看图就中招,微软历史上最大的安全漏洞?

今天看到这么一条新闻(来源360.cn):

受此漏洞影响,几乎所有浏览器、即时聊天工具、Office程序以及看图软件等第三方软件都可能成为木马传播的渠道。网民即便没有点击运行任何程序,只要浏览了BBS、博客、电子邮件或即时聊天窗口里带木马的图片,就会立即中招。一旦网民查看了这些带木马的图片,或浏览了带木马图片的网站,攻击者就能利用这一GDI+图片漏洞远程执行代码和安装程序,随意查看、更改或删除用户的电脑数据,或者创建能完全访问用户电脑的新帐户。也就是说,攻击者可以利用该漏洞完全控制住你的电脑!

360还如此介绍:

据奇虎360安全专家介绍,此次微软爆出的GDI+图片漏洞非常严重,有点类似以前的“光标漏洞”和“wmf漏洞”,但涉及的图片格式更多,包括bmp、wmf、gif、emf、vml等,因此漏洞涉及面广,影响网民数众多,危害程度特别巨大,堪称“微软有史以来最大的安全漏洞”。

无论如何,我都不太愿意下载360提供的exe杀毒文件(个人洁癖,360的粉丝请绕行)。于是进行了一些调查。利用Google Blogsearch,看到一些线索:Microsoft Windows GDI+ WMF buffer overrun vulnerability

原文如此说:

Microsoft Windows GDI+ contains a vulnerability that can allow a remote attacker to execute arbitrary code. The vulnerability is due to improper memory allocation when processing specially crafted WMF image file. An attacker can entice users to visit a specially crafted website to execute arbitrary code.

也就是说:微软GDI+包含了一个可以被利用执行某些越权代码。这是由于在处理某些WMF图形文件时造成的。(似乎不像360所说的那样啊?)攻击者可以诱惑用户浏览某些包含越权代码的网站来进行攻击(这个似乎也和360说的不太一样)

解决方案:

Vista:下载这个 , XP:下载这个

注意,经网友David留言提醒,中文版用户可能需要下载这个

其他系统、应用解决方案见原文。

将您的落后且不安全的IE6升级到IE7的七大理由

我个人是Firefox的忠实用户。但我绝不强迫许多对Mozilla或者“火狐”有意见(Firefox的名誉的确在中国不太好,详见此文)的朋友使用Firefox。不过,对于还在坚守IE6不升级到IE7的用户,我认为,是时候升级了。理由如下:

  1. 功能的落后
    IE6对CSS和JavaScript的许多新功能无法支持。最起码的background fixed都无法支持:现在许多Web开发者使用的对策是expression、iframe或者用javascript去调整对象的位置。这给您带来极大蹩脚的体验。
  2. 安全的缺陷
    IE6的安全性远远不及IE7,且去追究IE6为流氓软件迅速发展“立下”的“汗马功劳”,Paypal(即全球网上贸易泰斗级产品)都宣称:IE7是“Safer Web Browser”(更安全的浏览器)。在Google搜索IE7+Security,更是得到了极多的喝彩。
  3. 与Flash技术磨合的失败
    IE6中,给Adobe Flash技术发挥造成了诸多的麻烦,比如:IE6无法将Gzip包正确地传输给FlashPlayer_root第一帧下Stage类信息丢失(仅IE有此问题)
  4. IE7的效率、稳定优势
    IE7的速度、渲染效率明显优于IE6,死机几率明显低于IE6
  5. IE7的标签式浏览体验
    支持标签式浏览,此前,IE6因没有这项功能而被许多“流氓扩展”利用(比如号称提供标签浏览体验而给IE6加一个粗糙的标签功能,并像老白金那样给你塞满恶心的广告)
  6. 微软的支持
    微软很大度地取消了IE7对盗版Windows的验证:为了让您更安全,哪怕您是盗版Windows用户,也可以升级!
  7. IE6给开发者以及Web环境造成的破坏
    IE6的存在给Web开发者制造了巨大的麻烦。表面上看,这是开发者的损失,但从大环境来看,开发者无法更快地为用户提供更好的服务:更多的时间放在妥协IE6的“不足之处”上。例如刚才提到的CSS问题,就必须通过更多低效的JavaScript来处理(我在调试awflasher.com的时候花费了无数的精力去考虑IE6的兼容性);而Flash遇到的问题,则需要改变服务器压缩机制(由于内容得不到压缩传输,这使得您打开应用程序的速度更慢)

这些理由,排名不分先后。无论如何,我升级相信对您是有意义的。

欢迎Web开发者转载、分享:http://www.awflasher.com/blog/archives/1417

官方IE7升级地址:http://www.microsoft.com/windows/products/winfamily/ie/default.mspx(好几个朋友说下载的IE7有“问题”,特此提醒:请勿在小网站下载以免中毒)

附:世界Web Developer发起的一个活动:拯救Web开发工程师(中文翻译:Cat Chen)

使用实名SNS网站(校内、Facebook)请注意安全

再罗嗦一下,什么是SNS:Social Networking Service,社会网络服务。然而,Service这个最重要的元素,在疯狂的扩张和利益追逐下却没有得到足够的重视。以致于有一段时间几乎全是一帮大忽悠在谈SNS,这实在是SNS的悲哀。恩,言归正传,说说今天的话题:实名SNS网站的安全问题。欢迎讨论:
http://www.awflasher.com/blog/archives/1058

最近看到Marketing Pilgrim的一篇文章,提到Facebook欺诈的一些话题,挺有意思的。

文中提到Sophos做的一个“实验”:

在Facebook上注册一个帐号,名叫“Freddi Staudr”。这个名字实际是由“ID-FraudSter”(aw附:Fraud是欺骗的意思,而-ster应该是个与朋友有关的后缀)的字母重新组合而成。然后,Sophos用这个帐号添加200个人为好友。结果,200人中,有87人将“Freddi”加为了好友,而其中82人同意让Freddi观看自己的“Unlimited Profile”(完整个人档案)。

这时,我们假设一种情况:你看到一个来自“Freddi”的好友请求,也许,你还会看到一张迷人的照片。八成你会像这82人中的每一个一样,毫不犹豫地让“Freddi”加为自己为好友,并对“Limit Profile”(部分个人档案)的警告熟视无睹。这就意味着,如果“Freddi”是当地的盗窃集团的成员,而你正好兴奋地写了一篇日志,告诉朋友们下周出去旅游。那么你下周你在快乐地旅游的时候,“Freddi”也许带着他的兄弟们把你的住所洗劫一空了。

看完后觉得还真有点儿寒,因为我在Facebook接收到请求,通常也会忽略Unlimited警告而直接给对方看Unlimited Profile。而我发现校内只是把联系方式做了限制,似乎没有“Limited Profile”一说。

仔细想一下,其实解决方案也不麻烦:

  1. 严格把关:如果你不认识等待批准的“好友”,使用Facebook时最好将“Only access my unlimited”复选框选中;而校内的用户则不要轻易通过好友,现在校内网上的美女诈骗并不少。
  2. 避免搜索:不要让搜索引擎索引你的页面,一般来说,大型的SNS网站都有责任强调这个服务;但实际情况并不是很乐观,据我所知,有些SNS站点还提供了针对姓名和用户名的SEO呢。
  3. 注意隐私:仔细设置“Unlimited Profile”(部分档案),将电话号码等重要信息隐藏起来;
  4. 少加好友:请不要一时兴奋把几百个人都加为好友,这样只会给自己和真正值得成为朋友的人造成麻烦。另一方面,作为网站开发者、所有者,一定要坚信“基于Web2.0的提供SNS服务性质网站”应该有效限制这样的情况发生;(其实,我一直打算写一篇关于朋友关系的文章)
  5. 做聪明人:现代社会,学会保护自己比什么都靠谱。但也不要因过度保护而失去你的真诚,聪明的人,往往都能做得很好。有时候,不得不感慨,缺乏独立思考能力的傻逼太多了。

当然,我不知道是否真的有“盗窃集团”的什么人在Facebook或者校内上这样骗人。无论如何,Facebook还有Limited Profile可以用于过滤信息,而我们的校内似乎在这方面就比较麻烦了:陈一舟去年进行的大规模市场扩张中也引发了一些难以控制的问题(例如大量的一夜情交易和色情交易,对于接受性教育如此不科学的孩子们,危险很大啊)。因此,为了进一步减少这些安全隐患,校内团队的朋友们还得加油努力!

至于另一些专用于一夜情和色情交易,甚至以此为荣(他们认为自己解决了中国不少男性的主要生理矛盾)的实名SNS网站,不在本话题的讨论之列。(想必大家都知道我在说哪家)

Flash 8 Active Content Update

早些时候Dengjie.com就给出了两条重要的信息:

一、改名事件
Flash Player 8.5 改成 Flash Player 9.
FlashObject 改成 SWFObject (SWFObject1.5官方文档简体中文版)

二、Flash 8 Active Content Update

第一个不用说了,迟早的事情,这是个好事。

第二个说老实话我老觉着没必要更新,一来是我自己太懒,上FTP不方便,二来是因为要更改的地方太多,太繁琐。不过这一次Adobe没有让我们失望,放出了一个mxp插件。

二话不说,截图两张:

Adobe官方的说明:
Microsoft® 新近发布了一项 Internet Explorer 更新,更改了 Internet Explorer 对于使用交互式控件的 Web 页面的处理方式。交互式控件是提供用户界面的 ActiveX 控件。当 Web 页使用 APPLET、EMBED 或 OBJECT 元素加载 ActiveX 控件时,用户必须先激活它才能显示控件的用户界面。如果页面使用这些元素加载多个控件,则必须逐一激活每个交互式控件。为此,某些 Web 页(包括默认 Flash Player Web 页)可能需要用户通过单击控件或使用 Tab 和 Enter 键手动激活 ActiveX 控件。

有关此更改的详细信息,请参见 Microsoft Web 站点,网址是:http://msdn.microsoft.com/library/default.asp?url=/workshop/author/dhtml/overview/activating_activex.asp。

为避免出现用户必须首先激活Flash Player,才能与 Flash 内容交互的情况,Adobe® 创建了 Flash 活动内容更新扩展,它将安装两个 HTML 模板,用户可以使用这两个模板嵌入自己的 Flash SWF 文件。使用这些模板之后,无需采用额外的鼠标单击操作或其它用户激活方式,即可无缝地激活所嵌入的 SWF 文件。

让人心烦的安全性

今天接到白云XP站长的要求,要做一个投票系统。

早上在实验室开始动工,忙到现在,前后台基本都搞定了[要强调一下,不是特殊情况千万不要一个人同时写as+asp,会崩溃的],剩下一个外部图片读取的问题,由于调试主要用Flash IDE,而我的Flash是8.0,拥有该死的安全沙箱冲突问题,使得一些交互式操作特别麻烦。

后来发现加入一行代码可以避免此问题

System.security.allowDomain("127.0.0.1");

当然,如果要频繁提交服务器端调试,可以改为 ( Thanks to NobodyLZ )

System.security.allowDomain("*");

PS:貌似对于纯IP,比如218.197.xxx.xxx,*不能代替其本身啊?

安全性……安全性

(如果你觉得有价值需要转载,请注明出处www.awflasher.com,谢谢)
今天看到留言本多了一条留言。
是一个swf。
留言者很小心的用UBB贴上来的,可惜他大概一时疏忽,贴了一个错误的格式。而且,即使是正确的,LBS也自动过滤掉了(终于明白SiC为什么要自动过滤Flash了,真是……sigh啊!)
我实在是天真,以为谁给我看好玩的东东,就点开了,结果立马弹开一个网页,我就发现问题了。
打开ASV,看看,太可怕了,就这么一行代码:

getURL(….)

甚至你可以写

function a()
{
getURL(…);
}
onEnterFrame = a;
//setInterval(a,1);

至少,我还没什么好点子对付这个“漏洞”。不知诸位有何良策。

群里面的讨论:

引用自
 
(2005-11-18 19:43:56) 天亮(39225850)
你用java 或者 c++ 写一个程序,也setInterval (a,1),不是一样死机
(2005-11-18 19:43:26) 天亮(39225850)
这不是漏洞好不好啊
(2005-11-18 19:41:39) 天亮(39225850)
flash 只是打开页面而已
(2005-11-18 19:41:58) 天亮(39225850)
所以最根本的问题还是ms的浏览器漏洞

如果以后越来越多的人留言,那以后所有的swf是不是都要像lbs那样屏蔽起来,你一上来看到的都是一个一个硬生生的矩形,然后上面写着"点击显示Flash"...

(2005-11-18 19:47:17) Action(157290182)
我觉得留言本来就不应该让用户使用flash

Continue reading “安全性……安全性”