| 作者:克仁 發佈時間:2007.04.02 17:32:11 來源:賽迪網 |
| http://news.ccidnet.com/art/951/20070402/1050935_1.html |
 |
|
4月2日,距離發現漏洞已經3天的時間,微軟官方遲遲未針對「ANI鼠標指針」漏洞發佈補丁,而木馬木馬病毒作者正抓住此時間差瘋狂利用此漏洞傳播木馬病毒,360安全衛士中心對外發佈緊急報告,目 前已經發現有600餘種木馬在通過此漏洞進行傳播。估計受到感染用戶已達百萬人。360安全中心提醒用戶盡快下載補丁保護自己的電腦。 |
CNET新聞專區:Dawn Kawamoto
2/4/2007
原文網址 : http://taiwan.cnet.com/news/software/0,2000064574,20116483,00.htm
以下弱點是一個 Zero-day 攻擊, 此弱點於 3/23 由 ICST 回報給 MicroSoft,
但目前仍未有修補程式.
http://www.microsoft.com/technet/security/advisory/935423.mspx
| CNET新聞專區:Joris Evers 26/03/2007 |
Windows Mail內含潛在的安全漏洞,可導致攻擊者入侵Vista電腦。
知名的安全通訊「Full Disclosure」23日揭露,攻擊者只要寄出一封內有惡意連結的電子郵件,引誘使用者點選,便可在遠端無預警地強制執行程式。Windows Mail 的前身是Outlook Express,微軟將此搭配Vista免費贈送顧客使用。
微軟的代表以電郵回覆,公司正在調查此事。他表示:「最佳的作法是,使用者對於點入已知和未知來源主動寄發之連結,應採取極端謹慎的態度。」
McAfee安全研究與通訊經理Dave Marcus指出,根據該惡意連結對Windows Mail所下的指示,Vista使用者可能面臨很大的威脅。他說:「理論上,攻擊者可以做很多事;他們可藉此下達任何指令。」
不過,由於Vista的使用還不廣泛,這次的風險相當有限。Marcus說:「我不認為攻擊的案例會很多,因為Vista的部署還很少。我想微軟會認真看待這個問題,並在下一次的更新把它解決。」
Vista已於今年1月底上市。之後,微軟曾釋出一項安全更新,修補反間諜軟體工具Windows Defender掃瞄引擎中一個「危急的」安全漏洞。
微軟的代表說,公司尚未接獲任何利用Windows Mail漏洞發動攻擊的通報。待調查完成後,該公司可能提供安全更新或其他方法的指導方針。(陳智文/譯)
脆弱性対策の浸透で逆に「Webアプリ」「運用の不備」を狙う攻撃が増加
病毒報告 軟體的脆弱性對策與發展、 指稱被鎖定 獨自開發的應用 和 運用上的設置不當的攻擊增加了。
2007年03月19號 15點51分更新 國內的安全威脅的變化變得明顯了。
網路家族 成駭客最愛散播病毒處 |
||
 |
||
|
時間: 2007/03/15 |
||
行政院環保署取得ISO 20000認證,成為首家取得該認證的公家單位。
美國國土安全部出手贊助一項旨在建立安全漏洞標準詞典的計畫。這個被命名為Common Weakness Enumeration(CWE)的計畫旨在建立一個正式的軟體漏洞列表,例如緩衝區溢出漏洞和格式字串錯誤。該列表將作為描述軟體漏洞的通用語言,取代 目前高科技公司和安全廠商使用的形形色色的不同術語。
Mitre 首席資訊安全工程師Steve Christey在黑帽大會(Black Hat DC Briefings & Training)會議上發言時表示,「少了對這些軟體漏洞的通用描述,修正這些漏洞的努力將付之流水,最多只能解決部分問題。」透過這一詞典, Mitre希望提供識別、阻止軟體漏洞的共通標準。CWE也可以作為人們購買軟體的安全衡量標準,尤其是在購買安全工具時。在過去的一年半中,Mitre 一直在從事CWE專案。目前,CWE已經包含有300個漏洞類別。Christey 說,CWE將很快可以大規模推廣使用。正式版CWE將在未來數個月內發佈。
|
據估計台灣資安環境投資最多的就是金融體系,但是還是可以常常看到這類的新聞發生;每間公司買了一堆設備如防火牆.防毒牆.IDS.IPS等等就真的安全了嗎??這些問題真的值得我們多去思考.... |
不會有恐龍跑出來,
本文件只是在說微軟可能記憶力不好,老是東忘西忘,又忘了作修補程式
------------------------------------------------------------------------------------------------------
