【IT168 专稿】当我们这些忙碌的网络管理员迎来新的月份的时候,安全界的漏洞和缺陷再次暴露,与之相关的补丁也应运而生,可以丝毫不夸张的说漏洞攻击与安全防范永远是不停息的战斗。下面就让各位IT168的读者跟随笔者来看看本月第一周出现的安全事件吧。
一、老病新犯——IE6漏洞再现微软迅速回应
根据美国计算机突发事件应付小组(US-CERT)和安全机构SecurityFocus的报告,以及微软安全响应中心的回应,IE6中关键的ActiveX数据对象(ADO)数据库控制(ADODB.Connection)存在缺陷,该漏洞可导致内存溢出,进而造成整个浏览器崩溃。
实际上此漏洞早在7年前就被某技术人员发现于Office 2000的VBA宏中,因此本次漏洞问题可以说是老病新犯了。
漏洞危害——通过此漏洞攻击者只需要6个指令长度的JavaScript,就能造成错误的SQL声明,轻易使ADO控制过载,从而可以通过IE6远程执行恶意代码。
漏洞后果——微软认为该漏洞的危险等级并不高,只会被恶意攻击者用来实施强迫下载。
漏洞解决——一般情况微软将在下周的月度安全补丁日中修复这一漏洞。不过目前该漏洞如何解决呢?实际上作为暂时性的预防措施,各位用户可以在浏览器中禁用ActiveX插件的加载来解决。
二、漏洞百出——IE7迎来第三个漏洞:
万众期待的IE7从19日发布到现在还不足半个月,安全漏洞已经出现三个。我们在上两周的“每周问安”栏目中已经介绍过之前发现的两个安全漏洞了。
第三个安全漏洞属于Windows注入缺陷,该漏洞会导致合法网站被破坏。利用该漏洞黑客可以构造出特殊代码,然后利用自己的网站替换掉正常的网站。另外如果目标网站的窗口标题是已知的,就可以将另一个网站的内容注入其中,恶意网站可以籍此替换掉可信任网站弹出窗口的内容进而欺骗用户。感兴趣的读者可以到http://secunia.com/multiple_browsers_window_injection_vulnerability_test/这个演示页面查看具体漏洞现象。
漏洞解决——和第二个IE7漏洞一样这次还是浏览器对弹出窗口的控制问题出现了瑕疵。虽然IE7本可以抵御利用新漏洞发起的攻击,不过如果黑客配合利用之前的第二个漏洞,IE7就无能为力了。当然如果开启IE7的弹出窗口屏蔽功能,可以在很大程度上弥补这一漏洞,因此开启弹出窗口屏蔽功能后此问题可以解决。
小提示:
实际上这个漏洞不光存在于IE7中,反而在IE7中可以通过一些必要手段来避免。而其他浏览器诸如旧版的IE6和Firefox 1.5以及同样刚发布的Firefox 2.0也都存在这一漏洞,尤为严重的是Firefox 1.5即使开启弹出窗口屏蔽功能也无济于事。
三、火狐也不保险——Firefox 2惊现第二个安全缺陷
|
Firefox可以说是最流行的浏览器之一,他和IE浏览器堪称浏览器的双雄。随着IE7的发布,Firefox 2也随之腾空出世。然而Firefox 2也不可避免的出现了漏洞,日前Firefox 2浏览器被发现存在第二个会引起它崩溃的安全缺陷。相关人士发布该缺陷是与与Firefox 2处理JavaScript代码的方式有关。浏览恶意的Web网页会造成Firefox 2退出,令人庆幸的是这一缺陷不能被用来运行恶意代码。
不过本周四Mozilla基金会的官员表示,在火狐2.0网络浏览器中发现的第二个缺陷将被解决,用户将不会再遇到更多这样的问题。针对该问题的补丁也将在近日发布,另外安全研究人员也宣称尽管这次发现的缺陷可能导致浏览器软件崩溃,但这一缺陷不会被复制,不会对用户造成任何影响。
四、苹果电脑凑热闹——再暴两个安全隐患
日前,一家安全研究机构表示,苹果电脑中再次暴发无线安全漏洞,该漏洞可能导致黑客的攻击。此次发现的漏洞存在于苹果Airport中。据安全工具Metasploit开发者莫尔先生透露在1999到2003年阶段发布的任何一款PowerBooks以及iMacs苹果笔记本中都可能存在Airport安全问题。
当然为了对该漏洞发起攻击,黑客必须与目标电脑处于同一无线网络中,然后向其发送恶意数据包,该攻击将导致苹果电脑内存板块的瘫痪。
漏洞解决——前苹果已经开始对该漏洞进行调查,在一份官方声明中苹果发言人表示该漏洞仅仅存在于很早之前的整合Airport功能的Mac笔记本,而安装最新Airport Extreme的Mac电脑是绝对安全的。所以对于存在此漏洞的Mac笔记本恐怕苹果公司还没有给出有效的解决方案。
另外近日苹果公司发布了升级包,意图解决意外关机的问题。该问题最早是在7月份被发现的,已经有1500多名用户登录Macbookrandomshutdown.com网站报告了自己的问题。而针对此问题的升级包解决了长期以来一直存在的MacBook笔记本电脑意外关机的问题。MacBook SMC Firmware Update 1.1解决了在过去4个月来一直困扰MacBook笔记本电脑用户的一个问题,苹果公司建议MacBook用户安装此升级包。
五、建行网银改版引发登录故障
随着IE 7浏览器和Firefox 2浏览器的发布,网络访问的安全性和稳定性再次提高。然而网上银行却在新版浏览器诞生后出现了安全问题。
四大银行的建设银行网上银行最近刚刚改版,然而却频频出现无法支付的问题,更令人郁闷的是,建行网银新版竟然和IE7(以及FireFox)有兼容性问题。IE 7的用户无法进入建设银行网上银行的支付页面,页面信息显示不完整的情况严重影响了消费者使用。
目前建设银行还没有针对此问题进行解决,所以对于出问题的消费者来说我们只能返回到IE 6或者Firefox浏览器去访问和登录。