雅虎Messenger曝高危漏洞 駭客可控制系統
發佈時間:2007.06.08 07:57:45 來源:賽迪網
【賽迪網訊】6月8日消息,據國外媒體報導,安全研究公司eEye Digital Security日前表示,在Yahoo Messenger(雅虎通)中發現高危安全性漏洞,允許駭客控制使用者電腦系統。
eEye Digital Security日前表示,Yahoo Messenger存在多處漏洞,在用戶極少干預的前提下,駭客可以遠端在使用者電腦中執行惡意程式碼。
據eEye稱,受影響的Yahoo Messenger版本為8.x,危險級別為“高”。目前,eEye已經將上述漏洞報告給雅虎,而雅虎正在調查此事,補丁程式也正在開發之中。
話說 賽門鐵克 GHOST 被發現 多種會遭阻斷服務的弱點被發現
簡單的說法就是說 如果安裝常駐型的
GHOST可能會被攻擊 造成電腦被別人可以控制
Symantec Ghost Solution Suite is an enterprise disk imaging software that allows administrators to remotely back-up and restore client computers from a central server. More information is available from the vendors site at the following URL.
http://www.symantec.com/enterprise/products/overview.jsp?pcid=1025&pvi
d=865_1
Remote exploitation of multiple denial of service vulnerabilities in Symantec Corp.'s Ghost could allow remote attackers to crash the Ghost service.
These vulnerabilities affect both the client and server daemons due to what looks like a shared communications library. The daemons listen on UDP ports 1346, and 1347 respectively.
By sending a malformed UDP-based request to either service, an attacker can cause the service to crash due to an invalid memory reference. This condition can be caused by any of several unique requests. In each case, the particular cause for the access violation varies.
CA殺毒軟體曝嚴重安全性漏洞 駭客易控制
http://www.rednet.cn紅網 2007-6-7 11:23:39
6月7日消息,據國外媒體報導,安全軟體廠商CA日前提醒使用者,其多款殺毒軟體存在安全性漏洞,可被駭客利用,在使用者電腦中執行惡意程式碼。
CA日前表示,其多款殺毒軟體的引擎存在緩衝溢出漏洞。
如果該漏洞被成功利用,那麼將允許駭客以系統級許可權在使用者電腦中執行惡意程式碼。或者至少發動拒絕服務攻擊,最終導致系統崩潰。
據悉,殺毒引擎版本低於30.6的均受該漏洞影響,主要產品包括CAAntivirusfortheEnterprise(r8andr8.1)
CAAntivirus2007(v8)
CAInternetSecuritySuite2007(v3)
CASecureContentManager8.0
CAAnti-VirusGateway7.1
以及BrightStorARCserveBackup(r11.1)
CA將該安全性漏洞定級為“高”風險,即最嚴重的為危險級別。
而賽門鐵克也將其視為10個危險級別中的最高級別“10”。
日前,CA已經發佈了相應的補丁程式。
I. BACKGROUND
Linux is a clone of the UNIX operating system, written from scratch by Linus Torvalds with assistance from a loosely-knit team of hackers across the Internet. The cpuset functionality allows process to be assigned to processors on multi-processor machines.
II. DESCRIPTION
Local exploitation of an information disclosure vulnerability within the Linux Kernel allows attackers to obtain sensitive information from kernel memory.
This vulnerability specifically exists in the "cpuset_tasks_read" function. This function is responsible for supplying user-land processes with data when they read from the /dev/cpuset/tasks file. The code excerpt below shows the problem area.
1754 if (*ppos + nbytes > ctr->bufsz)
1755 nbytes = ctr->bufsz - *ppos;
1756 if (copy_to_user(buf, ctr->buf + *ppos, nbytes))
By reading from an offset (*ppos) larger than the contents of the file, an attacker can cause an integer underflow to occur in the subtraction on line 1755. This will result in the "copy_to_user" function on line 1756 to be called with a memory address located at a lower address than the start of the intended buffer. This memory could potentially contain sensitive information such as security tokens or passwords.
III. ANALYSIS
Exploitation of this vulnerability allows attackers to obtain sensitive information from kernel memory.
In order to exploit this vulnerability, an attacker would need access to open the /dev/cpuset/tasks file. It is important to note that this file does not exist unless the cpuset file system has been mounted. Additionally, this functionality is not included by default in a vanilla kernel build.
Furthermore, because of checks at the VFS layer and in the 'copy_to_user()' function, an attacker cannot use arbitrary values. However, on 32-bit systems it is easily exploitable.
IV. DETECTION
iDefense has confirmed the existence of this vulnerability in version 2.6.20 of the Linux Kernel as installed with Fedora CORE 6. It is suspected that previous versions, at least until 2.6.12, are also vulnerable.
V. WORKAROUND
In order to prevent exploitation of this vulnerability, discontinue use of the cpuset file system. This can be accomplished by un-mounting the file system using the "umount" command.
VI. VENDOR RESPONSE
The Linux kernel team has released versions 2.6.20.13 and 2.6.21.4 to address this vulnerability. More information can be found via the following URLs.
http://kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.20.13
http://kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.21.4
VII. CVE INFORMATION
The Common Vulnerabilities and Exposures (CVE) project has assigned the name CVE-2007-2875 to this issue. This is a candidate for inclusion in the CVE list (http://cve.mitre.org/), which standardizes names for security problems.
VIII. DISCLOSURE TIMELINE
04/27/2007 Initial vendor notification
06/04/2007 Second vendor notification
06/04/2007 Initial vendor response
06/07/2007 Coordinated public disclosure
IX. CREDIT
The discoverer of this vulnerability wishes to remain anonymous.
破壞多種常用軟體 八萬使用者遭到“帕蟲”病毒侵害
來源:瑞星公司 時間:2007-06-06 14:06:54
經過瑞星反病毒專家檢查,她的電腦感染了“帕蟲(worm.pabug)”病毒,這種病毒不但會破壞幾十種常用的殺毒軟體,還會使QQ等常用程式無法運行。據介紹,“帕蟲”病毒主要通過MP3(或者USB盤)進行傳播,由於現在使用MP3(USB盤)交換歌曲和電影檔案的用戶非常多,使得該病毒傳播極廣。“帕蟲”病毒目前已有幾十個變種,全國已有八萬多名使用者遭到此病毒的侵害。
根據瑞星技術部門分析,該病毒採用了多種技術手段來保護自身不被清除,例如,它會終結幾十種常用的殺毒軟體,如果使用者使用google、百度等搜尋引擎搜索“病毒”,流覽器也會被病毒強制關閉,使得使用者無法取得相關資訊。
尤為惡劣的是,“帕蟲”病毒還採用了IFEO劫持(windows檔映射劫持)技術,修改註冊表,使QQ醫生、360安全衛士等幾十種常用軟體無法正常運行,從而使得使用者很難手工清除該病毒。
瑞星反病毒專家介紹說,“帕蟲”病毒會在每個磁碟分割上建立自動運行檔(包括U盤),從而使得通過U盤傳播的概率大大增加。同時,由於每個分區上都有病毒留下的檔,普通用戶即使格式化C盤重裝系統,也無法徹底清除該病毒。
針對此惡性病毒,瑞星已經提供專殺工具。瑞星用戶只要升級到最新版本,即可徹底防殺;沒有安裝殺毒軟體的使用者,可以免費下載“橙色八月”專殺工具徹底清除該病毒,下載位址:http://it.rising.com.cn/Channels/Service/2006-08/1154786729d36873.shtml
專家提醒說,由於近期惡性病毒多發,瑞星殺毒軟體已經提高了升級頻率,由原來的每週升級17次提高到了現在的21次(每日三次,週末正常升級),遇到惡性病毒提供緊急升級。廣大使用者應注意及時升級自己的殺毒軟體,來防範“帕蟲”等惡性病毒的攻擊。
YAHOO 出現、網路攝影機執行程式攻擊弱點
Common Name:Mozilla最後更新火狐1.5版本 共修復六個安全性漏洞
來源:賽迪網 時間:2007-06-04 10:06:10
Mozilla修復了其主要產品火狐流覽器的6個安全性漏洞。其中有一個是嚴重的安全性漏洞。這是Mozilla在2007年第三次更新火狐流覽器。
據報導,這次更新使當前版本的火狐流覽器升級到2.0.0.4版,2005版本的火狐流覽器升級到了1.5.0.12版。
MFSA 2007-12是這6個補丁中的最嚴重的補丁,修復了火狐流覽器佈局和JavaScript引擎中30個引起記憶體破壞的軟體瑕疵。即使Mozilla也不知道這些軟體瑕疵的影響。Mozilla的安全公告稱,某些系統崩潰的現象顯示了在某種環境下記憶體崩潰的證據。我們推測利用這些漏洞可能執行任意的代碼。
Mozilla警告稱,與火狐流覽器共用一個佈局引擎的Thunderbird和SeaMonkey電子郵件軟體也可能受到這些安全性漏洞的影響。這家開源軟體發展商建議用戶不要啟用Thunderbird或者SeaMonkey軟體中郵件部分的JavaScript功能。
這次更新還修復了一個彈出式漏洞。這個漏洞可用來遮擋部分流覽器,如位址欄。這次更新還修復了一個交叉網站腳本漏洞、一個如何處理cookies的漏洞和一個讓攻擊者利用自動完成功能造成火狐流覽器崩潰的漏洞。
用於Windows、Mac OS X和Linux平臺的火狐2.0.0.4版可以從Mozilla網站下載。同時,火狐1.5.0.12版將在不同的網頁提供。當前的使用者還可以在説明功能表中點擊查看更新選項進行升級。
Mozilla還強調說,這次的補丁是火狐1.5版的最後一次更新。火狐2.0.0.4版的更新將在以後的幾個星期裡向用戶提供。
GOOGLE桌面搜索被曝新漏洞 駭客可利用啟動本地程式
來源:eNet矽谷動力 時間:2007-06-04 10:06:53
就在安全人士稱Google公司發佈的火狐流覽器工具條可能被用於線上攻擊之後,日前另外一個安全公司又發現,Google公司的桌面搜索工具也存在安全問題,有惡意駭客可以通過桌面搜索工具啟動用戶電腦中已經安裝好的軟體。
互聯網安全諮詢公司分析師羅伯特·漢森提供了相關的攻擊概念模型。他說,利用這一漏洞,駭客可以利用Google桌面搜索工具啟動電腦中已經安裝好的程式。如果涉及到惡意程式,這將引發使用者電腦的安全風險。
不過,漢森也表示,這個攻擊方式成功的概率不是很高,另外,如果駭客事先未能在使用者電腦上安裝惡意軟體,則這種攻擊方式無法產生非常嚴重的後果,不過,漢森指出,這個漏洞表明,在基於WEB的互聯網應用領域,安全問題仍是一個無法忽視的問題。
漢森表示:“當你雇用協力廠商公司為你們開發能夠和流覽器溝通的軟體時,非常容易使流覽器的安全防護體系遭到突破,從而帶來危險。”
據漢森進一步解釋,在這種攻擊模式中,一個駭客首先要發起一次成功的“中間人攻擊“,即把自己的資料插入在Google伺服器和使用者流覽器的通訊路徑當中。基於此,這個攻擊實現起來並不容易。
賽門鐵克獲悉誤殺事件首例訟案 正在進行商討
http://www.sina.com.cn 2007年05月25日 15:40 新浪科技
新浪科技訊 5月25日消息,賽門鐵克正就諾頓誤殺事件引發的首例用戶訴訟案進行討論,據該公司在中國的公關代理機構表示,目前賽門鐵克已經獲悉此事,如果有回應會在稍後以書面形式告知媒體。
昨日下午,諾頓用戶之一劉先生已向北京海澱法院遞交訴狀,發起該起事件的首例索賠案,目前海澱法院已經收下訴訟材料,但還須審查後再決定是否立案。
根據已披露的資訊顯示,劉先生因誤殺事件導致電腦內檔全部丟失,並且耽誤了炒股,聲稱損失至少在10萬元。劉先生在訴狀中向賽門鐵克(北京)公司索賠交通費、誤工費、財產損失費等共計5萬元。
這場始於5月18日的諾頓誤殺事件,緣起該殺毒軟體在升級病毒庫時,誤將WindowsXP兩個系統檔當作病毒刪除,造成使用者電腦重啟後無法正常開機,給部分企業及使用者造成了極大損失。
事後諾頓進行了緊急修復,並在5月23日召開媒體答問會,進行公開道歉,但對於大眾關心的賠償事宜採取回避態度,稱本周重點是為用戶恢復電腦,隨後才會考慮其他(賠償)問題。
另據《北京娛樂信報》報導,此前諾頓客服人員曾以“免責條款”為由與用戶溝通,但著名律師胡鋼在做客新浪聊天時表示,雖然諾頓的開發商賽門鐵克公司在軟體的使用者協定中事先設置了陷阱,稱最高賠償額不超過軟體的購買費用,但該條款屬於不平等條款,因此應被認定為無效。用戶向賽門鐵克索賠沒有金額上限,可以根據實際損失索賠。(李廣盛)
微軟WindowsDNS伺服器漏洞成新蠕蟲攻擊目標
北京新浪網 (2007-04-19 15:35)
【eNet硅谷動力消息】4月19日,江民反病毒中心檢測到,目前有一新蠕蟲病毒(Rinbot-DNS RPC)正在利用微軟WindowsDNS伺服器漏洞進行大規模傳播,據統計資料顯示,目前在中國針對此漏洞的攻擊數量爆增,僅次于美國排行第二。
據反病毒專家介紹,微軟WindowsDNS伺服器漏洞是繼上周三緊急發布6個漏洞補丁後發現的又一被黑客利用的嚴重漏洞,目前利用該漏洞的軟件已經在互聯網上廣泛傳播,黑客也開始在攻擊中利用這種軟件。該漏洞會影響Windows 2000 Server和Windows 2003 Server系統,黑客們將RPC(遠端程式呼叫)封包傳到受影響的系統,就可以成功入侵用戶的電腦系統。而Windows 2000 Professional、Windows XP和Windows Vista均不受該漏洞的影響。
據悉,微軟在關于該漏洞的聲明中指出,目前補丁程式正在緊張的開發和測試中,具體發布補丁的時間還沒有定,但爭取不晚于5月8號。同時微軟針對該問題已經發布了一個臨時解決放案,在補丁發布前網路管理員可以先禁用DNS RPC功能,並及時升級殺毒軟件等。
反病毒專家提醒廣大用戶無需恐慌,對於安裝了Windows XP和Windows Vista系統的用戶是不存在該漏洞的威脅的,而對於網路管理員則需要對該漏洞引起重視,同時對於安裝了Windows 2000 Server和Windows 2003 Server系統的普通用戶而言也需要採取相應的措施進行預防。
專家建議用戶可以通過修改注冊表來進行防範:
1、啟動注冊表編輯器
2、找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters項
3、新建DWORD鍵值「RpcProtocol',並設置數值為4
4、重新啟動DNS Server服務
大陸駭客入侵 So-net上千客戶資料外洩 盜刷逾500萬
更新日期:2007/02/23 18:46 記者:生活中心/綜合報導
台灣索尼通訊網路So-net網站日前傳出被駭客入侵,會員網友個人資料外洩、信用卡被盜刷,被盜刷的信用卡張數約1840張,總金額超過500萬,被盜用的1千多筆資料,國內幾乎所有發卡銀行都中獎。
So-net網站是由中國信託商銀收單,由於So-net網站可能未盡到保護客戶資料職責。初步調查每張卡損失幾百元到幾千元都有,一共有500多萬的盜刷損失,銀行認為這些應該由業者(即So-net)負擔,但還得經過警方深入調查,才能釐清責任歸屬。
警方表示,此次駭客入侵So-net網站,雖然損失金額有限,但警方擔心,這些駭客除了盜刷客戶信用卡資料外,還同時擷取客戶的姓名、身分證字號、住家公司電話、手機、親屬聯絡人等資料,這些資料可能成為詐騙集團的行騙工具。
台 灣索尼通訊網路So-net網站是台灣前三大提供IP位址網站,該網站還有線上購物、影音加值及遊戲中心,相當受網友歡迎。業者澄清,只是遊戲網頁被盜 用,入口網站沒有問題。刑事警察局清查發現,So-net公司內,有六成以上電腦都被植入木馬程式,疑似遭大陸駭客入侵,導致So-net上千名會員個人 資料遭側錄外洩,信用卡被盜刷或做預借現金。
So-net22日表示,So-net所有網站交易都符合台灣的網路交易安全機制,由於So- net屬日本SONY集團成員,網路交易也符合SONY的全球交易安全標準。然而,在這樣標準之下仍遭駭客入侵,So-net強調,內部已緊急加強系統防 火牆,除了會提高網路交易安全機制外,也密切與偵九隊及銀行合作,確保所有網友的資料不會外洩。
警方調查,這些駭客可能來自中國大陸,以俗 稱「釣魚網站」的假網頁入侵,遠端搖控及側錄鍵盤動作的惡意程式,藏伏在So-net公司員工及幹部電腦,並搜尋擷取So-net會員信用卡資料,包括地 址、消費額、卡號、有效年月及信用卡背面檢核碼等,拿到資料後,就到其他網站盜刷購物並向發卡銀行預借現金。
台灣各大發卡行上月發現So-net網站出現資料外洩案,報警清查發現,幾乎所有的發卡銀行都中獎。最大發卡行、中國信託商銀近廿筆,平均每卡損失從數百元到數千元不等。
So -net指出,去年11已發現交易異常狀況,立即與偵九隊聯繫,提高網路交易機制,故受影響的範圍不大。So-net也澄清,高層電腦並沒有遭駭客入侵。 至於損失的金額及受害的會員人數,由於整起事件偵九隊仍在偵辦當中,目前無法對外說明;若查出為So-net的疏失,So-net 會負起該負的責任,請網友安心。
資訊安全 (4)