百分比俱樂部 (PERCENT CLUB) - Powered by Discuz! Board

標題: [新聞] 201009 病毒通告 [打印本頁]

作者: P11555 時間: 2010-9-6 19:00 標題: 201009 病毒通告

弱點通告：Adobe Acrobat 、Reader 存在整數溢位的弱點，請使用者儘速更新！

		2010/09/06
	風險等級：	高度威脅
	摘　　要：	Adobe Acrobat 、Reader 存在整數溢位的弱點，惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後，便可執行任意程式碼、提升權限、規避部份安全限制等讓使用者系統受駭之安全性弱點。目前已知會受到影響的版本為Adobe Acrobat 、Reader 9.3.3 或8.2.3 (含)之前版本。中華電信SOC 建議使用者應儘速上網更新，以降低受駭風險。

	影響系統：	Adobe Reader 9.3.3 (含)之前版本 Adobe Reader 8.2.3 (含)之前版本 Adobe Acrobat 9.3.3 (含)之前版本 Adobe Acrobat 8.2.3 (含)之前版本


	解決辦法：	手動下載安裝：更新至Adobe Acrobat 、Reader 9.3.4 或8.2.4 (含)之後版本

	細節描述：	Adobe 近日針對Adobe Acrobat 、Reader 發佈多項弱點修補程式，多數弱點起因於PDF檔案中TrueType 字型存在惡意的maxComponentContours 欄位，可能會造成CoolType.dll 模組發生整數溢位錯誤(integer overflow error) 。惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後，便可造成執行任意程式碼、洩露機敏性資訊、規避部份安全限制等危害。中華電信SOC 在此建議使用者應儘速上網完成更新，並勿隨意瀏覽來源不明的網頁以及開啟郵件附加檔案，以降低受駭風險。

	參考資訊：	Adobe VUPEN Secunia

作者: P11555 時間: 2010-9-6 19:03

弱點通告：Adobe Shockwave Player 嚴重安全問題，請使用者儘速更新！

		2010/09/06
	風險等級：	高度威脅
	摘　　要：	Adode 近期發佈關於Shockwave Player 的安全性公告，安裝於Windows 或Mac OS系統的Adode Shockwave Player 11.5.7.609 及其之前版本有嚴重的漏洞問題，駭客可利用這些弱點，誘導用戶到惡意網頁瀏覽，導致用戶端電腦異常。中華電信SOC 在此建議使用者應儘速上網下載更新到最新版本11.5.8.612 ，以降低受駭風險。

	影響系統：	安裝在Windows 或Mac OS系統Shockwave Player 11.5.7.609 及其之前版本


	解決辦法：	手動下載安裝：更新至Adobe Flash Player 11.5.8.612 (含)之後版本

	細節描述：	繼本站於2010/05/28 發出Adobe Shockwave Player 弱點公告後，Adobe 再度對Shockwave Player 發出安全問題升版通知，請用戶儘速升級到最新版本11.5.8.612，以降低受駭風險。本次升級將修正以下弱點：記憶體損毀(memory corruption) 弱點，導制惡意程式被執行。(CVE-2010-2863). (CVE-2010-2864). (CVE-2010-2866). (CVE-2010-2869). (CVE-2010-2870). (CVE-2010-2871). (CVE-2010-2872). (CVE-2010-2873). (CVE-2010-2874). (CVE-2010-2875). (CVE-2010-2876). (CVE-2010-2877). (CVE-2010-2878). (CVE-2010-2880). (CVE-2010-2881). (CVE-2010-2882). 避免DOS(Denial Of Service) 攻擊的危害。(CVE-2010-2865). 因記億體指標偏移(pointer offset) 弱點導制惡意程式被執行。(CVE-2010-2867). 避免多種DOS( Denial Of Service) 攻擊或是可能執行被植入惡意碼的風險。(CVE-2010-2868). 整數溢位(Integer Overflow) 弱點導制惡意程式被執行。( CVE-2010-2879). 中華電信SOC 在此建議使用者應儘速上網下載更新，並勿隨意瀏覽來源不明的網頁以及開啟郵件附加檔案，以降低受駭風險。

	參考資訊：	Adobe VUPEN Secunia

作者: P11555 時間: 2010-9-15 18:52

弱點通告：微軟發佈 9月份安全性公告，請儘速更新！

		2010/09/15
	風險等級：	高度威脅
	摘　　要：	微軟本週發佈 9 月份重要安全性更新共 9 個，摘要說明如下： MS10-061 列印多工緩衝處理器服務的資訊安全風險可能會允許遠端執行程式碼 (2347290) 嚴重等級：重大 MS10-062 MPEG-4 轉碼器中的資訊安全風險可能會允許遠端執行程式碼 (975558) 嚴重等級：重大 MS10-063 Unicode 指令碼處理器中的資訊安全風險可能會允許遠端執行程式碼 (2320113) 嚴重等級：重大 MS10-064 Microsoft Outlook 中的資訊安全風險可能會允許遠端執行程式碼 (2315011) 嚴重等級：重大 MS10-065 Microsoft Internet Information Services (IIS) 中的資訊安全風險可能會允許遠端執行程式碼 (2267960) 嚴重等級：重要 MS10-066 遠端程序呼叫中的資訊安全風險可能會允許遠端執行程式碼 (982802) 嚴重等級：重要 MS10-067 WordPad 文字轉換程式中的資訊安全風險可能會允許遠端執行程式碼 (2259922) 嚴重等級：重要 MS10-068 本地安全性授權子系統服務中的資訊安全風險可能會允許權限提高 (983539) 嚴重等級：重要 MS10-069 Windows Client/Server Runtime Subsystem 中的資訊安全風險可能會允許權限提高 (2121546) 嚴重等級：重要

	影響系統：	Windows 作業系統與元件 Windows XP Service Pack 3 Windows XP Professional x64 Edition Service Pack 2 Windows Server 2003 Service Pack 2 Windows Server 2003 x64 Edition Service Pack 2 Windows Server 2003 SP2 for Itanium-based Systems Windows Vista Service Pack 1 Windows Vista Service Pack 2 Windows Vista x64 Edition Service Pack 1 Windows Vista x64 Edition Service Pack 2 Windows Server 2008 SP2 for 32-bit Systems Windows Server 2008 for x64-based Systems, R2 and SP2 Windows Server 2008 for Itanium-based Systems, R2 and SP2 Windows 7 Windows 7 x64 Edition Microsoft Office 套件及軟體 Microsoft Office XP Service Pack 3 Microsoft Office 2003 Service Pack 3 Microsoft Office 2007 Service Pack 2


	解決辦法：	詳細資訊請參考微軟官方網站

	細節描述：	詳細資訊請參考微軟官方網站

	參考資訊：	Microsoft

作者: P11555 時間: 2010-9-27 17:43

弱點通告：Google Chrome 瀏覽器存在記憶體錯誤及安全性存取的弱點，請使用者儘速更新！

		2010/09/27
	風險等級：	高度威脅
	摘　　要：	Google Chrome 被發現存在記憶體錯誤及安全性存取的弱點，惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後，便可執行任意程式碼、洩露機敏性資訊、規避部份安全限制等讓使用者系統受駭之安全性弱點。目前已知會受到影響的版本為Google Chrome 6.0.472.53 之前版本。中華電信SOC 建議使用者應儘速上網更新，以降低受駭風險。

	影響系統：	Google Chrome 6.0.472.53 之前版本


	解決辦法：	手動下載安裝：更新至Google Chrome 6.0.472.53 (含)之後版本

	細節描述：	Google 近日針對Google Chrome 瀏覽器發佈多項弱點修補程式，多數弱點起因於焦點的處理、SVG 過濾器、Notification 許可機制、計數器節點(counter nodes) 將造成記憶體錯誤(memory corruption) 、Notifications presenter 存在使用後記憶體釋放(use-after-free) 的問題、處理空白框架目標、同形多義序列將造成錯誤、不安全的限制導致剪貼簿(clipboard) 內容被重設、WebSockets 存在整數溢位(integer errors) 的錯誤、瀏覽器儲存過多自動完成的項目、sandbox 參數有反序列化的錯誤(deserialization error) 。惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後，便可執行任意程式碼、洩露機敏性資訊、規避部份安全限制。中華電信SOC 在此建議使用者應儘速上網下載更新，並勿隨意瀏覽來源不明的網頁以及開啟郵件附加檔案，以降低受駭風險。

	參考資訊：	Google VUPEN Secunia

作者: P11555 時間: 2010-9-29 17:45

弱點通告：Mozilla 軟體存在程式碼執行及安全性存取的弱點，請使用者儘速更新！

		2010/09/29
	風險等級：	高度威脅
	摘　　要：	Mozilla Firefox 、Thunderbird 和SeaMonkey 被發現存在程式碼執行及安全性存取的弱點，惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後，便可執行任意程式碼、洩露機敏性資訊、規避部份安全限制等讓使用者系統受駭之安全性弱點。目前已知會受到影響的版本為Mozilla Firefox 3.6.9之前版本、Mozilla Firefox 3.5.12之前版本、Mozilla Thunderbird 3.0.7之前版本、Mozilla Thunderbird 3.1.3之前版本、Mozilla SeaMonkey 2.0.7之前版本。中華電信SOC 建議使用者應儘速上網更新，以降低受駭風險。

	影響系統：	Mozilla Firefox 3.6.9之前版本 Mozilla Firefox 3.5.12之前版本 Mozilla Thunderbird 3.0.7之前版本 Mozilla Thunderbird 3.1.3之前版本 Mozilla SeaMonkey 2.0.7之前版本


	解決辦法：	手動下載安裝：更新至Mozilla Firefox 3.6.9、3.5.12 更新至Mozilla Thunderbird 3.0.7、3.1.3 更新至Mozilla SeaMonkey 2.0.7

	細節描述：	Mozilla 近日針對Firefox 、Thunderbird 、SeaMonkey 等軟體發佈多項弱點修補程式，多數弱點起因於瀏覽器引擎處理惡意製作的資料及在URL 中處理特意製作的字型時導致記憶體錯誤(memory corruption) 、HTML frameset 有整數溢位(integer overflow) 的弱點、navigator.plugins 及nsTreeSelection 有懸置指標(dangling pointer) 的弱點、載入函式庫發生錯誤、轉換run 中的text 造成堆疊溢位(heap overflow) 、XUL 中tree 物件的弱點造成使用釋放後記憶體(use-after-free) 錯誤、SJOW 的包裝類別(wrapper class) 發生違反相同來源政策(same-origin policy) 、當使用者在document 物件designMode 屬性中進行複製貼上(copy-and-paste) 及拖曳(drag-and-drop) 會發生錯誤。惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後，便可執行任意程式碼、洩露機敏性資訊、規避部份安全限制。中華電信SOC 在此建議使用者應儘速上網下載更新，並勿隨意瀏覽來源不明的網頁以及開啟郵件附加檔案，以降低受駭風險。

	參考資訊：	Mozilla Foundation Security Advisories VUPEN Secunia

歡迎光臨百分比俱樂部 (PERCENT CLUB) (http://club.100p.net/pweb/bbs/)