基于VoIP技术的欺诈方式称之为Vishing（参考网络钓鱼的词Phishing）。目前存在的攻击方式主要有2种，一种是通过Skype匿名信息或电子邮件通知Skype用户中奖，另外一种则是更进一步的用Skype的语音邮件功能给用户发送有欺诈内容的语音留言，特别值得注意的是，第一种攻击方式在国内也有出现。

笔者观点：由于Skype用户日益增多，同时Skype的PC-to-Phone服务是付费服务，因此针对Skype用户账户上的Skype点数的攻击也开始增多，而且国内也出现针对Skype的攻击这一点也应该引起用户的关注。Skype默认公开用户的注册电子邮件地址和允许接受陌生人信息也是使Skype用户易受攻击的内在原因。笔者建议，为了应对Vishing攻击，Skype用户在使用时应该设置电子邮件隐私策略，不对外公开自己的电子邮件地址；同时用户还应该阻止来自陌生人的信息，并增强使用安全意识，不要轻易相信获奖信息或随便点击Skype对话中的连接。