歡迎蒞臨!
各類產品詳細資訊歡迎來信洽詢
套裝電腦(大台北地區)至府安裝
201008 病毒通告
2010-08-04 16:19:30 / 天氣: 熱 / 心情: 平靜 / 個人分類:軟體
相關閱讀:
- 201004 病毒通告 (P11555, 2010-4-02)
- 201005 病毒通告 (P11555, 2010-5-04)
- Office 2010免費版 將在台灣現身 (Office, 2010-5-05)
- 蘋果vs. Adobe之反托辣斯爭議:該讓政府插手SDK嗎? (apple, 2010-5-05)
- 201006 病毒通告 (P11555, 2010-6-03)
- 201007 病毒通告 (P11555, 2010-7-05)
論壇模式 推薦 收藏 等級(4) 編輯 管理 查看(1095) 評論(6)
- P11555 發佈於2010-08-27 18:57:46
-
事件通告:0 day 漏洞通告,Windows 作業系統在處理DLL 檔案時含有漏洞,目前尚未釋出更新程式,請使用者不要點選來源不明之連結,以免受駭! 2010/08/27
風險等級: 警戒狀態 摘 要: Microsoft Windows 作業系統,被發現在處理DLL 檔案時含有漏洞,目前已知有多種常見的應用程式受影響,當受影響的應用程式在載入DLL 檔案,卻未指定DLL 檔案的完整路徑時(例如,呼叫「test.dll」 而不是「C:\Program Files\Common Files\Contoso\test.dll」),Windows 作業系統會先企圖在目前工作目錄(current working directory) 下,尋找相同名稱的DLL 檔案進行載入,惡意攻擊者可以利用此漏洞,讓應用程式載入惡意DLL 檔案,達成入侵或破壞的目的,這種攻擊方式被稱為「DLL preloading」或「Binary planting」。
惡意攻擊者會先將正常檔案(例如,PCAP 檔案) 與惡意DLL 放在SMB 或WebDAV 的空間上,再透過惡意連結的方式,誘騙使用者在SMB 或WebDAV 空間上開啟正常的檔案,讓惡意DLL 檔案被應用程式載入,導致使用者作業系統受駭。由於微軟尚未推出更新檔案,且有已知的攻擊事件發生,中華電信SOC 建議使用者不要隨意點選網路上或E-mail 中來源不明的連結,並保持防毒防駭軟體的防護在最新狀態,以降低受駭風險。
參考資料
- P11555 發佈於2010-08-20 19:33:53
-
弱點通告:Apple iOS 存在程式碼執行的弱點,請使用者儘速更新! 2010/08/20
風險等級: 高度威脅 摘 要: Apple 發現Apple iOS 存在Sandbox 安全性的弱點,惡意人士可透過引誘iphone /ipad /ipod touch 的使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、洩露機敏性資訊、規避部份安全限制等讓使用者系統受駭之安全性弱點。
目前已知會受到影響的版本為Apple iOS 3.x 及 4.x 版本。中華電信SOC 建議使用者應儘速上網更新,以降低受駭風險。影響系統 : Apple iOS 3.x 及 4.x iPhone 3G (含)之後版本 Apple iOS 3.x 及 4.x iPod touch (含)之後版本 Apple iOS 3.x iPad (含)之後版本 解決辦法: 手動下載安裝: Apple iPhone 及 iPod touch 更新至Apple iOS 4.0.2 (含)之後版本 Apple iPad 更新至Apple iOS 3.2.2 (含)之後版本 細節描述: Apple 近日針對Apple iOS 發佈弱點修補程式,此弱點起因於iPhone /iPad /iPod touch 在處理PDF 文件中的Compact Font Format (CFF) 資料將造成記憶體錯誤(memory corruption) 的問題、核心(kernel) 處理IOSurface 屬性將造成整數溢位(integer overflow) 問題。
惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可在受駭系統執行任意程式碼。中華電信SOC 在此建議使用者應儘速上網下載更新,並勿隨意瀏覽來源不明的網頁以及開啟郵件附加檔案,以降低受駭風險。參考資訊: Apple (iPhone、iPod touch)
Apple (iPad)
VUPEN
Secunia
- P11555 發佈於2010-08-17 19:30:12
-
弱點通告:Apple Safari 瀏覽器存在程式碼執行及資訊揭露的弱點,請使用者儘速更新! 2010/08/17
風險等級: 高度威脅 摘 要: Apple Safari 瀏覽器存在允許程式碼執行及資訊揭露的弱點,惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁,便可在受駭系統執行任意程式碼、規避部份安全限制等讓使用者系統受駭之行為。
目前已知會受到影響的版本為Apple Safari 4.1.1 、5.0.1 之前版本。中華電信SOC 建議使用者應儘速上網更新,以降低受駭風險。影響系統 : Apple Safari 4.1.1 、5.0.1 之前版本 解決辦法: 手動下載安裝: 更新至Apple Safari 4.1.1 、5.0.1 (含)之後版本 細節描述: Apple Safari 瀏覽器被證實含有多項弱點,多數弱點起因於處理RSS Feed 的方式存在跨網站指令碼問題、惡意製作的網站在沒有使用者互動的情況下觸發「自動填寫(AutoFill) 」導致使用者的通訊錄名片包含的資訊外洩問題。
而WebKit 的弱點則為:處理元素焦點、SVG 文件中的foreignObject 元素的方式存在使用釋放後記憶體出錯(use-after-free error) 問題、對內嵌元素進行算圖、文字節點動態修改、CSS 計數器、SVG 文件中的浮動元素及“use”元素的方式存在記憶體損毀(corrupt memory) 問題、處理SVG 文字元素中的:first-letter 和:first-line 虛擬元素的方式,存在未初始化記憶體存取(uninitialised memory access error) 問題、處理JavaScript 字串物件的方式,存在堆疊緩衝區溢位(heap-based buffer overflow) 問題等。
惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁,便可在受駭系統上執行任意程式碼、洩露機敏性資訊、規避部份安全限制。中華電信SOC 在此建議使用者應儘速上網下載更新,並勿隨意瀏覽來源不明的網頁以及開啟郵件附加檔案,以降低受駭風險。參考資訊: Apple
VUPEN
Secunia
- P11555 發佈於2010-08-11 17:37:26
-
弱點通告:微軟發佈 8月份安全性公告,請儘速更新! 2010/08/11
風險等級: 高度威脅 摘 要: 微軟本週發佈 8 月份重要安全性更新共 15 個,摘要說明如下: - MS10-046 Windows Windows Shell 中的弱點可能會允許遠端執行程式碼 (2286198)
嚴重等級:重大 - MS10-047 Windows 核心中的弱點可能會允許權限提高 (981852)
嚴重等級:重要 - MS10-048 Windows 核心模式驅動程式中的弱點可能會允許權限提高 (2160329)
嚴重等級:重要 - MS10-049 SChannel 中的弱點可能會允許遠端執行程式碼 (980436)
嚴重等級:重大 - MS10-050 Windows Movie Maker 中的弱點可能會允許遠端執行程式碼 (981997)
嚴重等級:重要 - MS10-051 Microsoft XML Core Services 中的弱點可能會允許遠端執行程式碼 (2079403)
嚴重等級:重大 - MS10-052 Microsoft MPEG Layer-3 轉碼器中的弱點可能會允許遠端執行程式碼 (2115168)
嚴重等級:重大 - MS10-053 Internet Explorer 積存資訊安全更新 (2183461)
嚴重等級:重大 - MS10-054 SMB 伺服器中的弱點可能會允許遠端執行程式碼 (982214)
嚴重等級:重大 - MS10-055 Cinepak Codec 中的弱點可能會允許遠端執行程式碼 (982665)
嚴重等級:重大 - MS10-056 Microsoft Office Word 中的弱點可能會允許遠端執行程式碼 (2269638)
嚴重等級:重大 - MS10-057 Microsoft Office Excel 中的弱點可能會允許遠端執行程式碼 (2269707)
嚴重等級:重要 - MS10-058 TCP/IP 中的弱點可能會允許提高權限 (978886)
嚴重等級:重要 - MS10-059 服務的追蹤功能中的弱點可能會允許權限提高 (982799)
嚴重等級:重要 - MS10-060 Microsoft .NET Common Language Runtime 和 Microsoft Silverlight 中的弱點可能會允許遠端執行程式碼 (2265906)
嚴重等級:重大
影響系統 : - Windows 作業系統與元件
- Windows XP Service Pack 3
- Windows XP Professional x64 Edition Service Pack 2
- Windows Server 2003 Service Pack 2
- Windows Server 2003 x64 Edition Service Pack 2
- Windows Server 2003 SP2 for Itanium-based Systems
- Windows Vista Service Pack 1
- Windows Vista Service Pack 2
- Windows Vista x64 Edition Service Pack 1
- Windows Vista x64 Edition Service Pack 2
- Windows Server 2008 SP2 for 32-bit Systems
- Windows Server 2008 for x64-based Systems, R2 and SP2
- Windows Server 2008 for Itanium-based Systems, R2 and SP2
- Windows 7
- Windows 7 x64 Edition
- Microsoft Office 套件及軟體
- Microsoft Office XP Service Pack 3
- Microsoft Office 2003 Service Pack 3
- 2007 Microsoft Office System Service Pack 2
- Microsoft Office 2004 for Mac
- Microsoft Office 2008 for Mac
- Open XML File Format Converter for Mac
- Microsoft Office Word Viewer
- Microsoft Works 9
- Microsoft 開發者工具和軟體
- Microsoft Silverlight 2
- Microsoft Silverlight 3
解決辦法: 詳細資訊請參考微軟官方網站 細節描述: 詳細資訊請參考微軟官方網站 參考資訊: Microsoft
- MS10-046 Windows Windows Shell 中的弱點可能會允許遠端執行程式碼 (2286198)
- P11555 發佈於2010-08-06 18:35:16
-
弱點通告:Google Chrome 瀏覽器存在記憶體錯誤的弱點及資訊揭露的爭議,請使用者儘速更新! 2010/08/06
風險等級: 高度威脅 摘 要: Google Chrome 存在記憶體錯誤的弱點及資訊揭露的爭議,惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁,便可執行任意程式碼、洩露機敏性資訊、規避部份安全限制等讓使用者系統受駭之動作。
目前已知會受到影響的版本為Google Chrome 5.0.375.125 之前版本。中華電信SOC 建議使用者應儘速上網更新,以降低受駭風險。影響系統 : Google Chrome 5.0.375.125 之前版本 解決辦法: 手動下載安裝: 更新至Google Chrome 5.0.375.125 (含)之後版本 細節描述: Google 近日針對Google Chrome 瀏覽器發佈多項弱點修補程式,多數弱點起因於排版程式碼(layout code) 揭露了記憶體的資訊、處理SVG 、大型畫布(canvases) 及繪出程式碼(rendering code) 導致記憶體錯誤(memory corruption) 、主機名稱擷取不正確造成未預期的錯誤。
惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可在受駭系統上執行任意程式碼、洩露機敏性資訊、規避部份安全限制。中華電信SOC 在此建議使用者應儘速上網下載更新,並勿隨意瀏覽來源不明的網頁以及開啟郵件附加檔案,以降低受駭風險。參考資訊: Google
VUPEN
Secunia
- P11555 發佈於2010-08-06 18:33:53
-
弱點通告:Mozilla 軟體存在程式碼執行及安全性存取的弱點,請使用者儘速更新! 2010/08/06
風險等級: 高度威脅 摘 要: Mozilla Firefox 、Thunderbird 和SeaMonkey 存在程式碼執行及安全性存取的弱點,惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可執行任意程式碼、洩露機敏性資訊、規避部份安全限制等讓使用者系統受駭之動作。
目前已知會受到影響的版本為Mozilla Firefox 3.6.8之前版本、Mozilla Firefox 3.5.11之前版本、Mozilla Thunderbird 3.0.6之前版本、Mozilla Thunderbird 3.1.1之前版本、Mozilla SeaMonkey 2.0.6之前版本。中華電信SOC 建議使用者應儘速上網更新,以降低受駭風險。影響系統 : Mozilla Firefox 3.6.8之前版本 Mozilla Firefox 3.5.11之前版本 Mozilla Thunderbird 3.0.6之前版本 Mozilla Thunderbird 3.1.1之前版本 Mozilla SeaMonkey 2.0.6之前版本 解決辦法: 手動下載安裝: 更新至Mozilla Firefox 3.6.8、3.5.11 更新至Mozilla Thunderbird 3.0.6、3.1.1 更新至Mozilla SeaMonkey 2.0.6 細節描述: Mozilla 近日針對Firefox 、Thunderbird 、SeaMonkey 發佈多項弱點修補程式,多數弱點起因於瀏覽器引擎處理惡意製作的資料導致記憶體錯誤(memory corruption) 、DOM 屬性的翻版例行性程序的弱點造成使用釋放後記憶體(use-after-free) 錯誤、儲存外掛參數元素的值及處理惡意製作的PNG 資料會有緩衝區溢位(buffer overflow) 的弱點、從SJOW 存取的物件發生錯誤、處理CSS 的值有整數溢位(integer overflow) 的弱點、使用Web Worker 的importScripts 方法會造成相同來源驗證錯誤(same-origin validation error) 、處理視窗、導向動作、CSS selectors(選擇器) 及錯誤訊息的弱點將造成錯誤。
惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後,便可在受駭系統上執行任意程式碼、洩露機敏性資訊、規避部份安全限制。中華電信SOC 在此建議使用者應儘速上網下載更新,並勿隨意瀏覽來源不明的網頁以及開啟郵件附加檔案,以降低受駭風險。參考資訊: Mozilla Foundation Security Advisories
VUPEN
Secunia