9月第3周安全回顾：QuickTime现新零日漏洞

9月第3周安全回顾：QuickTime现新零日漏洞 中秋过后，要做的事情还真是不少，尤其上周的信息安全领域发生的几件值得关注的事件，QuickTime 曝出新的零日漏洞，51CTO安全专家梁林认为由于关于该漏洞及其漏洞利用程序的细节还不完善，很有可能被国内外运营僵尸网络的网络犯罪团伙利用。梁林也建议大家，为避免造成不必要的损失，一定关注Apple的安全公告，及时打补丁。

零日漏洞是大家都不愿意看到的，但与此相比，就目前国内软件业的情况来看，软件安全相关的产品开发、服务和咨询都相当有市场，所以微软即将发布的安全开发模型倒是很值得业内期待。总体来说，上周（080915至080921）的信息安全威胁等级还是比较低的。

漏洞安全：QuickTime 0day漏洞现身；关注指数：高

新闻：9月19日，安全专家警告称新的QuickTime 0Day漏洞已现身。该漏洞属于“分界范围错误”类型， 来自于QuickTime播放器对多媒体文件的文件头信息的处理缺陷，安全者可以将精心构造的XML信息插入到音频或视频文件的文件头，利用该漏洞使用户的QuickTime播放器崩溃。目前已经确认该漏洞会影响Mac和Windows平台上的QuickTime 7.5.5版本和iTunes 8，这是在不久前Apple宣布退出QuickTime补丁之后公开的首个漏洞，因为目前尚未确认该漏洞是否会允许安全者在用户系统上执行恶意代码，所以该漏洞的威胁等级只标记为低。

梁林认为：因为目前互联网上还没有关于该漏洞及其漏洞利用程序的具体细节，判断该漏洞对用户的威胁程度还为时尚早。但从之前的类似漏洞来判断，最有可能获取和使用该漏洞的安全者是国内外运营僵尸网络的网络犯罪团伙，他们可能会采用垃圾邮件发送安全文件、制作虚假的多媒体下载网站、替换合法网站的多媒体文件为安全文件等多种安全手法，对用户发起安全，如果用户安装有存在漏洞的QuickTime和iTunes版本，同时不慎开启包含安全代码的恶意媒体文件， 将有可能感染安全者散布的恶意软件。笔者建议用户关注Apple的安全公告，并开启QuickTime和iTunes的自动升级功能，同时尽量不要下载电子邮件中包含的媒体文件，以防遭受安全者利用上述漏洞发起的安全。

安全开发：Microsoft即将发布安全开发模型；关注指数：高

新闻：9月16日，Microsoft周二发布公告称，计划在今年11月份启动三个安全开发项目，已帮助软件厂商减少软件产品中存在的漏洞，并为未来构建更为安全的软件产品。Microsoft的三个安全开发项目包括提供软件安全服务的SDL Pro Network、优化软件安全过程的SDL Optimization Model和用于软件安全建模的SDL Threat Modeling Tool 3.0。

梁林认为：软件中存在的各种安全漏洞，一直是用户信息系统和内部网络的安全的最大威胁，不但会导致用户的信息系统服务迟缓或停滞，也经常使用户宝贵的数据意外损失，更为严重的是，软件漏洞的存在，使得企业外部和内部的安全者能够轻易的突破企业的各种安全设施，进入企业的内部网络和系统，并窃取各种敏感的数据，最近两年发生的多起企业敏感数据泄漏案件就是一个明证。

作为企业软件产品的重要供应商，Microsoft从2002年开始在其软件产品开发中推行安全开发生命周期（Security Develop Lifecycle，SDL），经过5年多的使用，Microsoft在其主要的Windows、Office等产品线上得到了安全漏洞逐年减少的益处，对安全漏洞的响应速度也比使用SDL之前快了不少。目前国内的软件厂商使用安全开发原理进行软件开发的并不多，对软件代码的安全审核测试也只停留在手工阶段，国际上知名的软件安全厂商中没有一家中国厂商。Microsoft推行的三个软件安全项目对国内企业会产生什么样的影响，现在下结论还为时尚早，但就目前国内软件业的情况来看，软件安全相关的产品开发、服务和咨询都相当有市场，笔者建议国内的安全行业可以留意一下这方面的发展情况。

专家推荐阅读：
1）2009年反病毒产品的新功能；推荐指数：中

随着2009年的日益临近，众多的反病毒厂商都纷纷推出了自己的2009年版的反病毒软件，面对繁杂的针对个人用户的消费型反病毒产品，用户如何才能比较和判断它们的优劣？eWeek.com上周对十多个主流的2009年反病毒产品进行详细的测评，并给出了详尽的测评报告，打算更新反病毒软件的朋友可以通过这个文章了解一下：
原文地址：
http://www.eweek.com/c/a/Security/Antivirus-Suite-Features-for-2009/

2）如何安全删除数据？推荐指数：中

目前市面上有多个不同的安全数据删除标准，不少主流的电子设备和软件厂商也提供了自己的企业级数据删除产品，如果用户在购买和使用这类产品时候没有正确进行，将有可能带来严重的安全和法律风险。eWeek.com文章《如何安全删除数据》可以当作一份不错的指南：

原文地址：
http://www.eweek.com/c/a/Security/How-To-Really-Delete-Data-For-Absolutely-Sure/?kc=rss

3）如何制定企业数据加密策略；推荐指数：高

在当前这个数据丢失会导致企业严重经济和声誉损失的时代，数据加密可说是企业保护数据的最后一道保障，数据加密可以有效的保护企业的敏感数据在意外丢失或泄漏事件发生的情况下，不至于对外泄漏，并保护企业的形象和声誉不受损失。但是，如果没有一个有效的数据加密实施和管理策略，数据加密很难充分发挥作用。推荐最近有兴趣部署数据加密产品的朋友了解由数据加密厂商PGP和CREDANT提供的企业数据加密指南：

原文地址：
http://www.eweek.com/c/a/Security/Enterprise-Encryption-Strategies-for-Data-Protection-Take-Careful-Planning/?kc=rss

展会关注：

1） OWASP NYC AppSec 2008 Web应用安全会议

即将于9月24日-25日在纽约举行的OWASP NYC AppSec会议将主要讨论目前最热的Web应用程序安全、开发和安全等相关问题，并有众多的知名软件、安全厂商及中立机构参加，笔者将密切关注该安全会议的进展，为读者带来最及时最深入的跟踪分析。