Browse by Tags
All Tags »
Security Bulletin - 安全公告
在这里回复 上上篇Blog 的留言:Killbit的确不能算是补丁。之所以采用Killbit来解决MsVidCtl的问题,是因为” we identified that none of the ActiveX Control Objects hosted by msvidctl.dll are meant to be used in IE. Therefore, we recommend to kill-bit all of these controls as a defense-in-depth
Read More...
FS开博的第二篇,就回答了 为什么推荐使用二进制而非Killbit的补丁 ,观点我赞同。但同时想到了一个近来很担心的问题:三天后的7月份微软补丁,很可能会被不少人BS——“这也算是补丁吗?”……具体原因,如果没人解释,我再非官方啰嗦吧。 今后我的Blog朝着Twitter方向发展,尽可能不啰嗦。今日也不啰嗦,先赞一句“ 安全百度 ”的创意真不错,然后衷心祝福这些国内创业的正直、智慧、勇敢的安全人!你们的成功才是证明China Security真是有前途! 备注:以上两条新闻线索均来自人见必称MS(闷骚)的
Read More...
凌晨发布的安全公告中,可能会引起比较多注意的是 MS09-022 中的CVE-2009-0228。这个问题对Windows Server 2000的影响很大,好在这么多年来很多安全服务公司,包括国密局,对Windows 2000的安全加固方案中都会对服务器版本建议禁用Print Spooler服务,希望这样加固的服务器多些,可以减少影响。据说一些特殊部门,将服务器系统日志实时打印在远端打印机上,确保纸质日志不存在被篡改、销毁的可能性,这种情况下该服务可能没有被禁用,就需要安装这个补丁了。另外需要注意的是,攻击者“
Read More...
六月安全公告 数量较多(谢谢报告其中几个漏洞的ruder、bing、wushi等等——还有 Nils ),也涵盖了不少可能会让人跃跃欲试的关键字。任何人和组织都有发布、公开安全公告分析和PoC的权利,我们无意改变已有的习惯或规则,只希望那些不再需要证明自己实力、或者即使所在的组织企业默许Just for fun的白帽和灰帽朋友们,尽量能够帮助保护微软用户的安全,毕竟没有了你们的无私发布,不少黑帽的作品还是 难以造成破坏的 。 下面推荐MSRC Engineering近日的两篇Blog,明天大家应该可以在那里看到关于六月份公告的安全观点,建议感兴趣的朋友订阅
Read More...
此文最近将持续更新:十月份一个 紧急额外(Out-of-band) 安全公告即将发布,在这里查看 预先通知 。 请提前通知管理员 周末前 做好补丁测试和部署工作; 请圈子朋友,从明天开始不带电、不触电外出旅游; Update1 on 2008/10/23 14:30: 管理员可以 现在就试试华生医生 ,尽量不要“ 就不报给MS ”; 请勿反反盗版关闭更新,还是那句话,做盗版的“受害者”好过做盗贼的受害者,看黑色桌面好过让黑客看到你的桌面 Update2
Read More...
如果有朋友做什么有风险的事,我总会狠狠地关心一句:别让我明天在新闻头条看见你。昨天反盗版上了门户的头条,这下好了,除了公关的风险,安全风险也立竿见影:多数人愤怒声讨完MS之后随即就把Windows Update给禁用了,也不管自己是不是OEM用户,很多人并不清楚随机安装的Windows自己其实已经付过钱了。 MS骂不还口不是理屈,更不是傲慢,也不是公关怠工。只是,谁让是做软件的呢?还是基础软件,并且还是个人终端基础软件?收费方式这么古板而且赤果果呢?这几个大忌,MS犯了就犯了,好在MS还有把人刚下飞机就请到家里吃三个小菜、总算实现了扭亏为盈的公关能力,其他想做软件的朋友们如果要创业,在
Read More...
十月份安全更新 (今晚北京时间稍后发布)中将引入“ Microsoft Exploitability Index ”,站在利用者是否可以完美实现Functioning Exploit Code的角度,对每个漏洞缺陷(按照CVE而非Bulletin划分)进行逐个评估,每个独立的漏洞缺陷分为下面三个指数等级: Exploitability Index Assessment Short Definition 1 Consistent exploit code likely 2 Inconsistent
Read More...
生物钟小乱了一下,写几句然后休息。1号不是星期二,所以今天开始的本月第二周一些IT管理员可以松口气,不用刚刚恢复上班就忙于补丁的测试和分发。这些管理员除了维护大群服务器,通常还掌管百K数量级以上的客户端,所以每个月总有那么几天和我们一起不舒服,因为这不舒服的时候并不是安全期,恰恰相反是危险期。 危险期在数量上,一年十二次,偶也有例外,由于某些紧急情况,总数会有十三或十四次,虽然这种例外情况并不多,但这种时候的危险程度更高,经验丰富的管理员会很重视,很配合地及时采取应对措施。危险期在具体的发生时间上,可以套用愤怒主播的经典台词:前三后四。后四很好理解,通常在补丁发布的后几天,是攻击事件出现激增的时候,然而也有时这种激增出现在补丁发布的前几天,这种情况一般出现在我们发布了安全通告Advisory,即MS或者某AV厂商或某组织如SANS知晓了一个圈day的攻击行为的时候,那时圈day拥有者及时最后利用、广撒渔网的心态很容易理解。我们还要理解,这个时候距离圈day被最初发现的时候,通常有相当长一段时间了,这样的例子有很多,比如去年的DNS
Read More...
习惯在以前Blog中对提到过的信息添加Update,但可能还是会有人注意不到,所以单独提一下八月的安全更新: 利用Micorsoft Update默认安装了此月的MS安全更新,是否就可以抵御利用这些公告中提到的缺陷进行的攻击吗? 不一定 。对于没有安装Office或者只安装Office 2007的用户来说, 依然可能受到 MS08-041 中修复的Access Snapshot Viewer CVE-2008-2463 漏洞的影响 。这些用户不会自动安装MS08-041,一旦恶意攻击者自己Host了存在缺陷的Snapview.ocx(仍使用三个旧的CLSID)并引导用户下载安装,用户依然面临威胁。因此,在接下来的一到两个月内(之后MS会发布累积的Killbit
Read More...
重新发布不是第一次,前天看到内部在讨论也只是扫了一眼没细看,现在真的大汗了一下,这个 重新发布 实在是该受BS,谢谢 TK 和 Sowhat ,没有Bin Diff就不会发现此问题。缺陷自身是内部发现、内部修复的,却最终也因为发布人员的疏忽在XP SP2/SP3的Patch上犯了可笑的错误。这个错误也许会是安全科普8卦史上的经典案例,从此若其他厂商有类似错误,不必太过羞愧或自豪,因为你已不是第一了。 关于MS08-030 :这是一个Windows下蓝牙设备在多线程处理SDP请求时,由于没有设置好线程的同步关系,导致Race
Read More...
自从Snort采用有偿Rule服务的形式以后,不知国内还有多少厂商和客户在“用”这个采用“较古老”的低效率规则匹配方式的轻量级IDS。昨天早上看到Snort VRT宣布发布了针对六月微软安全公告的Rules Update,其中包括针对 MS08-035 的检测( GID:3, SID: 13835 ),于是晚上搭了DC+Snort 2.8的平台尝试自定义一个Rule来匹配这个D.o.S Exploit Code。很不幸,测试下来我并不认为这个Exploitation code可以通过Snort的单条Rule实现有效检测,并且其误报率一定会很高,因为这样的攻击流程事实上是基于正常的LDAP访问(发现者也是
Read More...
以前谈到过 第三方软件中缺陷的引入 ,可能成为影响Windows特别是Vista平台安全的短板之一。这里说到的“引入”,除了我们常说的由软件自身编码缺陷和未经 安全编译 使得系统保护形同虚设而导致风险引入之外,还有一个现实状况是由“打包”(Package)引入。 大家熟悉的典型案例,是过去某IM在一段时间里因继续保留存在缺陷的 RICHED20.DLL 而导致了不少安全事件的发生。也许是这件事情并没有引起过多厂商的关注,类似的情况依旧还有,最近的例子大概就是某流行软件最新的安装文件依然包含有 115的控件
Read More...
借助对 安全漏洞的定义 ,在这里杂谈一下: 为什么是“即使使用者在 合理配置 了产品……”而非“使用者 合理使用 了产品……” 原因是很简单的:在符合软件运行环境的条件下,使用者无论怎样使用产品,都是合理的行为,包括发送“精心构造”的数据报文。当然,当合理行为的结果超出了设计者预期并产生安全性破坏时,那就暴露出安全问题了。这就要求一个安全的软件产品,应该能够对所有不符合设计者预期并可造成安全威胁的操作,进行限制和规避。如果不能规避,例如高人的 新发现 :),那就需要我们进一步努力了 关于拒绝服务
Read More...
用图表看起来会更直观一些。 昨晚两次没控制住泪流,一次是在贴吧看到图片里几个5岁左右的孩子蜷缩在石板下,一次是看到央视的 赵普直播时几度哽咽 天佑我同胞!今天全家人再次追捐,微薄之力,盼安!!! (Updated at 23:29 05/15 : 现在地震已过去81个小时,不敢想象会有多少仍在希望里坚持等待救援的同胞将在接下来的时间里……)
Read More...
再过几天,也就是下周二,五月份的安全更新将要发布。几乎清一色的Reported from China。谢谢几位勤劳+专注+Smart的reporter buddies! BTW: 最近稍不安宁,大家多注意小孩儿的健康保护和自己的出行安全!
Read More...
