Browse by Tags
All Tags »
Acknowledgments - 漏洞报告致谢
下面集中列出了一部分结案的cases,真诚谢谢各位协助我们 保守秘密、负责任的 报告者!希望确认为安全问题的报告者,继续协助我们不要公开所报告的问题细节,保护所有微软产品使用者的安全。也希望一些来访者,自重同时也尊重各位报告者,勿恶言,勿跨IP追捕或追讨。 致谢 : 剑心 报告反映问题 2008年下旬报告一个某服务器产品中存在的跨站脚本攻击问题。 分析结果 确认该问题属于安全缺陷。 响应说明 将在该服务器下一个GDR Release中修复。 致谢 : 剑心 报告反映问题 2008年下旬报告一个IE8
Read More...
昨晚离开公司时本准备发新年第一个安全公告MS09-001的介绍,通知大家基本可以过个安心年,不用为Bindiff出来的问题费心费力,没想到回到家就忘了。今天发新年第一个漏洞报告致谢。 致谢 : PPStream-冷焰 报告反映问题 2009年初报告,MSN.COM.CN某子网站存在缺陷,可导致目录遍历。 分析结果 系网站服务器非微软应用解析问题,属于安全缺陷。 响应说明 微软在线服务的安全问题,不涉及终端用户,因此不会以安全补丁方式修复,当日已解决。 顺便的闲谈: MSRC负责微软全线产品的安全漏洞响应,因此如果今后大家发现有MSN或Live的安全问题,也可以联系我们(cnsecure),谢谢大家!
Read More...
致谢 : 80SEC 报告反映问题 2008年底报告,使用特定脚本可以检测本地文件系统上的特定文件是否存在。 分析结果 该问题是安全问题,过去我们收到过类似的报告,考虑到影响有限,没有发布安全公告,此问题最终将在IE下个版本或SP中修复。 响应说明 该问题由于IE引用外源文件时错误处理不慎导致。在Vista下IE 7/8默认开启保护模式,可以缓解此问题带来的影响。 顺带解释一下“ 为什么微软的补丁需要半年甚至更久才能发布? MS08-078 不是只用了8天吗? ” 这是由流程决定的。简单的说,常规每月第二个周二发布的公告,属于“计划调控”,在六个月甚至更长的时间前已经“计划好”发布,OOB(Out
Read More...
致谢 : 小色 报告反映问题 2008年报告,特殊构造的某图形格式导致Explorer拒绝服务 分析结果 该问题不会被以安全更新形式修复 响应说明 此报告中反映出的问题,是由于Windows在处理某图形格式时没有对某些属性值进行充分检查,当浏览特殊构造的图形文件时,导致Explorer进程崩溃。在分析的过程中,我们发现这并非一个可以利用致使安全性被破坏的软件缺陷,属于软件稳定性错误问题。你可能注意到我们曾经发布过很多修复“拒绝服务漏洞”的安全公告,与这个问题相比较,区别就在于受影响的组件停止响应后,
Read More...
在 我们的安全响应中文信箱 收到的漏洞报告中,有一些报告由于各种原因,例如不满足我们的 漏洞定义 ,最终不会被以安全更新形式修复,我们会及时和报告者进行沟通说明。由于不会为这些报告发布安全公告,这些和我们一起保护微软产品用户、并持续协助我们保护报告信息的报告者不会出现在我们的 致谢名单 里,对我们来说也是一件很遗憾的事情。所以想借这里,以非官方的形式,陆续摘取一些我们对比较典型的报告的回复,来感谢这些可敬的Finders,并对一些问题进行说明。报告的细节部分会被隐去,也 希望报告者继续协助 我们不要向第三方透露细节,特别是在一些特殊情况下,例如漏洞(如果确认)涉及超出
Read More...
