Board logo

標題: [新聞] 200804 病毒通告 [打印本頁]
作者: P11555    時間: 2008-4-11 01:12     標題: 200804 病毒通告

病毒通告:MSN 帳號詐騙,惡意人士透過MSN 散播惡意連結,請注意可疑訊息及切勿隨意點選不明連結!  
  

2008/04/09

 
 風險等級:中度威脅  
 摘  要:HiNetSOC 最近發現有惡意人士利用社交工程的方式進行MSN 帳號詐騙攻擊,惡意人士利用MSN 可即時傳送訊息及連結的特性,透過即時訊息引起使用者的注意,例如"check this out!!!"、"Click here" ..等訊息,誘騙使用者點選與即時訊息一起傳送的惡意連結,當不慎點選該連結後,會被導引至可以輸入MSN 帳號、密碼的介面,惡意人士會誘騙使用者輸入MSN 帳號、密碼,藉以取得受駭者的MSN 連絡人清單。 當惡意人士取得受駭者的MSN 帳號、密碼後,可以使用該受駭帳號的一切資源,包括HotMail、MySpace、SkyDrive..等服務,讓受駭者的機敏性資料全部外流。 HiNetSOC 建議您不要理會莫明的訊息及連結,若您無法確定訊息之真偽,請先向發訊息給您的連絡人進行確認,也不要在無法驗證安全性的MSN 介面進行登入, 若您懷疑MSN 的帳號、密碼已經外流,請盡速修改您的MSN 登入密碼,以降低受駭風險。  
    
 影響系統 :
  • Windows 95/98/Me
  • Windows NT/2000
  • Windows XP
  • Windows Server 2003
  • Windows Vista
 
 
    
 解決辦法:修改MSN 登入密碼方式如下: 1、進入此網頁Welcome Live ID 2、點選"帳號服務" 3、登入 Windows Live ID 網站 4、修改您的MSN 密碼  
    
 細節描述:HiNetSOC 最近發現一些新的攻擊手法,惡意人士使用了"惡意上線機器人 (bot)" 的技術來散布,而不像以前一樣需要先感染用戶電腦,再嘗試取得受駭電腦內的連絡人資料。 目前由於作業系統的安全性與用戶安全意識提升,以前常見的威脅像是蠕蟲大規模感染、惡意網頁威脅,都將會逐漸下降或是消失,HiNet SOC 相信將來會流行,並繼續存在的威脅將會是 "社交工程結合互動操作或漏洞的攻擊手法",這類攻擊手法,永遠都會有受害者,甚至有些不需exploits(系統漏洞),僅是藉著人們的好奇或是不小心,來達到騙取或入侵系統的目的,很多人很想知道自己的MSN有無被人封鎖, 惡意人士利用這樣的需求,就可以騙取MSN 的帳號密碼。 從目前已知的攻擊中發現,這次傳送的訊息有2 種以上的版本,目前為止仍未發現有中文版本的訊息。常見的惡意訊息範例如下: check this out!!! hxxp://cool.stuff.05ihhr.info check this out!!! hxxp://susan6518.images.05b7b.info/ Click here hxxp://www.blockcheckerim.com/ Check who has blocked you hxxp://www.blockcontrolled.net 目前Vista 和Linux 都已經大大強化系統的安全性,惡意人士要研究出"正規的" 大規模擴散與入侵的技術,已經非常困難,現在多是零星的研究發表,所以這種利用"社交工程結合互動操作或漏洞的攻擊手法" 會非常的流行, 這類的攻擊手法,可能將會是惡意人士的最愛,而且永遠都能取得戰果。 HiNetSOC 建議您不要理會莫明的訊息及連結,若您無法確定訊息之真偽,請先向發訊息給您的連絡人進行確認,並請不要在無法驗證安全性的MSN 介面進行登入, 若您懷疑MSN 的帳號、密碼已經外流,請盡速修改您的MSN 登入密碼,以降低受駭風險。
作者: P11555    時間: 2008-4-11 01:14

弱點通告:MS08-018 Microsoft Project 含有可能造成遠端執行任意碼的弱點,請使用者儘速更新以免受駭!  
[/td]
  

2008/04/09

 
 風險等級:高度威脅  
 摘  要:微軟發佈了MS08-018 Microsoft Project 重要安全性更新。由於Microsoft Project 於開啟Project 檔案時含有弱點,使得惡意人士可於遠端取得目前登入者的使用權限,導致系統受駭,並取得受駭系統的完整控制權,於遠端執行任意程式碼,甚至發動阻斷服務攻擊(DoS) 等。 目前已知Microsoft Project 2000、2002、2003 等版本皆會受到影響。中華電信SOC 在此建議使用者應儘速上網更新,以降低受駭風險。  
    
 影響系統 :
  • Microsoft Project 2000 Service Release 1
  • Microsoft Project 2002 SP1
  • Microsoft Project 2003 SP2
 
 
    
 解決辦法:您可以手動下載安裝修補程式,或是由Microsoft 提供的自動Update 網站更新。HiNet SOC 建議您,設定您的系統,定期至Microsoft Update 網站更新最新修補程式: I.手動下載安裝: II.Microsoft 自動更新(Microsoft Update): Microsoft 提供Windows 使用者自動更新修補程式的網站,您可以在工作列的「開始」中,直接點選「Windows Update」或「Microsoft Update」,或請按這裡連線至Microsoft Update 網站。  
    
 細節描述:Microsoft Project(MSP) 是微軟所開發的專案管理軟體,可同時支援Microsoft Windows 和Apple Macintosh 作業系統,Microsoft Project 可用來協助專案經理管理專案規劃、資源分配與任務指派、追蹤專案進度、預算管理及分析參與者的工作量等。 由於Microsoft Project 開啟Project 檔案時並不會驗證內存記憶體的資源分配,使得惡意人士便可利用此弱點,以Email 夾帶惡意格式的Project 檔或製作含有惡意檔案的網頁等方式,引誘使用者開啟惡意的Project 檔案,導致系統受駭,以取得目前登入者的使用權限,於遠端執行任意程式碼,或發動阻斷服務攻擊(DoS) 。 目前已知本弱點尚未被實作成功,但其影響Microsoft Project 眾多版本,中華電信SOC 在此建議使用者應儘速上網更新,並避免開啟不明的Project 檔案以降低受駭風險。  
    
 參考資訊:Microsoft Secunia FrSIRT
作者: P11555    時間: 2008-4-11 01:16

弱點通告:MS08-019 Microsoft Visio 含有可能允許遠端執行程式碼的弱點,請儘速更新!  
[/td]
  

2008/04/09

 
 風險等級:高度威脅  
 摘  要:微軟發佈MS08-019 Microsoft Visio 含有可能允許遠端執行程式碼的弱點修補通告,惡意人士可以引誘使用者開啟惡意Visio 檔案或惡意.DXF 檔案,來讓取得在受駭系統上執行任意程式碼的權限。 受此弱點影響的版本為Office XP SP2、Office 2003 SP2,SP3、2007 Microsoft Office System、2007 Microsoft Office System SP1等。 中華電信SOC在此建議使用者儘速上網更新,以降低受駭風險。  
    
 影響系統 :
  • Microsoft Office XP SP2
  • Microsoft Office 2003 SP2
  • Microsoft Office 2003 SP3
  • 2007 Microsoft Office System
  • 2007 Microsoft Office System SP1
 
 
    
 解決辦法:您可以手動下載安裝修補程式,或是由Microsoft提供的自動Update網站更新。HiNet SOC建議您,設定您的系統,定期至Microsoft Update網站更新最新修補程式: I.手動下載安裝: II.Microsoft自動更新(Microsoft Update): Microsoft 提供 Windows使用者自動更新修補程式的網站,您可以在工作列的「開始」中,直接點選 「Windows Update」 或 「Microsoft Update」,或請按這裡連線至 Microsoft Update 網站。  
    
 細節描述:本次的通告中包含微軟發佈的二項Visio 弱點,分別是Microsoft Visio 在開啟惡意Visio 檔案時,無法正確處理物件標頭資料,以及從磁碟中讀取惡意.DXF 檔案到記憶體時,由於該程式未適當處理記憶體的分配所導致。惡意人士可以透過發送含有惡意檔案(Visio 檔、.DXF 檔) 的電子郵件,或是利用架設惡意網站,只要引誘使用者開啟,就可能造成系統記憶體發生錯誤,並讓惡意人士取得受駭系統的完整控制權,在受駭主機上執行任意程式碼。 微軟表示Microsoft Visio Viewer 並不受影響,除了透過限制Visio 在開啟.DXF 檔案時去存取DWGDP.DLL外,也可以透過Visio Viewer 來開啟並檢視Visio 檔案。 中華電信SOC在此建議使用者儘速上網更新,以降低受駭風險。  
    
 參考資訊:Microsoft Secunia FrSirt
作者: P11555    時間: 2008-4-15 07:54

弱點通告:MS08-020 Microsoft DNS 用戶端含有可能會允許偽造回應查詢的弱點,請儘速更新!  
[/td]
  

2008/04/14

 
 風險等級:高度威脅  
 摘  要:微軟發佈了MS08-020 Microsoft DNS 用戶端的弱點修補程式,此弱點是因為Microsoft DNS 用戶端的服務在執行DNS 查詢時,由於本身所產生的隨機交易識別碼(Transaction IDs )複雜度(entropy )不足而使得可被惡意人士預測。惡意人士可藉由此弱點,將使用者引導到惡意網站而受駭。 不受本弱點影響的作業系統為Windows Vista SP1 以及Windows Server 2008 的所有版本,微軟表示目前並沒有發現有利用此弱點進行攻擊的案例,中華電信SOC 仍建議使用者應儘速上網更新以降低受駭風險。  
    
 影響系統 :
  • Windows 2000 SP4
  • Windows XP SP2
  • Windows XP Professional x64 Edition
  • Windows XP Professional x64 Edition SP2
  • Windows Server 2003 SP1
  • Windows Server 2003 SP2
  • Windows Server 2003 x64 Edition
  • Windows Server 2003 x64 Edition SP2
  • Windows Server 2003 SP1 for Itanium-based Systems
  • Windows Server 2003 SP2 for Itanium-based Systems
  • Windows Vista
  • Windows Vista x64 Edition
 
 
    
 解決辦法:您可以手動下載安裝修補程式,或是從Microsoft Update 網站更新。中華電信SOC 建議您,設定您的系統,定期至Microsoft Update 網站更新最新修補程式: I.手動下載安裝: II.從Microsoft Update 網站更新: Microsoft 提供 Windows 使用者更新修補程式的網站,您可以在工作列的「開始」中,直接點選 「Windows Update」或 「Microsoft Update」,或請按"這裡"連線至 Microsoft Update 網站。  
    
 細節描述:MS08-020 通告內容為Microsoft DNS 用戶端的服務在執行DNS 查詢時,由於本身所產生的隨機交易識別碼(Transaction IDs) 複雜度(entropy) 不足而使得可被惡意人士預測。惡意人士可藉由此弱點成功取得網際網路上的DNS 用戶端所發出DNS查詢的交易識別碼資訊後,將錯誤或偽造的DNS 資訊回應給DNS 用戶端的查詢,使得原本來自合法網際網路位址的流量重新導至惡意網站,藉此讓使用者受駭。 本次發布的修補程式能提高 DNS 用戶端通訊中隨機交易識別碼的複雜度,進而移除這項弱點。微軟表示目前並沒有相關的資訊得知有惡意人士利用此弱點來進行攻擊,中華電信SOC 仍建議系統管理者應儘速上網更新避免受駭。  
    
 參考資訊:Microsoft FrSIRT Secunia
作者: P11555    時間: 2008-4-15 07:55

弱點通告:MS08-022 VBScript and JScript 指令碼引摰含有可能造成遠端執行任意碼的弱點,請使用者儘速更新以免受駭!  
[/td]
  

2008/04/14

 
 風險等級:高度威脅  
 摘  要:微軟發佈了MS08-022 VBScript 及JScript 指令碼引摰重要安全性更新。由於VBScript 及JScript 指令碼引摰在解譯網頁指令碼時含有弱點,惡意人士便可利用此弱點,製作惡意的網頁並誘使用戶開啟,來導致系統受駭並取得系統權限,而能遠端執行任意程式碼,或發動阻斷服務攻擊(DoS) 。 目前已知VBScript 5.1、5.6 版及JScript 5.1、5.6 版皆會受到影響。中華電信SOC 在此建議使用者應儘速上網更新,以降低受駭風險。  
    
 影響系統 :
  • Microsoft Windows 2000 SP4
  • Microsoft Windows XP SP2
  • Microsoft Windows XP Professional x64 Edition and Windows XP Professional x64 Edition SP2
  • Microsoft Windows Server 2003 SP1 and Windows Server 2003 SP2
  • Microsoft Windows Server 2003 x64 Edition and Windows Server 2003 x64 Edition SP2
  • Microsoft Windows Server 2003 with SP1 for Itanium-based Systems and Windows Server 2003 with SP2 for Itanium-based Systems
 
 
    
 解決辦法:您可以手動下載安裝修補程式,或是由Microsoft 提供的自動Update 網站更新。HiNet SOC 建議您,設定您的系統,定期至Microsoft Update 網站更新最新修補程式: 手動下載安裝前,建議您可先於C:\Windows\system32 的系統目錄中查詢vbscript.dll 及jscript.dll 的版本為何。 I.手動下載安裝: II.Microsoft 自動更新(Microsoft Update): Microsoft 提供Windows 使用者自動更新修補程式的網站,您可以在工作列的「開始」中,直接點選「Windows Update」或「Microsoft Update」,或請按這裡連線至Microsoft Update 網站。  
    
 細節描述:VBScript(Visual Basic Script) 及JScript 活動腳本語言,皆由微軟開發,其中VBScript 被視為VB 語言的簡化版,兩者皆被廣泛應用於網頁和ASP 程序製作,讓用戶端可不用再安裝其他元件即可於本機上瀏覽ASP 等互動式網頁內容。 由於VBScript 及JScript 指令碼引摰(vbscript.dll、jscript.dll) 在解譯網頁指令碼時,允許將指令碼載入記憶體中執行,使得惡意人士便可利用此弱點,製作惡意網頁,並經由Email 或IM message 中夾帶URL ,誘使用戶開啟,造成記憶體發生邊界錯誤(boundary error) ,來使得系統受駭,藉以取得當前登入者的使用權限,若該身份為管理者權限,那麼惡意人士將輕易取得受駭系統的完整控制權,於遠端執行任意程式碼,進而發動阻斷服務攻擊(DoS) 等。 目前已知本弱點影響微軟Windows 作業系統眾多版本,但Windows Vista 及Windows Server 2008 不受影響,因此,中華電信SOC 在此建議使用者應儘速上網更新,以降低受駭風險。  
    
 參考資訊:Microsoft Secunia FrSIRT
作者: P11555    時間: 2008-4-15 07:56

弱點通告:MS08-021 Microsoft Windows GDI 中的弱點可能會允許遠端執行程式碼!  
[/td]
  

2008/04/14

 
 風險等級:高度威脅  
 摘  要:Microsoft 證實了Microsoft Windows 的Graphics Device Interface (GDI) 包含兩項從未公開報告的弱點,遠端攻擊者可能會利用E-Mail 或其它手法,誘騙使用者開啟特殊設計過的Windows Metafile (WMF) 及Enhanced Metafile (EMF) 圖像檔案,或是誘騙使用者進入利用此類弱點設計的惡意網頁,藉以觸發弱點,成功入侵後遠端攻擊者將可以在受駭系統執行任意程式碼。 Microsoft 已針對此兩項弱點,推出重大安全更新,透過修改GDI 處理整數計算與字串參數的方式,解決了此兩項弱點,中華電信SOC 建議使用者應儘速更新Microsoft 所推出的安全性修正檔,並請勿開啟不明的WMF 或EMF 圖像檔案,與不要瀏覽不明的網頁,以降低受駭風險。  
    
 影響系統 :
  • Microsoft Windows 2000 SP4
  • Microsoft Windows XP SP2
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows XP Professional x64 Edition SP2
  • Microsoft Windows Server 2003 SP1
  • Microsoft Windows Server 2003 SP2
  • Microsoft Windows Server 2003 x64 Edition
  • Microsoft Windows Server 2003 x64 Edition SP2
  • Microsoft Windows Server 2003 SP1 (Itanium)
  • Microsoft Windows Server 2003 SP2 (Itanium)
  • Microsoft Windows Vista
  • Microsoft Windows Vista SP1
  • Microsoft Windows Vista x64 Edition
  • Microsoft Windows Vista x64 Edition SP1
  • Microsoft Windows Server 2008 32-bit
  • Microsoft Windows Server 2008 x64
  • Microsoft Windows Server 2008 (Itanium)
 
 
    
 解決辦法:請點選下列網站,選擇您所使用的作業系統版本下載相對應的安全性修正檔  
    
 細節描述:Microsoft Windows 圖形裝置介面Graphics Device Interface (GDI) ,是用來呈現圖形和格式化文字的介面,並且也將圖形和格式化文字傳送至輸出裝置,例如顯示器與列表機。 本通告談到兩項弱點,分述如下:第一個弱點為、GDI 在處理特殊設計過的EMF 或WMF 圖像檔案的標頭(HEAD) 時,因為在處理過程中無法正確的管理整數運算(integer calculations) 而發生錯誤,這可以讓遠端攻擊者利用於引起堆積(HEAP) 型緩衝區溢位錯誤,若能成功攻擊,遠端攻擊者將可以於受駭系統執行任意程式碼並取得受駭系統的完整控制權。 第二個弱點為、GDI 在處理特殊設計過的EMF 圖像檔案時,因為在處理過程中無法正確的管理EMF 圖像檔案的名稱參數而發生錯誤,這可以讓遠端攻擊者利用於引起堆積(HEAP) 型緩衝區溢位錯誤,若能成功攻擊,遠端攻擊者將可以於受駭系統執行任意程式碼並取得受駭系統的完整控制權。 Microsoft 已針對此兩項弱點,推出重大安全更新,透過修改GDI 處理整數計算與字串參數的方式,解決了此兩項弱點,中華電信SOC 建議使用者應儘速更新Microsoft 所推出的安全性修正檔,並請勿開啟不明的WMF 或EMF 圖像檔案,與不要瀏覽不明的網頁,以降低受駭風險。  
    
 參考資訊:Microsoft FrSIRT Secunia
作者: P11555    時間: 2008-4-15 07:57

弱點通告:MS08-023 ActiveX Kill Bits 發佈安全性更新,請儘速安裝!  
[/td]
  

2008/04/14

 
 風險等級:高度威脅  
 摘  要:微軟發佈MS08-023 ActiveX Kill Bits 發佈安全性更新,惡意人士可以架設惡意網頁,並引誘使用者利用Internet Explorer 去開啟含有ActiveX 元件的惡意網頁,來取得受駭系統的控制權,並在該系統上執行任意程式碼。 本次弱點對於啟用Internet Explorer「增強式安全性設定」的Windows Server 2003影響較小 (預設值為啟動),中華電信SOC 在此建議使用者應儘速更新,且不任意開啟未知連結,以降低受駭風險。  
    
 影響系統 :
  • Microsoft Windows 2000 SP4 (安裝Internet Explorer 5.01 SP4)
  • Microsoft Windows 2000 SP4 (安裝Internet Explorer 6 SP1)
  • Microsoft Windows XP SP2
  • Microsoft Windows XP Professional x64 Edition /SP2
  • Microsoft Windows Server 2003 SP1/SP2
  • Microsoft Windows Server 2003 x64 Edition /SP2
  • Microsoft Windows Server 2003 SP1/SP2 (Itanium)
  • Microsoft Windows Vista /SP1
  • Microsoft Windows Vista x64 Edition /SP1
  • Microsoft Windows Server 2008 32-bit
  • Microsoft Windows Server 2008 x64
  • Microsoft Windows Server 2008 (Itanium)
 
 
    
 解決辦法:您可以手動下載安裝修補程式,或是由Microsoft 提供的自動Update 網站更新。HiNet SOC 建議您,設定您的系統定期至Microsoft Update 網站更新最新修補程式: I.手動下載安裝: II.Microsoft 自動更新(Microsoft Update): Microsoft 提供Windows 使用者自動更新修補程式的網站,您可以在工作列的「開始」中,直接點選「Windows Update」 或「Microsoft Update」 ,或請按這裡連線至Microsoft Update 網站。  
    
 細節描述:MS08-023 通告中談到的的弱點起因於IE 中的ActiveX 控制項(hxvz.dll) 含有會造成記憶體發生異常的問題,若被惡意人士利用,將導致系統記憶體產生錯誤。 惡意人士能透過事先架設惡意網站,並發送含有惡意網頁連結的郵件或利用即時通訊軟體傳送惡意連結,誘使人們利用Internet Explorer 去開啟惡意網頁後誘發,利用上述弱點便能在受駭主機上取得受駭者權限,並遠端執行任意程式碼,或造成阻斷服務攻擊。 目前已知幾乎所有的Windows 版本均會受到影響,中華電信SOC 在此建議使用者應儘速上網安裝修補程式及不去瀏覽不明連結頁面,以降低受駭風險。  
    
 參考資訊:Microsoft Secunia Frsirt
作者: P11555    時間: 2008-4-15 07:58

弱點通告:MS08-024 Internet Explorer 含有可能會允許遠端執行程式碼的弱點,請儘速更新!  
[/td]
  

2008/04/14

 
 風險等級:高度威脅  
 摘  要:微軟發佈了MS08-024 Internet Explorer 的弱點修補程式,此弱點是由於Internet Explorer 在處理某些格式的資料流(data streams) 時出現錯誤所造成。攻擊者可藉由寄發E-mail 或使用IM 軟體傳送惡意連結來引誘使用者連結到惡意網站來引發此弱點,而能在受駭系統上執行任意程式碼。 受影響的系統為使用Internet Explorer 5.01 、Internet Explorer 6 Service Pack 1 、Internet Explorer 6 以及Internet Explorer 7 的Windows 作業系統,微軟表示目前並沒有發現有利用此弱點進行攻擊的案例,中華電信SOC 建議使用者仍應儘速上網更新,以降低受駭風險。  
    
 影響系統 :
  • Windows 2000 SP4 with IE5.01 SP4
  • Windows 2000 SP4 with IE6 SP1
  • Windows XP SP2 with IE6
  • Windows XP Pro x64 Edition /SP2 with IE6
  • Windows Server 2003 SP1 /SP2 with IE6
  • Windows Server 2003 x64 Edition /SP2 with IE6
  • Windows Server 2003 SP1 /SP2 for Itanium-based Systems with IE6
  • Windows XP SP2 with IE7
  • Windows XP Pro x64 Edition /SP2 with IE7
  • Windows Server 2003 SP1 /SP2 with IE7
  • Windows Server 2003 x64 Edition /SP2 with IE7
  • Windows Server 2003 SP1 /SP2 for Itanium-based Systems with IE7
  • Windows Vista /SP1 with IE7
  • Windows Vista x64 Edition /SP1 with IE7
  • Windows Server 2008 for 32-bit Systems with IE7
  • Windows Server 2008 for x64-based Systems with IE7
  • Windows Server 2008 for Itanium-based Systems with IE7
 
 
    
 解決辦法:您可以手動下載安裝修補程式,或是從Microsoft Update 網站更新。中華電信SOC 建議您,設定您的系統,定期至Microsoft Update 網站更新最新修補程式: I.手動下載安裝: II.從Microsoft Update 網站更新: Microsoft 提供 Windows 使用者更新修補程式的網站,您可以在工作列的「開始」中,直接點選 「Windows Update」或 「Microsoft Update」,或請按"這裡"連線至 Microsoft Update 網站。  
    
 細節描述:MS08-024 通告內容為Internet Explorer 在處理某些格式的資料流(data streams) 時,會出現系統記憶體損毀的錯誤(memory corruption error) 。攻擊者可藉由寄發E-mail 或使用IM 軟體傳送惡意連結來引誘使用者連結到惡意網站來引發此弱點,造成記憶體出現錯誤,而能在受駭主機上執行任意程式碼,當登入系統的使用者權限越高,則受到的影響越大。 本次發布的修補程式會修改Internet Explorer 處理資料流的方式,進而移除這項弱點。微軟表示目前並沒有相關的資訊得知有惡意人士利用此弱點來進行攻擊,中華電信SOC 建議使用者仍應儘速上網更新避免受駭。  
    
 參考資訊:Microsoft FrSIRT Secunia
作者: P11555    時間: 2008-4-15 07:59

弱點通告:MS08-025 Windows 核心含有可能會允許權限提高的弱點!  
[/td]
  

2008/04/14

 
 風險等級:高度威脅  
 摘  要:Microsoft 證實了Microsoft Windows 的核心中包含一項從未公開報告的弱點,此弱點無法從遠端進行攻擊,惡意人士如果要利用此弱點,必須要能夠先登入本地(Local) 端的Windows 作業系統,並執行針對此弱點設計的惡意程式來觸發弱點,藉以提升目前已登入系統帳號的權限,而在受駭系統執行任意程式碼。 此弱點影響的範圍包括Windows 2000 到Windows Server 2008,中華電信SOC 建議使用者應儘速安裝安全性修正檔,並不要讓不明人士有機會從本地(Local) 端直接存取主機,以降低受駭風險。  
    
 影響系統 :
  • Microsoft Windows 2000 SP4
  • Microsoft Windows XP SP2
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows XP Professional x64 Edition SP2
  • Microsoft Windows Server 2003 SP1/SP2
  • Microsoft Windows Server 2003 x64 Edition
  • Microsoft Windows Server 2003 x64 Edition SP2
  • Microsoft Windows Server 2003 SP1/SP2 (Itanium)
  • Microsoft Windows Vista
  • Microsoft Windows Vista SP1
  • Microsoft Windows Vista x64 Edition
  • Microsoft Windows Vista x64 Edition SP1
  • Microsoft Windows Server 2008 32-bit
  • Microsoft Windows Server 2008 x64
  • Microsoft Windows Server 2008 (Itanium)
 
 
    
 解決辦法:請點選下列網站,選擇您所使用的作業系統版本下載相對應的安全性修正檔  
    
 細節描述:此弱點為Microsoft Windows 核心在處理使用者提供的資料時,因為沒有確實去驗證使用者所輸入的數值,而導致系統發生錯誤。要能利用此弱點必須要能夠先於本地(Local) 端登入系統,所以惡意人士並無法在遠端利用此弱點進行攻擊。 當惡意人士能夠於本地(Local) 端登入Windows 作業系統,接下來惡意人士將可以去執行針對此弱點設計的惡意程式,讓弱點產生藉以提升目前已登入系統帳號的權限,並取得受駭系統的完整控制權。 Microsoft 已透過修改Windows 核心驗證從使用者端所傳遞過來的資料之機制來解決此弱點,中華電信SOC 建議使用者應儘速安裝更新程式,並請不要讓不明人士有機會從本地(Local) 端直接存取主機,以降低受駭風險。  
    
 參考資訊:Microsoft FrSIRT Secunia
作者: P11555    時間: 2008-4-15 07:59

弱點通告:Cisco IOS 含有多個可能造成阻斷服務攻擊的弱點,請管理者儘速上網更新以免受駭!  
[/td]
  

2008/04/14

 
 風險等級:中度威脅  
 摘  要:Cisco IOS 被揭露含有多個弱點可能會造成記憶體缺漏、設備強迫重開,惡意人士便可利用這些弱點製作惡意的封包使系統受駭,以竊取機敏感性資料、竄改特定資料或甚至發動阻斷服務攻擊(DoS) 。 目前已知Cisco 7600 Series 12.x 、Cisco Catalyst 6500 Series 12.x 、Cisco IOS 12.x 及R12.x 等版本皆會受到影響。中華電信SOC 在此建議管理者應儘速上網更新,以降低受駭風險。  
    
 影響系統 :
  • Cisco 7600 Series 12.x
  • Cisco Catalyst 6500 Series 12.x
  • Cisco IOS 12.x
  • Cisco IOS R12.x
 
 
    
 解決辦法:請依據下方Cisco IOS 官方網頁建議,進行更新。  
    
 細節描述:Cisco IOS 已被揭露含有多個弱點,分別詳細說明如下: 1.Cisco IOS 在處理PPTP(Point-to-Point Tunneling Protocol) session 終止時含有弱點,可能會導致記憶體不足;此外,由於Cisco IOS 處理PPTP session 時並不會從IDB (Interface Descriptor Block) 中移除虛擬存取介面,且不會再重新使用該虛擬介面,這將導致IDB 數量不足使用以致無法新增介面。以上弱點出現在啟用VPDN (Virtual Private Dial-up Network) 服務及IOS 12.3 之前的版本中。 2.於資料鏈結交換(DLSw,Data-Link-Swithing) 中,Cisco IOS 處理惡意的UDP 及IP 協定91 的封包時含有弱點,將會導致系統重載或記憶體不足。 3.Cisco IOS 若啟動IPv4 UDP 服務,於處理IPv6 封包時含有弱點,惡意人士便可利用此弱點,製作惡意的IPv6 封包,使得該介面無法收到其他介面的訊務流,若該介面設定RSVP (Resource Reservation Protocol) 服務,甚至可能造成設備當機。以上弱點須在IPv6 及IPv4 UDP 服務皆啟動的情形下才會發生。 4.在虛擬私人群播網路(MVPN,Multicast Virtual Private Network) 中,Cisco IOS 若處理惡意格式的MDT(Multicast Distribution Tree) 資料含有弱點,惡意人士便可利用此弱點在core router上產生額外的multicast states,或從其他的MPLS (Multi Protocol Label Switching) VPN 接收multicast 訊務流,但惡意人士須知道或猜對PE router 的IP 位址及MPLS VPN 中群播的路由器位址。 5.若Cisco 設備設定MPLS VPN 及OSPF (Open Shortest Path First) shame-link ,於處理特定封包時可能會發生未預期的錯誤,導致記憶體不足及設備重開。 目前已知這些弱點影響Cisco IOS 眾多版本及設備。中華電信SOC 在此建議管理者應儘速上網更新,以降低受駭風險。  
    
 參考資訊:Secunia_Cisco IOS Multiple Vulnerabilities Secunia_Cisco IOS Denial of Service Vulnerability FrSIRT
作者: P11555    時間: 2008-4-18 14:30

事件通告:DivX Player 被發現含有緩衝區溢位的的弱點,使用者請小心防範!  
  

2008/04/18

 
 風險等級:警戒狀態  
 摘  要:本通告所提到的弱點是因為當DivX Player 在處理惡意的SRT 檔案時,若該檔案中所含的小標題(Subtitles) 文字過長,將會導致記憶體發生堆疊(Stack-base) 緩衝區溢位。惡意人士可以事先製作惡意SRT 檔案,並利用各種傳播方式引誘使用者去開啟該檔案,如果成功利用此弱點,惡意人士將能夠在受駭主機上執行任意程式碼。 目前已經確認會受影響的版本為DivX Player 6.7 (build 6.7.0.22),由於DivX 仍未提出相關修正檔案,且已有相關的攻擊驗證碼,中華電信SOC 在此建議使用者可先關閉自動讀取小標題的功能,或是不去開啟不明來源的SRT 檔案,以降低受駭風險。 參考資料:
作者: P11555    時間: 2008-4-18 14:31

病毒通告:Trojan.Drondog 木馬程式會修改系統檔案並下載其它惡意程式,請小心防範!  
[/td]
  

2008/04/18

 
 風險等級:中度威脅  
 摘  要:防毒軟體廠商賽門鐵客日前發現Trojan.Drondog 木馬程式在網路上散播,網路使用者在瀏覽某些惡意網站而感染了此木馬程式後,會將受影響系統用來監看硬碟變化的程式關閉,並修改C:\Windows\system32 下的userinit.exe 檔,之後會進一步的從惡意網站下載更多的惡意程式。如果直接刪除受感染的userinit.exe 檔,將導致使用者無法正常登入Windows 作業系統。 HiNet SOC 建議您注意來路不明的電子郵件以及內文中的連結,並安裝防毒軟體且經常更新防毒軟體的病毒碼來降低受駭風險。  
    
 影響系統 :受影響系統 
 
    
 解決辦法:若不慎點擊惡意連結,建議處理方式如下: 1、重新開機進入Windows Recovery Console
  • 請將Windows XP 光碟片置入光碟機。
  • 請以光碟開機方式重新開機。
  • 請在進行到"歡迎安裝"畫面時,按下"R" 鍵。
  • 請選擇要登入的Windows 安裝後按Enter (如您只有安裝一個Windows 作業系統,則選項通常是"1" )。
  • 請輸入Administrator 帳號之密碼後按Enter 。
  • 請輸入d: (請依已置入Windows XP 光碟片之光碟機代號改變)後按Enter 。
  • 請輸入cd I386 後按Enter 。
  • 請輸入copy USERINIT.EX_ C:\windows\system32\userinit.exe 後按Enter 。
  • 請輸入exit 並按Enter 後,將會自動重新開機。
2、關閉系統還原功能 (Windows Me/XP ) 3、更新病毒碼定義檔到最新 4、執行全系統掃瞄並刪除中毒檔案(若防毒軟體無法刪除中毒檔案時,請重新開機並進入安全模式下刪除。) 		 
    
 細節描述:近日防毒廠商賽門鐵客(Symantec ) 發現Trojan.Drondog 木馬程式在網路上散播,此木馬程式會將受影響系統用來監看硬碟變化的程式關閉、修改重要的系統檔案,並且下載更多的惡意程式影響受駭系統。目前已知的行為如下: 1. 將木馬程式複製為一檔名為隨機字眼的.exe 檔,置放於C:\Documents and Settings \登入帳號 \Local Settings\Temporary Internet Files 目錄下。 2. 產生一usbhdd.sys 檔,置於 C:\Windows \System32 \drivers 目錄下。 3. 將usbhdd.sys 註冊成一項名稱為usbhdd 的服務。 4. usbhdd 服務會進一步終止某些監看硬碟變化的程式。 5. 搜尋 C:\Windows \System32 目錄下的userinit.exe 檔,並且以惡意程式覆蓋取代。 6. 自動從hxxp://1.0803071030.net 下載更多的惡意程式。 7. 恢復監看硬碟變化的程式。 8. 刪除第1 、2 步驟所建立的檔案。 如果直接刪除受感染的userinit.exe 檔,將導致使用者無法正常登入Windows 作業系統。 HiNet SOC 建議您不去開啟來路不明的電子郵件以及內文中的連結,並安裝防毒軟體且經常更新防毒軟體的病毒碼來降低受駭風險。  
    
 參考資訊:Symantec
作者: P11555    時間: 2008-4-18 14:33

弱點通告:VMware ESX Server 被揭露含有可能發動阻斷服務攻擊(DoS) 的弱點,請管理者儘速上網更新以免受駭!  
[/td]
  

2008/04/18

 
 風險等級:高度威脅  
 摘  要:VMware ESX Server 已被證實包含多個弱點,將可能會造成受駭系統在配置記憶體時發生記憶體緩衝區溢位的問題,惡意人士藉此可繞過安全檢驗,取得受駭主機的完整控制權,造成受駭主機敏感性資訊外洩、應用程式未預期中斷,於受駭主機上執行任意程式碼,發動阻斷服務攻擊(DoS) 等。 目前已知VMware ESX Server 3.x 版皆會受到影響。中華電信SOC 在此建議管理者儘速上網更新以降低受駭風險。  
    
 影響系統 :
      
  • VMware ESX Server 3.x
 
 
    
 解決辦法:  
    
 細節描述:VMware ESX Server 是由VMware, Inc. 所發行的企業級虛擬產品,VMware ESX Server 是運行在硬體介面上,不僅只是一套虛擬軟體,VMware ESX Server 本身擁有控制主機硬體的虛擬操作系統,可對虛擬機器做資源分配,例如CPU、Memory 資源共享、網路頻寬共用、磁碟空間共用等等,VMware ESX Server 允許以上資源皆可被動態地改變,會自行最佳化IT 架構。 VMware ESX Server 已被揭露含有多項弱點,分別為PCRE 元件在處理正規表示式(Regular Expressions) 時可能會發生整數滿溢錯誤,導致受駭系統出現記憶體緩衝區溢位及系統當機的情形。此外,由於Net-snmp 不當處理SNMP GETBULK 請求,使得受駭系統消耗大量的CPU 及記憶體資源在發送含有過長的max-repetitions 欄位的惡意SNMP GETBULK 請求,導致系統當機。VMware ESX Server PAM 模組中的"PAMBasicAuthenticator:: PAMCallback()" 函數含有邊界錯誤(boundary error) ,可能會造成受駭系統發生記憶體緩衝區溢位,導致惡意人士可在受駭系統上執行任意程式碼,進而發動阻斷服務攻擊(DoS)。 目前已知VMware ESX Server 3.x 版皆會受到影響。中華電信SOC 在此建議管理者應儘速上網更新以降低受駭風險。 
    
 參考資訊:VMware Secunia FrSIRT
作者: P11555    時間: 2008-4-30 22:48

弱點通告:Oracle 產品群證實含有多個弱點!  
  

2008/04/30

 
 風險等級:高度威脅  
 摘  要:Oracle 公司於日前發佈本年第二次弱點修補程式,共計提供41 個安全修補程式,本次發佈的多項弱點共影響了多種Oracle 產品,包括了:Oracle Database 11g、Oracle Database 10g、Oracle Database 9i、Oracle Application Server 10g、Oracle Collaboration Suite 10g、Oracle E-Business Suite Release 12、Oracle E-Business Suite Release 11i、Oracle PeopleSoft Enterprise PeopleTools、Oracle PeopleSoft Enterprise HCM、Oracle Siebel SimBuilder等。 惡意人士可能會利用本此發佈的弱點進行攻擊,其中某些弱點造成的影響目前還無法得知,其餘弱點可能會被惡意人士利用於繞過特定的安全性認證,導致SQL Injection 攻擊、引起阻斷式攻擊(Denial of Service),或者是可能癱瘓受駭電腦。 Oracle 已針對本次發佈的弱點,推出重大安全更新,下次發佈弱點修補通告預計為2008年7月15日,中華電信SOC 在此建議管理者應儘速上網更新,避免受到此次弱點影響。  
    
 影響系統 :
  • Oracle Database 11g, version 11.1.0.6
  • Oracle Database 10g Release 2, versions 10.2.0.2, 10.2.0.3
  • Oracle Database 10g, version 10.1.0.5
  • Oracle Database 9i Release 2, versions 9.2.0.8, 9.2.0.8DV
  • Oracle Application Server 10g Release 3 (10.1.3), versions 10.1.3.1.0, 10.1.3.3.0
  • Oracle Application Server 10g Release 2 (10.1.2), versions 10.1.2.0.2, 10.1.2.1.0, 10.1.2.2.0
  • Oracle Application Server 10g (9.0.4), version 9.0.4.3
  • Oracle Collaboration Suite 10g, version 10.1.2
  • Oracle E-Business Suite Release 12, version 12.0.4
  • Oracle E-Business Suite Release 11i, version 11.5.10.2
  • Oracle PeopleSoft Enterprise PeopleTools versions 8.22.19, 8.48.16, 8.49.09
  • Oracle PeopleSoft Enterprise HCM versions 8.8 SP1, 8.9, 9.0
  • Oracle Siebel SimBuilder versions 7.8.2, 7.8.5
 
 
    
 解決辦法:請到Oracle 官方網站,依系統及程式版本下載並安裝適當的修補程式:  
    
 細節描述:Oracle 公司於日前發佈本年第二次弱點修補程式,共計提供41 個安全修補程式,接下來預計發佈修補通告日期為:7月15日、10月14日及2009年1月13日。 本次發佈的多項弱點共影響了多種Oracle 產品,包括了:Oracle Database 11g、Oracle Database 10g、Oracle Database 9i、Oracle Application Server 10g、Oracle Collaboration Suite 10g、Oracle E-Business Suite Release 12、Oracle E-Business Suite Release 11i、Oracle PeopleSoft Enterprise PeopleTools、Oracle PeopleSoft Enterprise HCM、Oracle Siebel SimBuilder等。 第一個弱點是因為透過傳送未指定的參數給SDO_GEOM、SDO_IDX 與SDO_UTIL 套件,由於輸入進來的參數在使用於SQL 查詢之前,並沒有經過適當的檢查,所以會發生錯誤,導致弱點產生,惡意人士可以利用注入(Injection) 任意SQL 指令碼的方式,操縱SQL 查詢。 第二個弱點是因為DBMS_STATS_INTERNAL 套件將OUTLN 帳戶的密碼回復至預設值,並會在建立實體景觀(materialized view) 時,授予DBA 的權限給OUTLN 帳號。 第三個弱點存在於"wwv_execute_immediate" 套件中的"run ddl" Function,這個套件內包含了"flows_030000" schema Function,此Function 會允許攻擊者,利用其它任意的資料庫使用者身分執行SQL 指令,例如"SYS" 如果要能成功利用此弱點進行攻擊,攻擊者必須要先能存取可以執行"flows_030000.wwv_execute_immediate.run_ddl" Function 的帳號,Oracle Database 11g 在預設安裝的情況下,下列的非DBA 用戶可以執行此Function: WMSYS, WKSYS, FLOWS_030000, OUTLN。 Oracle 已針對這些弱點,推出重大安全更新,中華電信SOC 建議使用者應儘速更新Oracle 所推出的安全性修正檔,以降低受駭風險。  
    
 參考資訊:Oracle iDefense Labs Secunia
作者: P11555    時間: 2008-4-30 22:50

事件通告:Microsoft Windows 含有可能會允許提升權限的弱點,請儘速更新!  
  

2008/04/30

 
 風險等級:警戒狀態  
 摘  要:微軟發佈Windows 含有可能會允許提升權限的弱點,此弱點是由於允許具有網路服務(NetworkService) 或本機服務(LocalService) 權限帳號的使用者在網頁提供的文字編輯器(context) 中執行特定程式碼時出現錯誤,導致攻擊者可因此將權限提升至本機系統(LocalSystem) 帳號的權限,並可存取其他網路服務或本機服務帳號正在執行的程序所使用的資源。 當有啟用IIS 服務的系統完全信任使用者提供的ISAPI filters / extensions 以及ASP.NET 程式碼,或是在SQL Server上的使用者提升到管理者權限載入或執行特定程式碼時都會引發此弱點,使系統受駭。 這個弱點僅影響有啟用IIS 服務或是安裝SQL Server 的作業系統,包含Windows XP SP2 、Windows Server 2003 、Windows Vista 、Windows 2008 等有支援的版本,在Windows Server 2003 的版本甚至可能會進一步的影響到MSDTC (Microsoft Distributed Transaction Coordinator) 服務中擁有SeImpersonatePrivilege 權限的程序身分識別。目前微軟尚未提供修補程式,中華電信SOC 建議管理者儘速參考微軟所提供的建議來進行設定,以降低受駭風險。 微軟建議設定如下:
    一、在IIS 6.0 管理員的應用程式集區設定WPI (Worker Process Identity) 使用已建立的帳號並停用MSDTC : 1. 設定WPI :
  • 請進入「IIS 管理員」將本機電腦展開,在「應用程式集區」按右鍵點選「內容 」。
  • 請選擇「身分識別」頁面,點選「設定為」選項,輸入您想要執行Worker Process 的帳號及密碼,並將此帳號加入到「IIS_WPG 」群組。
  • 請選擇「身分識別」頁面,點選「設定為」選項,輸入您想要執行Worker Process 的帳號及密碼,並將此帳號加入到「IIS_WPG 」群組。 2. 停用MSDTC:
  • 請按「開始」 →「控制台」 。
  • 請選擇「系統管理工具」 →「服務」 。
  • 請找到名稱為「Distributed Transaction Coordinator」 並點擊兩下進入,請將啟動類型改為「停用」後按「停止」,再按「確定」。
  • 或是您也可以直接按「開始」 →「執行」 ,輸入「sc stop MSDTC & sc config MSDTC start= disabled 」 後按確定,將此服務停止。 二、在IIS 7.0 管理員的應用程式集區設定WPI (Worker Process Identity):
  • 請進入「IIS manager」將本機電腦展開,在您要設定的「應用程式集區」按右鍵點選「進階設定 」。
  • 請在「處理序模型」下找到「識別」,並點一下「... 」按鈕。
  • 請選擇「自定帳戶」後按下「設定」,並在「認證設定」對話框中輸入帳號、密碼後按確定。
參考資料:
作者: P11555    時間: 2008-4-30 22:51

事件通告:DivX Player 被發現含有緩衝區溢位的的弱點,使用者請小心防範!  
  

2008/04/30

 
 風險等級:警戒狀態  
 摘  要:本通告所提到的弱點是因為當DivX Player 在處理惡意的SRT 檔案時,若該檔案中所含的小標題(Subtitles) 文字過長,將會導致記憶體發生堆疊(Stack-base) 緩衝區溢位。惡意人士可以事先製作惡意SRT 檔案,並利用各種傳播方式引誘使用者去開啟該檔案,如果成功利用此弱點,惡意人士將能夠在受駭主機上執行任意程式碼。 目前已經確認會受影響的版本為DivX Player 6.7 (build 6.7.0.22),由於DivX 仍未提出相關修正檔案,且已有相關的攻擊驗證碼,中華電信SOC 在此建議使用者可先關閉自動讀取小標題的功能,或是不去開啟不明來源的SRT 檔案,以降低受駭風險。 參考資料:




歡迎光臨 百分比俱樂部 (PERCENT CLUB) (http://club.100p.net/pweb/bbs/) Powered by Discuz! 5.5.0