一周要闻:IE零日漏洞

OpenSSL Heartbleed bug终于不再是本周的头条新闻。我在撰写本文时已近下午3点,但到目前为止我一整天都没看到过一篇关于Heartbleed bug的文章,真让人惊奇。但别担心,不谈Heartbleed,我们还有很多其他内容要讨论: 零日漏洞 本周早些时候,卡巴斯基实验室宣布发现Adobe Flash Player中存在零日漏洞。说来也奇怪,卡巴斯基发现这种漏洞的工具正是用于发现新恶意程序样本的工具。零日漏洞被发现时,已经通过一种叫做”水坑攻击”的威胁肆虐于叙利亚地区。水坑作为一种有针对性的攻击,攻击者侵入攻击对象可能会访问的合法网站,在其中植入恶意程序,当用户访问这些网站时,就会被恶意程序感染。Adobe已经针对这种漏洞提供相应的补丁,所以请尽快安装Adobe公司发布的所有更新。 微软的Internet Explorer浏览器也同样存在零日漏洞问题。在此我不打算深究此漏洞的技术细节。但我想说的是零日漏洞被广泛利用,能针对各种目标发起攻击;显而易见,确保安装微软称之为”Out of Band”的紧急安全补丁十分重要。此类补丁是指微软在每月固定的周二补丁日以外的时间发布的补丁。如果漏洞收到out-of-band补丁,这通常表明这是一个严重漏洞。 微软Internet Explorer浏览器和Adobe Flash Player零日漏洞取代OpenSSL Heartbleed登上本周安全要闻头条,成为主要讨论话题。 本已封刀退隐,无奈重陷江湖 关于周二补丁日:还记得本月早些时候我们曾讨论过不再向Windows XP发送安全补丁吗?但我们错了(至少从技术角度来说是这样)。因为上述Internet Explorer零日漏洞主动有针对性攻击的目标主要是Windows XP系统,微软心一软,也发送了针对XP用户的Internet Explorer发送out-of-band补丁。 又见AOL! 最近,大量AOL电子邮件用户遇到了麻烦,他们发现自己的帐户被用于向自己联系人列表中的用户发送垃圾邮件。我们曾在上周的新闻回顾中讨论过这个问题。对此AOL声称,这完全属于”电子欺骗”攻击的内容。他们表示,此问题没有任何危害,只是看起来好像电子邮件是来自AOL用户电子邮件帐户。实际上,该公司在最初的声明中就表示过,电子邮件发件人只是使其看上去仿佛电子邮件是来自AOL用户电子邮件帐户。 如果我没记错,上周我们曾谈到AOL对事件的解释让人匪夷所思,因为事实上电子欺骗行为可能仍在继续,这没法解释攻击者是怎么搞到所有这些联系人列表的。可以肯定的是,本周AOL承认,已向用户发送通知,敦促用户更改密码。所以,如果您使用的是AOL帐户,那么最好更改密码。 Facebook和隐私 Facebook宣布推出一款全新的功能,名叫匿名登录。Facebook创始人马克•扎克伯格昨天在公司的F8会议上对开发人员说,”匿名登录”将允许用户使用Facebook帐户登录到第三方应用,而无需使用自己的Facebook凭证,也不必与第三方共享个人信息。 “这一功能的理念是,你不希望应用获知你的身份,但又想感受简化的登录体验,那么利用此功能可免去繁琐的表格填写工作,”扎克伯格说。”它能让你放心大胆地试用应用。” “匿名登录”目前为Beta测试版,只适用于某些应用;例如,Flipboard就是首批适用的应用之一。登录时,Facebook用户可以选择使用自己的Facebook凭证登录应用,也可以选择使用”匿名登录”来试用应用。”匿名登录”本身采用黑色屏幕,而不是Facebook惯常的蓝色,通过”匿名登录”,用户能够避免与外部应用共享已经与Facebook共享的任何数据。

OpenSSL Heartbleed bug终于不再是本周的头条新闻。我在撰写本文时已近下午3点,但到目前为止我一整天都没看到过一篇关于Heartbleed bug的文章,真让人惊奇。但别担心,不谈Heartbleed,我们还有很多其他内容要讨论:

零日漏洞

本周早些时候,卡巴斯基实验室宣布发现Adobe Flash Player中存在零日漏洞。说来也奇怪,卡巴斯基发现这种漏洞的工具正是用于发现新恶意程序样本的工具。零日漏洞被发现时,已经通过一种叫做”水坑攻击”的威胁肆虐于叙利亚地区。水坑作为一种有针对性的攻击,攻击者侵入攻击对象可能会访问的合法网站,在其中植入恶意程序,当用户访问这些网站时,就会被恶意程序感染。Adobe已经针对这种漏洞提供相应的补丁,所以请尽快安装Adobe公司发布的所有更新。

微软的Internet Explorer浏览器也同样存在零日漏洞问题。在此我不打算深究此漏洞的技术细节。但我想说的是零日漏洞被广泛利用,能针对各种目标发起攻击;显而易见,确保安装微软称之为”Out of Band”的紧急安全补丁十分重要。此类补丁是指微软在每月固定的周二补丁日以外的时间发布的补丁。如果漏洞收到out-of-band补丁,这通常表明这是一个严重漏洞。

微软Internet Explorer浏览器和Adobe Flash Player零日漏洞取代OpenSSL Heartbleed登上本周安全要闻头条,成为主要讨论话题。

本已封刀退隐,无奈重陷江湖

关于周二补丁日:还记得本月早些时候我们曾讨论过不再向Windows XP发送安全补丁吗?但我们错了(至少从技术角度来说是这样)。因为上述Internet Explorer零日漏洞主动有针对性攻击的目标主要是Windows XP系统,微软心一软,也发送了针对XP用户的Internet Explorer发送out-of-band补丁

又见AOL!

最近,大量AOL电子邮件用户遇到了麻烦,他们发现自己的帐户被用于向自己联系人列表中的用户发送垃圾邮件。我们曾在上周的新闻回顾中讨论过这个问题。对此AOL声称,这完全属于”电子欺骗”攻击的内容。他们表示,此问题没有任何危害,只是看起来好像电子邮件是来自AOL用户电子邮件帐户。实际上,该公司在最初的声明中就表示过,电子邮件发件人只是使其看上去仿佛电子邮件是来自AOL用户电子邮件帐户。
如果我没记错,上周我们曾谈到AOL对事件的解释让人匪夷所思,因为事实上电子欺骗行为可能仍在继续,这没法解释攻击者是怎么搞到所有这些联系人列表的。可以肯定的是,本周AOL承认,已向用户发送通知,敦促用户更改密码。所以,如果您使用的是AOL帐户,那么最好更改密码。

Facebook和隐私

Facebook宣布推出一款全新的功能,名叫匿名登录。Facebook创始人马克•扎克伯格昨天在公司的F8会议上对开发人员说,”匿名登录”将允许用户使用Facebook帐户登录到第三方应用,而无需使用自己的Facebook凭证,也不必与第三方共享个人信息。

“这一功能的理念是,你不希望应用获知你的身份,但又想感受简化的登录体验,那么利用此功能可免去繁琐的表格填写工作,”扎克伯格说。”它能让你放心大胆地试用应用。”

“匿名登录”目前为Beta测试版,只适用于某些应用;例如,Flipboard就是首批适用的应用之一。登录时,Facebook用户可以选择使用自己的Facebook凭证登录应用,也可以选择使用”匿名登录”来试用应用。”匿名登录”本身采用黑色屏幕,而不是Facebook惯常的蓝色,通过”匿名登录”,用户能够避免与外部应用共享已经与Facebook共享的任何数据。

全新Mozilla浏览器

Mozilla推出的第29版Firefox火狐浏览器于本周推出,此款浏览器在设计方面进行了大胆革新。新版火狐浏览器与Google Chrome惊人地相似,人们对此褒贬不一。但无论你喜欢新版外观与否,我们都建议您安装更新,因为新版本中修复了10个以上的高级别或严重级别的安全漏洞。

卡巴斯基安全软件安卓版在独立测试中再次独占螯头

在最近对移动安全产品进行的测试中,卡巴斯基安全软件安卓版又一次成为表现最佳的解决方案。在此次测试中,防御的最新恶意软件威胁超过2000个。 今年3月,AV-Test执行一项独立测试,测试目的是分析31家供应商所提供产品在以下方面的有效性:检测并阻止2266个有效恶意软件样本,生成的误报数(对实际无害的程序执行的可疑病毒检测实例数),以及对设备性能、电池寿命和网络速度的影响。 卡巴斯基安全软件安卓版对恶意程序的识别和阻止率达到100%;而其他参评解决方案的平均成功率为95%。卡巴斯基安全软件安卓版的误报率为零,并且对设备资源没有显著影响 – 所有这一切使卡巴斯基安全软件安卓版在13项测评中无一例外地赢得最高分,被授予”合格”产品。 卡巴斯基安全软件安卓版对恶意程序的识别和阻止率达到100%;而其他参评解决方案的平均成功率为95%。 “移动安全解决方案的主要任务是保护用户数据不被网络犯罪分子窃取,防止设备变成垃圾邮件的来源和受到其他网络攻击。”卡巴斯基实验室移动威胁研发组经理Viktor Chebyshev表示说。用户选择一款解决方案时,通常对设备性能的影响是很重要的考量因素。所以对于智能手机和平板电脑来说,一款能确保高级别防御网络威胁,又不会影响用户体验的安全产品是至关重要的。 所有产品都是在安卓V4.3上进行的测试,产品的使用环境是默认设置,支持更新反病毒数据库,使用所有提供的防御工具,也允许查询任何基于云的支持服务。 卡巴斯基实验室产品在独立测试中的排名一贯靠前,卡巴斯基安全软件安卓版也不例外:2014年1月,它在PC Security Labs独立测试机构针对高级别安卓恶意软件威胁的测试中摘得桂冠。

提示