虚拟盾 为你的虚拟机来提供安全防护

不要被迷惑　IE里的安全连接一样不安全

作者：杜莉　来源：赛迪网

当浏览器与网站服务器建立起安全连接的时候，浏览器窗口的边框上会出现一个小锁的图标。人们通常对这个图标有种误解，认为有它就是安全的了。

在安全连接中，人们用安全套接层（SSL）技术将数据加密，然后再在网络上传输这些数据。事实上，根据卡巴斯基公司的报告称，安全连接正在越来越多地被用来隐藏和传播恶意代码。

这当然不是什么新发现了。安全分析家们早已就这点警告过人们，他们说黑客有可能利用加密的SSL连接来隐藏病毒以及其他的恶意代码，使其顺利通过防火墙，杀毒软件以及入侵检测系统。但是，卡巴斯基的高级技术顾问Shane Coursen说，由于现在人们广泛地在银行、零售电子商务以及网络邮箱业务中使用SSL进行通信，这就使得问题变得很严重。

他说，“很多人访问网站的时候，一旦看到浏览器上有那个锁的图标，他们就认为他们与服务器的连接是安全的”，于是就不太注意保护要交换的数据。安全连接本来是用来验证交换信息的人的身份，并用加密技术保护信息不被第三方察看或修改的。

通常在这样的对话中，系统很少做内容验证。Coursen说，因此，黑客们就可以利用这些连接，在客户端系统和网络服务器中传输以及散布包括木马和电子邮件蠕虫在内的恶意代码。

“人们往往误以为像SSL这样的技术表示网站是安全的，而事实上，它并不一定是安全的，”Cenzic公司的CEO John Weinschenk说。“SSL的功能只是证明浏览器访问的服务器是真实站点，并且为要传输的数据提供加密技术。”

尽管该技术确实有正当用途，并且也确实能够提供一定程度的安全保护，但是黑客还是有可能利用它来威胁应用程序。“虽然那些大公司都已经使用数字签名措施来保护自己的站点，但是事实上还是有些可以为黑客所用的漏洞，除非还使用其他的前端措施，否则还是有可能发生个人信息泄露的情况。”

Coursen说，传统的防毒工具还有入侵检测系统根本不够用，它们无法检测到加密连接中的恶意软件。因此安全通道中的恶意数据有可能给人们造成巨大的损失。

但是，Midvale的一名分析师Pete Lindstrom说，现在人们可以应付这个问题了。比如，现在，入侵检测系统提供商提供许多能够解析加密数据流的工具，它们能扫描内容中恶意软件并且用加密的形式将数据流发送到目的地。

然而，根据卡巴斯基的报告，这种方法的问题在于：数据流被改写了——这意味着网络服务器不能保证客户身份的真实性，并且客户也无法验证服务器的真实性。

Coursen说，目前大多数的防毒软件供应商还提供网络应用插件，这些插件允许系统检查安全连接的内容。但是，诸如Microsoft的Outlook和Outlook Express这样的一些应用程序并不能很好地支持这些插件。

被钓鱼者利用的新 IE7 漏洞更具欺骗性

作者：杜莉;T木　来源：赛迪网

IE总会出现各种各样的漏洞，而这一次被钓鱼者所利用的漏洞则充分做到了社会工程学与XSS的互相融合。以色列的安全研究者证实，有种攻击在利用微软最新的网页浏览器处理取消页面的方式所存在的漏洞来愚弄受害者。

该攻击利用IE7对特定的本地资源的信任，在用户取消访问一个固定网页的时候显示提示信息，以色利的一名安全研究员和软件开发员Aviv Raff说。钓鱼的人能够通过脚本来建立本地navcancl.htm页面的特别加工版本，该页面显示些像是来自可靠站点的内容。一旦受害者打开攻击者提供的链接，系统就会显示“撤销访问”页面，受害者就有可能认为该站点出了点问题，于是刷新页面。

“攻击者提供的内容——例如，伪造的登陆页面——会显示在窗口中，由于地址栏会显示真正受信的网站的URL，受害者会以为他正在访问真正的网站。”Raff在他的博客中写道。

这是一种新的欺骗手法，而且还使得每个访问者非常容易上当——谁能知道地址栏里的地址也是假的呢？

这是个最典型的漏洞：跨站点脚本(XSS)。根据常见漏洞项目调查数据显示，此类问题已经成为软件的第一大漏洞。但最糟糕的是，很多XSS漏洞使用户无法察觉钓鱼攻击，很多此类漏洞能够引起严重的安全问题，比如Google今年早些时候修正的那个严重的数据泄露漏洞。

一月份Apple Bugs项目中，Raff指出了QuickTime中的一系列的类似漏洞——被称为跨区脚本漏洞。

微软在发给SecurityFocus的声明中说，他们的研究人员目前正在调查该漏洞，但还没有发现有人利用该漏洞进行恶意攻击。该公司重申了他的政策：人们应当直接将漏洞汇报给软件开发者。

“微软鼓励人们努力找出漏洞，从而降低用户的风险”该公司称。“微软希望人们按照惯例那样，直接将漏洞汇报给我们公司，这样能最大程度地照顾到所有人的利益。”

Raff说这个IE7漏洞在Windows XP和Windows Vista系统上都能起作用。

上报漏洞能很快，但也希望微软能够更快的为漏洞打上补丁！