就在趨勢科技 Zero Day Initiative 零時差漏洞懸賞機構發現了兩個新的 QuickTime for Windows 漏洞不久之後,Apple 即宣布即將終止對該軟體的支援。
這兩個漏洞可能讓駭客從遠端執行程式碼,進而掌控受害的電腦。若發生在企業環境內部,這等於是敞開大門讓駭客進入全公司網路。
根據趨勢科技全球威脅通訊經理 Christopher Budd 表示,目前尚未看到有任何攻擊已利用這些漏洞,但問題是,這兩個漏洞永遠也沒有機會修補。
Budd 表示:「繼 Microsoft Windows XP 和 Oracle Java 6 之後,QuickTime for Windows 軟體現在也加了支援終止的行列,因此未來不會再釋出更新來修補漏洞。所以,其資安風險將隨著被發現的漏洞數量而不斷升高。最終辦法還是只有依照 Apple 建議將 QuickTime for Windows 解除安裝一途。」
呼籲大家最好遵照 Apple 的建議盡快將 QuickTime for Windows 軟體解除安裝。
原因有二: 繼續閱讀
Microsoft 宣布停止支援舊版的 Internet Explorer 瀏覽器,也就是 IE 8、9、10。這項聲明是 2016 年 1 月份例行安全更新 (Patch Tuesday) 所發布消息之一,同時間發布的其他消息還有 Windows 8 也將終止支援。這意味著,Microsoft 將不再更新舊版的 IE 瀏覽器,即日起唯有使用最新的 IE 版本 (Internet Explorer 11) 才能獲得更新和修補 (除少數例外之外) 。不論是一般使用者或企業用戶,只要沒有升級到最新的瀏覽器版本,就有可能暴露在危險當中。
舊版的 IE 瀏覽器將不再收到任何修補程式,任何有關舊版
瀏覽器的安全問題也將不再修正,如此一來,使用舊版瀏覽器的系統將無法抵抗新發現的威脅。萬一出現新的專門針對舊版 IE 的零時差漏洞攻擊,系統將因無修補程式可用而受到攻擊。此一漏洞修補落差將隨著時間而擴大,其潛在攻擊風險也將越來越高。過去,IE 瀏覽器一直是漏洞攻擊套件最愛的目標,最近就出現了專門攻擊 Hacking Team 資料外洩 揭露之某漏洞的案例。
目前還有相當多的使用者仍暴露在危險當中,根據 Net Market Share 在 2015 年 12 月所做的瀏覽器使用率調查顯示,將近 20% 的使用者仍在使用舊版 IE 瀏覽器:
圖 1:2015 年 12 月瀏覽器使用率調查。
此問題的解決之道,依然是升級至最新版的瀏覽器。升級至最新版本不僅可以藉由新版本的功能來提升安全,還可提供更順暢的使用體驗,並且符合最新的網站標準。不過,有些企業可能需要更多時間來測試並解決瀏覽器相容性問題,避免其仰賴 IE 的內部網站應用程式無法運作。針對這類企業,Microsoft 的EMET 倒是一個相當不錯的實用工具。 繼續閱讀
正當 Microsoft Windows Server 2003 即將於今年 7 月終止支援之際,數以萬計的企業正努力移轉至新的平台,以免暴露在漏洞的風險當中。然而對於許多企業來說,基於人力、財力及其他因素,要在時限之內完成移轉是一項特別艱鉅的挑戰。
在趨勢科技協助客戶移轉的過程當中,我們也看到客戶對於近期終止支援一事的獨到見解,因此特別和大家分享 (當然,若客戶在 7 月 14 日之前尚未準備好移轉,我們也能協助他們保護 Windows Server 2003,而且還能保護 Windows Server 2012 與 Azure 等新的 Windows 平台)。我們訪問了 University of Florida Health Shands 醫療中心的資訊安全經理 Tim Nance,聽聽他們移轉 Windows XP 的經驗。該機構擁有大約 18,000 台桌上型電腦與 1,400 台伺服器 (其中 900 台是 VMware),為此,UF Health Shands 的人員面臨了相當艱難的任務。以下是他們的移轉經驗:
趨勢科技:貴單位在終止支援平台的防護上面臨多大的問題?就準備的角度來看,這對貴單位的影響為何?
Tim Nance:我們負責 Windows XP 移轉的人員在 2013 和 2014 年都未認真執行,一直到很晚才開始。我們有數千台機器在該平台上,而且我們一直在宣導終止日期即將來臨,但他們似乎還是沒意識到事情即將發生。後來大學部的主管單位下了一道命令,要求所有使用 XP 的機器必須全部下線,到那時才有許多人力投入移轉的工作。他們僱用了一些人來進行升級,但仍知道無法在時限之內完成。
此時我們開始考慮採用趨勢科技的入侵防護防火牆 (現在稱趨勢科技 Vulnerability Protection) 來解決這項問題。我們在所有使用 Windows XP 的機器上部署了一些政策來暫時解決問題,直到我們找到永久的解決方案為止。我們有許多昂貴的機器,因此 Vulnerability Protection 可以為我們爭取一些時間。 繼續閱讀
Windows XP 停止支援後,具體上代表兩件事情:
1.Windows XP被發現的新漏洞將不再提供修補程式,微軟也不會加以記錄或確認。
2.這會增加使用Windows XP的危險。
現在離微軟終止支援超長壽的Windows XP 進入最後倒數計時。很少科技產品的壽命可以像XP這麼長 – 從XP在2001年10月25日推出,到最後一次修補程式會於2014年4月8日星期二推出,總共是12年5個月又兩個星期。儘管如此,根據 StatCounter 的資料顯示,截至二月份為止,幾乎有五分之一的電腦仍然在使用Windows XP。
對此事件有許多擔心的聲音出現,有些甚至非常激動。但知道此事會發生其實已經有好一段時間了。知情的使用者也知道,Windows XP是在非常不同的情況下開發,比爾蓋茨著名的可信賴運算備忘錄就在Windows XP開發並公開推出後送出。
停止支援Windows XP具體上代表兩件事情:
隨著時間過去,這風險也會變得更大,因為會有更多問題被發現和加以利用。不過也有可能會變小,因為Windows XP使用者數量的不斷降低也代表了不值得去為這已過時的作業系統開發漏洞攻擊碼。
然而,管理和減少風險是資訊安全該做的事情。我們會繼續為客戶提供必要的工具來幫助管理Windows XP系統即將面臨的風險。管理這些風險最有價值的工具就是虛擬修補/漏洞防護。像是 Deep Security 和 OfficeScan 加上 Intrusion Defense Firewall 外掛程式 等產品會在網路流量到達使用者應用程式前先加以掃描和檢查,以能夠保護伺服器和端點系統免於漏洞攻擊。
另一種解決辦法就是強化端點系統。端點安全軟體仍然可以保護使用者,只要安全產品廠商持續地提供產品支援。(趨勢科技將繼續支援Windows XP端點軟體到2017年。)此外,鎖定這些系統可能會更加合適。
這裡的問題是這樣的:是的,Windows XP停止支援是人們所該擔心的,但這是可以預先規劃和做好準備的。有許多工具和專業知識可幫助使用者保護他們的系統和網路。我們已經準備好一份標題為「管理你的舊系統」的入門書來讓你更加了解這問題。
@原文出處:Managing Windows XP’s Risks in a Post-Support World作者:Pawan Kinger(漏洞研究經理)
@延伸閱讀:
Windows XP將終止支援,趨勢科技提供工具,協助用戶管理風險
4月8日Windows XP 結束支援,超過 30% 的電腦恐成攻擊目標
為什麼 Java 6 讓人對2014年4月之後的 Windows XP 感到顫慄?
趨勢科技呼籲用戶儘快升級
【台北訊】微軟宣布終止 Windows XP作業系統的支援,意味著新發現的 Windows XP 漏洞將不再修補,微軟亦不再追蹤並回應這些漏洞。有鑑於Windows XP是目前仍普遍被企業與消費者使用的作業系統,終止支援勢必帶來資安疑慮。全球雲端資安領導廠商趨勢科技表示,終止支援後使用 Windows XP 的風險將會增加,呼籲用戶最好儘快升級,同時趨勢科技亦提供必要的工具,來協助用戶管理 Windows XP 系統所面臨的風險,包括虛擬修補/漏洞防護技術、強化端點裝置的安全性等。
根據 StatCounter的資料顯示,截至二月為止,幾乎每5台 PC 就有1台仍在使用 Windows XP。因此,微軟終止Windows XP作業系統的支援,已經引發了諸多安全疑慮。Windows XP 終止支援的意義為:新發現的 Windows XP 漏洞將不再修補,Microsoft 亦不再追蹤並回應這些漏洞。,隨著時間一久,如有越多漏洞被人發現和利用,安全風險將不斷升高
不過,安全性最重要的就是管理及降低風險。除了呼籲用戶儘快升級作業系統之外,趨勢科技亦將持續為客戶提供必要的工具,來協助IT管理者針對 Windows XP 系統所面臨的風險進行管理。其中,最有效的工具就是虛擬修補/漏洞防護技術,而配備這項技術的 Deep Security 與 OfficeScan 搭配 Intrusion Defense Firewall (IDF) 入侵防護模組等產品,能在網路流量到達使用者的應用程式「之前」就預先掃瞄及檢查,進而防堵伺服器和端點裝置的漏洞。
最重要的一點是,Windows XP 的終止支援一事,用戶是可以預做計劃和準備的,仍有一些工具及專業知識能協助使用者保護系統及網路。趨勢科技也準備了一份入門指南「管理您的老舊系統 (Managing Your Legacy Systems)」針對此議題提供更詳盡的資訊。