不补漏洞如何保证系统安全

　　6 月 9 日发布的最新 Patch Tuesday 安全更新是微软自 2003 年 10 月以来发布的最大 Patch Tuesday 安全更新，也是涵盖漏洞范围最广的一次。本次更新共包括六项累积性补丁，覆盖 31 个漏洞，而且影响 Windows 2000、Windows XP、Windows Vista和即将面世的 Windows 7操作系统。

　　然而，目前仍有一些漏洞尚未得到修补。其中一个就是 Direct Show 中的安全漏洞 CVE-2009-1537，它能通过经特别设计的 QuickTime 媒体文件进行远程代码执行。

　　从本月开始，Adobe 首次参与到微软的补丁发布周期，着手发布自己的软件补丁。本次发布的补丁涵盖了大量预期的 Acrobat 漏洞。

　　本周发布的安全更新所涉及的许多漏洞都可能成为黑客的利用工具，用以开发大量攻击程序，危及用户的系统安全。攻击者可以针对未修补的机器部署密码窃取木马和其他恶意软件。

　　迈克菲公司北亚区网络安全产品总监Jason Yuan表示，虽然补丁已经发布，但不利的因素是，修补所有系统是一项极其耗时的工作。事实上，由于企业级应用在打补丁前必须做测试，这会耗费不少时间，使得很多机器在数周或数月的时间内都得不到修补，这就导致它们很容易遭到攻击。受到攻击的系统可能会丢失重要的数据库用户名和密码，而且这些系统还会成为受攻击者控制的“肉鸡”。

　　为了更及时地识别重要漏洞并提出防护措施, 迈克菲安全研究人员一直在与微软、Adobe 以及安全机构合作。Yuan说：“我们的防病毒、网络 IPS、主机 IPS、漏洞扫描程序以及其他产品已整合了覆盖上述安全漏洞的签名。此外，我们还能防御目前尚未发布补丁的漏洞。使用迈克菲网络 IPS 产品的客户可以得到充分的保护，即使系统未修补依然可以拦截攻击。”

　　迈克菲采用协议解码的方式来分析应用中的漏洞，并确保漏洞不会被利用。Yuan表示，迈克菲这种“补漏洞”的方式与一些IPS厂商“挡攻击”的方式有很大区别。只要攻击出现变种，“挡攻击”的方式就需要拿出相应的对策，而“补漏洞”的方式却可以一劳永逸。

　　Yuan建议企业用户做好以下几点：

　　1.在重要的交界区域对网络进行分段，并部署网络IPS解决方案。

　　2.部署出色的终端安全防护产品。

　　3.定期为重要的台式机和服务器安装补丁。

　　4.删除无用的服务，对DMZ区关键服务器上的操作系统和应用程序进行安全加固。