TWed2k - 軟體求助討論區 - [重要] Windows ANI漏洞

TWed2k » 軟體求助討論區 » [重要] Windows ANI漏洞 » 發表回覆

Discuz! 代碼
提示插入
直接插入
說明訊息

添加文字底框

內容 [字數檢查]:

表情符號













更多 Smilies

字型大小

小|中|大|巨

溫馨提示：本區開放遊客瀏覽。

[quote][b][i]ithinkurdumb[/i][/b]寫到: [url=https://twed2k.org/viewthread.php?tid=163306&page=1#pid1328898][img]https://twed2k.org/images/common/back.gif[/img][/url] 
MS在3/31公布了一個Windows Animated Cursor Handling中的弱點,
在4/1就出現了零時差攻擊.

原始MSA: [url]http://www.microsoft.com/technet/security/advisory/935423.mspx[/url]

* * * *

要防範這次的攻擊做法和其他威脅一樣:
使用防毒軟體 (擋住木馬) 與防火牆 (即使中了木馬也可以防止駭客進一步控制電腦).
不要連結可疑的網站或開啟可疑的email.
經常使用Microsoft Update / Windows Update.
經常更新防毒軟體的病毒碼.

關於這次的Windows弱點,
簡單來說,
就是Windows在讀取動態游標 (ANI) 檔案時,
沒有做完整的檢查.
導致惡意的網站可以在ANI檔案中暗藏程式碼,
進而取得和目前使用者相同的權限.

目前絕大多數更新病毒碼的防毒軟體都能找到這個問題.
Vista + IE7或是Outlook 2007的使用者不會受到影響,
但是Vista不會受影響的先決條件是必須在Protected Mode下執行 (要開UAE的意思) = =

在微軟還沒正式釋出更新之前,
避免連結不值得信任的網站 (各種crack, porn site最可能),
以及避免打開可疑的email (Outlook Express和Outlook XP / 2003).
MS也建議使用者不要使用3rd party的修補程式.
(根據從Technet那邊得到的謠言, MS的修補程式會在幾天內出現在MU / WU上).
如果堅持要用的話,
eEye有推出patch:
[url]http://research.eeye.com/html/alerts/zeroday/20070328.html[/url]
[url]http://www.eeye.com/html/research/tools/WindowsANIZeroDayPatchSetup.exe[/url]

Symantec建議不要連結以下幾個網站:
1.520sb.cn
220.71.76.189
222.73.220.45
55880.cn
81.177.26.26
85.255.113.4
bc0.cn
count12.51yes.com
count3.51yes.com
d.77276.com
fdghewrtewrtyrew.biz
i5460.net
jdnx.movie721.cn
newasp.com.cn
s103.cnzz.com
s113.cnzz.com
ttr.vod3369.cn
uniq-soft.com
wsfgfdgrtyhgfd.net
04080.com 33577.cn
h3210.com hackings.cn
koreacms.co.kr
macrcmedia.com
macrcmedia.net
ncph.net
xx.cn
2007ip.com
microfsot.com

此外台灣有幾個網站已經被入侵植入惡意程式碼:
臺安醫院生殖醫學中心網站
ESPNSTAR 體育台網站
台灣 Nikon 網站
東風電視台網站
台灣電子地圖服務網網站

大致是這樣.
總之要防範這次的攻擊做法一樣:
使用防火牆與防毒軟體
不要連結可疑的網站或開啟可疑的email.
經常使用Microsoft Update / Windows Update.
經常更新防毒軟體的病毒碼.

有進一步的消息我會在寫出來.

感謝所有報導及提供防範方法的網站及團體,
以及juichang在twed2k[url=http://twed2k.org/viewthread.php?tid=163298&extra=page%3D1]最先提起[/url]此問題. [/quote]

儲存草稿｜恢復草稿｜...

文章關鍵字 : [功能說明]
(關鍵字可加強搜索準確性, 如關鍵字多於一組, 請以 , 作分隔, e.g. : 阿笨,shiuh,第一笨)

關閉 URL 識別 | html 禁用
關閉表情符號 | 表情符號可用
關閉 Discuz! 代碼 | Discuz! 代碼可用
使用個人簽名
接收新回覆信件通知

推薦放檔網絡空間

檔案(Torent, zip等)

圖片(JPG, GIF等)

>>>歡迎推薦好用空間

ithinkurdumb

發表於 2007-4-2 04:44 AM

MS在3/31公布了一個Windows Animated Cursor Handling中的弱點,
在4/1就出現了零時差攻擊.

原始MSA: http://www.microsoft.com/technet/security/advisory/935423.mspx

* * * *

要防範這次的攻擊做法和其他威脅一樣:
使用防毒軟體 (擋住木馬) 與防火牆 (即使中了木馬也可以防止駭客進一步控制電腦).
不要連結可疑的網站或開啟可疑的email.
經常使用Microsoft Update / Windows Update.
經常更新防毒軟體的病毒碼.

關於這次的Windows弱點,
簡單來說,
就是Windows在讀取動態游標 (ANI) 檔案時,
沒有做完整的檢查.
導致惡意的網站可以在ANI檔案中暗藏程式碼,
進而取得和目前使用者相同的權限.

目前絕大多數更新病毒碼的防毒軟體都能找到這個問題.
Vista + IE7或是Outlook 2007的使用者不會受到影響,
但是Vista不會受影響的先決條件是必須在Protected Mode下執行 (要開UAE的意思) = =

在微軟還沒正式釋出更新之前,
避免連結不值得信任的網站 (各種crack, porn site最可能),
以及避免打開可疑的email (Outlook Express和Outlook XP / 2003).
MS也建議使用者不要使用3rd party的修補程式.
(根據從Technet那邊得到的謠言, MS的修補程式會在幾天內出現在MU / WU上).
如果堅持要用的話,
eEye有推出patch:
http://research.eeye.com/html/alerts/zeroday/20070328.html
http://www.eeye.com/html/researc ... roDayPatchSetup.exe

Symantec建議不要連結以下幾個網站:
1.520sb.cn
220.71.76.189
222.73.220.45
55880.cn
81.177.26.26
85.255.113.4
bc0.cn
count12.51yes.com
count3.51yes.com
d.77276.com
fdghewrtewrtyrew.biz
i5460.net
jdnx.movie721.cn
newasp.com.cn
s103.cnzz.com
s113.cnzz.com
ttr.vod3369.cn
uniq-soft.com
wsfgfdgrtyhgfd.net
04080.com 33577.cn
h3210.com hackings.cn
koreacms.co.kr
macrcmedia.com
macrcmedia.net
ncph.net
xx.cn
2007ip.com
microfsot.com

此外台灣有幾個網站已經被入侵植入惡意程式碼:
臺安醫院生殖醫學中心網站
ESPNSTAR 體育台網站
台灣 Nikon 網站
東風電視台網站
台灣電子地圖服務網網站

大致是這樣.
總之要防範這次的攻擊做法一樣:
使用防火牆與防毒軟體
不要連結可疑的網站或開啟可疑的email.
經常使用Microsoft Update / Windows Update.
經常更新防毒軟體的病毒碼.

有進一步的消息我會在寫出來.

感謝所有報導及提供防範方法的網站及團體,
以及juichang在twed2k最先提起此問題.