四维映像

一名以色列黑客已经找出最新的IE浏览器漏洞，编写出一个漏洞攻击代码。通过Metasploit点击工具，该漏洞攻击代码可以针对IE 6和IE 7用户进行偷渡式下载攻击.
最新漏洞攻击代码的出现距离微软公司确认漏洞不足24小时，这将迫使微软提前发布临时漏洞补丁。以色列黑客Moshe Ben Abu表示，麦咖啡实验室识别了来自topix21century.com域名的攻击。在此次攻击中，漏洞用户直接进入恶意页面，以偷渡式下载方式下载和 执行一个名为notes.exe或svohost.exe的文件。攻击中包括了数个木马病毒变种。Notes.exe以%temp%目录复制两次，并产生 一个DLL文件。该DLL文件注入IE浏览器，为攻击者提供远程入口。

攻击者可以通过该后门程序对受害者计算机执行各种攻击，包括上传和下载文件，执行文件，以及终止运行进程。受害者计算机与 notes.topix21century.com域名通过https进行通信。

据悉，微软公司发布安全公告(981374)指出，漏洞涉及Windows XP/2000/2003操作系统下的IE6和IE7浏览器。XP SP2/SP3的IE7（无DEP）入侵率达50%，稍好于IE6.

Like

Unlike

美国密歇根大学的三位科学家称，他们发现了一个利用RSA安全技术中的一个安全漏洞的方法，RSA安全技术用于保护从媒体播放器到智能手机和电子商务服务器等各种设备。
他们说，RSA身份验证对于私有密钥载体的电压变化是很敏感的。研究人员Andrea Pellegrini、Valeria Bertacco和Todd Austin在一篇准备在3月10日提交给欧洲设计、自动化和测试大会的题为“基于错误的RSA身份验证攻击”的论文中简要介绍了他 们的研究成果。 电子工程和计算机科学系副教授Valeria Bertacco在声明中说，RSA算法给安全提出了这样的假设，只要私有密钥是专用的，你就不可能突破它，除非你能猜出来。我们已经证明这不是真的。

Like

Unlike

也许你对自己电脑系统的网络防卫措施自信满满，自认为自己的系统不可能被黑客攻破。不过按照Pwn2Own黑客大赛的冠军得主Charlie Miller的说法，你的自信心可能有点过头了，更糟糕的是，如果你的系统中装有Adobe公司的Flash软件，那么你的系统实际上可能已经是千疮百孔了。

在最近与OneITSecurity网站的一次访谈过程中，Miller对当前各种操作系统的安全性给予了不屑一顾的评价。受到苹果铺天盖地广告的影响，大多数人可能以为苹果的Mac OS操作系统相对微软的Windows操作系统要安全许多，而在顶级黑客的眼里两者却是同等脆弱的，而人们时常吹嘘的Linux操作系统则同样存在类似的安全问题。

而之所以针对Linux和Mac OS的攻击数量并不多，其原因主要在于这两者的普及程度远不及Windows而已。

Like

Unlike

微软免费杀毒软件Microsoft Security Essentials（MSE）发布后受到了用户的欢迎，而且获得了评测机构的一致好评。随着MSE逐渐站稳脚跟，一些虚假软件和病毒也开始伪装成MSE 的样子来欺骗用户，比如说近日出现的Security Essentials 2010，无论是名字还是外观都十分类似微软MSE。

Security Essentials 2010会提示用户另外付费，因为其系统携带的恶意软件太多。微软David Wood表示：“一个欺诈软件惯用的伎俩就是使用类似的名字或是拥有相似的外观，伪装成合法的安全软件。微软安全中心对此已经司空见惯，所以见到和MSE 相似的东西时我们并不感到意外，比如Security Essentials 2010。如果说有什么是我没想到的，那就是这么久它们才出现。”

Like

Unlike

2月8日消息，在俄罗斯一位安全人员发布了这个安全漏洞的细节两个星期之后，甲骨文急忙发布了一个补丁修复其WebLogic应用服务器软件中的安全漏洞。

甲骨文说，这个安全漏洞存在于WebLogic的节点管理器软件中。一般来说，防火墙将封锁这个软件。然而，如果黑客能够访问节点管理器的管理端口，就会造成灾难性的后果。甲骨文在详细介绍这个安全漏洞的博客中说，成功地利用这个安全漏洞会全面攻破Windows平台上的目标服务器。在其它平台（Unix、Linux等）上，攻击者能够以WebLogic服务器进程相同的权限访问目标服务器。

甲骨文在1月12日发布了最新的补丁。这一次发布补丁显然是在安全公司Intevydis在1月23日公开这个安全漏洞细节之后不得不采取的行动。这家俄罗斯公司在1月份公布了十几个安全漏洞的细节，以便引起人们对于没有修复的大量的服务器和数据库安全漏洞的关注。

甲骨文发言人不愿意对这个安全补丁发表评论。甲骨文在安全警告中称，它强烈建议尽快使用补丁修复这个安全漏洞。这个安全漏洞影响WebLogic 7和以上版本的软件。

Intevydis首席执行官Evgeny Legerov说，他的公司不遵守提前通知厂商安全漏洞信息的标准的行业做法，因为这将使厂商免费利用安全研究人员做质量保证工作。

Legerov在星期五发表的电子邮件中证实，甲骨文没有提前得到这个安全漏洞的通知。因为我们的资源非常有限，我们不是为甲骨文工作的，我们不采取负责任的披露路线。

他解释说，这是一个严重的安全漏洞。远程攻击者不用任何身份识别就可以执行操作系统命令。

Like

Unlike

The table below lists all the valid ways to become certified. Note the expiration date of the options using ISCW and ONT. Candidates in the process of obtaining their CCNP, who wish to certify before the new TSHOOT exam becomes required, must pass all the required exams on or before July 31 2010. After July 31, 2010, all CCNP candidates will be required to pass the TSHOOT exam.

There is an official announcement here though it doesn’t show yet on the main CCNP page. More information on the announced changes can be found here.
You can now mark July 31 as the focal point, the end of the road for the current track.
The one thing that does come out from this new information is that even if you fail to complete all 4 exams by July 31 you will not lose everything. The only catch is ISCW & ONT being bundled for the TSHOOT exam but BCMSN and BSCI will count for a new track exam. not a bad deal.

Like

Unlike

据资讯网站NetworkWorld报道，市场调研机构Gartner分析师马克· 麦当劳预计，2010年IT业逐渐回暖但很难恢复到2002年时的繁荣水平，各大公司对招募新员工和薪金方面十分保守，未来就业形势并不明朗。 美联邦劳工统计局的最新统计显示，硅谷高科技从业人员薪水自2000年来下降近14%。由此可见，经济的严寒确实给业界带来很大冲击，但是 IT业的发展更新是非常迅速的，往往会培养出新型人才，以下就是马克列举的未来一段时间里业界最抢手的十个IT职位： 1、安全技术人员
每个IT公司都需要安全技术人员应对可能发生的网络攻击。上个月，互联网巨头谷歌遭受黑客攻击更加坚定了在维护公司数据安全方面的决心。
如果你的简历里有CTIA发售的安全认证，想必获得一份工作会变得轻松许多。

2、虚拟系统管理员
虚拟化和自动化技术搭乘Cloud云计算获得飞速发展，今后系统管理员也要与之接轨。

3、网络工程师

网络工程师作为传统的一项职位依然十分强势。Gartner预计，由于资讯和竞争的需要，未来几年中社会交往和协作会更加密切。这一切要求 网络技术和网络工程师发挥更多的作用。

4、开源技术人员
免费、开源产品越来越受到人们的欢迎，公司依靠此类产品能迅速占领用户市场，然后形成一系列付费功能维持运营体系。这一切都需要熟悉开源程 序的开发人员才能实现。

5、质量保障工程师
一个成功的产品或服务，除了技术开发以外，还需要服务保障人员的努力才能完善。IBM惠普等大公司都在部门内部建立类似确保产品生命周期正 常运转的职位。

6、电子商务经理
CTIA预计在今年12个月内将新增7万个IT职位，才能满足政府对公民健康体系带来的空缺。因为电子商务的日益发展，使企业的经营形态发 生了根本改变，经营形态改变以后，电子商务的份额不断扩大，电子交易经营人员就显得尤其重要。其主要职能是选择供应商，联系客户并与之建立有效的联系。

7、项目管理人员

这个行当要求你具备整体管理项目的能力，包括做计划、项目实施、日程管理、预算、资源分配和商品交付质量管理等。所需技能：有管理大型、复 杂与并行项目的能力，包括计划开发、项目实施和客户管理的经验，最好有较强的Internet技术应用和软件开发背景。

8、IT审计师

IT审计师目前已成为全球范围最抢手的高级人才。这些人才一般都具备全面的计算机软硬件知识、对网络和系统安全有独特的敏感性，并且对财务 会计和单位内部控制有深刻的理解。随着计算机技术在管理中的广泛应用，传统的控制、管理、检查和审计技术都受到巨大的挑战。国际会计公司、专业咨询公司的 高级管理顾问都将控制风险，特别是将控制计算机环境风险和信息系统运行风险作为管理资咨询和服务的重点。

9、储备技术员
不一定要求某些权威认证和精通的领域，但要具备较高的接受新事物的能力、敏锐的洞察力，反应迅速且善于合作。

10、IT行业顾问
随着IT业的发展，行业竞争也逐渐加剧。市场前景越来越难以估计。对企业给予专业的顾问咨询，需要的不仅是专业知识，还要有行业经验的市场 感觉，这是IT行业的专业顾问咨询人才的价值所在。

Like

Unlike

思科公司日前宣布，太空互联网路由（IRIS）计划首台安装在卫星上的IP（Internet Protocol，互联网协议）路由器已经成功进行了在轨测试，标志着互联网路由终于走出了地球，走向了太空。IRIS（Internet Routing in Space，太空互联网路由）计划是美国国防部联合能力技术验证（Joint Capability Technology Demonstration）项目的一部分，由思科和Intelsat卫星公司负责实施。首台太空路由器随Intelsat的IS-14商用卫星一起，于去年11月23日由Atals V火箭发射升空。

思科发展太空路由的目的是为了简化卫星间通信。在传统的卫星通信模式下，两颗卫星间传输音频、视频或数据必须要通过中继卫星或绕回地面站，而如果直接在卫星上安装IP路由器，则可省略回传地面的时间，直接在卫星间进行通信，降低音视频传输的延迟。由于该技术同样可以提高军用卫星通讯效率并降低成本，因此美国军方也在积极推动这项计划。

在完成了太空路由和对应Cisco IOS软件的在轨测试后，美国国防部将对这套系统进行为期三个月的军用测试，此后思科则会对太空路由的商用应用可行性进行一年左右时间的测试。

Like

Unlike