摘要:微软(Microsoft)发布有关操作系统的重大安全忧患警告,此问题会影响全球9亿使用Internet Explorer浏览器的用户。
微软表示,新发现的操作系统问题,可能被骇客用来盗取个人资料或接管电脑。
这个忧患很严重,可能影响所有Internet Explorer用户。在找出永久解决办法前,微软建议用户下载安全更新(security patch)。
FireFox、Google Chrome和Safari用户不受影响,因为不像Internet Explorer,这些浏览器不支持MHTML档,而这正是问题所在。
这个安全漏洞只会影响Internet Explorer对一些网页的处理方式。. 阅读全文
MHTML中曝出0day漏洞 影响各版Windows
2011-09-24 00:04 by 狼人:-), 447 阅读, 0 推荐, 收藏,
摘要:微软昨日证实,他们正在调查一个新的0day漏洞,该漏洞存在于MHTML中,会导致信息泄露,影响所有Windows平台,包括Windows XP、Vista、Windows 7和所有版本的Windows Server。
该漏洞是由于MHTML解析文档中内容模块的MINE格式请求的方式所造成的,该漏洞可以允许攻击者在错误的安全上下文中执行脚本。成功利用该漏洞的攻击者能在用户的IE实例中注入客户端脚本,该脚本会导致内容欺诈、信息泄露或采取其它任何行动。
微软表示,网上已经出现了利用该漏洞进行攻击的代码示例,不过当前并未见到任何用户受到攻击。微软当前正在调查这个漏洞,很快就会发布修复该漏洞的补丁。.. 阅读全文
Mozilla开发新功能提升网络隐私保护
2011-09-24 00:04 by 狼人:-), 148 阅读, 0 推荐, 收藏,
摘要:1月25日消息,据国外媒体报道,火狐开发人员正在开发新的功能,该功能能够使用户在浏览网页时自动退出在线行为广告。
上周日,Mozilla隐私保护部门总监亚历福勒在博客里表示,该功能的目的是给用户想要获得的信息一个更深层次的理解和控制。 亚历福勒表示,该功能能够使用户对火狐浏览器进行设置,给予他们的行为将会通知网站 和广告商他们不想看到的广告。通过点击和网页浏览用户的偏爱设置被传递到网站和第三方广告服务器。该功能不会完全阻挡广告,只是把广告个性化了。如果用户使用了该功能,广告商不得不用个性化的广告来交换标准的广告。 福勒表示,与cookies和黑名单(blacklists)相比长期来说该功... 阅读全文
开发人员发现Chrome浏览器漏洞获谷歌重奖
2011-09-24 00:04 by 狼人:-), 200 阅读, 0 推荐, 收藏,
摘要:北京时间1月14日凌晨消息,谷歌周三向一位名叫谢尔盖·格拉祖诺夫(Sergey Glazunov)的开发人员颁发首个“精英”Chromium安全奖,金额达3133.7美元。 谷歌此前决定,向那些发现Chrome浏览器重要漏洞的开发人员发放数额不菲的现金奖励。除最高级别的“精英”奖外,格拉祖诺夫还获得了一项金额为1337美元的普通奖以及其他一些奖励。谷歌已经向多名开发人员支付了总计14000美元的奖金。 格拉祖诺夫的最大发现是Chrome浏览器的“对话控制中的一个指针”存在重大安全隐患。此外,他还发现了其他4个“高危”漏洞。谷歌周三发布Chrome浏览器更新,解决了上述问题。
本文转载 阅读全文
2011年网络安全预测:苹果将陷入危险
2011-09-24 00:04 by 狼人:-), 154 阅读, 0 推荐, 收藏,
摘要:导读:近日,IT时报作者王家书撰写一篇“2011年网络安全预测”的文章。
以下为全文:
每次节日扎堆的时候就是病毒的爆发期,现在元旦刚过春节将至,用户更要提防病毒的对电脑和手机的入侵。 安全厂商迈克菲日前发布了《2011年威胁预测报告》,称Google Android、Apple iPhone、foursquare、Google TV 和 Mac OS X平台2010年越来越火,2011年它们将会成为网络犯罪分子的主要目标。报告指出,网络犯罪分子可以利用社交网络中的定位服务实时偷窥,窃取私人信息甚至聊天记录。对于向来比较安全的Mac OS 平台,也因iPad和iPhone普及变得更加危险... 阅读全文
2010年度最有技术含量攻击:Padding Oracle Attack
2011-09-24 00:04 by 狼人:-), 328 阅读, 1 推荐, 收藏,
摘要:本文目的
向非安全方向的技术人员,特别是软件架构师介绍Padding Oracle的基本原理及其危害,以避免无意中在软件设计和技术选型过程里留下安全隐患。
Padding Oracle Attack的一些背景资料
这个攻击引起广泛关注是在今年5月的ekoparty安全会议上,两位安全工程师Julinao Rizzo和Thai Duong共同发表了一篇名为Practical Padding Oracle Attacks的论文。由于考虑到这个漏洞的广泛性及攻击可能带来的严重后果,他们的论文中并没有对原理做过多详述。只是从理论上描述了这个概念,并在大会上做了一些演示。
此后在安全界,很多高手纷... 阅读全文
亚马逊云计算服务可帮助黑客攻破WiFi网络
2011-09-24 00:04 by 狼人:-), 279 阅读, 0 推荐, 收藏,
摘要:一位安全专家称,他已经找到一种迅速和廉价的方法破解无线网络常用的口令保护方式。这个方法就是使用每一个都可以在网络上租用的亚马逊的强大的计算机。德国科隆的一位计算机安全顾问Thomas Roth称,他能够使用一种特别制作的软件攻破采取保护措施的网络。他编写的这个软件在亚马逊基于云计算的计算机运行。这个软件利用亚马逊的高速计算机每 秒可测试40万个潜在的口令。如果企业和家庭网络使用相对简单的口令保护自己的网络,就很容易受到这种攻击。
亚马逊向开发人员和无钱购买自己的设备或者不经常使用计算机因此没有足够理由购买计算机设备的企业租赁计算机使用时间。亚马逊的客户包括个人程序员和企业用户。
亚马逊发言人. 阅读全文
微软证实IE的HTML渲染引擎中存在0day漏洞
2011-09-24 00:04 by 狼人:-), 218 阅读, 0 推荐, 收藏,
摘要:微软昨日发布安全公告(KB2488013),证实日前曝光的一个IE漏洞可能会导致远程代码攻击。这是一家法国安全公司Vupen在本月初曝光的oday漏洞,微软随后开展了调查,就在Vupen公开了攻击代码的同时,微软也发布了安全公告,警告用户避免受到此漏洞的影响。
微软当前正在开发补丁以便能尽快修复该漏洞,在补丁未完成前微软建议用户开启防火墙,及时升级软件,并且在机器上安装杀毒软件。该漏洞存在于IE的HTML渲染引擎中,远程攻击者可以利用该漏洞绕过Windows 7和Vista等系统的DEP(数据执行保护)和ASLR(地址空间布局随机化),进而执行恶意代码。
这个问题是由“mshtml.dll”. 阅读全文
金山卫士开放第三批源代码 ARP防火墙可下载
2011-09-24 00:04 by 狼人:-), 243 阅读, 0 推荐, 收藏,
摘要:金山网络今日公布了金山卫士的第三批源代码——“ARP防火墙”代码。据悉,该批源代码彻底面向公众开放下载,通过对源代码的二次编译开发,ARP防火墙属于金山卫士开源应用层代码,用户可以100%自由自主定制。
此 前,金山卫士分别公布了“隐私保护”、“漏洞修复”、“开机加速”模块的源代码。ARP防火墙能够双向拦截ARP欺骗攻击包,监测锁定攻击源,时刻保护局 域网用户PC的正常上网数据流向,适于个人用户的反ARP欺骗保护工具。网关动态探测+识别——可以识破伪造的网关地动态获取、并分析判断后为受保护PC 绑定正确的网关地址,从而时刻保障保护本机上网数据的正确流向。ARP防火墙同时也支持用户手动设置绑定. 阅读全文
微软宣布最新企业安全产品FEP 免费试用
2011-09-24 00:04 by 狼人:-), 221 阅读, 0 推荐, 收藏,
摘要:微软昨日正式宣布了新的企业安全产品Forefront Endpoint Protection(FEP)2010,并且表示该产品已完成了RTM版,从2011年1月1日起消费者就iu可以通过微软批量授权服务中心(Microsoft Volume Licensing Service Center,VLSC)获取FEP 2010了。
FEP 2010的前身是Forefront Client Security,这是一款付费产品,不过微软已经提供了免费试用版本。FEP 2010可以简化并改善端点保护,同时显着降低基础结构成本。它基于System Center Configuration Manager . 阅读全文
Gawker攻击事件暴露密码保护缺陷
2011-09-24 00:04 by 狼人:-), 219 阅读, 0 推荐, 收藏,
摘要:导语:国外媒体今天撰文称,美国网络媒体公司Gawker Media的黑客攻击事件暴露出,在不同网站使用相同用户名和密码的安全隐患。
以下为文章全文:
Gawker Media一周前遭遇的黑客攻击凸显出网络生活日益频繁所带来的安全风险:在多家网站使用相同的用户名密码虽然很方便,但却会面临很高的代价。
在Gawker、Gizmodo和Jezebel等博客遭遇攻击后,曝光了140万人的账户信息,并使得一些并未遭遇攻击的网站冻结用户账户,迫使用户重设密码。
Gawker Media本身并不拥有所有的用户敏感数据,但是被曝光的用户名和密码却有可能牵扯到其他网站的一些更有价值的账户,包括电子邮件和银行账. 阅读全文
微软修复严重的浏览器漏洞和Stuxnet恶意软件漏洞
2011-09-24 00:04 by 狼人:-), 179 阅读, 0 推荐, 收藏,
摘要:微软在本周二发布了17个安全公告,修复了被Stuxnet恶意软件利用的零日漏洞,阻止攻击者以IE中的几个严重漏洞为攻击目标。
微软本月修复了40个产品漏洞,以及七个存在于客户端软件和服务器系统的严重漏洞(影响微软SharePoint Server和Exchange)。补丁专家表示额外的公告表明微软正在致力于提高它解决漏洞的效率。
Shavlik Technologies公司数据与安全团队领导Jason Miller说,今年微软发布的安全公告数(108个)也暗示安全厂商正在完善它们的进程。Miller表示虽然今年对微软来说是艰难的一年——微软今年发布了许多带外补丁,还发现了许多零日漏洞——但微. 阅读全文
Win7和Mac及HTML5将成黑客2011年攻击重点
2011-09-24 00:04 by 狼人:-), 174 阅读, 0 推荐, 收藏,
摘要:据国外媒体报道,根据安全供应商Panda安全的调查显示,随着黑客主义(hactivism)和国家攻击行为的继续发展,2011年以Windows 7,Mac和HTML5为目标的攻击可能让信息安全专业人士手忙脚乱。
据该公司的预测,HTML5将成为完美的网络犯罪攻击目标。在未来的几个月里,黑客将会寻找该技术的漏洞,因为它在不需要任何插件的情况下就能进行浏览器运行,这种便利使其成为潜在的犯罪工具。
Mac用户还必须提防越来越多的针对苹果应用系统的攻击。因为随着该公司市场份额的增加,该公司的产品也成为网络犯罪分子诱人的目标。
不过,Panda的技术总监路易斯卡若斯称,苹果的iPad相对安全,因为在平. 阅读全文
FBI被指在OpenBSD的IPSEC协议栈中放置后门
2011-09-24 00:04 by 狼人:-), 264 阅读, 0 推荐, 收藏,
摘要:OpenBSD创始人Theo de Raadt公开了Gregory Perry的一封来信。Gregory Perry在10年前参与了OpenBSD加密框架开发。在信函中,他声称FBI付费给开发商,以在OpenBSD的IPSEC协议栈中植入后门。现在他将这段机密公诸于众,是因为他与FBI签署的保密协议已到期。
10年前加入的后门代码如今已经面目全非,de Raadt表示不清楚代码造成的真正影响有多大,由于OpenBSD是第一个开发出供免费使用的IPSEC协议栈,因此随后许多项目和产品都是直接拿现成的代码。
查看:Subject: Allegations regarding OpenBSD I.. 阅读全文
2011年互联网安全发展趋势五大预测
2011-09-24 00:04 by 狼人:-), 148 阅读, 0 推荐, 收藏,
摘要:据国外媒体报道,只要互联网还存在,互联网的信息安全就一定是人们每年都会关注的话题。有国外媒体对2011年互联网安全发展趋势做出了五大预测,详细如下。
1.更精确的攻击目标
目前的恶意软件攻击已经发展出了多种模式,有局部植入型的,也有可以造成电脑最大破坏的崩溃型的,均以窃取银行资金和个人信息为目标。2011年,恶意软件的攻击目标会更有针对性,更加细化,当然也会受到犯罪集团巨额资金的支持。
2.更智能的钓鱼工具
目前的社交网络服务会让用户降低防备心理,黑客们会利用一些敏感信息,诱使他们对带有钓鱼链接的页面进行分享。用户会在毫不知情的情况下成为了钓鱼工具的受害者。2011年,在搜索引擎上直接添加钓. 阅读全文
浙公网安备 33010602011771号