【51CTO.com 独家特稿】本周（070430至070506）安全新闻集中在各安全厂商发布的安全威胁统计报告，其中，Sophos发布Web攻击统计报告、Promisec的Top Threats报告最值得关注。安全威胁趋势方面的针对Apple Mac的攻击增多、Month of ActiveX bug即将来临和安全管理方面的企业无线安全意识薄弱等新闻也不应错过。

4月统计报告： Sophos Web威胁报告，Promisec Top Threats

新闻：周三，Sophos公布了4月份的Web威胁报告，报告中称，通过Web来散布恶意软件是黑客最喜欢采用的手法。4月Sophos共捕获恶意网页样本245790例，平均每天有8193个网页被识别出带有恶意代码。其中排在恶意网页类型前三位的分别是Mal/Iframe 44.7%、JS/EnclFra 19.7%、Troj/Fujif 10% 。

分析：4月份恶意网页数量急剧增加的原因主要是因为今年第一季度一系列的IE漏洞的公开和通过邮件传播恶意代码的效率已经大大下降。从Sophos所捕获的样本来看，使用Iframe、Java script等HTML语句构造的样本仍占恶意网页的绝大多数，并且在可以预见的将来，使用脚本语言构造的恶意网页所占的比例仍将持续上升。因此，对付内嵌/引用网页代码和经过脚本加密/变形的恶意网页的成功率高低，将成为衡量安全软件在应对Web威胁的防护能力的一个重要评价标准。

新闻：周四，安全厂商Promisec发布了新的企业安全威胁报告，在这份Promisec Top Threats报告中，有13%的被调查对象曾经或正在使用未经许可的USB移动设备，4%的被调查对象使用P2P软件，1.5-1.7%的被调查对象机器上的补丁或安全软件版本并不是最新的。

分析：未经许可使用可移动设备和P2P软件仍是企业内部威胁的主要来源。可移动设备会增加企业内部信息泄露的风险，并可能成为通过可移动设备进行传播的恶意软件的感染源；而P2P软件同意也会增加企业内部信息泄露的风险，并可能成为蠕虫的传播途径。企业要防护这两种安全威胁，设备/网络访问控制和企业安全策略仍是最好的工具。笔者预计，轻量级的可移动设备管理方案会有一定的市场，而方便的部署、中央控制管理及完整的审计能力仍是这类产品必须具备的功能。

安全威胁趋势：针对Mac 的攻击增加、Month of ActiveX bugs即将来临

新闻：周二，上个月底Apple发布的2007-004号安全升级，包括了针对OS X Tiger和Panther版本的共25个补丁。这些补上的漏洞中，有14个是可能用于执行特权指令或者提升权限的。

分析：Apple的操作系统向来以其多媒体性能和安全性能而名声在外，这次Apple一口气推出OSX的25个补丁，其中还包括14个严重漏洞，显示出未经安全配置和补丁升级的OSX的安全性并不比其他操作系统有本质上的提高。2007年1月成立的“Month of Apple bugs”项目就曾每天公开多个Apple系统和流行的第三方软件的漏洞，其中还包括3个在2007-004补丁中补上的漏洞。同时，Apple的操作系统也和其他厂商的操作系统一样，同样受到来自Web的安全威胁。

新闻：周三，一个新的“Month of”站点（持续一段时间每天公开某个领域漏洞的站点）由一群意大利的研究人员推出，该站点的网址为(http://moaxb.blogspot.com) ，它主要针对ActiveX的漏洞，目前已经公布了7个ActiveX漏洞，其中包括3个Microsoft Office Viewer的拒绝服务漏洞。

分析：从去年底开始，浏览器的ActiveX安全问题逐渐为安全业界所关注。系统本身的安全性在不断提高，但浏览器所使用的第三方ActiveX控件却没有随之提升安全性，很容易成为木桶理论中最短的那块目标。从Month of ActiveX可以看出2个趋势，Web威胁的快速增加和系统中第三方软件的安全威胁。笔者预测，在未来一段时间内，围绕Web威胁和第三方软件安全这两个方向进行的安全攻防研究将会流行起来，而相关的安全技术/策略也会得到进一步的完善。

安全管理：企业无线安全意识薄弱

新闻：周五，根据一份Infosecurity Europe的调查报告，大概有26%的企业没有对自己部署的无线网络和设备进行过安全配置和加固。

分析：无线通信技术经过接近6年的发展，到现在已经广泛的部署到各种各样的应用场合，成为许多企业网络的重要组成部分。但是大部分使用无线网络的企业却没有根据无线网络不同于有线网络的特点而进行对应的安全配置，使得外部的入侵者很容易通过脆弱的无线网络渗透到企业的内部网络中去。同时企业客户端所使用的无线设备及其使用也没有制定出对应的安全策略，用户很容易就遭到流氓AP等方式的攻击。无线网络在改变企业在使用网络资源的方式的同时，也使企业面对和以往不同的安全威胁，如何应对无线网络的部署给起来带来的安全挑战，将成为留给安全业界和企业信息安全负责人的重要问题。

【相关文章】

• 23日-29日 Web安全威胁成热点急需企业级解决方案

• 更多安全要闻回顾