RealPlayer和Adobe Shockwave漏洞风险应对

　　问：US-CERT已经发布安全警告，关于Shockwave 和RealPlayer媒体应用程序。对企业环境来说，这些应用程序是安全的，还是会带来很大风险的？

　　答：美国国家安全数据库(NVD)是由NIST计算机安全资讯技术实验室负责运行，美国国土安全国家计算机安全资讯部对其进行赞助。NVD漏洞概要CVE-2010-0116包含了RealNetworks公司的RealPlayer的整数溢出，概要CVE-2010-2874包含了Adobe公司的Shockwave播放器未具体说明的漏洞。这两个漏洞都在去年九月披露，并被列为“严重”级别。在撰写本文时，两个漏洞的补丁均没有发布。

　　目前，黑客的行为显然将Adobe的产品置于一个艰难的时期，危险的漏洞每月都会发现。早在一月份，Shockwave用户只能通过手动卸载Shockwave、重新启动他们的系统，然后安装最新版本，才能保护自己不受各种漏洞的威胁。RealNetworks公司也遇到问题，虽然与Adobe公司的问题不是同等规模。

　　随着各种软件在企业环境中运行，在安装之前对它们进行一次合适的风险分析是很重要的。风险分析可以帮助用户判断哪些软件的使用是有必要的。我不确定什么类型的组织需要在整个企业范围内推行RealPlayer和Shockwave，因为它们均不可以被划分为生产力工具软件。

　　如果你企业的一部分可以证明对上述两种软件的使用是正当的，那么除了评估潜在的风险，你还需要评估它们在企业生产率上可以带来的利益和任何其他好处。过去，这两个程序都已被恶意黑客用来攻击过互联网，所以安全专业人员必须确保他们的组织拥有强大的、可以在外围防护这些程序流量的措施以及严格执行的安全政策。

　　在某种程度上，上述提到的漏洞需要受害者与黑客互动，比如下载恶意文件或点击恶意链接。这就是必须有一个安全政策存在的原因，强制所有用户进行安全意识培训，熟悉这些风险，并对用户的活动进行监测。这些战术是防止攻击成功的关键。

　　另外一种措施是为在你系统上运行的软件订阅安全警报。你可以直接从供应商或者通过“独立”的服务（如Secunia漏洞情报源）来完成。这项服务可以根据你的IT基础设施触发警报，Secunia公司经常提供可供选择的补救建议。你需要把查阅Secunia公司给供应商或产品的安全建议作为自己风险分析的一部分，因为这样做有利于了解某个特定的应用程序存在多少漏洞，以及供应商为应对这些漏洞进行了哪些工作。