Browse by Tags
All Tags »
IE相关
Allyesno在 上篇Blog的回复 里,提出了一个Windows XP安全防护的组合,显然,那是针对XP防范网页挂马的推荐措施,并不能在XP和Win7的安全性上划上等号。这篇Blog,就顺着这个话题,给准备再继续使用几年Windows 2000、XP和2003 Server的用户推荐一个简单的保护措施,使老系统比较像Windows 7——当然不是指其他,而是指 部分的内存安全防护 ,从而免受恶意代码攻击(病毒感染的前奏):不仅仅是防范网页挂马,也不同于沙盒Sandbox、防病毒和一般的入侵防护系统等。
Read More...
一直想写篇Windows 7对抗网页挂马的文章,纯白话式的,来转告普通用户,如果使用Windows 7,可以不用担心现在 国内病毒传播最疯狂的方式 ——网页挂马。诚云就写了这么篇文章,《 Windows 7安全和网页挂马 》,很好很有必要。只是不由自主就会想,在这个充斥着剽窃造假、作秀娱乐、五毛打手的环境里,普通用户甚至多数IT人士,会不会认为诚云的这篇文章是软文,而敲上五毛的印章。所以,对于写这样的文章,我就一直很为难,究竟站在怎样的角度,写成什么样的文章,才能把实话实说,写的真的像实话实说,让多数人看的明白,让严谨的人满意,让一目三行或者各怀目的的人跳不起来骂不出理。
Read More...
在这里回复 上上篇Blog 的留言:Killbit的确不能算是补丁。之所以采用Killbit来解决MsVidCtl的问题,是因为” we identified that none of the ActiveX Control Objects hosted by msvidctl.dll are meant to be used in IE. Therefore, we recommend to kill-bit all of these controls as a defense-in-depth
Read More...
OWC10/11 0day最近被广泛散播,特别是国内教育类网站,建议所有版本Office的用户,使用 知识库973472的Fixit ,进行Killbit处理,该缓解措施无负面影响。
Read More...
凌晨发布的安全公告中,可能会引起比较多注意的是 MS09-022 中的CVE-2009-0228。这个问题对Windows Server 2000的影响很大,好在这么多年来很多安全服务公司,包括国密局,对Windows 2000的安全加固方案中都会对服务器版本建议禁用Print Spooler服务,希望这样加固的服务器多些,可以减少影响。据说一些特殊部门,将服务器系统日志实时打印在远端打印机上,确保纸质日志不存在被篡改、销毁的可能性,这种情况下该服务可能没有被禁用,就需要安装这个补丁了。另外需要注意的是,攻击者“
Read More...
致谢 : 80SEC 报告反映问题 2008年底报告,使用特定脚本可以检测本地文件系统上的特定文件是否存在。 分析结果 该问题是安全问题,过去我们收到过类似的报告,考虑到影响有限,没有发布安全公告,此问题最终将在IE下个版本或SP中修复。 响应说明 该问题由于IE引用外源文件时错误处理不慎导致。在Vista下IE 7/8默认开启保护模式,可以缓解此问题带来的影响。 顺带解释一下“ 为什么微软的补丁需要半年甚至更久才能发布? MS08-078 不是只用了8天吗? ” 这是由流程决定的。简单的说,常规每月第二个周二发布的公告,属于“计划调控”,在六个月甚至更长的时间前已经“计划好”发布,OOB(Out
Read More...
如果每年年底的时候还有时间贴Blog,那此人应该不是MS的,至少一定不是MS Security的。 这篇是个例外,因为MS China PR部门接连打来电话:“最快什么时候?现在几乎所有圣斗士街舞之后留下一句'微软目前没有任何回应'……”。于是就有了这篇非官方的水文: 我们已知了这个袜子里面的圣诞“错物”,时间不早也不晚,信息不多也不少,接下来会尽快给出解决方案或安全建议。 在此之前,我非官方建议大家试试MJ的“ 全球首发补丁 ”、Killer的 巡警 和IC的 门神 。 Update 12/11/2008
Read More...
近十天生活工作很忙,没来这里。生活里不只有工作,工作里也不只有security,经常也这么提醒自己,以免自己像过些天发布Beta2的 IE8那样,差不多把security当成了努力的全部内容 ,对IE8来说理应如此也相当可圈可点,但对于个人,如果眼界看不到security以外的东西,或者只停留在“视而不做”的层面,那我可就真的要在真实生活中做很white的guest了。 今天发布了关于ActiveX Control for the Snapshot Viewer for Microsoft Access的
Read More...
借助对 安全漏洞的定义 ,在这里杂谈一下: 为什么是“即使使用者在 合理配置 了产品……”而非“使用者 合理使用 了产品……” 原因是很简单的:在符合软件运行环境的条件下,使用者无论怎样使用产品,都是合理的行为,包括发送“精心构造”的数据报文。当然,当合理行为的结果超出了设计者预期并产生安全性破坏时,那就暴露出安全问题了。这就要求一个安全的软件产品,应该能够对所有不符合设计者预期并可造成安全威胁的操作,进行限制和规避。如果不能规避,例如高人的 新发现 :),那就需要我们进一步努力了 关于拒绝服务
Read More...
Milw0rm于5月2日发布了针对前一段时间被广泛提到的 IE6&7 0day (最初是 WkImgSrv.dll DoS )的 Remote BOF Exploit ,也许很多人已经在本地成功测试过这个代码,但事实上这并非一个可远程利用(RCE)的缺陷。网站挂马者,特别是叫卖30W RMB的,先读一下 Safe Initialization and Scripting for ActiveX Controls ,然后可以考虑放弃这个exploitation了。(注: 依旧是非官方澄清)
Read More...
做IE研究的人多,有个朋友问起如何关闭打开本地包含Script或ActiveX的网页时IE的提示栏,以减少每次调试时都需要手工点击一次的麻烦。方法很简单,“Internet选项”->“高级”->“安全"->“允许活动内容在我的计算机上的文件中运行”,IE6SP2和IE7设置一样。 这个安全选项对于上图中的”高仿真IE信息栏”是没用的 :) 题外话,也是刚刚别人问的关于 Microsoft Works 中0day 漏洞的问题 :你可能从没装过Works,但某些OEM版本(或者XX花园版本等)的XP中可能预装了Works,请关注MS
Read More...
关于微软学习消化吸收来的 ASLR ,我被问到最多的问题是在Vista下为什么随机化的地址只有256?为什么不像引入了ASLR的多数*NIX那样更加随机化? 这是不是应了不少人说的“MS一贯抄也抄不好”呢?:),其实何止随机数量少,如果和其他OS相比,Vista下的ASLR优势真的不多,比如很多人发现Vista不像某些OS那样重启一次进程,进程和动态库的基地址便被重新随机设置。不过今天我不是在这里说Vista的不是,只是想说一下微软在设计Vista下ASLR时考虑的一些因素。
Read More...
这个问题之后的牢骚我听过的有很多种,比如补丁太多占满磁盘空间,安装后系统变慢甚至不能使用,或者“补丁可能带来新漏洞”等等个人体验和血的泪的的教训,不一而足。我在这里不能一一做纠正或者解答,何况补丁本身不是我设计的。但需要说明,或者说需要承认的一件事是,有一些微软安全更新可能真的同时具有一堆毛病: 做的事情和自己的体积不成比例; 可能根本就没有从根本上解决问题; 更可能安装后一些程序不能用了; 也没看见微软修补这些补丁带来的“错误”; ……
Read More...
