您所在的位置:IT专家堂 > 网络 > 12日-18日安全要闻回顾 IE7现惊人漏洞微软紧急调查

12日-18日安全要闻回顾 IE7现惊人漏洞微软紧急调查

2007-03-19 09:16 梁林 51CTO.com 我要评论(0) 字号:T | T
一键收藏,随时查看,分享好友!

本周(0312至0318)安全硬件和服务方面的新闻值得关注,希捷(Seagate)推出带全盘加密技术的笔记本硬盘产品,显示存储设备硬件安全化的趋势,服务领域则有RSA推出适用于网上银行和电子商务新的反木马服务。

AD:

【51CTO.com 独家特稿】本周(0312至0318)安全硬件和服务方面的新闻值得关注,希捷(Seagate)推出带全盘加密技术的笔记本硬盘产品,显示存储设备硬件安全化的趋势,服务领域则有RSA推出适用于网上银行和电子商务新的反木马服务。而Microsoft调查IE7可能存在于反钓鱼模块的新漏洞和趋势科技收购反浏览器劫持软件Hijackthis,也是本周比较有代表性的新闻。
安全硬件方面:安全嵌入产品的发展前景
周一,希捷科技(Seagate)推出了实现全盘硬件加密的硬盘产品,这款名为Momentus的5400转2.5英寸笔记本硬盘,将使用在美国笔记本渠道商ASI计算机公司生产的安全笔记本电脑上。这款硬盘最大容量达160GB,并内置支持美国政府标准AES加密算法的硬件,能实时透明对全盘数据进行加解密操作。这款硬盘用于医疗、商业或政府等领域,可防止因笔记本电脑的意外丢失或转售造成的数据丢失和泄密。
因为存有机密数据的笔记本电脑或存储设备的丢失而造成的严重泄密事故在新闻上时有曝光,并日益引起各界重视。目前内置有硬盘加密芯片的笔记本电脑都属于高端的商用机型,同时启用安全加密功能之后,笔记本的操作方便性和数据读写性能都有一定程度的下降,因此笔记本内置的硬盘加密芯片常常只是一个摆设。希捷推出这款内嵌硬件加密的笔记本硬盘产品将在很大程度上改善这种状况:硬盘厂商不需要增加太多成本即可为硬盘增加硬件加密的功能,内嵌的加密功能对数据读写性能都不会有影响,而对笔记本厂商和用户来说,都不需要增加太多采购成本即可获得安全功能,预计各大硬盘厂商不久都将推出各自的支持硬件加密或其他安全功能的存储产品。这也显示出,安全嵌入产品的市场正在打开,通过在现有或未来产品上添加硬件实现的安全功能正成为各硬件厂商争夺市场的新手段,安全嵌入产品(Secure Embedded Hardware)或智能安全产品(Smart Secure Hardware)会不会成为下一个市场的热点?我们拭目以待。
安全服务方面:关键业务流程安全外包
周五,RSA宣布将推出了针对电子商务和网上银行的FraudActionSM服务,该服务通过一个24X7小时运作的中央控制中心,对企业用户的电子商务业务的全部流程进行加固,防御企业所面对的诸如网络钓鱼、木马病毒和键盘记录等电子商务威胁。
RSA推出的新业务,显示电子商务企业对关键业务流程的安全服务外包服务的兴趣正在提高,将关键业务流程外包可以降低电子商务企业的经营成本,并得到更好更可靠的安全服务,这比电子商务企业自己维护一个相对庞大的信息安全部门要合算得多,并节省大量的企业资源。这种关键业务流程的安全外包服务将逐渐在安全服务市场流行起来,但其对安全服务企业自身素质的高要求,也使市场集中在少数几个有实力的安全服务商手里。而国内的情况有所不同,电子商务的发展程度和安全服务商的关注领域都与国外有很大差异,关键业务流程的安全外包服务,能否在国内开展,尚需观察。
反病毒:产品和网络服务结合成为趋势
周三,反病毒厂商趋势科技(Trend Micro)宣布收购著名的反浏览器劫持软件Hijackthis。趋势科技将发布Hijackthis的2.0beta版本,除了保留Hijackthis原有的功能外,还添加了Windows Vista、IE7支持和恶意软件分析功能,可以使用户直观的了解目标恶意软件的危害程度。作为对Hijackthis的补充,趋势还将推出一个称为TrendProtect的浏览器插件产品,结合趋势将推出的TrendSecure网站,可以对用户要访问的站点的浏览安全性做出评估,并为用户的浏览提供安全相关的建议。
从趋势收购Hijackthis和推出TrendProtect的一系列行为看,趋势下一步的产品重点将放在浏览器安全和现有产品的功能集成上。Hijackthis 2.0Beta、TrendProtect和TrendSecure网站的推出,将是趋势走出的产品和网络服务结合第一步,预计趋势会根据市场情况,进一步推出更多和趋势反病毒产品结合在一起的网络安全服务。结合前段时间Symantec推出的产品和网络安全服务结合的Norton 360来看,产品和网络安全服务的结合将在反病毒市场中慢慢流行起来,和产品相结合的网络安全服务也将成为反病毒厂商新的利润增长点。
漏洞方面:IE7的附加功能
周三,Microsoft安全方面的一个负责人称,正在对早些时候以色列安全研究人员所发现的IE7安全漏洞进行调查。以色列安全研究人员Aviv Raff早些时候在他网站上说,IE7对刷新空白页的处理存在漏洞,恶意攻击者可以通过这个漏洞隐蔽的进行网络钓鱼攻击。这个漏洞是因为IE7的附加功能之一,反钓鱼模块没有对刷新空白页的URL进行过滤造成。Microsoft尚未对此漏洞的存在发布官方的确认消息或软件更新。
IE7作为Windows Vista的标准组件,使用了Vista内置的安全模型,对缓冲区溢出和其他常见浏览器漏洞的防御能力要比IE的以前版本提高许多,相对来说,安全性也要提高很多。但是IE7安全性的提高并不代表用户浏览安全的绝对提高,攻击者还可以通过IE7的附加功能进行攻击,而且这种攻击比直接攻击IE7内核更难发现和防御——这次发现的IE7漏洞就是存在于IE的反钓鱼功能,结合少许的社会工程学,即可对用户的账户等信息造成严重威胁。随着Windows Vista和IE7的推广使用,各种软件的Vista版本也将纷纷推出,而大量的存在各种安全隐患的浏览器插件也将安装到用户的系统中,因此,IE的附加功能模块,包括各种第三方的IE7浏览器插件,将是未来一段时间内安全业界和攻击者都重点关注的目标。

【相关文章】

【责任编辑:赵毅 TEL:(010)68476636-8001】

分享到:

网友评论TOP5

查看所有评论(

提交评论

栏目热门

更多>>

  • 头条 使用检查约束验证SQL Server中的数据
  • 构建应用程序最关键的目标之一是确保所有进入数据库的数据都要符合你的业务规则,数据校验是应用程序的关键部分,确保你的数据满足业务分析师制定的需求。本文将给大家介绍如何使用检查约束验证SQL Server中的数据。
  1. 对话职业经理人阿朱:程序员转型期的职业选择
  2. 从检测到防护:全面打造网站安全

热点职位

更多>>

热点专题

更多>>

读书

非常网管——网络应用
在网络应用越来越复杂的今天,传统的网络应用已经不能满足企业和用户的需要,这就对网络管理员、信息管理部门提出了更高的要求。

51CTO旗下网站

领先的IT技术网站 51CTO 领先的中文存储媒体 WatchStor 中国首个CIO网站 CIOage 中国首家数字医疗网站 HC3i 51CTO学院