尚無補丁的Windows漏洞[12月23日]，切勿用IE訪問可疑網頁!


原文摘自日經BP網:

【日經BP社報道】在Windows中新發現的多個安全漏洞，12月23日以後已先後在互聯網上公開。這是一些只要用戶讀入被人做了手腳的圖像和幫助文件，就能執行惡意程序的危險安全漏洞。而且攻擊這些漏洞的檢驗代碼也已公開。受影響的系統包括Windows NT/2000/XP/Server 2003。有的安全漏洞還會影響到Windows XP SP2。微軟目前尚未公開相關的安全信息和補丁程序。其對策是不要訪問可疑的網頁和文件。

　　在安全郵件列表等網頁上公開的安全漏洞包括如下3種：（1）與ANI（Windows動畫光標）文件處理有關的Windows內核漏洞；（2）LoadImage API存在的緩存溢出漏洞；（3）winhlp32.exe存在的緩存溢出漏洞。所有漏洞均會影響到Windows NT/2000/XP/Server 2003。不過，Windows XP SP2會受影響的只有漏洞（3）。

　　對於漏洞（1），只要用戶讀入被人做了手腳的ANI文件，Windows就會死機。而漏洞（2）方面，只要用戶讀入做了手腳的圖像文件（.bmp，.cur，.ico，.ani），就會執行嵌入文件的任意程序。假如圖像文件粘貼到了網頁和HTML郵件中，那麼用戶只要在IE等瀏覽器上顯示它們，就會中招。

　　對於漏洞（3），用戶只要讀取做了手腳的幫助文件（.hlp），就能像漏洞（2）那樣執行任意程序。

　　而且每個漏洞方面，詳情均已公開。再加上演示攻擊安全漏洞的檢驗代碼也已公開，因此今後被人濫用的可能性非常高。

　　在補丁程序尚未公開的情況下，其對策只能是遵守安全常識，比如，“不訪問可疑網頁”，“不顯示HTML郵件”，“不瀏覽可疑文件”。就連業界安全團體美國SANS Institute都發表《I'm not dreaming of a 0-day Xmas》文章呼籲用戶多加注意，提高警惕！（記者：勝村 幸博）

■日文原文 Windowsにパッチ未公開の危険なセキュリティ ホール，信頼できないページへのアクセスは禁物

相關報導:

趕快升級！ Windows Media Player 9發現漏洞

IE跨站腳本執行漏洞 可偽裝網頁或竊取Cookie

Windows發現多處漏洞 趕快運行Windows Update

“不訪問可疑網頁”，“不顯示HTML郵件”，“不瀏覽可疑文件” 連hlp檔都不能開, 太誇張了, 實在有點強人所難...

真的是, 換個瀏覽器& EMAIL Client比較快... 雷鳥1.0中文版快點給我飛出來吧~~

如果看一個Jpeg圖檔都有可能被植入惡意程式的話, 那實在是恐怖到了極點...

我有一個問題, 請問 Firefox Windows版有沒有可能受到這個Windows 2000/XP的漏洞受到不良影響呢? 我猜應該不至於吧???

發文者轉貼這篇文章的意義為何呢?
是說就算用Firefox，在Windows下也會因為IE元件的關係而不安全
要到其它的OS才安全嗎???

還是要提醒大家趕快去做Windows Update呢?(這跟Firefox討論好像扯不上關係吧)

意義是: 尚無更新的Windows漏洞，切勿用IE或OE訪問可疑網頁

Thanks...

日經BP網的原文標題是：
「尚無補丁的Windows漏洞，切勿訪問可疑網頁!」

內文提到「那麼用戶只要在IE等瀏覽器上顯示它們，就會中招」。

那用 Firefox 是否就會比較安全呢？

看 http://www.xfocus.net flashsky 貼的咚咚裡面有測試...:>

看 http://www.xfocus.net flashsky 貼的咚咚裡面有測試...:>