精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

瀏覽器插件Silverlight用于微軟解決Adobe Flash問題。 雖然現(xiàn)在還沒有什么名氣，但Silverlight正被Netflix用于其即時視頻流服務(wù)。在此之前，Silverlight躲過了攻擊者的注意，因為 攻擊者專注于更常見的瀏覽器插件，例如Java、Flash和Adobe的Acrobat Reader。然而，現(xiàn)在Silverlight已經(jīng)被成功利用，它正逐漸成為攻擊者感染和攻擊用戶計算機的攻擊向量。

Java和Silverlight之間有很多相似之處：它們都運行在沙箱中，默認情況下只有低權(quán)限，以限制對設(shè)備的文件系統(tǒng)和其他系統(tǒng)資源的訪問。也就是 說，攻擊者必須攻破沙箱才能實現(xiàn)攻擊。安全研究人員已經(jīng)發(fā)現(xiàn)Fiesta、Nuclear、RIG和Angler等漏洞利用工具包現(xiàn)在包含針對 Silverlight中漏洞的攻擊，這些工具包在過去主要針對基于Java的漏洞利用。

這些攻擊通常需要吸引用戶到攻擊者控制的網(wǎng)站，檢查其設(shè)備是否已經(jīng)安裝了Silverlight，然后試圖利用漏洞來感染受害者的系統(tǒng)。這些路過式攻擊也被用來利用其它瀏覽器插件中的漏洞。

令人沮喪的是，很多這些攻擊利用的是供應(yīng)商已經(jīng)發(fā)出補丁的漏洞。與往常一樣，企業(yè)需要確保用戶的操作系統(tǒng)和應(yīng)用軟件保持更新，并確保設(shè)備運行較舊版本不超 過絕對必要的時間范圍。管理員應(yīng)該為所有網(wǎng)絡(luò)用戶配置Silverlight自動更新，防止用戶更改更新設(shè)置。如果Silverlight在你的企業(yè)并不 是必不可少的因素，你應(yīng)該禁止使用該插件。

在攻擊者能夠利用Silverlight漏洞之前，攻擊者需要誘騙用戶訪問包含其攻擊代碼的網(wǎng)頁，這通常是通過讓用戶點擊郵件中的鏈接或者即時消息來實 現(xiàn)。企業(yè)必須教導用戶不要點擊未知來源的鏈接；這仍然是安全意識培訓中非常重要的方面。此外，另一種誘騙用戶到惡意網(wǎng)頁的攻擊技術(shù)是惡意廣告，即感染合法 在線廣告網(wǎng)絡(luò)。保持更新端點反惡意軟件應(yīng)該是企業(yè)分層安全戰(zhàn)略的重要組成部分，同時要注意的是，雖然很多反惡意軟件供應(yīng)商了解Java漏洞利用的原理，也 知道如何利用啟發(fā)式分析來發(fā)現(xiàn)它們，但基于Silverlight的漏洞利用仍然相對較新。不過，在Silverlight漏洞利用曝光后，修復補丁應(yīng)該 很快會出現(xiàn)。具有動態(tài)URL過濾的Web安全網(wǎng)關(guān)也可以幫助阻止對很多新的快速變化惡意網(wǎng)站的意外訪問。

有些企業(yè)在開發(fā)自己的Silverlight應(yīng)用以供內(nèi)部使用，這些企業(yè)應(yīng)該確保其開發(fā)人員完全了解該應(yīng)用與其他應(yīng)用和資源交互的安全隱患，例如本地即時 消息或HTML Bridge——管理應(yīng)用和HTML頁面之間的調(diào)用。Silverlight應(yīng)用加載的任何組件都可能是惡意的，因此，企業(yè)應(yīng)該確保應(yīng)用只能加載受信任的 組件?？偰繕藨?yīng)該是盡可能地保持該應(yīng)用的隔離。

攻擊者還將繼續(xù)利用Silverlight，因為它為攻擊者開辟了另一個攻擊向量，這同時也是企業(yè)還沒有做好充分準備的攻擊向量。有針對性的攻擊可能瞄準 正在旅途中使用企業(yè)筆記本觀看Netflix的高管，這是企業(yè)需要考慮的情況。管理員應(yīng)該檢查Silverlight是否是必要的插件；如果是，請確保相 關(guān)人員、流程和技術(shù)的安全使用。