百分比俱樂部 (PERCENT CLUB) - Powered by Discuz! Board

標題: [新聞] 200805 病毒通告 [打印本頁]

作者: P11555 時間: 2008-5-15 15:51 標題: 200805 病毒通告

弱點通告：Adobe 部份產品被發現當開啟BMP 檔案時可能造成緩衝區溢位的弱點，且已出現攻擊驗證碼，請注意不明檔案！

		2008/05/15
	風險等級：	高度威脅
	摘　　要：	日前Adobe 的產品Photoshop Album Starter 、Photoshop CS3 、After Effects CS3 中發現弱點。若使用者利用上述程式開啟利用該弱點製成的惡意檔案(.BMP) ，將可能讓惡意人士取得執行系統任意檔案的權限。中華電信SOC在此建議使用者勿使用會受到影響的程式去開啟不明.bmp(Bitmap) 檔，以降低受駭風險。

	影響系統：	Adobe Photoshop CS3 Adobe After Effects CS3 Adobe Photoshop Album Starter


	解決辦法：	目前Adobe 仍未提供相關修補程式，中華電信SOC在此建議使用者勿開啟不明 .bmp(Bitmap) 檔，以降低受駭風險。

	細節描述：	日前Adobe 部份產品中遭人發現部份含有緩衝區溢位的弱點。惡意人士可能會利用該弱點所開發出的惡意BMP 檔來誘使使用者開啟，先前也有類似問題發生在不同的檔案類型(如.PNG、.DIB、.RLE等) ，若使用者不慎開啟該類型的惡意檔案，將可能造成系統記憶體堆疊區的緩衝區溢位，而讓惡意人士取得執行任意檔案的權限。當使用者開啟惡意檔案(如.BMP 等類型的檔案)時，部份程式因為未執行完整的標頭檢查，將會造成記憶體緩衝區的處理異常，而使惡意人士能夠在受駭主機上取得執行任意指令的權限。本弱點中不會受到影響的程式為Adobe Reader 及Adobe Flash Player ，中華電信SOC在此建議使用者勿使用會受到影響的程式去開啟不明.Bitmap檔，以降低受駭風險。

	參考資訊：	Adobe Secunia FrSirt

作者: P11555 時間: 2008-5-15 15:53

弱點通告：MS08-026 Microsoft Word 含有可能造成遠端執行任意程式碼的弱點，請使用者儘速更新以免受駭！

		2008/05/15
	風險等級：	高度威脅
	摘　　要：	微軟發佈了MS08-026 Microsoft Word 更新檔案。由於Word 在處理Word 文件及.RTF 檔時含有弱點，當成功利用此弱點時，惡意人士可在受駭系統上執行任意程式碼或阻斷服務攻擊等。目前已知不受影響的版本為Microsoft Works 8.0/8.5/9.0 、Microsoft Works Suite 2005/2006 等。中華電信SOC 在此建議使用者應儘速上網更新，以降低受駭風險。

	影響系統：	Microsoft Word 2000 SP3 Microsoft Word 2002(XP) SP3 Microsoft Word 2003 SP2/SP3 Microsoft Word/Outlook 2007 Microsoft Word/Outlook 2007 SP1 Microsoft Office Word Viewer 2003/SP3 Microsoft Office Compatibility Pack for Word/Excel/PowerPoint 2007 File Formats /SP1 Microsoft Office 2004/2008 for Mac


	解決辦法：	您可以手動下載安裝修補程式，或是由Microsoft 提供的自動Update 網站更新。HiNet SOC 建議您，設定您的系統，定期至Microsoft Update 網站更新最新修補程式： I.手動下載安裝： Microsoft Word 2000 SP3 (KB950250) Microsoft Word 2002(XP) SP3 (KB950243) Microsoft Word 2003 SP2/SP3 (KB950241) Microsoft Word/Outlook 2007 (KB950113) Microsoft Word/Outlook 2007 SP1 (KB950113) Microsoft Office Word Viewer 2003/SP3 (KB950625) Microsoft Office Compatibility Pack for Word/Excel/PowerPoint 2007 File Formats /SP1 (KB951808) Microsoft Office 2004 for Mac (KB952332) Microsoft Office 2008 for Mac (KB952331) II.Microsoft 自動更新(Microsoft Update)： Microsoft 提供Windows 使用者自動更新修補程式的網站，您可以在工作列的「開始」中，直接點選「Windows Update」或「Microsoft Update」，或請按這裡連線至Microsoft Update 網站。

	細節描述：	MS08-026的通告弱點為Microsoft Word 在處理到惡意.RTF 檔案或Word 文件時可能造成記憶體發生錯誤，而導致系統記憶體發生異常。惡意人士可透過此弱點，利用Email 夾檔或製作惡意網站等方式，引誘使用者去開啟惡意檔案，便能夠成功入侵系統，並在遠端執行任意程式碼，或發動阻斷服務攻擊。第一個弱點為當程式處理到含有異常字串的RTF 檔案時，就會讓記憶體在計算配置時發生異常；第二個弱點則是當程式開啟含有異常CSS (cascading style sheets) 值的Word 文件時，也會讓記憶體在計算配置時發生異常，上述弱點均能夠讓攻擊者能夠取得系統的控制權。中華電信SOC 在此建議使用者應儘速上網更新，並避免開啟不明的.RTF 檔案或Word 文件以降低受駭風險。

	參考資訊：	Microsoft Secunia FrSIRT

作者: P11555 時間: 2008-5-15 15:54

弱點通告：MS08-027 Microsoft Publisher 含有可能會允許遠端執行程式碼的弱點，請儘速更新！

		2008/05/15
	風險等級：	高度威脅
	摘　　要：	微軟發佈了MS08-027 Microsoft Publisher 的弱點修補程式，此弱點是由於當Microsoft Publisher 開啟惡意的Publisher 檔案，物件處理器在分析物件表頭資料時會出現記憶體錯誤所造成。攻擊者可藉由寄發E-mail 夾帶惡意Publisher 檔案，或使用即時通訊軟體傳送惡意連結來引誘使用者連結到惡意網站打開Publisher 檔案以引發此弱點，而能遠端執行任意程式碼。受影響的系統為使用Microsoft Office 2000 SP3 /2002(XP) SP3 /2003 SP2 /2003 SP3 以及 2007 Microsoft Office System 、2007 Microsoft Office System SP1 ，微軟表示目前並沒有發現有利用此弱點進行攻擊的案例，中華電信SOC 仍建議使用者應儘速上網更新以降低受駭風險。

	影響系統：	Microsoft Office 2000 SP3 Microsoft Office 2002(XP) SP3 Microsoft Office 2003 SP2/SP3 2007 Microsoft Office System/SP1


	解決辦法：	您可以手動下載安裝修補程式，或是從Microsoft Update 網站更新。中華電信SOC 建議您，設定您的系統，定期至Microsoft Update 網站更新最新修補程式： I.手動下載安裝： Microsoft Office 2000 SP3 (KB950682 ) Microsoft Office XP SP3 (KB950129 ) Microsoft Office 2003 SP2/SP3 (KB950213 ) 2007 Microsoft Office System/SP1 (KB950114 ) II.從Microsoft Update 網站更新： Microsoft 提供 Windows 使用者更新修補程式的網站，您可以在工作列的「開始」中，直接點選「Windows Update」或「Microsoft Update」，或請按"這裡"連線至 Microsoft Update 網站。

	細節描述：	MS08-027 通告內容為 Microsoft Publisher 在處理惡意的Publisher 檔案時，物件處理器(object handler) 在分析物件表頭(object header) 資料的過程中會出現記憶體錯誤(memory corruption error) 。攻擊者可藉由寄發E-mail 夾帶惡意Publisher 檔案，或使用IM 軟體傳送惡意連結來引誘使用者連結到惡意網站打開Publisher 檔案以引發此弱點，而能在受駭主機上執行任意程式碼，或是讓電腦當機。當登入系統的使用者權限越高，則受到的影響越大。本次發布的修補程式會使開啟Publisher 檔案時，以適當的方式驗證物件處理器資料來移除這項弱點。微軟表示目前並沒有相關的資訊得知有惡意人士利用此弱點來進行攻擊，中華電信SOC 仍建議使用者應儘速上網更新避免受駭。

	參考資訊：	Microsoft FrSIRT Secunia

作者: P11555 時間: 2008-5-16 15:58

弱點通告：Microsoft Jet 資料庫引擎的弱點可能會允許遠端執行程式碼，請使用者儘快更新！

		2008/05/16
	風險等級：	高度威脅
	摘　　要：	Microsoft 證實了Microsoft Jet 資料庫引擎，含有遠端執行程式碼的弱點，攻擊者若能成功利用此弱點，受駭系統會允許攻擊者遠端執行程式碼，完全操控受駭系統，例如安裝任意程式，瀏覽、變更或移除資料，甚至是新增擁有系統完整控制權的帳號。惡意人士會利用在E-mail 附加惡意檔案(.mdb 或Word 檔案)，若使用Outlook 2003 或Outlook 2007 在預覽窗格中檢視含有利用此弱點製作的HTML 檔案時，也可能會觸發此弱點；也可能利用架設含有惡意檔案的網站方式來發動攻擊。中華電信SOC 建議應立即更新Microsoft 所推出的安全性修正檔MS08-028 及MS08-026，且不去開啟不明的郵件與附加檔案，若是Outlook 2003 或Outlook 2007 的使用者，可以利用設定僅以純文字讀取郵件的方式，減少HTML 格式的電子郵件所可能造成的危害，及不要瀏覽不明的網站，以降低受駭風險。

	影響系統：	Windows 2000 SP4 Windows XP SP2 Windows XP Professional x64 Edition Windows Server 2003 SP1 Windows Server 2003 x64 Edition Windows Server 2003 with SP1 for Itanium-based systems


	解決辦法：	請點選下列網站，選擇您所使用的作業系統版本下載相對應的安全性修正檔 Windows 2000 (KB950749) Windows XP (KB950749) Windows XP x64 Edition (KB950749) - English Windows Server 2003 (KB950749) Windows Server 2003 x64 Edition (KB950749) Windows Server 2003 for Itanium-based Systems (KB950749)

	細節描述：	Microsoft Jet 資料庫引擎(Microsoft Jet Database Engine) 能夠提供資料存取權給需要使用的應用程式，例如，Microsoft Access、Microsoft Visual Basic 和許多協力廠商應用程式，需要資料庫功能的網際網路資訊服務(IIS) 也可以使用Microsoft Jet 資料庫引擎。此弱點是因為Microsoft Jet 資料庫引擎(msjet40.dll 4.0.9505.0 之前的版本)，存在著記憶體管理與驗證的錯誤所引起，惡意人士會利用E-mail 誘騙使用者開啟郵件中的惡意附檔(.mdb 或Word 檔案)，或引導使用者瀏覽惡意網頁進行攻擊，若攻擊者成功利用此弱點，將可在受駭系統上遠端執行程式碼與控制受駭系統。中華電信SOC 建議應立即更新Microsoft 所推出的安全性修正檔MS08-028 及MS08-026，且不去開啟不明的郵件與附加檔案，若是Outlook 2003 或Outlook 2007 的使用者，可以利用設定僅以純文字讀取郵件的方式，減少HTML 格式的電子郵件所可能造成的危害，及不要瀏覽不明的網站，以降低受駭風險。

	參考資訊：	Microsoft Secunia FrSIRT

作者: P11555 時間: 2008-5-16 17:00

弱點通告：Microsoft 惡意程式防護引擎含有可能造成阻斷服務攻擊的弱點，請使用者儘速更新以免受駭！

		2008/05/16
	風險等級：	中度威脅
	摘　　要：	微軟發佈了MS08-029 惡意程式防護引擎(Malware Protection Engine) 重要安全性更新。由於Malware Protection Engine 在處理PE(Portable Executable) 檔案等時含有未確定的弱點，使得有心人士可透過惡意的PE檔案，讓Malware Protection Engine 停止回應或重新掃描該惡意PE檔，造成系統硬碟空間耗損，導致系統受駭，惡意人士即可於遠端對受駭系統發動阻斷服務攻擊(DoS)。目前已知多項使用Malware Protection Engine 的Microsoft 產品皆會受到影響。中華電信SOC 在此建議使用者應儘速上網更新，以降低受駭風險。

	影響系統：	Windows Live OneCare Microsoft Antigen for Exchange Microsoft Antigen for SMTP Gateway Microsoft Windows Defender Microsoft Forefront Client Security Microsoft Forefront Security for Exchange Server Microsoft Forefront Security for SharePoint Standalone System Sweeper located in Diagnostics and Recovery Toolset 6.0


	解決辦法：	請您利用軟體內建的「立即更新」功能檢視您的惡意程式防護引擎，是否符合以下版本： Windows Live OneCare：1.1.3520.0 or above Microsoft Antigen for Exchange：0.1.13.192 or above Microsoft Antigen for SMTP Gateway：0.1.13.192 or above Microsoft Windows Defender：1.1.3520.0 or above Microsoft Forefront Client Security：1.1.3520.0 or above Microsoft Forefront Security for Exchange Server：0.1.13.192 or above Microsoft Forefront Security for SharePoint：0.1.13.192 or above Standalone System Sweeper located in Diagnostics and Recovery Toolset 6.0：1.1.3520.0 or above

	細節描述：	Microsoft 惡意程式防護引擎(Malware Protection Engine) 是微軟推出用以偵測惡意程式軟體的防護引擎，被用於眾多開發防禦工具如Windows Defender 、Microsoft Forefront 、Windows Live OneCare 、惡意軟體移除工具(Windows Malicious Software Removal Tool) 等等，協助用戶端及伺服器端免於遭受惡意程式碼的入侵及干擾。由於Malware Protection Engine 在處理PE 檔案時含有弱點，有心人士便可利用製作惡意的PE 檔案，造成Malware Protection Engine 停止回應並重新掃描該PE 檔；此外，Malware Protection Engine 若在掃描過長標頭檔的PE 檔時含有輸入有效性錯誤，造成Malware Protection Engine 損耗磁碟的可用空間，造成系統受駭，攻擊者可於遠端發動阻斷服務攻擊(DoS)。目前已知本弱點尚未被實作成功，但其影響微軟眾多安全性產品，因此，中華電信SOC 在此建議使用者應儘速上網更新，以降低受駭風險。

	參考資訊：	Microsoft Secunia FrSIRT

作者: P11555 時間: 2008-5-28 12:53

弱點通告：Cisco IOS Secure Shell 被發現含有阻斷服務等多種弱點，請管理者儘速更新！

		2008/05/28
	風險等級：	高度威脅
	摘　　要：	CISCO 部份產品被發現含有阻斷服務及異常提權等多樣弱點，惡意人士可以利用特定連線行為或惡意指令到受駭系統，便可能造成受駭系統記憶體發生異常，而造成阻斷服務攻擊或取得過高的系統權限。 CISCO 產品中，若該設備未執行 IOS或IOS 設備未啟用SSH 服務者，以及IOS 版本為10-based 、11-based 、12.0/ 12.1/ 12.2/ 12.3-based 、CVP 系統執行軟體版本為3.x 及7.0(1) 均不會受到這類弱點影響。中華電信SOC在此建議管理者儘速上網更新，以降低受駭風險。

	影響系統：	執行IOS 版本為12.4-based 以及被設定為可經由SSH 進行管理的Cisco 設備，。 SCE 1000/2000 系列的設備(若SCE 上的SSH 伺服器服務有被開啟) CVP 軟體版本在4.0(2)_ES14、4.1(1)_ES11 或更早之前


	解決辦法：	請連線到CISCO 官方網站，並依照程式版本說明來下載並安裝合適的IOS 更新檔案。 Cisco IOS Secure Shell Denial of Service Vulnerabilities Cisco Service Control Engine Denial of Service Vulnerabilities Cisco Voice Portal Privilege Escalation Vulnerability

	細節描述：	本次通告中包含CISCO 發佈的三項弱點，將能夠造成CISCO設備的阻斷服務攻擊，或是取得過高的權限，以下將分別對這些弱點進行說明：一、Cisco IOS 中的Secure Shell server (SSH) 會讓未經認證的使用者能夠因為造成異常的記憶體存取錯誤，或造成部份設備的重新啟動。二、利用惡意SSH 動作(會產生異常time frames 的SSH 登入行為、用SSH 登入行為來取得非法IO 操作、SCE SSH 中含有異常認證序號)來讓Cisco Service Control Engine (SCE) 設備無法正常運作或是重新啟動，但SCE SSH 伺服器預設值為關閉，因此若未使用該功能應該不需開啟該服務。三、在Cisco Unified Customer Voice Portal (CVP) 中，由於在使用者授權上發生問題，使認證後的使用者將擁有能夠新增、刪除及修改超級使用者(superuser) 的權限，。中華電信SOC 在此建議管理者應儘速上網更新，以降低受駭風險。

	參考資訊：	Cisco IOS Secure Shell Cisco Service Control Engine Cisco Voice Portal Secunia FrSirt SANS

作者: P11555 時間: 2008-5-30 15:55

事件通告：利用IIS /MS-Sql /Asp 所建構的網站可能含有造成SQL Injection 的弱點，請多加留意！

		2008/05/30
	風險等級：	警戒狀態
	摘　　要：	本通告所提到的弱點是因為亞洲地區(Taiwan ,China ,Singapore ,Hongkong...) 部份利用IIS /MSSQL /Asp 所建構的華文網站未針對程式碼進行完整驗證，而容易造成資料隱碼攻擊(SQL Injection)。惡意人士可以利用SQL Injection 的方式在正常的網站插入惡意程式碼(如iFrame 或javascript) ，若有瀏覽器或相關應用程式(如Adobe Flash 、RealPlayer 或暴風影音Storm Codec ...等)弱點未修補的使用者瀏覽到受駭網站時，惡意人士便能夠把使用者的連線請求重導到其他網站下載惡意檔案，並在受駭主機上植入木馬程式，或竊取個人帳號密碼等機敏資料。目前確認會受到影響的版本為Adobe Flash 9.0.115.0 ，Adobe Flash 9.0.124 則不受此弱點影響，目前網路上已發現相關攻擊程式，中華電信SOC 在此建議管理者應檢查IIS Access Log 是否含有如DECLARE @T varchar ''@C varchar 、varchar 、''%20and%20char 等SQL Injection攻擊關鍵字，並儘速完成所有程式碼的SQL Injection 漏洞修正檢查。建議用戶端應儘速針對上述應用程式進行弱點修補，以及安裝防毒防駭軟體，將可有效降低受駭風險。參考資料： SecurityFocus SANS Symantec Trendmicro Armorize

歡迎光臨百分比俱樂部 (PERCENT CLUB) (http://club.100p.net/pweb/bbs/)