看图就中招,微软历史上最大的安全漏洞?

今天看到这么一条新闻(来源360.cn):

受此漏洞影响,几乎所有浏览器、即时聊天工具、Office程序以及看图软件等第三方软件都可能成为木马传播的渠道。网民即便没有点击运行任何程序,只要浏览了BBS、博客、电子邮件或即时聊天窗口里带木马的图片,就会立即中招。一旦网民查看了这些带木马的图片,或浏览了带木马图片的网站,攻击者就能利用这一GDI+图片漏洞远程执行代码和安装程序,随意查看、更改或删除用户的电脑数据,或者创建能完全访问用户电脑的新帐户。也就是说,攻击者可以利用该漏洞完全控制住你的电脑!

360还如此介绍:

据奇虎360安全专家介绍,此次微软爆出的GDI+图片漏洞非常严重,有点类似以前的“光标漏洞”和“wmf漏洞”,但涉及的图片格式更多,包括bmp、wmf、gif、emf、vml等,因此漏洞涉及面广,影响网民数众多,危害程度特别巨大,堪称“微软有史以来最大的安全漏洞”。

无论如何,我都不太愿意下载360提供的exe杀毒文件(个人洁癖,360的粉丝请绕行)。于是进行了一些调查。利用Google Blogsearch,看到一些线索:Microsoft Windows GDI+ WMF buffer overrun vulnerability

原文如此说:

Microsoft Windows GDI+ contains a vulnerability that can allow a remote attacker to execute arbitrary code. The vulnerability is due to improper memory allocation when processing specially crafted WMF image file. An attacker can entice users to visit a specially crafted website to execute arbitrary code.

也就是说:微软GDI+包含了一个可以被利用执行某些越权代码。这是由于在处理某些WMF图形文件时造成的。(似乎不像360所说的那样啊?)攻击者可以诱惑用户浏览某些包含越权代码的网站来进行攻击(这个似乎也和360说的不太一样)

解决方案:

Vista:下载这个 , XP:下载这个

注意,经网友David留言提醒,中文版用户可能需要下载这个

其他系统、应用解决方案见原文。

安全性……安全性

(如果你觉得有价值需要转载,请注明出处www.awflasher.com,谢谢)
今天看到留言本多了一条留言。
是一个swf。
留言者很小心的用UBB贴上来的,可惜他大概一时疏忽,贴了一个错误的格式。而且,即使是正确的,LBS也自动过滤掉了(终于明白SiC为什么要自动过滤Flash了,真是……sigh啊!)
我实在是天真,以为谁给我看好玩的东东,就点开了,结果立马弹开一个网页,我就发现问题了。
打开ASV,看看,太可怕了,就这么一行代码:

getURL(….)

甚至你可以写

function a()
{
getURL(…);
}
onEnterFrame = a;
//setInterval(a,1);

至少,我还没什么好点子对付这个“漏洞”。不知诸位有何良策。

群里面的讨论:

引用自
 
(2005-11-18 19:43:56) 天亮(39225850)
你用java 或者 c++ 写一个程序,也setInterval (a,1),不是一样死机
(2005-11-18 19:43:26) 天亮(39225850)
这不是漏洞好不好啊
(2005-11-18 19:41:39) 天亮(39225850)
flash 只是打开页面而已
(2005-11-18 19:41:58) 天亮(39225850)
所以最根本的问题还是ms的浏览器漏洞

如果以后越来越多的人留言,那以后所有的swf是不是都要像lbs那样屏蔽起来,你一上来看到的都是一个一个硬生生的矩形,然后上面写着"点击显示Flash"...

(2005-11-18 19:47:17) Action(157290182)
我觉得留言本来就不应该让用户使用flash

Continue reading “安全性……安全性”

[惊现]QQ的一个严重的错误!

今天寝室好友Mickey告诉我QQ犯了大错。

见2005beta版:

引用自
4.1 利用的许可

4.1.1 许可利用您的计算机: 为了得到Skype软件所提供的利益,您在此许可Skype软件利用您计算机的处理器和宽带,用作容许其它Skype软件使用者与您通讯联络的有限目的。

4.1.2 保护您的计算机(资源): 您认可Skype软件将会尽其商业上的合理努力以保护您的计算机资源及计算机通讯的隐私性和完整性,但是, 您承认和同意Skype不能就此事提供任何保证。

居然原翻不动的抄了Skype的。

不过后来QQ2005beta1又改好了……呵呵