Browse by Tags
All Tags »
0day相关
OWC10/11 0day最近被广泛散播,特别是国内教育类网站,建议所有版本Office的用户,使用 知识库973472的Fixit ,进行Killbit处理,该缓解措施无负面影响。
Read More...
关于DirectShow中存在缺陷的安全通报 971778 已于今天发布,也许会被挂马(与浏览器无关)或者P2P影音文件所恶意利用,需引起注意。 此缺陷MS内部之前已发现,也有其他外部渠道报告过。近日由国内安全厂商报告,有理由相信此缺陷自年初已在国内地下被利用,目前微软已启动SSIRP。 相关补丁应该在6月份发布 (修正:补丁发布日期请以 MSRC官方Blog 为准 :) )在此之前大家可参照 诚云写的Blog 采取缓解措施,或简单的使用Fix it:
Read More...
上周六那天是我第一次看到传说中的“黑屏”,是在我一个环保专业同学的电脑上,刚看到时还小感叹环保人士的习惯真该我们学习。在MS内部,多数人都没机会见黑屏,但 黑屏事件 至今的两个多月里,MS内部安全部门一直在关注和担心这个事件可能带来的影响:市场部门这个仓促的“黑屏策略”会不会严重影响了中国用户的安全?中国今后会不会持续成为恶意软件的重灾区?然而,近三周以来的两个事件却让大部分同事,特别是美国同事困惑了: 事件回顾1: 一个纯粹的、脱离了低级趣味的蠕虫 Conficker.B ; 多少国人感染了新的
Read More...
如果每年年底的时候还有时间贴Blog,那此人应该不是MS的,至少一定不是MS Security的。 这篇是个例外,因为MS China PR部门接连打来电话:“最快什么时候?现在几乎所有圣斗士街舞之后留下一句'微软目前没有任何回应'……”。于是就有了这篇非官方的水文: 我们已知了这个袜子里面的圣诞“错物”,时间不早也不晚,信息不多也不少,接下来会尽快给出解决方案或安全建议。 在此之前,我非官方建议大家试试MJ的“ 全球首发补丁 ”、Killer的 巡警 和IC的 门神 。 Update 12/11/2008
Read More...
此文最近将持续更新:十月份一个 紧急额外(Out-of-band) 安全公告即将发布,在这里查看 预先通知 。 请提前通知管理员 周末前 做好补丁测试和部署工作; 请圈子朋友,从明天开始不带电、不触电外出旅游; Update1 on 2008/10/23 14:30: 管理员可以 现在就试试华生医生 ,尽量不要“ 就不报给MS ”; 请勿反反盗版关闭更新,还是那句话,做盗版的“受害者”好过做盗贼的受害者,看黑色桌面好过让黑客看到你的桌面 Update2
Read More...
951306 就是上半年几次大规模 挂马事件中被误会 的通告,此次更新内容仅为通知 PoC已公开 。相信在补丁发布前,PoC会被广泛利用。通告中的 缓解措施可有效抵御提权的实施 。请管理员 仔细阅读 通告中的FAQ,确认是否受影响,如果确认请尽快采取措施。安全公告原计划12月份发布,可能会因此提前。如有任何疑问或顾虑,可留言。
Read More...
生物钟小乱了一下,写几句然后休息。1号不是星期二,所以今天开始的本月第二周一些IT管理员可以松口气,不用刚刚恢复上班就忙于补丁的测试和分发。这些管理员除了维护大群服务器,通常还掌管百K数量级以上的客户端,所以每个月总有那么几天和我们一起不舒服,因为这不舒服的时候并不是安全期,恰恰相反是危险期。 危险期在数量上,一年十二次,偶也有例外,由于某些紧急情况,总数会有十三或十四次,虽然这种例外情况并不多,但这种时候的危险程度更高,经验丰富的管理员会很重视,很配合地及时采取应对措施。危险期在具体的发生时间上,可以套用愤怒主播的经典台词:前三后四。后四很好理解,通常在补丁发布的后几天,是攻击事件出现激增的时候,然而也有时这种激增出现在补丁发布的前几天,这种情况一般出现在我们发布了安全通告Advisory,即MS或者某AV厂商或某组织如SANS知晓了一个圈day的攻击行为的时候,那时圈day拥有者及时最后利用、广撒渔网的心态很容易理解。我们还要理解,这个时候距离圈day被最初发现的时候,通常有相当长一段时间了,这样的例子有很多,比如去年的DNS
Read More...
虽然绝少有程序员会走到这个blog,在这里写对程序员的安全提醒,可能会变成对不安全人士的提示,但这里不提醒,恐怕没有地方会提醒了:如果你一直还习惯用Visual Studio 6.0的话,建议你更换版本,起码可以考虑VS2005或2008的水果蔬菜版,这些相对安全、靠得住。VS6.0由于已经停止支持,它的圈day们,比如由clyf**h秘密报告(表示感谢)但最终“没有憋住的理由”的漏洞和近期已被用来挂马的 ActiveX漏洞 等等会一直圈下去。 “吃肉么”野心真大,不过挑战终端软件的后果是必须建一支不怕脏脏不怕的"GSRC"队
Read More...
刚刚又发布了针对近期发现的Word 0day Targeted攻击的 安全通告953635 ,同样还有一个缓解措施没有提到,就是使用 Forefront Client Security 防病毒软件(如下图)。然而这款软件目前并不流行,请正在使用Microsoft Office Word 2002 Service Pack 3的用户,可以考虑使用 Microsoft Office Word 2003 Viewer Service Pack 3 来打开陌生的Word文档。 此次发现的攻击事件和 昨天发布的通告
Read More...
近十天生活工作很忙,没来这里。生活里不只有工作,工作里也不只有security,经常也这么提醒自己,以免自己像过些天发布Beta2的 IE8那样,差不多把security当成了努力的全部内容 ,对IE8来说理应如此也相当可圈可点,但对于个人,如果眼界看不到security以外的东西,或者只停留在“视而不做”的层面,那我可就真的要在真实生活中做很white的guest了。 今天发布了关于ActiveX Control for the Snapshot Viewer for Microsoft Access的
Read More...
低调的“骇客”,闷声挂马赚大钱,但求无名,只为有利;低调的产品,闷声只会不赚钱,连盗版厂商都懒得理。 FCS 从beta版、发布到现在,对国内新的流氓软件和恶意代码反应一直比较快,但是,如果不是因为我差不多算是身在其中,可能连我都不知道。 和其他软件产品不同,安全产品的营销是以事件响应(Incident Response)为导向,而非版本发布(Release)为导向的。在这一点上,安全产品更加是服务产品,对热点事件能够做出最灵活、最快速、最准确反应、并且能够及时造势(这一点至关重要)的厂商,才可能取得市场的成功,因为当热点过后,没有人再会去关心你是否在“当时”是否够灵活、是否够快速、是否够准确了。不少人对一些厂商的小题大做式的宣传很反感,呵呵,但那是他们必须做的,因为对他们来说低调几乎等同于自杀。国内近两年有一个最灵活、最随需应变、最善于推广的典型成功安全厂商例子,是谁,大家应该都很清楚了。
Read More...
借助对 安全漏洞的定义 ,在这里杂谈一下: 为什么是“即使使用者在 合理配置 了产品……”而非“使用者 合理使用 了产品……” 原因是很简单的:在符合软件运行环境的条件下,使用者无论怎样使用产品,都是合理的行为,包括发送“精心构造”的数据报文。当然,当合理行为的结果超出了设计者预期并产生安全性破坏时,那就暴露出安全问题了。这就要求一个安全的软件产品,应该能够对所有不符合设计者预期并可造成安全威胁的操作,进行限制和规避。如果不能规避,例如高人的 新发现 :),那就需要我们进一步努力了 关于拒绝服务
Read More...
Milw0rm于5月2日发布了针对前一段时间被广泛提到的 IE6&7 0day (最初是 WkImgSrv.dll DoS )的 Remote BOF Exploit ,也许很多人已经在本地成功测试过这个代码,但事实上这并非一个可远程利用(RCE)的缺陷。网站挂马者,特别是叫卖30W RMB的,先读一下 Safe Initialization and Scripting for ActiveX Controls ,然后可以考虑放弃这个exploitation了。(注: 依旧是非官方澄清)
Read More...
看到有新闻猜测,最近的一次 大规模Injection(nihaorr1.com) 事件,可能是利用了 Security Advisory 951306 提到的提权缺陷(正在验证中)进行的攻击,这里非官方的小澄清一下,目前我得到的此次攻击事件证据中,没有看到利用951306的攻击行为,并且证据表明此次攻击是 上一次大范围Injection(fu*kjp.js) 事件的延续。 正如我 之前blog 提到的,利用未经安全开发、网络化却缺乏安全更新策略的第三方软件中存在的缺陷,和传统的XSS/SQL Injection(及其衍生技术)相结合的攻击在未来两年里将成为影响Windows用户最大的威胁因素。这几次的大范围攻击,也许只是序幕
Read More...
做IE研究的人多,有个朋友问起如何关闭打开本地包含Script或ActiveX的网页时IE的提示栏,以减少每次调试时都需要手工点击一次的麻烦。方法很简单,“Internet选项”->“高级”->“安全"->“允许活动内容在我的计算机上的文件中运行”,IE6SP2和IE7设置一样。 这个安全选项对于上图中的”高仿真IE信息栏”是没用的 :) 题外话,也是刚刚别人问的关于 Microsoft Works 中0day 漏洞的问题 :你可能从没装过Works,但某些OEM版本(或者XX花园版本等)的XP中可能预装了Works,请关注MS
Read More...
