上周有消息称,某些Linux版本使用的随机生成的加密密钥并不是那么随机。现在流通的一个工具,可以使攻击者更容易打入less-than-random钥匙。Debian、Ubuntu和其他软件已经发布了密钥生成器的更新。另外,根据IBM的说法,SQL注入攻击正在进入“第三波”。
一位著名的安全研究人员周四说,在广泛使用的Linux发行版中,最近披露的一个漏洞可能被攻击者利用来猜测加密密钥,这可能导致伪造数字签名和窃取机密信息。计算机世界,05/16/2008。
* * * * * * * * * *
两个新的更新从Mandriva:
* * * * * * * * * *
今天的恶意软件的消息:
根据IBM安全研究人员的说法,已经影响了至少50万个Web站点的SQL注入攻击已经进入“第三波”,它比以前的版本对传统安全措施的抵抗力更强。有个足球雷竞技app网络世界,05/15/2008。
在他的网站上隐藏ie攻击代码一周后,安全研究员Aviv Raff公布了如何发动攻击的细节。问题出在“链接打印表”功能上,该功能允许IE用户打印出一个网页,并在页面末尾附上页面上所有链接的列表。Raff发现,如果攻击者在网页上添加了特殊的脚本代码,他就可以在IE用户的电脑上运行未经授权的软件,这些用户使用这个特性进行打印。IDG新闻社,05/15/2008。
特拉维夫拉夫:以色列生日快乐!
最近我遇到了一种蠕虫,它可以通过使用与Backdoor.CVM相关的服务将网络的内部基础设施发送给攻击者。感染开始时和往常一样。有些人点击了他们不应该点击的东西。不管它如何发生,结果都是一样的。SpywareGuide Greynets博客,05/13/2008。
这是另一个虚假的即时通讯应用程序,它来自目前正在流通的虚假谷歌谈话程序的创建者。这一次,受害者是MSN Messenger。的SpywareGuide Greynets博客,05/09/2008。
非技术犯罪分子现在可以租用僵尸网络
* * * * * * * * * *
来自趣味阅读系:
一位安全研究人员发布了一个演示利用苹果Safari浏览器的下载机制自动下载文件到用户的系统。不过,专业服务公司安永(Ernst & Young)负责应用程序安全工作的研究员尼塔什•丹贾尼(Nitesh Dhanjani)表示,苹果表示,它不认为这个问题是一个安全漏洞。TechWorld 05/16/2008。
不擅长网络犯罪的网络诈骗者现在可以租用一种服务,提供一个内置宙斯木马管理面板和感染工具的一站式托管服务器,允许他们创建自己的僵尸网络。计算机世界,05/15/2008。
美国各地多所高校发生的一系列数据泄露事件似乎没完没了,这恰恰说明了为什么大学系统和网络一直以不安全著称。计算机世界,05/15/2008。
几乎每个IT项目经理、设计师、DBA和开发人员都希望构建完美的软件应用程序:硬件和软件的无缝结合、直观和健壮、具有令人瞠目结舌的性能和坚如磐石的逻辑。虽然这个顶峰很难达到,缺点也会被发现,但是你可以采取一些措施来更快地解决它们。CIO, 05/14/2008。
仔细想想这个统计数字:根据2007年IDC对认证技术市场的研究,2006年全世界在身份和访问管理上的花费几乎达到了30亿美元。连接我们城堡周围的互联网时代护城河需要30亿美元,但这还不包括阿司匹林的费用,因为密码问题每年都会给网络管理员和用户带来麻烦。有个足球雷竞技app网络世界,05/19/2008。
美国国家安全局的一个服务器问题使这个秘密情报机构无法上网。该机构的网站在早上7点没有响应。美国时间周四,互联网用户整个上午都无法上网。IDG新闻社,05/15/2008。
富士通(Fujitsu)推出了一款新的安全系统,旨在通过捕捉跟踪授权员工进入安全区域的企图,提高数据中心等设施的安全性。IDG新闻社,05/19/2008。
微软被Windows Vista的补丁周三计数低,说它需要修复比2007年减少了约20%的四岁的Windows XP Service Pack 2。计算机世界,05/17/2008。