標題: [新聞] 200804 病毒通告
本帖已經被作者加入個人空間
P11555 (百分比(南港棧))
超級版主
Rank: 11Rank: 11Rank: 11Rank: 11


UID 5
精華 0
積分 1784
帖子 384
威望 8
P幣 861 $
經驗 531 點
閱讀權限 200
註冊 2000-1-1
來自 中華民國
狀態 離線
發表於 2008-4-18 14:30  資料  個人空間  主頁 短消息  加為好友 
事件通告:DivX Player 被發現含有緩衝區溢位的的弱點,使用者請小心防範!  
  

2008/04/18

 
 風險等級:警戒狀態  
 摘  要:本通告所提到的弱點是因為當DivX Player 在處理惡意的SRT 檔案時,若該檔案中所含的小標題(Subtitles) 文字過長,將會導致記憶體發生堆疊(Stack-base) 緩衝區溢位。惡意人士可以事先製作惡意SRT 檔案,並利用各種傳播方式引誘使用者去開啟該檔案,如果成功利用此弱點,惡意人士將能夠在受駭主機上執行任意程式碼。 目前已經確認會受影響的版本為DivX Player 6.7 (build 6.7.0.22),由於DivX 仍未提出相關修正檔案,且已有相關的攻擊驗證碼,中華電信SOC 在此建議使用者可先關閉自動讀取小標題的功能,或是不去開啟不明來源的SRT 檔案,以降低受駭風險。 參考資料:

頂部
P11555 (百分比(南港棧))
超級版主
Rank: 11Rank: 11Rank: 11Rank: 11


UID 5
精華 0
積分 1784
帖子 384
威望 8
P幣 861 $
經驗 531 點
閱讀權限 200
註冊 2000-1-1
來自 中華民國
狀態 離線
發表於 2008-4-18 14:31  資料  個人空間  主頁 短消息  加為好友 
病毒通告:Trojan.Drondog 木馬程式會修改系統檔案並下載其它惡意程式,請小心防範!  
[/td]
  

2008/04/18

 
 風險等級:中度威脅  
 摘  要:防毒軟體廠商賽門鐵客日前發現Trojan.Drondog 木馬程式在網路上散播,網路使用者在瀏覽某些惡意網站而感染了此木馬程式後,會將受影響系統用來監看硬碟變化的程式關閉,並修改C:\Windows\system32 下的userinit.exe 檔,之後會進一步的從惡意網站下載更多的惡意程式。如果直接刪除受感染的userinit.exe 檔,將導致使用者無法正常登入Windows 作業系統。 HiNet SOC 建議您注意來路不明的電子郵件以及內文中的連結,並安裝防毒軟體且經常更新防毒軟體的病毒碼來降低受駭風險。  
    
 影響系統 :受影響系統 
 
    
 解決辦法:若不慎點擊惡意連結,建議處理方式如下: 1、重新開機進入Windows Recovery Console
  • 請將Windows XP 光碟片置入光碟機。
  • 請以光碟開機方式重新開機。
  • 請在進行到"歡迎安裝"畫面時,按下"R" 鍵。
  • 請選擇要登入的Windows 安裝後按Enter (如您只有安裝一個Windows 作業系統,則選項通常是"1" )。
  • 請輸入Administrator 帳號之密碼後按Enter 。
  • 請輸入d: (請依已置入Windows XP 光碟片之光碟機代號改變)後按Enter 。
  • 請輸入cd I386 後按Enter 。
  • 請輸入copy USERINIT.EX_ C:\windows\system32\userinit.exe 後按Enter 。
  • 請輸入exit 並按Enter 後,將會自動重新開機。
2、關閉系統還原功能 (Windows Me/XP ) 3、更新病毒碼定義檔到最新 4、執行全系統掃瞄並刪除中毒檔案(若防毒軟體無法刪除中毒檔案時,請重新開機並進入安全模式下刪除。)
 
    
 細節描述:近日防毒廠商賽門鐵客(Symantec ) 發現Trojan.Drondog 木馬程式在網路上散播,此木馬程式會將受影響系統用來監看硬碟變化的程式關閉、修改重要的系統檔案,並且下載更多的惡意程式影響受駭系統。目前已知的行為如下: 1. 將木馬程式複製為一檔名為隨機字眼的.exe 檔,置放於C:\Documents and Settings \登入帳號 \Local Settings\Temporary Internet Files 目錄下。 2. 產生一usbhdd.sys 檔,置於 C:\Windows \System32 \drivers 目錄下。 3. 將usbhdd.sys 註冊成一項名稱為usbhdd 的服務。 4. usbhdd 服務會進一步終止某些監看硬碟變化的程式。 5. 搜尋 C:\Windows \System32 目錄下的userinit.exe 檔,並且以惡意程式覆蓋取代。 6. 自動從hxxp://1.0803071030.net 下載更多的惡意程式。 7. 恢復監看硬碟變化的程式。 8. 刪除第1 、2 步驟所建立的檔案。 如果直接刪除受感染的userinit.exe 檔,將導致使用者無法正常登入Windows 作業系統。 HiNet SOC 建議您不去開啟來路不明的電子郵件以及內文中的連結,並安裝防毒軟體且經常更新防毒軟體的病毒碼來降低受駭風險。  
    
 參考資訊:Symantec

頂部
P11555 (百分比(南港棧))
超級版主
Rank: 11Rank: 11Rank: 11Rank: 11


UID 5
精華 0
積分 1784
帖子 384
威望 8
P幣 861 $
經驗 531 點
閱讀權限 200
註冊 2000-1-1
來自 中華民國
狀態 離線
發表於 2008-4-18 14:33  資料  個人空間  主頁 短消息  加為好友 
弱點通告:VMware ESX Server 被揭露含有可能發動阻斷服務攻擊(DoS) 的弱點,請管理者儘速上網更新以免受駭!  
[/td]
  

2008/04/18

 
 風險等級:高度威脅  
 摘  要:VMware ESX Server 已被證實包含多個弱點,將可能會造成受駭系統在配置記憶體時發生記憶體緩衝區溢位的問題,惡意人士藉此可繞過安全檢驗,取得受駭主機的完整控制權,造成受駭主機敏感性資訊外洩、應用程式未預期中斷,於受駭主機上執行任意程式碼,發動阻斷服務攻擊(DoS) 等。 目前已知VMware ESX Server 3.x 版皆會受到影響。中華電信SOC 在此建議管理者儘速上網更新以降低受駭風險。  
    
 影響系統 :
      
  • VMware ESX Server 3.x
 
 
    
 解決辦法:  
    
 細節描述:VMware ESX Server 是由VMware, Inc. 所發行的企業級虛擬產品,VMware ESX Server 是運行在硬體介面上,不僅只是一套虛擬軟體,VMware ESX Server 本身擁有控制主機硬體的虛擬操作系統,可對虛擬機器做資源分配,例如CPU、Memory 資源共享、網路頻寬共用、磁碟空間共用等等,VMware ESX Server 允許以上資源皆可被動態地改變,會自行最佳化IT 架構。 VMware ESX Server 已被揭露含有多項弱點,分別為PCRE 元件在處理正規表示式(Regular Expressions) 時可能會發生整數滿溢錯誤,導致受駭系統出現記憶體緩衝區溢位及系統當機的情形。此外,由於Net-snmp 不當處理SNMP GETBULK 請求,使得受駭系統消耗大量的CPU 及記憶體資源在發送含有過長的max-repetitions 欄位的惡意SNMP GETBULK 請求,導致系統當機。VMware ESX Server PAM 模組中的"PAMBasicAuthenticator:: PAMCallback()" 函數含有邊界錯誤(boundary error) ,可能會造成受駭系統發生記憶體緩衝區溢位,導致惡意人士可在受駭系統上執行任意程式碼,進而發動阻斷服務攻擊(DoS)。 目前已知VMware ESX Server 3.x 版皆會受到影響。中華電信SOC 在此建議管理者應儘速上網更新以降低受駭風險。 
    
 參考資訊:VMware Secunia FrSIRT

頂部
P11555 (百分比(南港棧))
超級版主
Rank: 11Rank: 11Rank: 11Rank: 11


UID 5
精華 0
積分 1784
帖子 384
威望 8
P幣 861 $
經驗 531 點
閱讀權限 200
註冊 2000-1-1
來自 中華民國
狀態 離線
發表於 2008-4-30 22:48  資料  個人空間  主頁 短消息  加為好友 
弱點通告:Oracle 產品群證實含有多個弱點!  
  

2008/04/30

 
 風險等級:高度威脅  
 摘  要:Oracle 公司於日前發佈本年第二次弱點修補程式,共計提供41 個安全修補程式,本次發佈的多項弱點共影響了多種Oracle 產品,包括了:Oracle Database 11g、Oracle Database 10g、Oracle Database 9i、Oracle Application Server 10g、Oracle Collaboration Suite 10g、Oracle E-Business Suite Release 12、Oracle E-Business Suite Release 11i、Oracle PeopleSoft Enterprise PeopleTools、Oracle PeopleSoft Enterprise HCM、Oracle Siebel SimBuilder等。 惡意人士可能會利用本此發佈的弱點進行攻擊,其中某些弱點造成的影響目前還無法得知,其餘弱點可能會被惡意人士利用於繞過特定的安全性認證,導致SQL Injection 攻擊、引起阻斷式攻擊(Denial of Service),或者是可能癱瘓受駭電腦。 Oracle 已針對本次發佈的弱點,推出重大安全更新,下次發佈弱點修補通告預計為2008年7月15日,中華電信SOC 在此建議管理者應儘速上網更新,避免受到此次弱點影響。  
    
 影響系統 :
  • Oracle Database 11g, version 11.1.0.6
  • Oracle Database 10g Release 2, versions 10.2.0.2, 10.2.0.3
  • Oracle Database 10g, version 10.1.0.5
  • Oracle Database 9i Release 2, versions 9.2.0.8, 9.2.0.8DV
  • Oracle Application Server 10g Release 3 (10.1.3), versions 10.1.3.1.0, 10.1.3.3.0
  • Oracle Application Server 10g Release 2 (10.1.2), versions 10.1.2.0.2, 10.1.2.1.0, 10.1.2.2.0
  • Oracle Application Server 10g (9.0.4), version 9.0.4.3
  • Oracle Collaboration Suite 10g, version 10.1.2
  • Oracle E-Business Suite Release 12, version 12.0.4
  • Oracle E-Business Suite Release 11i, version 11.5.10.2
  • Oracle PeopleSoft Enterprise PeopleTools versions 8.22.19, 8.48.16, 8.49.09
  • Oracle PeopleSoft Enterprise HCM versions 8.8 SP1, 8.9, 9.0
  • Oracle Siebel SimBuilder versions 7.8.2, 7.8.5
 
 
    
 解決辦法:請到Oracle 官方網站,依系統及程式版本下載並安裝適當的修補程式:  
    
 細節描述:Oracle 公司於日前發佈本年第二次弱點修補程式,共計提供41 個安全修補程式,接下來預計發佈修補通告日期為:7月15日、10月14日及2009年1月13日。 本次發佈的多項弱點共影響了多種Oracle 產品,包括了:Oracle Database 11g、Oracle Database 10g、Oracle Database 9i、Oracle Application Server 10g、Oracle Collaboration Suite 10g、Oracle E-Business Suite Release 12、Oracle E-Business Suite Release 11i、Oracle PeopleSoft Enterprise PeopleTools、Oracle PeopleSoft Enterprise HCM、Oracle Siebel SimBuilder等。 第一個弱點是因為透過傳送未指定的參數給SDO_GEOM、SDO_IDX 與SDO_UTIL 套件,由於輸入進來的參數在使用於SQL 查詢之前,並沒有經過適當的檢查,所以會發生錯誤,導致弱點產生,惡意人士可以利用注入(Injection) 任意SQL 指令碼的方式,操縱SQL 查詢。 第二個弱點是因為DBMS_STATS_INTERNAL 套件將OUTLN 帳戶的密碼回復至預設值,並會在建立實體景觀(materialized view) 時,授予DBA 的權限給OUTLN 帳號。 第三個弱點存在於"wwv_execute_immediate" 套件中的"run ddl" Function,這個套件內包含了"flows_030000" schema Function,此Function 會允許攻擊者,利用其它任意的資料庫使用者身分執行SQL 指令,例如"SYS" 如果要能成功利用此弱點進行攻擊,攻擊者必須要先能存取可以執行"flows_030000.wwv_execute_immediate.run_ddl" Function 的帳號,Oracle Database 11g 在預設安裝的情況下,下列的非DBA 用戶可以執行此Function: WMSYS, WKSYS, FLOWS_030000, OUTLN。 Oracle 已針對這些弱點,推出重大安全更新,中華電信SOC 建議使用者應儘速更新Oracle 所推出的安全性修正檔,以降低受駭風險。  
    
 參考資訊:Oracle iDefense Labs Secunia

頂部
P11555 (百分比(南港棧))
超級版主
Rank: 11Rank: 11Rank: 11Rank: 11


UID 5
精華 0
積分 1784
帖子 384
威望 8
P幣 861 $
經驗 531 點
閱讀權限 200
註冊 2000-1-1
來自 中華民國
狀態 離線
發表於 2008-4-30 22:50  資料  個人空間  主頁 短消息  加為好友 
事件通告:Microsoft Windows 含有可能會允許提升權限的弱點,請儘速更新!  
  

2008/04/30

 
 風險等級:警戒狀態  
 摘  要:微軟發佈Windows 含有可能會允許提升權限的弱點,此弱點是由於允許具有網路服務(NetworkService) 或本機服務(LocalService) 權限帳號的使用者在網頁提供的文字編輯器(context) 中執行特定程式碼時出現錯誤,導致攻擊者可因此將權限提升至本機系統(LocalSystem) 帳號的權限,並可存取其他網路服務或本機服務帳號正在執行的程序所使用的資源。 當有啟用IIS 服務的系統完全信任使用者提供的ISAPI filters / extensions 以及ASP.NET 程式碼,或是在SQL Server上的使用者提升到管理者權限載入或執行特定程式碼時都會引發此弱點,使系統受駭。 這個弱點僅影響有啟用IIS 服務或是安裝SQL Server 的作業系統,包含Windows XP SP2 、Windows Server 2003 、Windows Vista 、Windows 2008 等有支援的版本,在Windows Server 2003 的版本甚至可能會進一步的影響到MSDTC (Microsoft Distributed Transaction Coordinator) 服務中擁有SeImpersonatePrivilege 權限的程序身分識別。目前微軟尚未提供修補程式,中華電信SOC 建議管理者儘速參考微軟所提供的建議來進行設定,以降低受駭風險。 微軟建議設定如下:
    一、在IIS 6.0 管理員的應用程式集區設定WPI (Worker Process Identity) 使用已建立的帳號並停用MSDTC : 1. 設定WPI :
  • 請進入「IIS 管理員」將本機電腦展開,在「應用程式集區」按右鍵點選「內容 」。
  • 請選擇「身分識別」頁面,點選「設定為」選項,輸入您想要執行Worker Process 的帳號及密碼,並將此帳號加入到「IIS_WPG 」群組。
  • 請選擇「身分識別」頁面,點選「設定為」選項,輸入您想要執行Worker Process 的帳號及密碼,並將此帳號加入到「IIS_WPG 」群組。 2. 停用MSDTC:
  • 請按「開始」 →「控制台」 。
  • 請選擇「系統管理工具」 →「服務」 。
  • 請找到名稱為「Distributed Transaction Coordinator」 並點擊兩下進入,請將啟動類型改為「停用」後按「停止」,再按「確定」。
  • 或是您也可以直接按「開始」 →「執行」 ,輸入「sc stop MSDTC & sc config MSDTC start= disabled 」 後按確定,將此服務停止。 二、在IIS 7.0 管理員的應用程式集區設定WPI (Worker Process Identity):
  • 請進入「IIS manager」將本機電腦展開,在您要設定的「應用程式集區」按右鍵點選「進階設定 」。
  • 請在「處理序模型」下找到「識別」,並點一下「... 」按鈕。
  • 請選擇「自定帳戶」後按下「設定」,並在「認證設定」對話框中輸入帳號、密碼後按確定。
參考資料:

頂部
P11555 (百分比(南港棧))
超級版主
Rank: 11Rank: 11Rank: 11Rank: 11


UID 5
精華 0
積分 1784
帖子 384
威望 8
P幣 861 $
經驗 531 點
閱讀權限 200
註冊 2000-1-1
來自 中華民國
狀態 離線
發表於 2008-4-30 22:51  資料  個人空間  主頁 短消息  加為好友 
事件通告:DivX Player 被發現含有緩衝區溢位的的弱點,使用者請小心防範!  
  

2008/04/30

 
 風險等級:警戒狀態  
 摘  要:本通告所提到的弱點是因為當DivX Player 在處理惡意的SRT 檔案時,若該檔案中所含的小標題(Subtitles) 文字過長,將會導致記憶體發生堆疊(Stack-base) 緩衝區溢位。惡意人士可以事先製作惡意SRT 檔案,並利用各種傳播方式引誘使用者去開啟該檔案,如果成功利用此弱點,惡意人士將能夠在受駭主機上執行任意程式碼。 目前已經確認會受影響的版本為DivX Player 6.7 (build 6.7.0.22),由於DivX 仍未提出相關修正檔案,且已有相關的攻擊驗證碼,中華電信SOC 在此建議使用者可先關閉自動讀取小標題的功能,或是不去開啟不明來源的SRT 檔案,以降低受駭風險。 參考資料:

頂部
 



當前時區 GMT+8, 現在時間是 2024-11-26 00:27

    Skin By D-XITE.COM™  Powered by Discuz! 5.5.0  © 2007 Skin By D-XITE™
Processed in 0.048977 second(s), 7 queries

清除 Cookies - 聯繫我們 - PERCENT - Archiver - WAP