RealPlayer和Adobe Shockwave漏洞风险对企业而言是无法承受的吗?

日期: 2011-01-16 作者:Michael Cobb翻译:Sean 来源:TechTarget中国 英文

问:US-CERT已经发布安全警告,关于Shockwave 和RealPlayer媒体应用程序。对企业环境来说,这些应用程序是安全的,还是会带来很大风险的?   答:美国国家安全数据库(NVD)是由NIST计算机安全资讯技术实验室负责运行,美国国土安全国家计算机安全资讯部对其进行赞助。NVD漏洞概要CVE-2010-0116包含了RealNetworks公司的RealPlayer的整数溢出,概要CVE-2010-2874包含了Adobe公司的Shockwave播放器未具体说明的漏洞。这两个漏洞都在去年九月披露,并被列为“严重”级别。

在撰写本文时,两个漏洞的补丁均没有发布。   目前,黑客的行为……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

问:US-CERT已经发布安全警告,关于Shockwave 和RealPlayer媒体应用程序。对企业环境来说,这些应用程序是安全的,还是会带来很大风险的?

  答:美国国家安全数据库(NVD)是由NIST计算机安全资讯技术实验室负责运行,美国国土安全国家计算机安全资讯部对其进行赞助。NVD漏洞概要CVE-2010-0116包含了RealNetworks公司的RealPlayer的整数溢出,概要CVE-2010-2874包含了Adobe公司的Shockwave播放器未具体说明的漏洞。这两个漏洞都在去年九月披露,并被列为“严重”级别。在撰写本文时,两个漏洞的补丁均没有发布。

  目前,黑客的行为显然将Adobe的产品置于一个艰难的时期,危险的漏洞每月都会发现。早在一月份,Shockwave用户只能通过手动卸载Shockwave、重新启动他们的系统,然后安装最新版本,才能保护自己不受各种漏洞的威胁。RealNetworks公司也遇到问题,虽然与Adobe公司的问题不是同等规模。

  随着各种软件在企业环境中运行,在安装之前对它们进行一次合适的风险分析是很重要的。风险分析可以帮助用户判断哪些软件的使用是有必要的。我不确定什么类型的组织需要在整个企业范围内推行RealPlayer和Shockwave,因为它们均不可以被划分为生产力工具软件。

  如果你企业的一部分可以证明对上述两种软件的使用是正当的,那么除了评估潜在的风险,你还需要评估它们在企业生产率上可以带来的利益和任何其他好处。过去,这两个程序都已被恶意黑客用来攻击过互联网,所以安全专业人员必须确保他们的组织拥有强大的、可以在外围防护这些程序流量的措施以及严格执行的安全政策。

  在某种程度上,上述提到的漏洞需要受害者与黑客互动,比如下载恶意文件或点击恶意链接。这就是必须有一个安全政策存在的原因,强制所有用户进行安全意识培训,熟悉这些风险,并对用户的活动进行监测。这些战术是防止攻击成功的关键。

  另外一种措施是为在你系统上运行的软件订阅安全警报。你可以直接从供应商或者通过“独立”的服务(如Secunia漏洞情报源)来完成。这项服务可以根据你的IT基础设施触发警报,Secunia公司经常提供可供选择的补救建议。你需要把查阅Secunia公司给供应商或产品的安全建议作为自己风险分析的一部分,因为这样做有利于了解某个特定的应用程序存在多少漏洞,以及供应商为应对这些漏洞进行了哪些工作。

翻译

Sean
Sean

相关推荐