百分比俱樂部 (PERCENT CLUB) - Powered by Discuz! Board

標題: [新聞] 201203 病毒通告 [打印本頁]

作者: P11555 時間: 2012-3-8 17:36 標題: 201203 病毒通告

弱點通告：Apple Mac OS X Lion 存在暴露機敏資訊弱點，請使用者儘速更新！

		2012/03/08
	風險等級：	高度威脅
	摘　　要：	Apple Mac OS X Lion 存在暴露機敏資訊弱點，惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後，便可執行任意程式碼、提升權限、規避部份安全限制等讓使用者系統受駭之安全性弱點。目前已知會受到影響的版本為 Apple Mac OS X Lion 10.7.2(含)之前的版本，中華電信SOC 建議使用者應儘速上網更新，以降低受駭風險。
	影響系統：	Apple Mac OS X Lion 10.7.2(含)之前的版本
	解決辦法：	手動下載安裝： Apple Mac OS X Lion 10.7.3 (含)之後的版本
	細節描述：	Apple 近日對Apple Mac OS X 發布暴露機敏資訊弱點，該弱點起因於 (1)當通訊簿元件使用加密的連接失敗時，將降級到未加密的連接，此可被利用來攔截CardDAV 數據。 (2)使用綁定的Apache 版本，其弱點產生的錯誤可能造成暫時的阻斷服務(DoS) 。 (3)Apache 存在Secure Sockets Layer 3.0 (SSL) 及Transport Layer Security 1.0 (TLS) 通訊協定的設計錯誤，當使用CBC 模式加密時，此弱點可被利用來對SSL 保護的數據進行解密。 (4)在處理資料字體檔案時，透過字體簿打開特製的字體，所產生的ATS 錯誤可能造成記憶體毀損(corrupt memory) 。 (5)CFNetwork 處理URL 時產生的錯誤，可被利用透過特製的網頁，將請求發送到一個不正確的伺服器，造成敏感資訊暴露。 (6)ColorSync 中的整數溢位錯誤(integer overflow error) 可能造成堆積緩衝區溢位(heap-based buffer overflow) 。 (7)在處理AAC 編碼的音頻串流時，可以利用特製的音頻內容導致CoreAudio 產生錯誤，導致緩衝區溢位。除以上弱點外，尚有其他弱點未一一列出。惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後，便可執行任意程式碼、洩露機敏性資訊、規避部份安全限制。中華電信SOC 在此建議使用者應儘速上網下載更新，並勿隨意瀏覽來源不明的網頁以及開啟郵件附加檔案，以降低受駭風險。
	參考資訊：	Apple Secunia US-CERT

作者: P11555 時間: 2012-3-14 17:24

弱點通告：微軟發佈 3月份安全性公告，請儘速更新！

		2012/03/14
	風險等級：	高度威脅
	摘　　要：	微軟本週發佈 3月份重要安全性更新共 6 個，摘要說明如下： MS12-017 DNS 伺服器中的資訊安全風險可能會允許阻斷服務 (2647170) 嚴重等級：重要 MS12-018 Windows 核心模式驅動程式的資訊安全風險可能會允許權限提高 (2641653) 嚴重等級：重要 MS12-019 DirectWrite 中的資訊安全風險可能會允許阻斷服務 (2665364) 嚴重等級：中度 MS12-020 遠端桌面中的資訊安全風險可能會允許遠端執行程式碼 (2671387) 嚴重等級：重大 MS12-021 Visual Studio 中的資訊安全風險可能會允許權限提高 (2651019) 嚴重等級：重要 MS12-022 Expression Design 中的資訊安全風險可能會允許遠端執行程式碼 (2651018) 嚴重等級：重要
	影響系統：	Windows 作業系統與元件： Windows XP Service Pack 3 Windows XP Professional x64 Edition Service Pack 2 Windows Server 2003 Service Pack 2 Windows Server 2003 x64 Edition Service Pack 2 Windows Server 2003 SP2 for Itanium-based Systems Windows Vista Service Pack 2 Windows Vista x64 Edition Service Pack 2 Windows Server 2008 for 32-bit Systems, R2 and SP2 Windows Server 2008 for x64-based Systems, R2 and SP2 Windows Server 2008 for Itanium-based Systems, R2 and SP2 Windows 7 x32 Service Pack 1 Windows 7 x64 Service Pack 1 Microsoft 開發者工具和軟體： Microsoft Visual Studio 2008 Service Pack 1 Microsoft Visual Studio 2010 Microsoft Visual Studio 2010 Service Pack 1 Microsoft Expression Design Microsoft Expression Design Service Pack 1 Microsoft Silverlight 2 Microsoft Silverlight 3 Microsoft Silverlight 4
	解決辦法：	詳細資訊請參考微軟官方網站
	細節描述：	詳細資訊請參考微軟官方網站
	參考資訊：	Microsoft

作者: P11555 時間: 2012-3-20 20:10

弱點通告：Adobe Flash Player 存在跨網站腳本攻擊的弱點，請使用者儘速更新！

		2012/03/20
	風險等級：	高度威脅
	摘　　要：	Adobe Flash Player 存在跨網站腳本攻擊的弱點，惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後，便可執行任意程式碼、提升權限、規避部份安全限制等讓使用者系統受駭之安全性弱點。目前已知會受到影響的版本為Adobe Flash Player 11.1.102.55(含)之前版本(Windows, Macintosh, Linux, and Solaris)，Adobe Flash Player 11.1.112.61(含)之前版本(Android 4.x)，Adobe Flash Player 11.1.111.5(含)之前版本(Android 3.x)，中華電信SOC 建議使用者應儘速上網更新，以降低受駭風險。
	影響系統：	Adobe Flash Player 11.1.102.55(含)之前版本(Windows, Macintosh, Linux, and Solaris) Adobe Flash Player 11.1.112.61(含)之前版本(Android 4.x) Adobe Flash Player 11.1.111.5(含)之前版本(Android 3.x)
	解決辦法：	手動下載安裝： Adobe Flash Player 11.1.102.62(含)之後的版本(Windows, Macintosh, Linux, and Solaris) Adobe Flash Player 11.1.115.6(含)之後的版本(Android 4.x) Adobe Flash Player 11.1.111.6(含)之後的版本(Android 3.x)
詳細描述
	細節描述：	Adobe 近日發布Adobe Flash Player 存在跨網站腳本攻擊的弱點，該弱點起因於 (1)ActiveX 控制元件、MP4 解析及處理特製MP4 檔案版權[Copyright atom ("cprt")]所產生非預期的錯誤或型態混亂錯誤都可能造成記憶體毀損(corrupt memory) ，進而繞過某些安全性限制。 (2)未過濾輸入就將值傳回給使用者，可能造成使用者的背景被執行任意的HTML或腳本。惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後，便可執行任意程式碼、洩露機敏性資訊、規避部份安全限制。中華電信SOC 在此建議使用者應儘速上網下載更新，並勿隨意瀏覽來源不明的網頁以及開啟郵件附加檔案，以降低受駭風險。
	參考資訊：	Adobe Secunia

作者: P11555 時間: 2012-3-26 18:14

弱點通告：Mozilla Firefox、Thunderbird、Seamonkey 存在整數溢位的弱點，請使用者儘速更新！

		2012/03/26
	風險等級：	高度威脅
	摘　　要：	Mozilla Firefox、Thunderbird 被libpng 回報存在整數溢位的弱點，惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後，便可執行任意程式碼、提升權限、規避部份安全限制等讓使用者系統受駭之安全性弱點。目前已知會受到影響的版本為Mozilla Firefox 10.x 或3.6.x (含)之前版本，Mozilla Thunderbird 10.x 或 3.1.x (含)之前版本，Seamonkey 2.x (含)之前版本，中華電信SOC 建議使用者應儘速上網更新，以降低受駭風險。
	影響系統：	Mozilla Firefox 10.x 或3.6.x (含)之前版本 Mozilla Thunderbird 10.x 或 3.1.x(含)之前版本 Seamonkey 2.x(含)之前版本
	解決辦法：	手動下載安裝： Mozilla Firefox 10.0.2 或3.6.27 (含)之後版本(含)之後版本 Mozilla Thunderbird 10.0.2 或3.0.19 (含)之後版本 Seamonkey 2.7.2 (含)之後版本
	細節描述：	Mozilla 近日被libpng 回報Firefox、Thunderbird、Seamonkey 存在整數溢位(integer overflow error) 弱點，該弱點起因於在開啟特製的PNG 檔案時，pngrutil.c 中的png_decompress_chunk() 函數解壓縮某些區塊，會產生整數溢位錯誤。惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後，便可執行任意程式碼、洩露機敏性資訊、規避部份安全限制。中華電信SOC 在此建議使用者應儘速上網下載更新，並勿隨意瀏覽來源不明的網頁以及開啟郵件附加檔案，以降低受駭風險。
	參考資訊：	Mozilla Secunia

作者: P11555 時間: 2012-3-30 18:16

弱點通告： Google Chrome 存在程式碼執行的弱點，請使用者儘速更新！

		2012/03/30
	風險等級：	高度威脅
	摘　　要：	Google Chrome 存在程式碼執行的的弱點，惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後，便可執行任意程式碼、提升權限、規避部份安全限制等讓使用者系統受駭之安全性弱點。目前已知會受到影響的版本為 Google Chrome 17.X 之前的版本，中華電信SOC 建議使用者應儘速上網更新，以降低受駭風險。
	影響系統：	Google Chrome 17.X(含)之前的版本
	解決辦法：	手動下載安裝： Google Chrome 17.0.963.78 (含)之後版本
	細節描述：	Google 近日針對 Google Chrome 發佈多項弱點通告，該弱點起因於處理JavaScript 及導航歷史(navigating history) 時產生非預期的錯誤。惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後，便可執行任意程式碼、洩露機敏性資訊、規避部份安全限制。中華電信SOC 在此建議使用者應儘速上網下載更新，並勿隨意瀏覽來源不明的網頁以及開啟郵件附加檔案，以降低受駭風險。
	參考資訊：	Secunia Google

歡迎光臨百分比俱樂部 (PERCENT CLUB) (http://club.100p.net/pweb/bbs/)