旻飞的私人网摘 - Minfy's Personal Digest

　　微软公司最近确认其IE 6/IE 7浏览器中存在一个新漏洞，并且已经有黑客利用这个漏洞发起了攻击，不过IE 8以及较老的IE 5.01版本浏览器则不会受到该漏洞的影响。微软的官方声明称：“该漏洞是由于浏览器中的一个非法指针而引起。而在某些情况下，当浏览器的访问目的地址被删除之后，有关的指针仍然会被保留下来，这样黑客就可以使用这个非法指针来控制浏览器执行远程代码。”

　　微软的声明还指出：“目前为止我们已经发现有人在利用这种漏洞进行攻击，不过我们正在密切监视黑客的有关动向，并会随时将事件件的最新进展报告给客户。”

　　于此同时，nCircle网络安全公司的经理Andrew Storms则对Computer World网站表示目前还不清楚微软是否会很快推出修补该漏洞的补丁。他表示：“一般而言，假如某个漏洞被大规模利用，那么微软才会很快推出有关的补丁更新。”

来源：互联网络

　　德国联邦信息技术安全局在汉诺威国际信息及通信技术博览会开幕之际发表报告说，随着iPhone等智能手机的功能越来越强大，这些手机上使用的无线网络应用软件逐渐成为黑客攻击的目标，给手机用户的个人信息带来安全隐患。

　　联邦信息技术安全局在这份季度报告中说，除了“僵尸网络”、“网络钓鱼”等直接利用因特网的传统网络犯罪外，利用智能手机和无线局域网进行的网络犯罪正快速增多。如果用户使用的智能手机没有足够的安全防护，黑客可以通过无线局域网或“蓝牙”传输等手段侵入手机下载的应用程序，诱使手机用户登录“网络钓鱼”网站等非法网站。

　　报告举例说，2009年11月份就曾出现黑客利用iPhone手机蠕虫病毒“Ikex”或“Duh”作案的事情。这两种蠕虫病毒通过无线局域网感染iPhone手机。荷兰ING银行部分客户的iPhone手机因此被感染，当他们通过iPhone手机登录这家银行官方网站时，被引导到貌似ING银行网站的非法网站上，也就是“网络钓鱼”网站。黑客的犯罪手段一般是冒充ING银行发出短信，诱使手机用户登录“网络钓鱼”网站，然后在他们进行操作时，窃取他们的个人信息。

　　联邦信息技术安全局强调，智能手机用户应像对电脑进行安全防护一样保护自己的手机。有效方法包括定期进行安全防护软件升级，安装防病毒软件，以及在不使用无线局域网、蓝牙传输等手段获取信息时关闭手机上与此有关的功能。

来源：互联网络

　　微软官方最近警告用户称运行在Windows XP操作系统中的IE浏览器存在一处新漏洞。据一家丹麦安全服务公司Secunia称，受该漏洞影响的主要是安装了Windows XP SP3补丁和IE7浏览器的系统，而其它版本的IE浏览器和系统则不受其影响。据微软官方确认，攻击者可利用该漏洞设置一个内藏恶意脚本的站点，引诱用户访问这个站点，并诱骗用户在该站点弹出对话框后按下F1按键，这样便可成功入侵用户的电脑。

　　微软表示该漏洞利用了IE浏览器中VB Script和Windows帮助文件中的漏洞。目前，Windows帮助文件格式已经被微软列入“不安全文件”清单中。Windows帮助文件可以自动调用一些系统指令，而攻击者正是利用了这种功能发起攻击。微软安全通信部门的高级经理Jerry Bryant周日表示微软目前还在研究这种攻击的机理，他说：“我们目前还不清楚攻击者是如何利用这种漏洞发起攻击的。不过我们确信Windows 7、Windows Server 2008 R2、Windows Server 2008以及Windows Vista这几款操作系统不会受到该漏洞的影响。”

　　微软IE浏览器今年的运势相当糟糕，开年的几个月来该系列浏览器出现了许多严重的漏洞：

　　今年一月份发生的谷歌被疑似大陆有背景黑客攻击的事件中，攻击者就是利用IE6浏览器的漏洞发起攻击的，在这次攻击事件中，谷歌和其它几家公司的一些机密专利技术文件被盗。随后，法国、德国政府甚至还向国内民众发布了通告，号召用户在微软发布安全补丁之前不要继续使用IE浏览器。而微软才刚刚发布有关的补丁，第二天人们便又发现了IE浏览器中的新漏洞。

　　在接下来的二月份里，IE浏览器的日子同样很不好过。二月初人们发现安装在Windows 2000系统中的 IE 5.01/IE 6.0浏览器，安装在Windows 2000 SP4中的IE 6.0/IE 7.0，以及安装在Windows XP/Server 2003中的IE 8中均存在新漏洞。微软于周二发布了有关的安全补丁，并对有关的26个漏洞发布了13条安全通告，其中有5个漏洞通告属于高危级别，7个属于重要漏洞，一个属于中等危害漏洞。

来源：互联网络（http://www.neowin.net/news/microsoft-investigating-new-internet-explorer-vulnerability-in-windows-xp)

　　微软日前承认，正在调查IE浏览器的一处新漏洞，该漏洞允许黑客在Windows XP计算机中植入恶意软件。

　　该漏洞是由安全公司“iSEC安全研究中心”分析师Maurycy Prodeus发现的，并公布了攻击代码。Prodeus称，IE7和IE8用户都受该漏洞影响。

　　对此，微软安全响应中心高级经理杰瑞·布莱恩特（Jerry Bryant）已给予证实，称“微软正在调查该漏洞，目前的结果是，Windows Vista、Windows 7、Windows Server 2008和Windows Server 2008 R2系统不受影响。”

　　布莱恩特还称，目前还没有迹象表明该漏洞已经被黑客利用。由于需要用户干预，微软将该漏洞评级为“中”，但有安全专家将其定级为“中高”。

来源：互联网络

　　俄罗斯安全公司Intevydis已经发现了基于Windows的Firefox 3.6上的一个安全漏洞，该漏洞可以让黑客远程控制被攻击的个人电脑。发现该漏洞的程序员Evgeny Legerov称该漏洞利用的是“缓冲区溢出”，而且在Windows XP（SP3）和Vista上可被稳定利用。

　　尽管这一问题在二月初就被公布，但是这个问题到Firefox 3.6发布之日也未被解决，Mozilla Firefox似乎没有对此问题引起足够的重视。这不的不让人怀疑，开源软件是否真的更安全。

　　查看：Zero day exploit for Firefox 3.6

来源：互联网络

　　据国外媒体报道，用户对iPhone手机的安全问题已经不足为奇，但有安全专家日前指出，RIM黑莓手机也好不到哪里。

　　应用安全研究机构Veracode实验室高级研究员泰勒·谢尔兹（Tyler Shields）日前编写出一段恶意代码，只需发送一条短信，黑客就可以窃取黑莓手机中的通信录和短信。

　　另外，黑客还能查看用户的通话记录、收到的短信，利用GPS实时跟踪用户的位置，开启手机麦克风监听用户通话内容等。

　　谢尔兹在接受采访时说，“利用厂商的API（应用编程接口），编写这类恶意代码很简单”。

　　去年，有安全研究人员表示，只要向iPhone用户发送一条短信，即可在iPhone上运行恶意代码或其他程序，而无须手机运营商的许可。

　　iPhone被恶意程序控制后，黑客可以监控用户所处地理位置，打开手机麦克风窃听用户通话，或者把手机变成“僵尸网络”中的一员。

来源：互联网络

　　iPhone上的安全漏洞我们已经是见怪不怪了，不过在另外一个大品牌黑莓身上，同样存在严重的安全隐患。最近Veracode研究试验室的Tyler Shields便向CNET编辑演示了针对黑莓的漏洞攻击，他把自己编写的一些攻击代码交给CNET网站的编辑，再由编辑从自己的手机上以短信的形式向他的黑莓手机发送这些攻击代码，这样便可控制他的黑莓手机将手机的联系人列表以邮件的形式发送到编辑的邮箱中；另外一段采用同样的方式发送的攻击代码则可以控制黑莓手机将其所发送过的短信邮寄到攻击者的邮箱。

　　不仅如此，使用这些攻击代码，攻击者甚至还可以看到手机的呼叫记录，监视别人给这部手机所发送的短信内容，利用手机的GPS功能定位黑莓手机的实时位置等等，甚至还可以将手机的麦克风偷偷打开，监听并录下对方讲话的内容。Shields 表示：“我们只要使用RIM提供给黑莓开发者使用的API，便可以轻松编写出这类攻击代码。”

　　他将自己编写的这些程序称为“TXSBBSpy”，并且已经将这些攻击代码的源码公布，他表示：“我只想向大家演示一下编制手机间谍软件的容易程度。”

　　Shields 介绍说：“TXSBBSpy可以窃取手机的数据，其窃取方式可以是实时窃取数据，也可以是采取快照的方式将截屏信息保存，成功窃取数据之后，还可以控制手机以短信或电子邮件的方式通过网络服务器将这些信息发送出去。”

　　不过，要使这些间谍攻击软件生效，必须先在对方的手机上安装攻击程序。这可以通过向攻击对象发送带有链接的邮件或短信来实现，或者还可以伪装称合法程序骗取用户下载安装。

　　这些攻击软件的危险程度与上周三瑞士安全专家Nicolas Seriot演示的iPhone间谍软件相比可谓是不相上下。

　　Shields表示：“大多数手机平台都很容易受到这一类的攻击。”不过他表示黑莓平台的安全设计较多，因此防范此类攻击的能力会稍强一些，比如黑莓的用户可以对手机进行设置，限制某款程序所能读取的数据类型。

　　不过，大部分智能手机的用户要么就是对手机的安全隐患并不了解，要么就是对这些安全隐患麻木不仁，据有关方面的调查结果显示，只有23%的智能手机用户在手机上安装了安全防护软件。

　　除了表示苹果应多下功夫整顿App Stroe应用程序网店之外，他还表示黑莓用户也要对自己下载的应用程序和有关的权限设置多加警惕：“用户最好是不要草率选择‘我信任这款应用程序’的选项，这会让这些程序获得对用户私密信息的全部控制权。”用户应当进入黑莓手机的“option”面板，并进入应用程序安全配置选项，对有关的应用程序权限进行适当的设置，这样才可以将私密信息的泄漏可能降低到最小。

来源：互联网络（http://news.cnet.com/8301-27080_3-10448545-245.html?part=rss&subj=news&tag=2547-1_3-0-20）

　　据国外媒体今日报道，Veracode研究实验室高级研究员泰勒·希尔兹（Tyler Shields）已针对黑莓手机编写了一些恶意软件，可以非法获取用户通讯录和收件箱中短信。

　　在被恶意软件攻击后，攻击者只需向用户的黑莓手机发送短信命令，就可以将该手机中的通讯录和收件箱中短信发送至任意的电子邮箱。此外通过恶意软 件，攻击者甚至可以查看用户所有的通话记录，监视所有收到的短信，使用GPS实时追踪用户所在位置，或是打开手机话筒监听周围的声音等。

　　希尔兹表示：“这是利用手机厂商提供的应用程序接口（API）编写这类代码的一次试验。”他将这一项目称作“TXSBBSpy”，并发布了恶意软件的源代码，不过这些代码并不可执行。他指出：“我的目的是为了演示，制造手机恶意软件有多么容易。”

　　他同时表示，TXSBBSpy“能从手机中获取数据，包括实时数据和快照数据，通过短信或电子邮件发送至网络服务器，也可以通过TCP或UDP 连接发送”。

　　不过，发起这些攻击的前提是恶意软件已被安装在用户的黑莓手机中。这可以通过向攻击目标发送带网页链接的电子邮件或短信来实现，此外也可以被隐藏在手机应用商店合法软件的背后。

　　黑莓手机有着较强的安全机制，可以应对各种类型的攻击。例如，用户能够设定某一应用可以获取哪些具体的数据。不过许多智能手机用户并不了解手机的安全风险，或是没有认识到这些风险的严重性。趋势科技从去年8月开始的一项调查显示，只有23%的智能手机用户安装了安全软件。

　　希尔兹表示，手机应用商店也应该采取更多措施增强安全性。而用户不应在手机中点击“我信任该应用”按钮，因为这将使该应用获取用户所有的个人信息。

来源：互联网络

　　微软今天公布了2月份的安全公告预告，下周二将发布Windows更新，值得关注的是早在1993年Windows NT 3.1时代就存在的漏洞到今天终于被修复。

　　问题出在Windows内核，是一个Elevation of Privilege (EoP)提权漏洞，影响目前所有的32位Windows，但64位不受影响。它的问题主要表现在使用DOS虚拟机时产生的内核栈处理问题。

　　下周二微软将公布13个安全公告，5个为“危急”，7个是“重要”，还有一个则是普通级别。

来源：互联网络（http://www.microsoft.com/technet/security/advisory/979682.mspx）

　　据国外媒体报道，在修复了被用来对谷歌和其它公司实施网络攻击的IE安全漏洞之后，微软正在调查IE浏览器新发现的安全漏洞。

　　微软可信赖计算事业部总经理Dave Forstrom星期三对法新社说，微软正在调查一个负责任地披露的IE浏览器中的安全漏洞。他说，我们目前还不知道任何利用这个安全漏洞实施的攻击或者用户受到的影响。但是，微软认为这个负责任地披露安全漏洞会减少用户的风险。

　　微软称，这个IE安全漏洞与谷歌披露的网络攻击无关，只对运行微软Windows XP操作系统的计算机有影响。微软劝告用户升级到最新的Windows 7操作系统和IE 8浏览器。这些新的系统显著增强了防御黑客的能力。

　　Forstrom说，一旦我们完成这个调查，我们将采取适当的行动保护用户。这些措施包括通过每月发布的补丁提供一个安全更新、在补丁周期之外提供补丁或者提供额外的指南帮助用户保护自己。

来源：互联网络