Board logo

標題: [新聞] 201111 病毒通告 [打印本頁]

作者: P11555    時間: 2011-11-3 02:00

弱點通告:Apple iTunes 存在系統存取的弱點,請使用者儘速更新! 
  

2011/11/03

 
 風險等級:高度威脅
 摘  要:Apple iTunes 存在多個弱點,惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、提升權限、規避部份安全限制等讓使用者系統受駭之安全性弱點。 目前已知會受到影響的版本為iTunes 10(含)之前版本,中華電信SOC 建議使用者應儘速上網更新,以降低受駭風險。 
   
 影響系統 :Apple iTunes 10(含)之前版本 
 
   
 解決辦法:手動下載安裝: Apple iTunes 10.5(含)之後的版本  
   
 細節描述:Apple 近日對Apple iTunes 發布多項弱點,該弱點起因於WebKit 和ColorSync 色彩的組成元件存在多個漏洞: (1) CoreFoundation 組件處理字符串標記化時,可以透過中間人攻擊(Man-in-the-Middle) 造成記憶體毀損(corrupt memory)。 (2) CoreAudio 組件處理高級音頻編碼(Advanced Audio Coding) 串流時,可能導致緩衝區溢位(buffer overflow) 。注意:(1)和(2)的漏洞不影響 OS X Lion 系統的應用程式。 (3) CoreMedia 組件處理H.264 編碼的電影檔內的序列參數集數據時,可能導致緩衝區溢位。 (4) 在WebKit 的組件使用AddressSanitizer 的錯誤及其他非預期的錯誤都可能造成記憶體毀損。 惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、洩露機敏性資訊、規避部份安全限制。中華電信SOC 在此建議使用者應儘速上網下載更新,並勿隨意瀏覽來源不明的網頁以及開啟郵件附加檔案,以降低受駭風險。 
   
 參考資訊:Apple ZDI Secunia

作者: P11555    時間: 2011-11-9 18:08     標題: 201111 病毒通告

弱點通告:微軟發佈 11月份安全性公告,請儘速更新! 
  

2011/11/09

 
 風險等級:高度威脅
 摘  要:微軟本週發佈 11月份重要安全性更新共 4 個,摘要說明如下:  
   
 影響系統 :
    Windows 作業系統與元件
  • Windows XP Service Pack 3
  • Windows XP Professional x64 Edition Service Pack 2
  • Windows Server 2003 Service Pack 2
  • Windows Server 2003 x64 Edition Service Pack 2
  • Windows Server 2003 SP2 for Itanium-based Systems
  • Windows Vista Service Pack 2
  • Windows Vista x64 Edition Service Pack 2
  • Windows Server 2008 for 32-bit Systems, R2 and SP2
  • Windows Server 2008 for x64-based Systems, R2 and SP2
  • Windows Server 2008 for Itanium-based Systems, R2 and SP2
  • Windows 7 x32 Service Pack 1
  • Windows 7 x64 Service Pack 1
 
 
   
 解決辦法:詳細資訊請參考微軟官方網站 
   
 細節描述:詳細資訊請參考微軟官方網站 
   
 參考資訊:Microsoft

作者: P11555    時間: 2011-11-14 19:34

弱點通告:Apple iOS 存在多個弱點,請使用者儘速更新! 
  

2011/11/14

 
 風險等級:高度威脅
 摘  要:Apple iOS 存在多個弱點,惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、提升權限、規避部份安全限制等讓使用者系統受駭之安全性弱點。 目前已知會受到影響的版本為Apple iOS 3.x (for iPhone /iPad /iPod touch)或Apple iOS 4.x (for iPhone 3GS (含)之後/iPad /iPod touch) 之前版本,中華電信SOC 建議使用者應儘速上網更新,以降低受駭風險。 
   
 影響系統 :Apple iOS 3.x (for iPhone /iPad /iPod touch) Apple iOS 4.x (for iPhone 3GS (含)之後/iPad /iPod touch) 
 
   
 解決辦法:手動下載安裝: Apple iOS 5(含)之後的版本  
   
 細節描述:Apple 近日對Apple iOS 發布多項弱點,該弱點起因於: (1) CalDAV 組件在同步日曆時,無法正確地驗證SSL 憑證,可能導致已加密資訊暴露,例如可使用中間人攻擊(Man-in-the-Middle) 。 (2) 在日曆中透過邀請函傳遞的內容,輸入前沒有適當的過濾就傳給使用者,惡意的邀請可能造成使用者在讀取時,瀏覽器連結至受影響的網站執行任意HTML 和腳本程式碼。 (3) 應用程式可透過CFNetwork 的組件讀取日誌文件內的AppleID 密碼及使用者名稱,可能導致憑證暴露。CFNetwork 的組件沒有適當的限制跨域HTTP cookie 的存取,可被利用來存取另一個網站的Cookie。 (4) CoreFoundation 存在處理字串標記化的錯誤。 (5) CoreGraphics 處理某些freetype 的字體時,可能造成記憶體毀損(corrupt memory) 。 (6) CoreMedia 不妥善處理跨站重新導向時,可能造成影像資料暴露。 (7) 在同一台伺服器處理多個帳戶時,資料存取元件的錯誤可能導致其他帳戶的cookie 暴露。 (8) ImageIO 、CCITT 、ICU 、libxm 、OfficeImport 、MobileSafari 、UIKit 、WebKit 等元件存在記憶體毀損及緩衝區溢位(buffer overflow) 的問題。 惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、洩露機敏性資訊、規避部份安全限制。中華電信SOC 在此建議使用者應儘速上網下載更新,並勿隨意瀏覽來源不明的網頁以及開啟郵件附加檔案,以降低受駭風險。 
   
 參考資訊:Apple nSense Secunia

作者: P11555    時間: 2011-11-16 19:35

弱點通告: Google Chrome 存在繞過安全性限制的弱點,請使用者儘速更新! 
  

2011/11/16

 
 風險等級:高度威脅
 摘  要:Google Chrome 存在繞過安全性限制的弱點,惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、提升權限、規避部份安全限制等讓使用者系統受駭之安全性弱點。 目前已知會受到影響的版本為 Google Chrome 14.X 之前的版本,中華電信SOC 建議使用者應儘速上網更新,以降低受駭風險。 
   
 影響系統 :Google Chrome 14.X(含)之前的版本 
 
   
 解決辦法:手動下載安裝: Google Chrome 15.0.874.102 (含)之後版本  
   
 細節描述:Google 近日針對Google Chrome 發佈多個弱點通告,該弱點起因於: (1)瀏覽器在呈現受信任網站的憑證時,處理歷史的錯誤可偽造URL 和顯示攻擊者控制的內容。例如欺騙使用者執行拖放操作上的特製內容。 (2)下載檔案名稱結尾的空格可能引起應用程式無法處理產生錯誤。 (3)由於透過appcache 內部頁面的某些輸入在顯示前沒有先過濾,可能被利用來執行任意HTML和腳本程式碼。 (4)未預期的錯誤可能導致scheme 的URIs 被重新導向、HTTP Header 分隔符號、違反跨域政策、竊取cookie、V8 越界寫入(out-of-bounds write) 等問題。 (5)媒體緩衝處理、計數器處理、陳舊風格的議題、相關插件和編輯或影像源的處理都存在使用釋放後記憶體錯誤(use-after-free) 的問題。 (6)網站音效錯誤可能導致堆積溢位(heap overflow) 。 (7)工作程序初始化存在競爭條件(race condition) 的問題。 惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、洩露機敏性資訊、規避部份安全限制。中華電信SOC 在此建議使用者應儘速上網下載更新,並勿隨意瀏覽來源不明的網頁以及開啟郵件附加檔案,以降低受駭風險。 
   
 參考資訊:Secunia Google

作者: P11555    時間: 2011-11-24 19:37

弱點通告:Mozilla Firefox、Thunderbird 存在暴露機敏資訊的弱點,請使用者儘速更新! 
  

2011/11/24

 
 風險等級:高度威脅
 摘  要:Mozilla Firefox、Thunderbird 存在暴露機敏資訊的弱點,惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、提升權限、規避部份安全限制等讓使用者系統受駭之安全性弱點。 目前已知會受到影響的版本為Mozilla Firefox 7.x (含)之前版本,Mozilla Thunderbird 7.x (含)之前版本,中華電信SOC 建議使用者應儘速上網更新,以降低受駭風險。 
   
 影響系統 :Mozilla Firefox 7.x (含)之前版本 Mozilla Thunderbird 7.x (含)之前版本 
 
   
 解決辦法:手動下載安裝: Mozilla Firefox 8.0 (含)之後版本(含)之後版本 Mozilla Thunderbird 8.0 (含)之後版本 
   
 細節描述:Mozilla 近日對Firefox、Thunderbird 發布多項弱點,該弱點起因於 (1)解析不正確的Shift - JIS 編碼序列導致敏感訊息暴露,並進行跨站腳本攻擊(cross-site scripting) 。 (2) 使用Firebug 工具中的眾多函式檢視 JavaScript 檔案時、SVG 的mpath 標籤鏈接到一個非SVG 元素時、未檢查配置失敗或非預期的錯誤都可能造成記憶體毀損(corrupt memory) 。 (3) 在Windows D2D 硬件加速的錯誤可以繞過同源策略,並從不同的網域讀取資料。 (4) WebGL 的錯誤導致隨機圖像資料可能從GPU 記憶體暴露。 (5) 由於未遵守NoWaiverWrappers 限制進行內部的權限範圍檢查,可能被授予更高權限取得某些網頁內容。 惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、洩露機敏性資訊、規避部份安全限制。中華電信SOC 在此建議使用者應儘速上網下載更新,並勿隨意瀏覽來源不明的網頁以及開啟郵件附加檔案,以降低受駭風險。 
   
 參考資訊:Mozilla Secunia

作者: P11555    時間: 2011-11-30 03:17

弱點通告:Adobe Flash Player 存在系統存取的弱點,請使用者儘速更新! 
  

2011/11/30

 
 風險等級:高度威脅
 摘  要:Adobe Flash Player 存在多個弱點,惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、提升權限、規避部份安全限制等讓使用者系統受駭之安全性弱點。 目前已知會受到影響的版本為Adobe Flash Player 11.0.1.152(含)之前版本(Windows /Macintosh /Linux /Solaris),Adobe Flash Player 11.0.1.153(含)之前版本(Android),中華電信SOC 建議使用者應儘速上網更新,以降低受駭風險。 
   
 影響系統 :Adobe Flash Player 11.0.1.152(含)之前版本(Windows /Macintosh /Linux /Solaris) Adobe Flash Player 11.0.1.153(含)之前版本(Android) 
 
   
 解決辦法:手動下載安裝: Adobe Flash Player 安全性更新  
   
 細節描述:Adobe 近日對Adobe Flash Player 發布多項弱點,該弱點起因於未預期的錯誤可能造成記憶體毀損(corrupt memory) 、堆積緩衝區溢位(heap-based buffer overflow) 、緩衝區溢位(buffer overflow) 、堆疊緩衝區溢位(stack-based buffer overflow) 或繞過跨域策略。 惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、洩露機敏性資訊、規避部份安全限制。中華電信SOC 在此建議使用者應儘速上網下載更新,並勿隨意瀏覽來源不明的網頁以及開啟郵件附加檔案,以降低受駭風險。 
   
 參考資訊:Adobe Secunia





歡迎光臨 百分比俱樂部 (PERCENT CLUB) (http://club.100p.net/pweb/bbs/) Powered by Discuz! 5.5.0