最新电脑病毒及保安警告

大家可以於本主题发表有关最新电脑病毒及保安警告的帖子.

1. 帖子内容必须是新闻媒体或电脑保安公司已发放之新闻或讯息，其他如博客或论坛发放的资料均不接受.

2. 发帖时请列明来源.

3. 本主题只允许有关最新电脑病毒及保安警告的帖子，其他回覆–律被禁止.

4. 不得发布过时新闻或讯息. "过时"即指新闻或讯息发布后 3 日.

5. 会员於每天只可以发表最多一篇帖子，内容可以包含多项新闻或讯息.

(评分将按内容及重要性决定)

[ 本帖最后由 geck789 於 2009-1-1 05:18 AM 编辑 ]

作者: geck789 发布时间: 2007-03-27

Microsoft Windows在处理畸形的动画图标文件 (.ani) 时存在缓冲区溢出漏洞，远程攻击者可能利用此漏洞控制用户机器。 Microsoft Windows在处理畸形文件(.ani) 时没有正确地验证ANI头中所指定的大小，导致栈溢出漏洞。如果用户受骗使用IE访问了恶意站点或打开了恶意的邮件消息的话，就会触发这个溢出，导致执行任意代码。请注意Windows资源管理器也会处理一些文件扩展名的ANI文件，如.ani、.cur、.ico等。受影响的系统包括:Microsoft Windows Vista 所有版本; Microsoft Windows XP 所有版本; MicrosoftWindows Server 2003 SP1; Microsoft Windows Server 2003; MicrosoftWindows 2000 所有版本。

目前国内外的很多网站都开始利用该漏洞传播恶意软件及盗号木马、蠕虫病毒，该漏洞的利用程序通常伪装成一个图片，只要点击了带有恶意代码图片的网站或邮件就会被感染上恶意程序，并且无论是IE6或IE7，或者是FireFoxOpera等非IE浏览器。

无论是Windows NT2000/XP/2003/Vista操作系统，都有被感染的可能，其他网络应用软件如QQ、MSN、各种邮件软件、RSS软件等也可能受到该漏洞的影响。由于该漏洞的多个版本的利用程序使用了很多技巧，因此会绕过绝大多数杀毒软件、防漏洞软件以及主动防御软件，使其失效。这样对用户机器产生极大危害，一旦没有补丁的机器打开了包含恶意代码的网站或邮件，病毒或恶意程序就会立即悄悄在后台运行，在没有任何反应的情况下使用户的机器中上盗号木马、恶意广告软件、蠕虫病毒等等。

补丁已出，看4#信息

[ 本帖最后由 cncjoy 於 2007-4-4 12:20 PM 编辑 ]

作者: cncjoy 发布时间: 2007-04-03

Get-messenger透过MSN传送木马网站让大家余悸犹存，MSN又传出病毒骚扰，这次是透过名单中的朋友，自动传送一个photo album.zip档案，这是一个ircbot，根据卡巴斯基防毒软体检测，为Backdoor.Win32.IRCBot.aaq，因此朋友传送资料，一定要反覆确认。

首先，名单中的朋友会发出类似「Hey accept my photo album, Nice new pics of me and my friends and stuff and when i was young lol...」文字讯息，之后又会自动传出一个约21kb大小名为photo album的zip档案，而zip档案解开则是photo album2007.pif，执行之后，除了将photo album.zip复制到windows之下的档案夹之外，另外创造出一个rdshost.dll，放在System32档案夹中，随浏览器一起启动，同时会修改登录（registry）。

根据大陆网站C.I.S.R.T讨论区提供的解决方案，首先在「开始」的「执行」中输入regedit，打开登录档，删除

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

"rdshost"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"

[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32]

@="rdshost.dll"

其中，{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}为一串CLSID，病毒产生的这段CLSID不固定，例如：{3CBAEB1E-422A-495D-A45F-5D9E10AACD4B}。

之后重新启动电脑，删除C:\Windows\photo album.zip与C:\Windows\System32\rdshost.dll

但是，根据台湾微软方面表示，目前并未收到用户回报，可能不是大规模流行。

http://news.yam.com/ettoday/computer/200704/20070404098952.html

作者: goodpatrick 发布时间: 2007-04-04

最近网上很多网站都被黑客挂上了利用微软最新鼠标漏洞下载的盗号木马，为了大家各种网银，网游，论坛和聊天程序帐号安全，剑盟论坛特别提醒您安装以下的微软官方补丁，以保安全。注意：如果您之前曾经安装了论坛发的eEye第三方补丁程序，请先到控制面板，添加删除程序里卸载eEye Digital Security Ani Zero day patch
点击下载XP 32位中文系统专用微软鼠标光标漏洞补丁
点击下载2000 SP4中文系统专用微软鼠标光标漏洞补丁
点击下载VISTA中文系统专用微软鼠标光标漏洞补丁
安装补丁后请重启系统。养成定时升级反病毒软件病毒库，及时升级系统补丁的好习惯能减少上网中毒的机会。

‧ Microsoft Windows 2000 Service Pack 4 — Download the update

‧ Microsoft Windows XP Service Pack 2 — Download the update

‧ Microsoft Windows XP Professional x64 Edition and Microsoft Windows XP Professional x64 Edition Service Pack 2 — Download the update

‧Microsoft Windows Server 2003, Microsoft Windows Server 2003 ServicePack 1, and Microsoft Windows Server 2003 Service Pack 2 — Download the update

‧Microsoft Windows Server 2003 for Itanium-basedSystems,MicrosoftWindows Server 2003 with SP1 for Itanium-basedSystems, andMicrosoftWindows Server 2003 with SP2 for Itanium-basedSystems — Download the update

‧ Microsoft Windows Server 2003 x64 Edition and Microsoft Windows Server 2003 x64 Edition Service Pack 2 —Download the update

‧ Windows Vista — Download the update

‧ Windows Vista x64 Edition — Download the update

微软官方公告http://www.microsoft.com/technet/security/Bulletin/MS07-017.mspx

相关知识文库http://support.microsoft.com/kb/KB925902

[ 本帖最后由 cncjoy 於 2007-4-5 08:43 AM 编辑 ]

作者: cncjoy 发布时间: 2007-04-04

MSN现钓鱼网站套取网民帐号密码
(明报) 03月 28日星期三 05:10AM

【明报专讯】MSN是网民联络的主要工具之一，不过目前互联网及MSN广泛流传一个「get-messenger」的网站，要求网友输入MSN的帐号及密码，就可以查询谁把自己从MSN联络人清单中封锁，台湾微软公司指出，这个网站与微软完全无关，是一个「钓鱼」网站，呼吁网民不要受骗上当。

微软吁网民勿上当

使用MSN的网民可能会好奇，为何有些MSN联络人总是显示「不在线上」，是不是对方把自己「封锁」了？近日一个名为「get-messenger」的网站hxxp://www.get-messenger.com）在互联网及MSN上流传，表示只要输入MSN的帐号、密码，就可以查出自己被哪位联络人封锁了。

台湾微软公司MSN行销经理钟婉珍表示，get-messenger跟MSN一点关系都没有，很明显就是一个「钓鱼」网站，目的就是要取得网友的帐号、密码。钟婉珍说，目前并没有任何方法或工具可以查询哪位联络人把自己封锁了，任何宣称有此功能的网站或软体，都是想要藉此诈骗。

钟婉珍说，若有网友在get-messenger网站上输入了帐号、密码，她建议网友立即更改密码，以免有人窃取帐号、密码后去做其他的事情。

（明报驻台记者彭孝维专电）

作者: Malware 发布时间: 2007-04-04

Web安全公司SPI Dynamics原本不想让一个可将网路上的PC变成骇客帮手的工具外流，但现在这个工具的原始码还是流出去了。

「Jikto原始码已经流出去了，」SPI研究员Billy Hoffman周一在部落格上写著，「有个叫LogicX的家伙拿到备份，之后在Shmoocon大会隔天后就直接放到Digg上面去了。」

这位仁兄可以拿到原始码是因为Hoffman在骇客大会演讲时，显示了Jikto放置的网路位址。

「若当时有人很仔细的观察，就可看到Jikto原始码的URL位址。」Hoffman表示。

Jikto是一个利用JavaScript写成的Web应用漏洞扫瞄工具，它可暗中监控公开的网站，然后将结果传送给第三方。Jikto也可嵌入骇客网站，或利用跨站脚本漏洞来把该程式灌入正当的网站里。

Hoffman原本要在ShmooCon上公布Jikto程式码，但后来公司高层出面拦阻而作罢。原因则是：Jikto可用来当作不肖用途。

作者: 引导者发布时间: 2007-04-04

Microsoft Windows DNS 伺服器 RPC接口远端缓冲区溢位弱点

Microsoft Security Advisory (935964)

Vulnerability in RPC on Windows DNS Server Could Allow Remote Code Execution.

http://www.microsoft.com/technet/security/advisory/935964.mspx

[ 本帖最后由安培晴明於 2007-4-14 08:21 PM 编辑 ]

作者: 安培晴明发布时间: 2007-04-14

(星岛) 04 月 27 日星期五 01:48 PM

著名搜寻网站 Google 与商业公司合作，在网上刊登收费广告，成为 Google 的主要收入来源，但这项服务却被不法之徒利用。当网民利用 Google 搜寻资料时，可能会被引诱点击有问题的广告，黑客便趁机盗这些用户的个人资料，例如银行户口号码和密码。至今未知道有多少人受到影响，而 Google 已采取措施堵塞这个漏洞。Google 是於本周接获通知后，才知道出现问题。电脑保安专家表示，相信这些是个别事件，未有扩散的迹象。黑客主要攻击的对象，是那些没有定期更新软件的「视窗 XP」用户。一家互联网保安公司的专家艾尼利说：「这是一宗严重事故，会影响客户和网民的信心。不单只 Google 受到影响，连整个行业都会受到打击。」　网民现时利用 Google 网站搜寻资料时，除了见到自己想要的资料外，还可能见到相关的广告。而一些广告连结可能是黑客布下的陷阱，网民一不留神点击入内浏览，便会「中招」，进入另一个假网站，这时网民可能会被黑客盗取资料。Google 表示，该公司已经移除怀疑有问题的广告，并且关闭了问题广告商的帐户。

http://hk.news.yahoo.com/070427/60/26ehd.html

作者: geck789 发布时间: 2007-04-29

http://big5.ccidnet.com:89/gate/ ... 0615/1113847_1.html

【赛迪网讯】6月15日消息，本周二苹果刚刚发布面向Windows用户的Safari浏览器测试版，发布声明墨迹未干，已发现三个安全漏洞，苹果紧急发布紧急升级声明。

据国外媒体报道，苹果安装补丁可从http://www.apple.com/safari/download/下载Safari 3.0.1 Public Beta for Windows，或通过苹果软体升级程式，苹果最新的绝大多数Windows 版QuickTime 或iTunes都安装了该程式。Mac用户不会受该漏洞的影响。

苹果Windows测试版Safari浏览器发布不到三天，有三家独立安全机构声明已发现漏洞，而苹果在发布产品时还称“该版本从发布之日起就是安全的”。

其中一个漏洞是安全研究机构Thor Larholm发现的，一经过篡改的网站能够在运行Safari浏览器的Windows中运行恶意代码，另两个漏洞 Aviv Raff and David Maynor存在於rookie 浏览器。

苹果能以如此速度提供更新的确让人意外，不过这也充分说明苹果对在Windows用户群在推广浏览器的重视程度。如果你不是安全专家或软体开发者，在使用Safari浏览器测试版前尚需三思而行。

作者: geck789 发布时间: 2007-05-11

引用:

原帖由 cncjoy 於 2007-4-4 11:53 AM 发表
最近网上很多网站都被黑客挂上了利用微软最新鼠标漏洞下载的盗号木马，为了大家各种网银，网游，论坛和聊天程序帐号安全，剑盟 ...

我下了XP那种,我的也是XP
但一执行
就弹这个:
安?程序不能更新你的Windows XP文件,因?安?在?您的系?上的?言和更新的?言不同
点算- -
我果只也是Win32的,杀之不尽,又常被某网址用这病毒炸我

作者: Kim哥发布时间: 2007-05-16

About QuickTime 7.2 for Windows

QuickTime 7.2 addresses critical security issues and delivers:

- Support for full screen viewing in QuickTime Player
- Updates to the H.264 codec
- Numerous bug fixes

http://www.apple.com/support/downloads/quicktime72forwindows.html

作者: geck789 发布时间: 2007-06-15

内容

在苹果 QuickTime 发现多个漏洞，可被远端攻击者利用漏洞获得敏感资料或完全控制受影响系统。

1. 当处理异常格式的 H.264 电影档时，会产生记忆体损毁错误。攻击者可利用此漏洞引诱使用者开启恶意的电影档来执行任意程式码。

2. 当处理异常格式的电影档时，会产生记忆体损毁错误。攻击者可利用此漏洞引诱使用者开启恶意的档案来执行任意程式码。

3. 当处理异常格式的 m4v 档案时，会产生「整数」满溢错误。攻击者可利用此漏洞引诱使用者开启恶意的档案来执行任意程式码。

4. 当开理异常格式的 SMIL 档案时，会产生「整数」满溢错误。攻击者可利用此漏洞引诱使用者开启恶意的档案来执行任意程式码。

5. 由於 QuickTime for Java 存在一个设计错误，攻击者可引诱使用者访问恶意网页，利用此漏洞绕过保安检查及执行任意程式码。

6. 由於 QuickTime for Java 存在一个设计错误，攻击者可以利用恶意的 Java applets 程式绕过保安检查，写入及读取程序记忆体，从而执行任意程式码。

7. 由於 QuickTime for Java 存在一个设计错误，因某些介面 (interfaces) 被 JDirect 暴露。攻击者可以负载任意函式库及释放任意记忆体，从而执行任意程式码。

8. 由於 QuickTime 存在一个设计错误，攻击者可引诱使用者访问特制网页，从而摄取使用者当时在萤幕上显示的资料。

影响
远端执行程式码
阻断服务
泄露敏感资料
受影响系统

Apple QuickTime 7.2 及之前的版本

解决方案

在安装软体之前，请先浏览软体供应商之网站，以获得更多详细资料。

更新至 Apple QuickTime 7.2 版本(Mac):
http://www.apple.com/support/downloads/quicktime72formac.html
更新至 Apple QuickTime 7.2 版本(Windows):
http://www.apple.com/support/downloads/quicktime72forwindows.html
相关连结

http://www.frsirt.com/english/advisories/2007/2510
http://secunia.com/advisories/26034/
http://docs.info.apple.com/article.html?artnum=305947
资料来源

FrSIRT
Secunia
Apple
漏洞识别码

CVE-2007-2295
CVE-2007-2296
CVE-2007-2392
CVE-2007-2393
CVE-2007-2394
CVE-2007-2396
CVE-2007-2397
CVE-2007-2402
Back

编写於 2007年7月13日
译於 2007年7月13日

作者: Aikokwok 发布时间: 2007-06-24

Adobe Flash Player 多个漏洞
内容

在 Adobe Flash Player 发现漏洞，可被远端攻击者利用漏洞控制受影响系统。

1. 一个非指定输入验证错误，远端攻击者可透过引诱使用者访问特制网页，利用漏洞执行任意程式码。

2. 当处理 HTTP Referer 标头时存在输入验证错误，可透过漏洞进行跨网站请求伪造攻击 (CSRF)。

3. 当错误影响到浏览器时，攻击者可利用漏洞在未经授权下获取敏感资料。

影响

* 远端执行程式码
* 阻断服务
* 盗取身份资料

受影响系统

* Flash Player 9.0.45.0
* Flash Player 9.0.45.0 及之前的网络发布版本
* Flash Basic
* Flash CS3 Professional
* Flash Professional 8, Flash Basic
* Flex 2.0
* Flash Player 7.070.0 在 Linux 及 Solaris

解决方案

在安装软体之前，请先浏览软体供应商之网站，以获得更多详细资料。

请在这里下载修补程式

* Flash Player 9.0.45.0及之前的版本 (更新至 9.0.47.0 版本):
   http://www.adobe.com/go/getflash

* Flash Player 9.0.45.0及之前的网络发布版本 (更新至 9.0.47.0 版本):
   http://www.adobe.com/licensing/distribution

* Flash CS3 Professional (更新至 9.0.47.0 版本):
   http://www.adobe.com/support/flashplayer/downloads.html

* Flash Professional 8, Flash Basic (更新至 8.0.35.0 版本):
   http://www.adobe.com/support/flashplayer/downloads.html

* Flex 2.0 (更新至 9.0.47.0 版本):
   http://www.stage.adobe.com/support/flashplayer/downloads.html#fp9

相关连结

*http://www.frsirt.com/english/advisories/2007/2497
*http://secunia.com/advisories/26027/
*http://www.us-cert.gov/cas/techalerts/TA07-192A.html

资料来源

* FrSIRT
* Secunia
* US-CERT

漏洞识别码

* CVE-2007-2022
* CVE-2007-3456
* CVE-2007-3457

作者: Aikokwok 发布时间: 2007-07-12

Fixed in Firefox 2.0.0.6

MFSA 2007-27 Unescaped URIs passed to external programs
MFSA 2007-26 Privilege escalation through chrome-loaded about:blank windows

http://developer.mozilla.org/dev ... 06-security-update/

作者: geck789 发布时间: 2007-07-16

Safari 3 Beta Update 3.0.3

Safari

CVE-ID: CVE-2007-3743

Available for: Windows XP or Vista

Impact: Adding bookmarks may lead to an unexpected application termination or arbitrary code execution

Description: A stack buffer overflow vulnerability exists in Safari's bookmark handling. By enticing a user to add a bookmark with an overlong title, an attacker may trigger the issue which may lead to an unexpected application termination or arbitrary code execution. This update addresses the issue by performing proper bounds checking. This issue does not affect Mac OS X systems.

WebKit

CVE-ID: CVE-2007-2408

Available for: Mac OS X v10.4.9 or later, Windows XP or Vista

Impact: Visiting a malicious website may allow Java applets to load and run even when Java is disabled

Description: Safari provides an "Enable Java" preference, which when unchecked should prevent the loading of Java applets. By default, Java applets are allowed to be loaded. Navigating to a maliciously crafted web page may allow a Java applet to be loaded without checking the preference. This update addresses the issue through a stricter check of the "Enable Java" preference. Credit to Scott Wilde for reporting this issue.

WebKit

CVE-ID: CVE-2007-3742

Available for: Mac OS X v10.4.9 or later, Windows XP or Vista

Impact: Look-alike characters in a URL could be used to masquerade a website

Description: The International Domain Name (IDN) support and Unicode fonts embedded in Safari could be used to create a URL which contains look-alike characters. These could be used in a malicious web site to direct the user to a spoofed site that visually appears to be a legitimate domain. This update addresses the issue by through an improved domain name validity check.

WebKit

CVE-ID: CVE-2007-3944

Available for: Mac OS X v10.4.9 or later, Windows XP or Vista

Impact: Viewing a maliciously crafted web page may lead to arbitrary code execution

Description: Heap buffer overflows exist in the Perl Compatible Regular Expressions (PCRE) library used by the JavaScript engine in Safari. By enticing a user to visit a maliciously crafted web page, an attacker may trigger the issue, which may lead to arbitrary code execution. This update addresses the issue by performing additional validation of JavaScript regular expressions. Credit to Charlie Miller and Jake Honoroff of Independent Security Evaluators for reporting these issues.

http://docs.info.apple.com/article.html?artnum=306174

作者: geck789 发布时间: 2007-07-17

2007 年 8 月份 Microsoft 安全性更新

http://www.microsoft.com/taiwan/ ... lletins/200708.mspx

作者: geck789 发布时间: 2007-07-17

引用:

A lot of users are infected with the Virut Virus (w32.virut) nowadays. This is a file infector which infects every .exe and .scr file
More info here:
http://www.symantec.com/security_response/...-99&tabid=2
http://vil.nai.com/vil/content/v_141751.htm
http://free.grisoft.com/doc/virbase/us/frt...m=Win32%2FVirut

This infection is mainly getting installed via cracksites and keygensites.

感染 .exe 及 .scr 档案。
程式码本身有缺陷，感染不完全，造成目标档案损毁。
目前没救......re-install windows.

作者: SamR 发布时间: 2007-07-17

Changelog for Opera 9.24 for Windows

Opera 9.24 for Windows is available for download.
Release Notes

This release is a recommended security upgrade. See the Security section for additional information.
Changes Since Opera 9.23
Security
Fixed an issue where external news readers and e-mail clients could be used to execute arbitrary code, as reported by Michael A. Puls II. See our advisory.
Fixed an issue where scripts could overwrite functions on pages from other domains. See the advisory. Issue reported to Opera by David Bloom.

http://www.opera.com/docs/changelogs/windows/924/

作者: geck789 发布时间: 2007-08-02

http://www.avertlabs.com/research/blog/index.php/2007/10/19/realplayer-zero-day-exploit-hits-the-web/

引用:

Last night we obtained a sample of a RealPlayer zero day exploit. RealPlayer 11 Beta, 10.5, and older versions are affected. Today’s DATrelease, version 5145, contains detection under the name Exploit-RealPlay.a. At this point, exposure appears to be limited, but we can expect publicexploit code to surface before too long. At that point exploitation islikely to follow the path of many other drive-by exploits and becomefairly well distributed.

引用:

At the time of this posting, no patch for the problem was available. Ifyou use RealPlayer, consider removing the RealPlayer ActiveX add-onfrom Internet Explorer or even uninstall RealPlayer entirely.

作者: SamR 发布时间: 2007-08-02

引用:

原帖由 SamR 於 2007-10-20 01:02 PM 发表
http://www.avertlabs.com

RealPlayer issues security patch

http://service.real.com/realplayer/security/191007_player/en/

[ 本帖最后由 SamR 於 2007-10-21 10:15 AM 编辑 ]

作者: SamR 发布时间: 2007-08-16

The Storm worm is fighting back against security researchers that seek to destroy it.The worm can figure out which users are trying to probe its command-and-control servers, and it retaliates by launching DDoS attacks against them, shutting down their Internet access for days, says Josh Korman, host-protection architect for IBM/ISS, who led a session on network threats.A recently discovered capability of Storm is its ability to interrupt applications as they boot up and either shut them down or allow them to appear to boot, but disable them.

http://www.networkworld.com/news/2007/102407-storm-worm-security.html

作者: uhthn2002 发布时间: 2007-10-18

各位网友大家好
经过Foxy团队重复测试后
目前确认的原因为7/10-7/16之间AVG防毒软体的更新系统
将Foxy判别为带有危险的软体(Trojan horse SHeur.WEN)
弹出Dialog Box:

无法执行档案:
C:\Program Files\Foxy\Foxy.exe
Create Process失败。代码5。
存取被拒

导致目前有更新AVG的网友们
无法在使用Foxy或是安装Foxy

经过我们的测试使用
以下方法可以让大家再继续使用Foxy与AVG防毒软体：
1.请大家将Foxy完全移除与删除
包含您当初安装Foxy时用来存放档案的Download资料夹与Temp资料夹等
相关於Foxy的所有资料夹与程式。

2.再请大家将AVG防毒软体也完全移除，
确认删除后，
再请重新至AVG防毒软体重新下载安装一个全新的AVG防毒软体。

3.安装完成AVG后，请至Foxy官网上重新下载Foxy1.9.3版本，
即可以顺利继续使用。

※这三个步骤的最大重点在於删除过程，一定要彻底清除
原有的Foxy资料夹与程式，防毒软体也必须完全重新安装，
以避免AVG 7/10-7/16的更新系统办别资料还留存。

作者: tbgtbgtbg 发布时间: 2007-10-19

http://www.kb.cert.org/vuls/id/715737

引用:

I. Description
The jar protocol is designed to extract content from compressed files. Mozilla based browsers include support for jar: URIs that are of the form jar:[url]![filename path]

From theGNUCITIZEN blog,

jar: content run within the scope/origin of the secondary URL. Therefore, a URL like this: jar:https:// example.com/test.jar!/t.htm, will render a page which executes within the origin of https://example.com.

Since the script in the webpage at the second URL runs in the context of the first URL's page, a cross-site scripting vulnerability occurs.

To successfully exploit this vulnerability, an attacker could place or link to a specially crafted archive file on a site and convince the user to open the file with a Mozilla based browser. An attacker could use sites that allow user-submitted content distribute malicious archived files.

引用:

SolutionWe are currently unaware of a practical solution to this problem.
Workarounds for network administrators and users

Using proxy servers or application firewalls to block URIs that contain jar: may mitigate this vulnerability.
NoScript version 1.1.7.8 and later may prevent this vulnerability from being exploited.

Note:NoScript 官方版本是 1.1.7.7 ，其他为非官方式版本或Beta版本

Update:NoScript 官方版本已升级为 1.1.7.8

[ 本帖最后由 SamR 於 2007-11-11 07:36 AM 编辑 ]

作者: SamR 发布时间: 2007-10-20

http://www.channelregister.co.uk/2007/11/12/maxtor_infected_hdd_updated/

引用:

As first reported by El Reg in September a pre-installedTrojan named AutoRun-AH was discovered by Kaspersky Labs on Maxtor 3200external hard drives sold in the Netherlands.

引用:

But following a subsequent investigation the firm confirmed that an unspecified number of Maxtor Basics Personal Storage 3200 drives sold after August 2007 were indeed contaminated by malware during the manufacturing process. It traced the problem to an unnamed sub-contractor in China.

作者: SamR 发布时间: 2007-10-21

http://www.computerworld.com/action/article.do?command=viewArticleBasic&taxonomyName=software&articleId=9048678&taxonomyId=18&intsrc=kc_top

引用:

attackers can exploit the flaw by duping users into visiting malicious or compromised Web sites hosting specially-crafted streaming content, or by convincing them to open a rigged QTL file attached to an e-mail message.

引用:

A successful exploit would let the attacker install additional malware-- spyware or a spambot, say -- or cull the system for information likepasswords. An attack that failed would likely only crash QuickTime.

引用:

Apple did not respond to questions about the QuickTime vulnerability and its plans for patching the program.

作者: SamR 发布时间: 2007-10-28

http://www.f-secure.com/weblog/archives/00001327.html

"A dear friend has sent you an ecard from [website(hxxp://www.xxxxGreetings.com)]. Your ecard will be available with us for the next 30 days. If you wish to keep the ecard longer, you may save it on your computer or take a print. To view your ecard, click here,"

Zapchast mIRC-based backdoor

作者: SamR 发布时间: 2007-11-05

this Toolbar now uses the AskJeeves/Ask.com searchengine

http://www.benedelman.org/spyware/installations/askjeeves-banner/

目前预设已勾选安装，安装ZoneAlarm时要小心，记得取消勾选，以免加装了"ZoneAlarm Spy Blocker toolbar"

作者: SamR 发布时间: 2007-11-09

Kaspersky False Positive removes Explorer.exe

一般 c:\windows\explorer.exe 为合法档案，若 KAV 侦测到是病毒，请勿选择删除或做其它动作，不然会做成系统问题。

作者: SamR 发布时间: 2007-11-13

微软视窗 Message Queuing Service 远端执行程式码漏洞 (2007年12月12日)

内容

当 Message Queuing Service 将输入字串传给缓冲区前，以错误的方式验证该字串时，Message Queuing Service 中会存在一个远端执行程式码的漏洞。攻击者可能会蓄意制作 MSMQ 讯息来利用这个漏洞，在远端攻击的案例中，可允许在视窗 2000 伺服器上远端执行程式码，而在本机案例中，则可在视窗 XP 上提高本机权限。成功利用此漏洞的攻击者可以取得受影响系统的完整控制权。

影响

* 远端执行程式码
* 权限提高

受影响之系统

* 微软视窗 2000 伺服器 Service Pack 4 及微软视窗 2000 专业版 Service Pack 4
* 微软视窗 XP Service Pack 2

解决方案

在安装软体之前，请以浏览软体供应商之网站，以获得更多详细资料。

请在这里下载修补程式

* 微软视窗 2000 伺服器 Service Pack 4 及微软视窗 2000 专业版 Service Pack 4
* 微软视窗 XP Service Pack 2

相关连结

*http://www.microsoft.com/taiwan/technet/security/bulletin/ms07-065.mspx

资料来源

* 微软

漏洞识别码

* CVE-2007-3039

作者: Aikokwok 发布时间: 2007-11-27

苹果 Mac OS X 多个漏洞 (2007年12月19日)

内容

在苹果Mac OS X 发现的漏洞，可以被远端或本机攻击者执行任意指令、进行阻断服务攻击、泄露敏感资料，或绕过保安限制。

1) 由於通讯录内的URL处理器存在字串格式错误，当使用者浏览特制网页时，可以利用漏洞执行任意程式码。

2) 由於CFNetwork处理已下载的档案时会产生错误。攻击者可以引诱使用者到访特制网页，透过穿梭目录 (directory traversal) 攻击，利用漏洞自动下载档案到任意的资料夹。

3) 由於处理内嵌 ColorSync 描述的图像时，ColorSync会产生不明错误，利用漏洞可以令记忆体损毁。成功利用此漏洞可以允许执行任意程式码。

4) 由於"CFURLWriteDataAndPropertiesToResource"应用程式界面(API)存在竞争状况，令到所建立的档案的安全权限会不正确。

5) 由於CUPS的印表机驱动程式存在边界检查错误。透过传送特制的URI到CUPS服务，造成缓冲区满溢及允许管理员帐户以系统权限执行任意程式码。

6) 由於CUPS存在边界检查错误，恶意的人可以控制受影响的系统。

7) 由於处理SNMP 回应时，CUPS backend会产生整数下溢错误。攻击者可以透过传送特制的SNMP回应，利用漏洞造成堆叠缓冲区满溢。在启动了 SNMP的系统上，成功利用此漏洞可以允许执行任意程式码。

8) 由於桌面服务存在边界检查错误，当使用者开启含有特制.DS_Store档案的目录，利用漏洞可以造成堆叠缓冲区满溢。成功利用此漏洞可以允许执行任意程式码。

9) 由於tar存在输入验证错误，恶意的人可以控制使用者的系统。

10) 由於iChat存在不明错误，恶意的人可以未经使用者允许的情况下，在本机网络启动视频连接。

11) 由於在磁碟映像处理GUID 分区内容时，IO Storage Family会产不明错误。攻击者可以引诱使用者开启特制的磁碟映像，利用漏洞执行任意程式码。

12) 由於Lanuch 服务不会处理含有不安全内容的HTML档案。攻击者可以引诱使用者开启特制的HTML档案，利用漏洞窃取敏感资料或进行跨网域脚本程式攻击。

13)由於Mail处理不安全的档案类型时存在漏洞，利用它可以控制使用者的系统。

14)如果使用 Mail 的伺服器只支援MD5 Challenge-Response 认证及plaintext认证，在 Mail 发现的错误可以导致应用程式的SMTP功能以 plaintext 作为预设的认证方式。

15) 由於perl存在漏洞，恶意的人可以控制受影响的系统。

16)由於python存在的保安漏洞，恶意的人可以进行阻断服务攻击及控制受影响的系统。

17)由於Quick Look的插件没有限制建立网络请求，当预览一个HTML档案时，可能会泄露敏感资料。

18)如果使用QuickLook建立电影档案的图示或预览电影档案，电影档案内的网址可以被任意存取。

19) 由於ruby存在保安漏洞，恶意的人可以进行伪造攻击。

20) 由於Ruby on Rails存在保安漏洞，恶意的人可以窃取敏感资料或进行 session fixation 攻击。

21) 由於Safari存在错误，允许一个网页浏览其他任何网页的subframes。当使用者到访特制的网页，利用漏洞可以进行跨网域脚本程式攻击及泄露敏感资料。

22)由於处理RSS feeds时，Safari会产生不明错误。当使用者存取特制的网扯，利用漏洞可以令记忆体损毁及执行任意程式码。

23) 由於Samba存在边界检查错误，恶意的人可以进行伪造攻击。

24) 由於Shockwave的插件存在边界检查错误，恶意的人可以进行伪造攻击。

25)由於处理传送到"mount_smbfs"及"smbutil" 的命令行参数时，会产生边界检查错误。利用此漏洞可以造成堆叠缓冲区满溢及以系统权限执行任意程式码。

26)由於软件更新程式是使用无需认证的 HTTP方式接收分发的定义档案，可以允许执行任意指令码。这个漏洞需要配合 MitM (Man-in-the-Middle)攻击才能成功。

27) 由於在SpinTracer处理输出档案时，不安全的档案操作会引致错误。恶意及本机的使用者可以利用系统权限执行任意程式码。

28) 由於微软Office Spotlight Importer存在不明错误，当使用者下载特制的.xls档案时，可以利用漏洞令记忆体损毁。

29) 由於tcpdump存在漏洞，恶意的人可以进行阻断服务攻击或控制使用者的系统。

30) 由於XQuery 所使用可兼容Perl的 Regular Expressions (PCRE) 存在漏洞，利用此漏洞可以控制受影响的系统。

影响

* 远端执行程式码
* 绕过保安限制
* 阻断服务
* 泄露敏感资料

受影响之系统

* 苹果 Mac OS X 10.4.11 及之前的版本
* 苹果 Mac OS X 10.5.1 及之前的版本
* 苹果 Mac OS X 伺服器 10.4.11 及之前的版本
* 苹果 Mac OS X 伺服器 10.5.1 及之前的版本

解决方案

在安装软体之前，请以浏览软体供应商之网站，以获得更多详细资料。

苹果 Mac OS X 版本 10.4.11 for Universal 及伺服器版本 10.4.11 for Universal:
http://www.apple.com/support/downloads/securityupdate200700910411universal.html

苹果 Mac OS X 版本 10.4.11 for PPC 及伺服器版本 10.4.11 for PPC:
http://www.apple.com/support/downloads/securityupdate200700910411ppc.html

苹果 Mac OS X 版本 10.5.1 及伺服器版本 10.5.1:
http://www.apple.com/support/downloads/securityupdate20070091051.html

相关连结

*http://www.frsirt.com/english/advisories/2007/4238
*http://secunia.com/advisories/28136/
*http://docs.info.apple.com/article.html?artnum=307179
*http://www.us-cert.gov/cas/techalerts/TA07-352A.html

资料来源

* FrSIRT
* Secunia
* Apple
* US-CERT

漏洞识别码

* CVE-2006-0024
* CVE-2007-1218
* CVE-2007-1659
* CVE-2007-1660
* CVE-2007-1661
* CVE-2007-1662
* CVE-2007-3798
* CVE-2007-3876
* CVE-2007-4131
* CVE-2007-4351
* CVE-2007-4572
* CVE-2007-4708
* CVE-2007-4709
* CVE-2007-4710
* CVE-2007-4766
* CVE-2007-4767
* CVE-2007-4768
* CVE-2007-4965
* CVE-2007-5379
* CVE-2007-5380
* CVE-2007-5398
* CVE-2007-5476
* CVE-2007-5770
* CVE-2007-5847
* CVE-2007-5848
* CVE-2007-5849
* CVE-2007-5858
* CVE-2007-5850
* CVE-2007-5851
* CVE-2007-5853
* CVE-2007-5854
* CVE-2007-5855
* CVE-2007-5856
* CVE-2007-5857
* CVE-2007-5859
* CVE-2007-5860
* CVE-2007-5861
* CVE-2007-5863
* CVE-2007-6077
* CVE-2007-6165

作者: Aikokwok 发布时间: 2007-12-05

Adobe Flash Player 多个漏洞

内容

在 Adobe Flash 发现的漏洞，可以被攻击者绕过保安限制、窃取敏感资讯、执行任意脚本程式或取得受影响系统的完整控制权。

1. 由於处理特制的内容时，会产生输入验证错误，攻击者可以利用漏洞执行任意程式码。

2. 由於 PCRE 存在错误。

3. 由於处理跨网站政策的 XML 档案内"allow-access-from" 元件时出现错误，利用此漏洞可以进行DNS rebinding 攻击。

4. 由於解读跨网站政策档案时出现错误，利用此漏洞可以对含有Flash内容及跨网站政策档案的网页伺服器进行权限提升的攻击。

5. 由於处理 "asfunction:" 协定时出现错误，利用此漏洞可以进行跨网站脚本程式攻击。

6. 由於呼叫 "navigateToURL" 函式时，Internet Explorer 的 Flash Player ActiveX 控制器出现错误，利用此漏洞可以进行跨网站脚本程式攻击。

7. 由於处理客户端请求的 HTTP 标头时出现错误，利用此漏洞可以进行 HTTP 请求的分割攻击。

8. 由於 ActionScript 3 插口处理器的设计错误，利用此漏洞可以扫瞄任意的连接埠。

9. 由於 Linux Flash Player 存在记忆权限错误，恶意使用者可以利用此漏洞提升权限。

10. 由於 Opera 及Mac 版本的 Flash Player 存在不明错误。

影响

* 远端执行程式码
* 绕过保安限制
* 泄露敏感资料
* 权限提升

受影响之系统

* Adobe Flash CS3
* Adobe Flash Player 9.x
* Adobe Flex 2.x
* Macromedia Flash 8.x
* Macromedia Flash Player 7.x
* Macromedia Flash Player 8.x

解决方案

在安装软体之前，请以浏览软体供应商之网站，以获得更多详细资料。

* 升级至9.0.115.0.版本:
* Flash Player 9.0.48.0 for Windows, Mac, 及 Linux 及较早之前的版本:
   http://www.stage.adobe.com/go/getflash
* Flash Player 9.0.48.0 及较早之前的版本 – 网络发布:
   http://www.stage.adobe.com/licensing/distribution
* Flash CS3 Professional:
   http://www.adobe.com/support/flash/downloads.html
* Flex 2.0:
   http://www.stage.adobe.com/support/flashplayer/downloads.html#fp9

相关连结

*http://www.frsirt.com/english/advisories/2007/4258
*http://secunia.com/advisories/28161/
*http://www.adobe.com/support/security/bulletins/apsb07-20.html
*http://www.us-cert.gov/cas/techalerts/TA07-355A.html

资料来源

* FrSIRT
* Secunia
* Adobe
* US-CERT

漏洞识别码

* CVE-2007-4324
* CVE-2007-4768
* CVE-2007-5275
* CVE-2007-5476
* CVE-2007-6242
* CVE-2007-6243
* CVE-2007-6244
* CVE-2007-6245
* CVE-2007-6246

作者: Aikokwok 发布时间: 2007-12-17

内容

在 RealPlayer 发现漏洞，可被远端攻击者进行阻断服务攻击或取得受影响系统的完整控制权。由於处理异常资料时，会产生缓冲区满溢错误。远端攻击者可透过引诱使用者到访特制网站，利用漏洞执行任意程式码。

影响

* 远端执行程式码
* 阻断服务

受影响之系统

* RealPlayer 11.x

解决方案

* 请勿开启不明媒体档案或浏览不明网站。

相关连结

* http://www.frsirt.com/english/advisories/2008/0016
* http://secunia.com/advisories/28276/

资料来源

* Frsirt
* Secunia

作者: Aikokwok 发布时间: 2007-12-21

PHP 多个漏洞

内容

在 PHP 发现多个漏洞，含有未知的影响及其他可被恶意的使用者绕过保安限制的漏洞。

1) 由於 "chunk_split()" 函式存在整数满溢错误。

2) 由於 "strcspn()" 及 "strspn()" 函式存在整数满溢错误。

3) 由於 "glob()" 函式存在回归错误，利用此漏洞潜在绕过 "open_basedir" 指令。

4) 由於包含 "LOCAL INFILE" 的 MySQL extension 处理 SQL 查询时，会产生错误。利用此漏洞可绕过 "open_basedir" 及 "safe_mode" 指令。

5) 由於处理 "session_save_path" 及 "error_log" 的数值时，出现错误。利用此漏洞可绕过 "open_basedir" 及 "safe_mode" 指令。

影响

* 绕过保安限制

受影响的系统

* PHP 4.4.8 之前的版本

解决方案

在安装软体之前，请以浏览软体供应商之网站，以获得更多详细资料。

*

升级至 4.4.8
http://www.php.net/downloads.php

相关连结

* http://secunia.com/advisories/28318/

资料来源

* Secunia

漏洞识别码

* CVE-2007-3378

作者: Aikokwok 发布时间: 2007-12-27

内容

Microsoft Windows 本地安全性授权子系统服务 (LSASS) 中由於其不当处理本机程序呼叫 (LPC)要求而存在权限提高的漏洞。此漏洞可能会允许攻击者以提高的权限执行程式码。成功利用此漏洞的攻击者可以取得受影响系统的完整控制权。攻击者接下来将能安装程式，检视、变更或删除资料，或建立具有完整使用者权限的新帐户。

影响

本机权限提高

受影响之系统

微软视窗 2000 Service Pack 4
微软视窗 XP Service Pack 2
微软视窗 XP 专业版 x64 版本及微软视窗 XP 专业版 x64 版本 Service Pack 2
微软视窗伺服器 2003 Service Pack 1 及微软视窗伺服器 2003 Service Pack 2
微软视窗伺服器 2003 x64 版本及微软视窗伺服器 2003 x64 版本 Service Pack 2
安装在 Itanium-based 系统中的微软视窗伺服器 2003 Service Pack 1 及微软视窗伺服器 2003 Service Pack 2

解决方案

在安装软体之前，请以浏览软体供应商之网站，以获得更多详细资料。
请在这里下载修补程式

微软视窗 2000 Service Pack 4
微软视窗 XP Service Pack 2
微软视窗 XP 专业版 x64 版本及微软视窗 XP 专业版 x64 版本 Service Pack 2
微软视窗伺服器 2003 Service Pack 1 及微软视窗伺服器 2003 Service Pack 2
微软视窗伺服器 2003 x64 版本及微软视窗伺服器 2003 x64 版本 Service Pack 2
安装在 Itanium-based 系统中的微软视窗伺服器 2003 Service Pack 1 及微软视窗伺服器 2003 Service Pack 2

引用:

The IE7 upgrade scheduled to roll out via WSUS (Windows Server Update Services) on Feb. 12 was announced last October, when Microsoft said it would no longer require users to prove they owned a legitimate copy of Windows XP before they were allowed to download the newer browser. Microsoft explained that the move was prompted by security concerns.

引用:

Companies that stuck with IE6 must take action, Microsoft said, or IE7may be automatically downloaded and installed to their workers' PCs.Specifically, administrators who have set WSUS to automatically approveUpdate Rollups will need to disable the auto-approval rule before Feb.12 to prevent IE7 from infiltrating their infrastructure. After thatdate, they must synchronize the update package with their WSUS server,then switch the auto-approval rule back on again.

作者: SamR 发布时间: 2008-01-05

Ad-Aware SE 下月起即将不支援，必须重新安装 Ad-Aware 2007 free
个人建议不要再使用。

Ask.com (toolbar)似乎对 freeware Anti-scanner-firewall 特别有兴趣，尤其是论坛推荐的软体，目前已有多家公司加入。

在产品网页中大部份都不会提及，而且都是预设安装(pre-check)，更有在产品讨论区被删文的情形。

所以会员在安装软体时要仔细睇清楚先按 Next 键。
Helper 若知道亦最好不要再推荐该类软体。

这世界 freeware 不再安全，如同 Messenger Plus!。

作者: SamR 发布时间: 2008-01-05

https://bugzilla.mozilla.org/show_bug.cgi?id=413451
Status update for Chrome Protocol Directory Traversal issue
allows to steal data from sessionstore.js

下列 add-on 受影响：

https://bugzilla.mozilla.org/attachment.cgi?id=300181

作者: SamR 发布时间: 2008-01-09

http://billpstudios.blogspot.com/2007/06/do-all-signitures-come-from-kaspersky.html
Do-all-signitures-come-from-kaspersky?

引用:

You might think there exists a huge number of anti-malware programs out there. If so, you’d be right but you might be surprised to find out how many use the same anti-virus engine and signature files.
My mailbox was flooded yesterday with a number of freaked out WinPatrol users who had our software removed by Kaspersky Internet Security Suite. It seems Kaspersky was identifying WinPatrol as “pornware not-a-virus

orn-Dialer.Win32.Agent.aw“.

I was pleased that most folks knew this must be some kind of false-positive error, but I also had my share of users in a panic blaming me for infecting their systems.
By evening, I did hear back from Kaspersky Virus Analyst, Yury Nesmachny who apologized and said,

“Sorry, it's false alarm. Its detection will be deleted in the next update. Thank you for your help.”

According to tests today with VirusTotal.com, Kaspersky has corrected this error.

其他与kaspersky有合作关系的软体：
http://www.kaspersky.com/oemsuccess

作者: SamR 发布时间: 2008-01-09

引用:

The Adobe Reader 8.1.2 update addresses a number of customer workflow issues and security vulnerabilities while providing more stability.

http://www.adobe.com/go/kb403079

Download:

http://www.adobe.com/products/acrobat/readstep2.html

作者: geck789 发布时间: 2008-01-17

引用:

About QuickTime 7.4.1 for Windows
QuickTime 7.4.1 addresses security issues and improves compatibility with third-party applications.

This release is recommended for all QuickTime 7 users.

http://www.apple.com/support/dow ... e741forwindows.html

Download:

http://www.apple.com/quicktime/download/

作者: geck789 发布时间: 2008-01-20