MozTW 討論區
https://forum.moztw.org/

尚無更新的Windows漏洞,切勿用IE或OE訪問可疑網頁!
https://forum.moztw.org/viewtopic.php?f=2&t=5596		 1 頁 (共 1 頁)
發表人:  訪客 [ 2005-01-05, 17:29 ]
文章主題 :  尚無更新的Windows漏洞,切勿用IE或OE訪問可疑網頁!
尚無補丁的Windows漏洞[12月23日],切勿用IE訪問可疑網頁!


原文摘自日經BP網:

【日經BP社報道】在Windows中新發現的多個安全漏洞,12月23日以後已先後在互聯網上公開。這是一些只要用戶讀入被人做了手腳的圖像和幫助文件,就能執行惡意程序的危險安全漏洞。而且攻擊這些漏洞的檢驗代碼也已公開。受影響的系統包括Windows NT/2000/XP/Server 2003。有的安全漏洞還會影響到Windows XP SP2。微軟目前尚未公開相關的安全信息和補丁程序。其對策是不要訪問可疑的網頁和文件。

  在安全郵件列表等網頁上公開的安全漏洞包括如下3種:(1)與ANI(Windows動畫光標)文件處理有關的Windows內核漏洞;(2)LoadImage API存在的緩存溢出漏洞;(3)winhlp32.exe存在的緩存溢出漏洞。所有漏洞均會影響到Windows NT/2000/XP/Server 2003。不過,Windows XP SP2會受影響的只有漏洞(3)。

  對於漏洞(1),只要用戶讀入被人做了手腳的ANI文件,Windows就會死機。而漏洞(2)方面,只要用戶讀入做了手腳的圖像文件(.bmp,.cur,.ico,.ani),就會執行嵌入文件的任意程序。假如圖像文件粘貼到了網頁和HTML郵件中,那麼用戶只要在IE等瀏覽器上顯示它們,就會中招。

  對於漏洞(3),用戶只要讀取做了手腳的幫助文件(.hlp),就能像漏洞(2)那樣執行任意程序。

  而且每個漏洞方面,詳情均已公開。再加上演示攻擊安全漏洞的檢驗代碼也已公開,因此今後被人濫用的可能性非常高。

  在補丁程序尚未公開的情況下,其對策只能是遵守安全常識,比如,“不訪問可疑網頁”,“不顯示HTML郵件”,“不瀏覽可疑文件”。就連業界安全團體美國SANS Institute都發表《I'm not dreaming of a 0-day Xmas》文章呼籲用戶多加注意,提高警惕!(記者:勝村 幸博)

■日文原文 Windowsにパッチ未公開の危険なセキュリティ ホール,信頼できないページへのアクセスは禁物

相關報導:

趕快升級! Windows Media Player 9發現漏洞

IE跨站腳本執行漏洞 可偽裝網頁或竊取Cookie

Windows發現多處漏洞 趕快運行Windows Update
發表人:  訪客 [ 2005-01-05, 20:45 ]
文章主題 : 
Anonymous 寫:
尚無補丁的Windows漏洞[12月23日],切勿用IE訪問可疑網頁!


原文摘自日經BP網:

【日經BP社報道】在Windows中新發現的多個安全漏洞,12月23日以後已先後在互聯網上公開。這是一些只要用戶讀入被人做了手腳的圖像和幫助文件,就能執行惡意程序的危險安全漏洞。而且攻擊這些漏洞的檢驗代碼也已公開。受影響的系統包括Windows NT/2000/XP/Server 2003。有的安全漏洞還會影響到Windows XP SP2。微軟目前尚未公開相關的安全信息和補丁程序。其對策是不要訪問可疑的網頁和文件。

  在安全郵件列表等網頁上公開的安全漏洞包括如下3種:(1)與ANI(Windows動畫光標)文件處理有關的Windows內核漏洞;(2)LoadImage API存在的緩存溢出漏洞;(3)winhlp32.exe存在的緩存溢出漏洞。所有漏洞均會影響到Windows NT/2000/XP/Server 2003。不過,Windows XP SP2會受影響的只有漏洞(3)。

  對於漏洞(1),只要用戶讀入被人做了手腳的ANI文件,Windows就會死機。而漏洞(2)方面,只要用戶讀入做了手腳的圖像文件(.bmp,.cur,.ico,.ani),就會執行嵌入文件的任意程序。假如圖像文件粘貼到了網頁和HTML郵件中,那麼用戶只要在IE等瀏覽器上顯示它們,就會中招。

  對於漏洞(3),用戶只要讀取做了手腳的幫助文件(.hlp),就能像漏洞(2)那樣執行任意程序。

  而且每個漏洞方面,詳情均已公開。再加上演示攻擊安全漏洞的檢驗代碼也已公開,因此今後被人濫用的可能性非常高。

  在補丁程序尚未公開的情況下,其對策只能是遵守安全常識,比如,“不訪問可疑網頁”,“不顯示HTML郵件”,“不瀏覽可疑文件”。就連業界安全團體美國SANS Institute都發表《I'm not dreaming of a 0-day Xmas》文章呼籲用戶多加注意,提高警惕!(記者:勝村 幸博)

■日文原文 Windowsにパッチ未公開の危険なセキュリティ ホール,信頼できないページへのアクセスは禁物

相關報導:

趕快升級! Windows Media Player 9發現漏洞

IE跨站腳本執行漏洞 可偽裝網頁或竊取Cookie

Windows發現多處漏洞 趕快運行Windows Update



“不訪問可疑網頁”,“不顯示HTML郵件”,“不瀏覽可疑文件” 連hlp檔都不能開, 太誇張了, 實在有點強人所難... :roll:

真的是, 換個瀏覽器& EMAIL Client比較快... 雷鳥1.0中文版快點給我飛出來吧~~
發表人:  訪客 [ 2005-01-05, 20:52 ]
文章主題 : 
如果看一個Jpeg圖檔都有可能被植入惡意程式的話, 那實在是恐怖到了極點...

我有一個問題, 請問 Firefox Windows版有沒有可能受到這個Windows 2000/XP的漏洞受到不良影響呢? 我猜應該不至於吧???
發表人:  wenjong [ 2005-01-05, 21:05 ]
文章主題 : 
發文者轉貼這篇文章的意義為何呢?
是說就算用Firefox,在Windows下也會因為IE元件的關係而不安全
要到其它的OS才安全嗎???

還是要提醒大家趕快去做Windows Update呢?(這跟Firefox討論好像扯不上關係吧) :?
發表人:  訪客 [ 2005-01-05, 22:50 ]
文章主題 : 
wenjong 寫:
發文者轉貼這篇文章的意義為何呢?
是說就算用Firefox,在Windows下也會因為IE元件的關係而不安全
要到其它的OS才安全嗎???

還是要提醒大家趕快去做Windows Update呢?(這跟Firefox討論好像扯不上關係吧) :?


意義是: 尚無更新的Windows漏洞,切勿用IE或OE訪問可疑網頁

Thanks...
發表人:  訪客 [ 2005-01-06, 00:09 ]
文章主題 : 
日經BP網的原文標題是:
「尚無補丁的Windows漏洞,切勿訪問可疑網頁!」

內文提到「那麼用戶只要在IE等瀏覽器上顯示它們,就會中招」。

那用 Firefox 是否就會比較安全呢?
發表人:  訪客 [ 2005-01-06, 01:50 ]
文章主題 : 
Anonymous 寫:
日經BP網的原文標題是:
「尚無補丁的Windows漏洞,切勿訪問可疑網頁!」

內文提到「那麼用戶只要在IE等瀏覽器上顯示它們,就會中招」。

那用 Firefox 是否就會比較安全呢?


http://www.xfocus.net flashsky 貼的咚咚裡面有測試...:>
發表人:  訪客 [ 2005-01-06, 01:50 ]
文章主題 : 
Anonymous 寫:
日經BP網的原文標題是:
「尚無補丁的Windows漏洞,切勿訪問可疑網頁!」

內文提到「那麼用戶只要在IE等瀏覽器上顯示它們,就會中招」。

那用 Firefox 是否就會比較安全呢?


http://www.xfocus.net flashsky 貼的咚咚裡面有測試...:>
1 頁 (共 1 頁) 所有顯示的時間為 UTC + 8 小時
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/