本文同时发表在：[url]http://netsecurity.51cto.com/art/200801/64543.htm[/url]

 

本周（080114至080120）安全方面值得关注的新闻集中在漏洞攻击、路由安全和身份认证方面。

新闻1：周二，Microsoft当天发表用户警告称，黑客正在利用垃圾邮件攻击手段对一个未被公开的Excel漏洞进行攻击，该漏洞的成功利用会提供给黑客在目标系统上与当前用户相当的权限。目前Microsoft已经确认该漏洞会影响Office 2003 Excel SP2、Excel 2002（XP）、Excel 2000和Excel 2004 for Mac，而最新的Office 2007、Office 2007 SP1、Office 2003 SP3和Office 2008 for Mac则不受影响。Microsoft安全响应中心还在Blog写道，目前针对该漏洞的安全补丁正在开发中，由于该漏洞现在影响的范围不大，因此，针对该漏洞的补丁可能会在2月的例行补丁升级才会发布。

笔者观点：这次发现的Excel 0Day漏洞是进入2008年后的针对Office的第一个漏洞，这离Microsoft去年12月发布Office 2007 SP1和Office 2003 SP3升级补丁包的时间还不足两个月时间，许多用户甚至还没有对自己的Office进行使用SP升级补丁包的更新。尽管根据美国国家漏洞数据库（NVD）的数据，在Office 2002至2006版本中所发现的漏洞数量不多，Office也只发现了13个漏洞，但利用Office 系统中组件的公开或未公开漏洞进行攻击已经成为黑客在针对如企业高层管理、金融部门等特定目标发起攻击的标准手段。笔者认为，根据Microsoft每次发布SP升级补丁包后，漏洞挖掘行业都会根据补丁包进行未修正产品的漏洞挖掘，之后便会出现大量的漏洞利用程序这个规律来看，Microsoft Office系统在Microsoft去年底发布SP升级补丁包后的安全情况仍不容易乐观，Office在2008年内所要面临的攻击仍将维持在一个和去年持平甚至更严重的水平上。黑客还会利用更有技巧的社会工程学方法使这种类型的攻击看起来更为逼真，用户在遭受这种类型的攻击时更难以察觉和跟踪。笔者建议，目前尚未用SP补丁升级包对Office系统更新的用户，尽快到Microsoft下载站点或使用Microsoft Update服务进行更新。经常需要和外界进行Office文档交换的用户，还可以使用Microsoft所发布的两个Office系统安全附件——Office隔离对话环境（MOICE）和File Block，来提供额外的Office漏洞攻击保护，另外，使用最新的反病毒软件或开启系统自带的数据执行保护（DEP）功能也可以提供一定程度的保护。

新闻2：周一，根据软件厂商Sentrigo进行的一项Oracle数据库用户调查显示，有超过三分之二的Oracle用户从来没有对自己的Oracle数据库进行过安全补丁升级。Oracle采用定期发布补丁的策略对产品中存在的漏洞修正，最新的一次是1月15号所发布的27个补丁程序，这些补丁程序针对Oracle的数据库、应用程序和相关产品等多个产品上存在的漏洞。

笔者观点：Oracle的数据库及其他产品广泛应用于各种大中型企业中，并承载着巨量的高价值数据和向许多重要业务提供数据服务。但数据库的安全状况往往与它在企业中所充当的重要角色不相称，软件厂商Sentrigo进行的Oracle数据库用户调查也从一个侧面反映出这样的问题——大部分的Oracle数据库用户从来没有使用过安全补丁。这个情况固然有企业内的Oracle数据库不能 轻易 重启或停止服务的原因，或是企业对使用安全补丁之后对数据库服务的执行效率有所顾虑，但最关键的还是大部分的企业没有制定有专门针对Oracle数据库的安全管理策略。即使在诸如银行、通讯等这种对数据安全十分重视的行业，现有的安全管理策略中也主要是关注安全 运维和灾难备份方面，对Oracle数据库的变更管理和安全事件响应往往没有太多关注。笔者认为，随着针对Oracle数据库安全威胁的增多，企业应该更为重视自己所使用的Oracle数据库安装的安全，并制定专门的安全管理策略，对安全漏洞采取使用安全补丁修正或访问控制技术进行限制。这两年安全行业对Oracle数据库的安全关注也较多，也有相当多的Oracle数据库安全产品推出，企业也可以从众多可选择的数据库安全或监视方案中选择一个适合自己现有IT环境的。

 

新闻：周二，美国官方信息安全应急响应组织US-CERT当天警告称，由于一个网络设备中UPnP支持功能的漏洞，黑客可以通过Web站点上的精心构造的Flash SWF文件，对用户如路由器、网络摄像机、打印机、移动电话和电子娱乐系统等支持UPnP的网络设备进行重新配置或进行控制。

笔者观点：黑客在利用UPnP漏洞对网络设备的各种攻击手法中，对用户威胁最大的就是对用户路由器主DNS服务器地址的修改。黑客通过修改用户所使用的DNS服务器地址，就可以轻易的控制用户的数据流，并进行钓鱼攻击，网络欺诈等攻击行为。如通过将钓鱼网站的IP地址和合法网站的域名进行捆定，用户访问合法站点的请求便会重定向到钓鱼网站上。虽然现在这种攻击方式是使用了Flash SWF文件，但单纯禁用Flash Player并不能完全解决问题，黑客还可以利用其他的技术手段来影响有UPnP漏洞的网络设备。笔者建议，如果用户不需要使用网络设备的UPnP功能，应尽量在网络设备设置中将其关闭，UPnP功能也常用于进行BT下载之类的活动时进行路由器的端口设置，用户也可以在关闭UPnP功能后自行进行端口映射的手工设置。

 

新闻：周五，Yahoo日前发布的一个公告称，将在1月30号开始，对在线身份识别系统OpenID提供支持。届时，用户只需拥有一个Yahoo账户，便可直接登录其他支持OpenID 2.0的网站，而无需再进行用户注册或登录操作。OpenID在线身份识别机制是互联网上使用的用户身份识别管理方法之一，其目的是节省用户访问每一个网站都必须使用不同的用户名和口令进行登录时所浪费的时间。另外，OpenID是一种非集中管理的服务，允许用户选择自己的OpenID提供商。

笔者观点：Yahoo并不是第一个支持OpenID的大型互联网服务提供商，在它之前，OpenID已经获得大量应用程序的支持，Sun和Microsoft等厂商已经在自己的软件产品中提供OpenID支持，美国在线（AOL）和Yahoo也参与到OpenID 2.0的开发当中。由于各大软件厂商和网站的支持，OpenID将有可能成为互联网上第一个被广泛使用的通用身份识别技术标准。从技术实现的角度看，OpenID属于一个多验证服务提供者的单点登录方案，用户可以***选择验证服务的提供者，各个验证服务提供者都可以提供功能相同的用户登录验证服务，验证服务提供者也可以在提供基础登录验证服务的基础上，提供更为高级的多因素登录验证服务或类似PKI的数字签名/反抵赖服务。

笔者认为，OpenID验证服务在国外站点的广泛推广，将会导致专业的OpenID验证服务提供商的出现，由Yahoo、Google这种用户众多的网站提供专业的OpenID验证服务也有可能是一种发展方向。而在国内，各大网站对OpenID提供支持，或自主开发类似OpenID这样的通用身份识别技术也指日可待。但是，就OpenID本身，乃至更广义的单点登录方案的安全角度来看，是存在相当大的安全隐患的。如果用户的OpenID账户被恶意用户所获得，恶意用户将可以使用受害用户的OpenID随意登录和使用受害用户的所有在线资源和信息，并使用受害用户的名义进行如欺诈这样的犯罪活动。另外，OpenID环境下，用户隐私的保护也将会成为最主要的安全问题，OpenID验证服务提供者能够跟踪其用户使用OpenID进行的所有资源访问，甚至根据这些信息分析出用户的浏览习惯和价值取向，同时，如果合法用户的OpenID账户为恶意用户所获得，恶意用户也可以获得合法用户的个人信息和网络访问习惯，并利用这些信息进行如网络欺诈、钓鱼攻击等进一步的攻击活动。