October 2008 - Posts
此文最近将持续更新:十月份一个 紧急额外(Out-of-band) 安全公告即将发布,在这里查看 预先通知 。 请提前通知管理员 周末前 做好补丁测试和部署工作; 请圈子朋友,从明天开始不带电、不触电外出旅游; Update1 on 2008/10/23 14:30: 管理员可以 现在就试试华生医生 ,尽量不要“ 就不报给MS ”; 请勿反反盗版关闭更新,还是那句话,做盗版的“受害者”好过做盗贼的受害者,看黑色桌面好过让黑客看到你的桌面 Update2
Read More...
还是 危险期 的话题,给IT管理员和一些朋友:如果你遇到了Windows平台下进程崩溃,系统询问是否报告给微软,建议试一下“发送”,这一个小小的“Calling Dr.Watson”的动作,或许就可以帮助所有微软用户免受威胁。 只是这样的帮助是无私匿名的,因为包含的数据只有程序崩溃的相关数据、OS的版本、硬件信息、产品ID和IP地址---ID和IP可能很敏感,但这两个数据只有极少数人才能访问,即使在微软内部,除此之外没有其他你的任何个人信息,微软也不承诺多久给什么样的答复。 关于哪些是崩溃的数据,如果你想确认,可以在询问是否发送报告的窗口弹出时,打开%TEMP%目录,找到以_appcompat结尾的TXT,和一个.dmp的文件,这两个文件即是报告要发送的主要内容,它们就是集成在XP以上版本的“Windows错误报告”功能中的Dr.Watson产生的部分数据。除了点击“调试”,无论点击“发送报告”还是点击“不发送”,之后这两个文件都会被从你的磁盘里立即删除。所以在XP或者2003下,如果你想自己调试dmp文件,可以到X:\Documents
Read More...
刚才见识了内部IT Security的迅速:侥幸做了个检测,警报马上从US通知到本地IT,我的网口立刻被物理拔掉。这里冒天下之大不韪 特别提醒 : 提醒周围人: 勿 因反反盗版关闭Windows Update; 提醒管理员:做 危险期内可以做的 ; 自己:请保持系统自带Windows防火墙开启; 做盗版的“受害者”好过做盗贼的受害者,看黑色桌面好过让黑客看到你的桌面。 ( Update on 10/22 :因受次级贷危机、对撞机氦泄露等影响,此善意提醒的小文已数次删减、修正措辞,望见谅)
Read More...
致谢 : 小色 报告反映问题 2008年报告,特殊构造的某图形格式导致Explorer拒绝服务 分析结果 该问题不会被以安全更新形式修复 响应说明 此报告中反映出的问题,是由于Windows在处理某图形格式时没有对某些属性值进行充分检查,当浏览特殊构造的图形文件时,导致Explorer进程崩溃。在分析的过程中,我们发现这并非一个可以利用致使安全性被破坏的软件缺陷,属于软件稳定性错误问题。你可能注意到我们曾经发布过很多修复“拒绝服务漏洞”的安全公告,与这个问题相比较,区别就在于受影响的组件停止响应后,
Read More...
如果有朋友做什么有风险的事,我总会狠狠地关心一句:别让我明天在新闻头条看见你。昨天反盗版上了门户的头条,这下好了,除了公关的风险,安全风险也立竿见影:多数人愤怒声讨完MS之后随即就把Windows Update给禁用了,也不管自己是不是OEM用户,很多人并不清楚随机安装的Windows自己其实已经付过钱了。 MS骂不还口不是理屈,更不是傲慢,也不是公关怠工。只是,谁让是做软件的呢?还是基础软件,并且还是个人终端基础软件?收费方式这么古板而且赤果果呢?这几个大忌,MS犯了就犯了,好在MS还有把人刚下飞机就请到家里吃三个小菜、总算实现了扭亏为盈的公关能力,其他想做软件的朋友们如果要创业,在
Read More...
十月份安全更新 (今晚北京时间稍后发布)中将引入“ Microsoft Exploitability Index ”,站在利用者是否可以完美实现Functioning Exploit Code的角度,对每个漏洞缺陷(按照CVE而非Bulletin划分)进行逐个评估,每个独立的漏洞缺陷分为下面三个指数等级: Exploitability Index Assessment Short Definition 1 Consistent exploit code likely 2 Inconsistent
Read More...
951306 就是上半年几次大规模 挂马事件中被误会 的通告,此次更新内容仅为通知 PoC已公开 。相信在补丁发布前,PoC会被广泛利用。通告中的 缓解措施可有效抵御提权的实施 。请管理员 仔细阅读 通告中的FAQ,确认是否受影响,如果确认请尽快采取措施。安全公告原计划12月份发布,可能会因此提前。如有任何疑问或顾虑,可留言。
Read More...
在 我们的安全响应中文信箱 收到的漏洞报告中,有一些报告由于各种原因,例如不满足我们的 漏洞定义 ,最终不会被以安全更新形式修复,我们会及时和报告者进行沟通说明。由于不会为这些报告发布安全公告,这些和我们一起保护微软产品用户、并持续协助我们保护报告信息的报告者不会出现在我们的 致谢名单 里,对我们来说也是一件很遗憾的事情。所以想借这里,以非官方的形式,陆续摘取一些我们对比较典型的报告的回复,来感谢这些可敬的Finders,并对一些问题进行说明。报告的细节部分会被隐去,也 希望报告者继续协助 我们不要向第三方透露细节,特别是在一些特殊情况下,例如漏洞(如果确认)涉及超出
Read More...
生物钟小乱了一下,写几句然后休息。1号不是星期二,所以今天开始的本月第二周一些IT管理员可以松口气,不用刚刚恢复上班就忙于补丁的测试和分发。这些管理员除了维护大群服务器,通常还掌管百K数量级以上的客户端,所以每个月总有那么几天和我们一起不舒服,因为这不舒服的时候并不是安全期,恰恰相反是危险期。 危险期在数量上,一年十二次,偶也有例外,由于某些紧急情况,总数会有十三或十四次,虽然这种例外情况并不多,但这种时候的危险程度更高,经验丰富的管理员会很重视,很配合地及时采取应对措施。危险期在具体的发生时间上,可以套用愤怒主播的经典台词:前三后四。后四很好理解,通常在补丁发布的后几天,是攻击事件出现激增的时候,然而也有时这种激增出现在补丁发布的前几天,这种情况一般出现在我们发布了安全通告Advisory,即MS或者某AV厂商或某组织如SANS知晓了一个圈day的攻击行为的时候,那时圈day拥有者及时最后利用、广撒渔网的心态很容易理解。我们还要理解,这个时候距离圈day被最初发现的时候,通常有相当长一段时间了,这样的例子有很多,比如去年的DNS
Read More...
