Archive

Archive for October 29th, 2008

[Chinese]Dynamics of Insecurity

October 29th, 2008 2 comments

以下内容来自于<Stefan Frei>的演讲材料Dynamics of Insecurity – 关于不安全的动力学。原文可以在下面的链接下载到:http://www.techzoom.net/risk

Risk exposure
􀂃 Black Risk (exogenous)
􀂃 Time from discovery to disclosure
􀂃 Only a closed group is aware of the vulnerability. This group could be anyone from hackers, organized crime or responsible security researchers/vendors
在黑色风险区,只有发现者周围的很小的圈子了解这个漏洞和可能的利用方法,它的破坏力很难估测,这段时间,作为一般性的组织和企业来说,很难了解,就更不用说管理了。
􀂃 Gray Risk (exogenous)
􀂃 Time from disclosure to patch
􀂃 User waits for the vendor to issue a patch. Public is aware of this risk but has not yet received remediation from vendor
Read more…

Categories: -Chinese-, Security Tags: ,

[Chinese]MS08-067 – Microsoft – Symantec -单点故障SPOF

October 29th, 2008 No comments

NetworkAsia上有一篇Gregg Keizer的文章讲这次MS08-067与两年前,也就是2006年8月份的RPC漏洞MS06-040不是同一个原因。这句话援引的是微软公司的一个专家Michael Howard所述。这句话的下文是:所以大家并不应该对微软公司没有一起发现这个新的漏洞MS08-067感到惊讶。Howard最后还表示了他对于微软软件安全生命周期SDL(Security Development Lifecycle)的满意。坦白说,我对这位老兄的话还是也没有什么特别意见,软件吗,流程吗,测试吗,不可能完美,出个漏洞也不是什么新鲜事。

可是,这次MS08-067捅出的的篓子可不是一般漏洞可比。有一句话很准确地描述了其影响: 基本上指哪打哪!更为不幸的是,现在我们的桌面已经被Windows独占了,非关键应用也基本上跑在Windows服务器上,稍大型的企业都会有数百上千台Windows服务器。此类漏洞一出,基本上企业的IT基础设施都是“不设防”城市了。 Read more…

Categories: -Chinese-, Security Tags: , , , , , , , ,