Board logo

標題: [新聞] 201212 病毒通告 [打印本頁]

作者: P11555    時間: 2012-12-5 17:19     標題: 201212 病毒通告

事件通告:MySQL 含有多個重大漏洞,請儘速限制存取MySql DB的來源! 
  

2012/12/05

 
 風險等級:警戒狀態
 摘  要:MySQL 被發現含有多個重大漏洞:1.堆疊緩衝區溢位(Stack-based buffer overflow) 2.堆積緩衝區溢位(Heap-based buffer overflow) 3.權限提升 4.使用者列舉(enumerate valid usernames) 5.阻斷攻擊(denial of service);駭客可利用此弱點於遠端執行惡意程式,利用MySQL 重大漏洞進行攻擊。 這個弱點影響MySQL 5.5.19、5.1.53 以及之前版本可能受到影響,MariaDB 5.5.2.x 至5.5.28a 、5.3.x 至5.3.11 、5.2.x 至5.2.13 、5.1.x 至5.1.66 。目前MySQL 尚未提供修補程式,中華電信SOC 建議管理者儘速於firewall 限制可以存取MySql DB的來源,以降低受駭風險。 MySQL 尚未釋出更新前,建議措施如下:
    1. 於firewall 設定規則,限制可以存取MySql DB的來源位址。
參考資料:

作者: P11555    時間: 2012-12-12 17:23

弱點通告:微軟發佈 12月份安全性公告,請儘速更新! 
  

2012/12/12

 
 風險等級:高度威脅
 摘  要: 
 影響系統 :
    Windows 作業系統與元件:
  • Windows XP Service Pack 3
  • Windows XP Professional x64 Edition Service Pack 2
  • Windows Server 2003 Service Pack 2
  • Windows Server 2003 x64 Edition Service Pack 2
  • Windows Server 2003 SP2 for Itanium-based Systems
  • Windows Vista Service Pack 2
  • Windows Vista x64 Edition Service Pack 2
  • Windows Server 2008 for 32-bit Systems, R2 and SP2
  • Windows Server 2008 for x64-based Systems, R2 and SP2
  • Windows Server 2008 for Itanium-based Systems, R2 and SP2
  • Windows 7 x32 Service Pack 1
  • Windows 7 x64 Service Pack 1
  • Windows 8 x32
  • Windows 8 x64
  • Windows Server 2012
  • Windows RT
  • Windows Server 2008 for 32-bit Systems, R2 and SP1(Server Core 安裝)
  • Windows Server 2008 for x64-based Systems, R2 and SP1(Server Core 安裝)
  • Windows Server 2012 (Server Core 安裝)
    Microsoft Office 套件及軟體:
  • Microsoft Office 2003 Service Pack 3
  • Microsoft Office 2007 Service Pack 2
  • Microsoft Office 2007 Service Pack 3
  • Microsoft Office 2010 x32 Service Pack 1
  • Microsoft Office 2010 x64 Service Pack 1
  • Microsoft Office 2008 for Mac
  • Microsoft Office 2011 for Mac
  • Microsoft Excel Viewer
  • Microsoft Office 相容性套件 Service Pack 2
  • Microsoft Office 相容性套件 Service Pack 3
    Microsoft 伺服器軟體:
  • Microsoft Exchange Server 2007 Service Pack 3
  • Microsoft Exchange Server 2010 Service Pack 1
  • Microsoft Exchange Server 2010 Service Pack 2
  • Microsoft SharePoint Server 2010 Service Pack 1
  • Microsoft Office Web Apps 2010 Service Pack 1
 
 解決辦法:詳細資訊請參考微軟官方網站 
 細節描述:詳細資訊請參考微軟官方網站 
 參考資訊:Microsoft

作者: P11555    時間: 2012-12-21 17:44

弱點通告:Google Chrome 存在系統存取的弱點,請使用者儘速更新! 
  

2012/12/21

 
 風險等級:高度威脅
 摘  要:Google Chrome 存在系統存取的弱點,惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、提升權限、規避部份安全限制等讓使用者系統受駭之安全性弱點。 目前已知會受到影響的版本為Google Chrome 23.x (含)之前版本,中華電信SOC 建議使用者應儘速上網更新,以降低受駭風險。 
 影響系統 :Google Chrome 23.x (含)之前版本 
 解決辦法:手動下載安裝: Google Chrome 23.0.1271.97 (含)之後版本 
 細節描述:Google 近日發佈Google Chrome 存在多種弱點,該弱點起因於 (1)Google Chrome 使用了有弱點的Adobe Flash Player 版本。 (2)當處理可見事件(visibility events) 、網址載入器(URL loader) 時,存在使用釋放後記憶體(use-after-free) 的問題。 (3)當安裝Chromoting 客戶端插件(plug-in) 與處理歷史紀錄導航(history navigation) 時存在錯誤。 (4)當處理PPAPI 圖像緩衝區時,存在整數溢位(integer overflow) 的錯誤。 (5)處理AAC 音訊解碼時的錯誤,可能造成堆疊記憶體毀損(corrupt stack-based memory) 。 惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、洩露機敏性資訊、規避部份安全限制。中華電信SOC 在此建議使用者應儘速上網下載更新,並勿隨意瀏覽來源不明的網頁以及開啟郵件附加檔案,以降低受駭風險。 
 參考資訊:Google Chrome Secunia

作者: P11555    時間: 2012-12-24 20:27

弱點通告:Mozilla Firefox、Thunderbird 存在繞過安全性限制的弱點,請使用者儘速更新! 
  

2012/12/24

 
 風險等級:高度威脅
 摘  要:Mozilla Firefox、Thunderbird 存在多種弱點,惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、提升權限、規避部份安全限制等讓使用者系統受駭之安全性弱點。 目前已知會受到影響的版本為Mozilla Firefox 16.x (含)之前版本,Mozilla Thunderbird 16.x (含)之前版本,中華電信SOC 建議使用者應儘速上網更新,以降低受駭風險。 
 影響系統 :Mozilla Firefox 16.x (含)之前版本 Mozilla Thunderbird 16.x (含)之前版本 
 解決辦法:手動下載安裝: Mozilla Firefox 17.0(含)之後版本 Mozilla Thunderbird 17.0 (含)之後版本 
 細節描述:Mozilla 近日發布Firefox、Thunderbird 存在多種弱點,該弱點起因於 (1)瀏覽器引擎中,存在多個非預期的弱點可能造成記憶體毀損(corrupt memory) 。 (2)呈現GIF 影像時,"image::RasterImage:rawFrameTo()" 函數的錯誤可能造成緩衝區溢位(buffer overflow) 。 (3)處理"location.href" 屬性時,"evalInSandbox()" 函數的錯誤,可能被利用來繞過沙箱,進而執行跨站腳本攻擊及讀取檔案。 (4)設置CSS 屬性的SVG內容時發生錯誤,可能造成記憶體毀損。 (5)開啟新的頁籤繼承新頁籤的特權時,"Javascript:" 的URLs 可能被利用來安裝執行檔。 (6)"str_unescape()" 函數的整數下溢錯誤(integer underflow) ,可能造成堆積緩衝區溢位(heap-based buffer overflow) 。 除以上弱點外,尚有其他弱點未一一列出。 惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、洩露機敏性資訊、規避部份安全限制。中華電信SOC 在此建議使用者應儘速上網下載更新,並勿隨意瀏覽來源不明的網頁以及開啟郵件附加檔案,以降低受駭風險。 
 參考資訊:Mozilla Secunia

作者: P11555    時間: 2012-12-28 23:26

弱點通告:Adobe Flash Player/AIR 存在系統存取的弱點,請使用者儘速更新! 
  

2012/12/28

 
 風險等級:高度威脅
 摘  要:Adobe Flash Player 存在系統存取的弱點,惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、提升權限、規避部份安全限制等讓使用者系統受駭之安全性弱點。 目前已知會受到影響的版本為Adobe Flash Player 11.5.502.110(含)之前版本(Windows, Macintosh),Adobe Flash Player 11.2.202.251(含)之前版本(Linux),Adobe Flash Player 11.1.115.27(含)之前版本(Android 4.x),Adobe Flash Player 11.1.111.24(含)之前版本(Android 3.x),Adobe AIR 3.5.0.600(含)之前版本(Windows, Macintosh),中華電信SOC 建議使用者應儘速上網更新,以降低受駭風險。 
 影響系統 :Adobe Flash Player 11.5.502.110(含)之前版本(Windows, Macintosh) Adobe Flash Player 11.2.202.251(含)之前版本(Linux) Adobe Flash Player 11.1.115.27(含)之前版本(Android 4.x) Adobe Flash Player 11.1.111.24(含)之前版本(Android 3.x) Adobe AIR 3.5.0.600(含)之前版本(Windows, Macintosh) 
 解決辦法:手動下載安裝: Adobe Flash Player 11.5.502.135、136(含)之後的版本(Windows, Macintosh) Adobe Flash Player 11.2.202.258(含)之後的版本(Linux) Adobe Flash Player 11.1.115.34(含)之後的版本(Android 4.x) Adobe Flash Player 11.1.111.29(含)之後的版本(Android 3.x) Adobe AIR 3.5.0.890(含)之後的版本(Windows, Macintosh) 
 細節描述:Adobe 近日發布Adobe Flash Player/AIR 存在系統存取的弱點,該弱點起因於未預期的錯誤及整數溢位錯誤(integer overflow) 可能造成緩衝區溢位(buffer overflow) 或記憶體毀損(corrupt memory) 。 惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、洩露機敏性資訊、規避部份安全限制。中華電信SOC 在此建議使用者應儘速上網下載更新,並勿隨意瀏覽來源不明的網頁以及開啟郵件附加檔案,以降低受駭風險。 
 參考資訊:Adobe Secunia





歡迎光臨 百分比俱樂部 (PERCENT CLUB) (http://club.100p.net/pweb/bbs/) Powered by Discuz! 5.5.0