Mozilla更新Firefox免遭QuickTime漏洞波及

Mozilla更新Firefox免遭QuickTime漏洞波及

此一更新肇因於蘋果尚未修補的QuickTime漏洞,研究人員Petko D. Petkov上周公布QuickTime漏洞的概念性驗證程式,並指出該漏洞會影響Firefox。

Mozilla周二(9/18)發表Firefox 2.0.0.7版,刪去Firefox中自命令列執行任意程式的功能,以避免受到蘋果QuickTime漏洞的影響。

此一更新肇因於蘋果尚未修補的QuickTime漏洞,研究人員Petko D. Petkov上周在部落格中公布QuickTime漏洞的概念性驗證程式,並指出該漏洞會影響Firefox。Mozilla安全長Window Snyder在同一天就作出了回應,證實當使用者透過Firefox執行QuickTime惡意媒體檔案時,駭客就可能利用QuickTime中的漏洞危害Firefox或是使用者電腦。

Window Snyder說,由Petko D. Petkov所提供的概念性驗證程式很容易就能轉成攻擊程式,因此使用者應要正視此一問題。

Mozilla在安全報告中指出,QuickTime的漏洞可能讓視窗作業系統執行具備命令列功能的預設瀏覽器,如果使用者預設的瀏覽器是Firefox 2.0.0.6或更早的版本,駭客就可能取得使用者權限,進而安裝惡意程式、竊取電腦資料,或是損毀使用者系統。

更多文章:趨勢科技最新八月份資安威脅報告出爐

Mozilla的更新在該漏洞概念性驗證程式現身的6天內就出爐,Window Snyder指出,當業者快速修補安全漏洞時,就降低了駭客花時間去建置及部署攻擊程式的意願。Window Snyder也特別感謝以個人身份對修補此漏洞提供協助的蘋果員工。

Petko D. Petkov說,早在去年他就揭露了兩個重要的QuickTime漏洞,其中一個已被修補,另一個則完全被忽略,他曾經不止一次強調該漏洞的重要,但卻無人理會,因此,他決定公開展示一個被視為低風險的漏洞也能很輕易地變成高度威脅的攻擊。

雖然是由QuickTime所引發,但目前蘋果尚未針對此事發表官方聲明。(文:資安之眼

Adobe修補Reader及Acrobat漏洞

Adobe修補Reader及Acrobat漏洞

Adobe指出,該漏洞僅影響同時安裝XP及IE7的作業系統,而受影響的Adobe產品涵蓋Adobe Reader 8.1/ 7.0.9、Adobe Acrobat Professional等。

Adobe在周一(10/22)釋出更新程式修補Reader及Acrobat漏洞。

該漏洞是由安全研究人員Petko Petkov於9月20日所揭露,駭客只要透過惡意的PDF檔案就能利用該漏洞掌控使用者電腦。

Adobe指出,該漏洞僅影響同時安裝XP及IE7的作業系統,而受影響的Adobe產品涵蓋Adobe Reader 8.1/ 7.0.9、Adobe Acrobat Professional等,Adobe呼籲使用者儘快更新到Adobe Reader 8.1.1或Acrobat 8.1.1。

不過,此一漏洞似乎不僅是Adobe的責任。微軟在10月10日發表一安全通知,承認Windows XP及Windows Server 2003兩大作業系統錯誤處理統一資源標誌符(Uniform Resource Identifier,URI),並承諾將進行修補。

URI為專門用來辨識位置、資源或通訊協定的字串,微軟視窗會分析一個URI來確定處理通訊協定的適當程式,US-CERT說明,IE 7改變了視窗分析URI的方式,這造成視窗在分析一個URI並找出適當程式時判斷錯誤,而使得駭客可在遠端執行任意命令。

此一微軟漏洞同時也波及Mozilla的Firefox瀏覽器,Mozilla在今年7月旋即修補該漏洞,並坦承Mozilla也應該負責。

微軟安全回應中心Jonathan Ness在部落格中指出,微軟修補該漏洞的其中一個原因是網路上持續新增如何攻擊該漏洞的討論。此外,除了微軟自行修補外,他們也建議其他應用程式開發商檢視自己程式中確認外來指令的能力。

更多文章:賽門鐵克提出藍芽安全警告

賽門鐵克提出藍芽安全警告

賽門鐵克提出藍芽安全警告

隨著藍芽迅速成為行動設備上的標準功能,使用者需要注意相關的安全問題,並懂得自我保護。

根據InsightExpress進行的一項研究表明,73%的行動設備使用者不知道藍芽安全問題會使手機、筆記型電腦等行動設備受到安全攻擊。對於這些用戶而言,『bluejacking、bluesnarfing、bluebugging』這些辭彙都很陌生。

賽門鐵克新加坡公司的高級安全顧問Ooi Szu-Khiam在接受電子郵件採訪時說,其他還有許多發動拒絕服務攻擊(DoS)的方法,攻擊者甚至能夠竊聽私人通話。Ooi指出,在過去的一年中出現了大量的手機病毒、蠕蟲及特洛伊木馬問題。

Ooi表示,儘管尚未產生如PC惡意程式般的嚴重損害,但其發展之速度讓人憂慮。

Bluejacking也被稱作是bluespamming,是一種透過藍芽發送匿名簡訊的技術。開啟藍芽的手機能夠藉由搜索並發送簡訊到其他藍芽手機,Ooi解釋。

儘管取名為Bluejacking,但攻擊者無法真的綁架手機或竊取其內資料,僅能發送簡訊,如同垃圾郵件一般,受信方可以忽略、回應或刪除這些不請自來的訊息。儘管Bluejacking會帶來大量惱人的垃圾簡訊,但只能算是一種很小的安全威脅。

但是,Bluesnarfing卻是一種更危險的技術,駭客能夠在使用者不知情下竊取儲存在行動設備上的資訊,Ooi說。

此技術利用了一些舊版藍芽手機中的安全漏洞,使駭客能夠在用戶不知情下存取或者複製其資料。Ooi指出,只要在藍芽傳輸距離內,攻擊者甚至可以在對方藍芽設備處於隱藏狀態(non-discovery)之下進行連接。儲存在手機上的任何重要資訊包括通訊錄、行事曆、電子郵件及簡訊,都有可能被竊取。

第三種威脅也可能是最為危險的就是bluebugging。此技術使駭客能夠在用戶不知情下利用藍芽技術存取手機的指令。Ooi解釋道,這個漏洞允許駭客撥打電話、讀寫通訊錄、竊聽電話、連接網際網路。與所有藍芽攻擊相同,駭客與目標手機的距離不能超過10公尺,但之前bluesnarfing只能讓駭客存取手機上儲存的個人資料,而bluebugging則能完全夠控制藍芽手機。

為了確保藍芽設備的安全,用戶可以建置各種手機安全產品,包括防毒、防火牆、反垃圾簡訊及資料加密技術。Ooi說,這種多層的安全控管不僅能夠減輕手機的風險,同時使公司能夠更便利而經濟地符合內外安全政策。(編輯:資安之眼)

最後Ooi提供了藍芽手機使用者4個小提示:

  • 不需要時關閉藍芽
  • 保持隱藏狀態
  • 查核輸入的訊息
  • 使用密碼