2005網路安全[轉]
 

去年資安事件風雨不斷
今年各位還是得繼續努力
方得保全家安寧

Windows XP面臨木馬威脅
http://taiwan.cnet.com/enterprise/t...20095346,00.htm

CNET新聞專區：Robert Lemos　　2004/12/30

網路駭客放出一種可以感染Windows XP個人電腦的木馬病毒（Trojan horse），這隻病毒會安裝可遙控受害電腦的程式。

這個程式名為Phel──是由Help一字的字母重組而來，使用者透過IE的「說明」功能而上到藏有惡意病毒的網站時就會受到感染，賽門鐵克在本週裡提出如此的警告。同時賽門鐵克也表示，這個惡意程式裡的臭蟲可能會讓它無法感染某些電腦。

這隻特洛伊木馬利用了十月間所發現的一個漏洞──也就是IE及Windows XP SP2在處理網頁的說明檔呼叫時的漏洞。

但這個漏動和上週中國的安全公司所說的說明檔漏洞並不相關。針對上週的這個漏洞，微軟指謫這家中國的安全公司不負責任的公佈漏洞，讓微軟沒有機會開發修補的程式。

「微軟針對Phel的惡意程式做法律責任的分析，將與執法單位合作找出相關的惡意活動，並將相關人員繩之以法。」微軟發言人表示。

但微軟尚未針對10月間以及上週的漏洞發表修補程式，微軟表示，其程式設計師正努力在解決該問題。

「微軟非常重視這個漏洞，目前正在開發修補漏洞的更新程式。」微軟發言人表示。「開發與測試完成之後我們就會發表安全更新，更新程式將可以有效的修補該漏洞。」

2004年裡微軟在維護IE瀏覽器的安全上遇到了很大的問題。結果是，讓免費的開放原始碼瀏覽器Firefox拿下了市場佔有率。安全專家已經建議電腦使用者要考慮使用其他的瀏覽器，而一些學校也在教導學生使用非微軟的瀏覽器。(郭和杰)

這個是2004年底發現的漏洞
此種木馬驅動方式較為複雜
我覺得不用過份驚慌
但所謂安全升級的winsows xp sp2也似乎不大有用
漏洞一直冒出來
真是件有意思的事情

Firefox闖入微軟的雞舍
http://taiwan.cnet.com/news/softwar...20095366,00.htm

CNET新聞專區：授權採用NYTimes文章 Randall Stross　　31/12/2004

Firefox是所謂「十年寒窗，一夕成名」的典型範例。

由非營利機構Mozilla基金會所發布，仰賴成千上萬名自動自發的程式設計師之長，Firefox開放原始碼網頁瀏覽器執行速度快，而且許多功能是微軟龐大笨重的Internet Explorer所欠缺的。Firefox一下子就安裝妥當，而且不花一毛錢。

Firefox 1.0在11月9日推出，短短一個月內，該基金會就慶祝達到一個重要的里程碑：下載次數達到1,000萬次。迷哥迷姊慷慨解囊，樂捐出一筆錢，在紐約時報刊登兩版的****。

之前，最知名的、足以在技術上挑戰微軟巨人的開放原始碼計畫，當屬Linux作業系統。Linux也是免費的軟體，隨著參與錯誤回報與除錯的使用者增多而日益精進。但除非你是企業資料中心採購計畫的把關者，否則不大可能覺得自己有必要試用Linux。

隨著Firefox問世，開放原始碼軟體從後端辦公室乏人聞問的幕後，進駐到你家乃至於你父母的家(你在念大學的子女早就用了)。Firefox經過修飾、改良，如IE一樣容易上手，而且更令人難以抗拒的是，對病毒、蠕蟲和間諜程式的防禦力強太多了。

微軟總是把IE與Windows的緊密整合視為別具吸引力的特色，但那是在安全性尚未演變成當務之急的時候。Firefox體態輕盈，安置於Windows 平台之上，與底下的作業系統隔了一層，套句Mozilla基金會會長Mitchell Baker的話說，那構成「天然屏障」。

這是歷年來IE市占率首度流失。根據阿姆斯特丹全球資訊網分析公司OneStat.com在11月下旬所做的調查報告，IE的市占率已跌到89%，比5月時減少5個百分點。Firefox如今奪下將近5%的市場大餅，而且勢力範圍仍在擴張之中。

微軟Windows產品管理經理Gary Schare奉派接下這樁吃力不討好的任務，即解釋微軟面對應Firefox來勢洶洶，該怎麼以一個上回更新功能是在三年前的產品來反擊。他表示，IE現在的使用者若是考慮到「所有促使他們選用IE的因素」，就會繼續使用。選擇？有沒有搞錯。IE不是和Windows」綁在一塊的嗎？

Schare說，Mozilla的Firefox必須證明能順利地從1.0版邁向2.0版，目前為止不過是享受「免費搭便車」。

但話鋒一轉，Schare也宣稱，他和微軟都樂見Firefox加入「龐大的(Windows支援軟體)生態系」。事實上，Firefox保持中立，除Windows外也支援Mac和Linux。

Schare也許是微軟正式的發言人，但他自己私下也不用IE。他用的是Maxthon，由同名的一家小型軟體公司發布。此瀏覽器使用IE的引擎，但提供多種IE所無的功能。他說：「Tabs功能最讓我著迷。」意指可在單一視窗內開啟許多不同網站，且能輕鬆穿梭其間的功能，而不是像IE那般，每個網站都必須逐一開啟視窗，佔用電腦的記憶體。Firefox也有tabs，其他瀏覽器也一樣。但受基本設計抉局限，IE無法加入這項功能，除非把Windows徹底更新才行，但下一版Windows最快也要等到2006年才會完工。

微軟陷入這種困境，可能是風水輪流轉。1995年末，當時Netscape Navigator還是全球資訊網的同義詞，而IE尚未吸引多少採用者。微軟於是做了一個冒險、但事後證明是明智的策略決定，即由下而上徹底翻新IE的程式碼，套句行話就是「重新架構」( re-architecting)。誠如麻省理工學院的Michael A. Cusumano和哈佛大學的David B. Yoffie在1998年出版的《網際網路競爭：網景與微軟大戰的教訓》一書中所言，那個決定雖導致IE 3.0版延後推出，但卻產生技術上遠遠超越網景Navigator的成品。在第一次瀏覽器大戰中，比較強的瀏覽器勝利。

今天，換成IE的程式碼年久失修，有待從頭到尾重新設計，把安全性當作內部不可或缺的一環。相形之下，Firefox是程式碼嶄新、乾淨的挑戰者。網景把自家軟體贈予非營利性質的Mozilla基金會，後者循開放原始碼模式，展開為期三年的改造工程。Firefox便是建立在Mozilla的基礎上。

然而，微軟所能提供IE使用者的，只是零零碎碎的程式更新和安全補釘。微軟聲稱為重大安全改良的Windows XP更新組件第二版（SP2）會顯示一則訊息，即使用者若在IE做了某個動作觸動ActiveX小程式下載，可能導致那個程式控制你的電腦，最慘的情況是硬碟資料被消除。「使用者仍得根據訊息做決定，」Schare說。但若是用Firefox，使用者無須每遇上這類小程式就得做決定，因為預設環境一律把它們阻擋在外。

安全議題權威兼Counterpane Internet Security技術長Bruce Schneier毫不保留他對微軟誇稱IE已改良的不滿。他說：「當我母親看到『你想下載這個程式嗎？』，她當然會說要。微軟提供這麼些工具，讓你自己上弔，等到出事了就說是你自己的錯，實在很虛偽。」他耳提面命地勸客戶(和他的老母)：「別再用微軟Internet Explorer，就是這麼簡單。」他一直用Opera瀏覽器，但試用過Firefox後，宣告這是「很棒的替代品」。

本月，賓州大學以安全問題揮之不去為由，建議該校學生和教職員停用IE。聲明中說：「種種威脅相當棘手，況且已有替代選擇。」

網際網路技術日新月異，IE程式碼是在「古早」的年代寫成，當時少有人考量到要防範惡徒入侵。受陷於此，微軟能做的有限。該公司並未提供新的獨立版IE，相反地，死忠用戶必須下載、安裝最新版的SP2。那需要有Windows XP。對於仍在用舊版Windows而且想繼續使用IE的人士而言，不啻是進退兩難。

Schare則對無法使用SP2加強安全性的用戶有個建議：買一台全新的個人電腦。若依此推論，那麼汽車門鎖壞了產生安全問題，就得買一輛新車來解決嗎？但汽車比喻直接出自Schare之口，他說：「這就像買車，若你想得到最新的安全功能，就得買最新款的。」

照這種說法，最新的是2004年款的Firefox，而不是2001年款的Internet Explorer。

WINDOWS的漏洞很多是從IE上跑出來的
我的SUS上有IE5/5.5/6的中英文PATCH一共1237個
IE6就佔725個
MS說過IE是WINDOWS不可分割的一塊
結果就是死整串的
之前我也說過很多次
一般上網用3RD PARTY的瀏覽器
有必要再換回IE
這樣才能常保安康

2004版在此
http://www.pcdvd.com.tw/showthread.php?t=344066

2005年搶第一.....

靖國神社網站 遭中國駭客鎖定
http://tw.news.yahoo.com/050107/44/1cr2c.html

日本靖國神社，因為奉祀二戰戰犯，再加上首相小泉純一郎，每年都去參拜，導致靖國神社的網站，長期遭中國駭客鎖定攻擊。

飽受困擾的靖國神社，最近在網頁上刊登啟事以及抗議聲明，呼籲駭客停止攻擊網站。

據了解，靖國神社的網站從２００１年小泉首次參拜後，就遭到駭客攻擊，曾在一分鐘之內遭到九十萬次的攻擊。

去年十二月底中國有不少網站發起了，在元旦攻擊靖國網站的活動，果然又讓網站數度癱瘓。

而根據靖國神社的調查，幾乎所有的攻擊來源都是來自中國。

嗯
紅軍人多勢壯
阻斷服務一級棒
首頁置換顯威名

中國政府強力管制網路色情政治
反而不管人民胡亂對外攻擊
真是好榜樣

微軟也要搞anti-spyware軟體了......
http://www.3dspeed.com.tw/lb5000xp/...topic=75&show=0
該怎麼解釋才比較好？？

這是資安趨勢
但只要微軟一進來
事情就很可能會更複雜了

意思是把這套軟體內含在內，強迫使用？

內含者一定功能陽春

問題微軟財大勢大
beta免費試用
技術併購之後
進步速度極快
一般公司無法與之抗衡
一些老牌公司跟ms有技術交流
所以ms防毒才一直沒出
這ms資安領域一擴張 (for personal)
那真的是廠商人人自危
沒人敢講類似os, browser之爭的狀況會不會再次出現

IE安全威脅升到最高點
http://taiwan.cnet.com/news/softwar...20095552,00.htm

NEWS.COM : Dawn Kawamoto　　10/01/2005

在網路公布駭客範本程式之後，資安公司警告，Internet Explorer瀏覽器三個尚未有修補程式的安全漏洞已變得極其危險。

Secunia周五（7日）把這三個安全漏洞的警戒層級提昇到「極為危急」，是該公司最高等級。Secunia技術長Thomas Kristensen說，這三個漏洞影響IE第六版，可能讓駭客把間諜程式、色情電話撥號器等程式偷偷植入別人的電腦，再加以執行，受害者可能渾然不知。

其中一項漏洞出在HTML說明檔的控制上，12月21日GreyHats Security Group就把示範如何利用此漏洞的範本程式公告在網路上。

「我們把漏洞提昇到極為危急等級的先決條件，是外頭必須有可用的範本程式，而且是不需要使用者手動的程式，」Kristensen說：「這是本公司最高的警戒層級，也是最後一次提醒使用者亡羊補牢。」

Secunia 說，此範本程式可用來攻擊使用Windows XP作業系統的電腦，即便已安裝SP2安全更新組件，也會受影響。該公司建議民眾，在微軟發布解決問題的修補程式之前，最好先解除IE的Active X支援，以防萬一。Secunia也建議使用者改用別的瀏覽器產品。

Secunia也在安全通告中警告，另一項HTML說明控制的漏洞，一旦與拖曳的漏洞結合，可能被駭客利用來攻擊個人電腦，儘管那需要受害者合作才行。該公司早在去年10月就首度發布這三大安全漏洞的警示訊息。

「微軟早在10月就已獲知此事，」Kristensen說：「依我之見，拖了兩個月之久，特別是在外頭已把漏洞鉅細靡遺地公諸於世之後，竟然還未發布可用的修補程式，實在說不過去。」

微軟則表示，正在研究已公諸於世的範本報告，並解釋IE修補程式遲遲未發布，是因為製作有效的修補程式需要浩大的工程。

微軟一名發言人說：「安全回應需要在時機與測試之間取得平衡，而微軟只會在設計妥當並儘可能徹底測試過之後，才會發布程式更新。那可能耗時一天、一周、一個月或更久。」他強調：「就安全反應而言，不完整的安全更新，若是效果差或反倒提醒惡意駭客注意新漏洞，恐怕比全無修補程式還糟。」

微軟建議使用者查閱該公司的安全瀏覽指南，並且把網際網路安全性設定為「高」級。微軟另鼓勵民眾繼續安裝SP2以使用自動安全更新功能。

Secunia也提供線上偵測服務，讓使用者在線上測試自己的電腦是否容易受「駭」。（唐慧文）

Firefox瑕疵升高網釣疑慮
http://taiwan.cnet.com/news/softwar...20095550,00.htm

安全專家警告，開放原始碼瀏覽器Firefox出現一種安全漏洞，可能導致使用者陷入網路釣魚（phishing）的陷阱。

資安公司Secunia周二（4日）公布Mozilla Firefox 1.0版的安全瑕疵細節。據指出，此弱點可能讓駭客在下載對話框裡的URL位址動手腳，以假亂真。使用者試圖自某網站做下載動作時，對話框即彈出。由於對話框裡的子網域與路徑的顯示不正確，會造成安全性露出破綻，給駭客趁機隱藏實際下載網址的機會。

軟體公司F-Secure防毒研究經理Mikko Hypponen說，新發現的漏洞可能害Firefox使用者遭網路惡徒欺騙。他說：「我們認為，此弱點最可能被利用來從事網路釣魚詐財。」

但要誘使受害者上當，駭客必須唆使Firefox使用者點閱電子郵件裡所附的連結，把他們帶往看似合法但實為仿冒的網站，然後從該網站下載惡意程式。

Secunia把這項安全瑕疵的嚴重程度評為五級中的第二級。

防毒公司Kaspersky Labs資深技術顧問David Emm則認為，網釣客不大可能利用Firefox這個瑕疵作亂，因為微軟的Internet Explorer仍是瀏覽器市場的主流。

「我認為，駭客不至於急著利用這種弱點，」Emm說：「畢竟Firefox的安裝率遠比IE來得小。駭客可能繼續把注意力擺在IE上。」

但過去數月來，Firefox已吸引民眾的注意力，久而久之可能造成未來局勢的改觀。

一項於去年11月底所做的市場調查報告發現，以Mozilla技術為基礎的軟體，包括Firefox在內，在11月份的瀏覽器市場拿下7.4%的占有率，比5月時的市占率上升5%。

已證實含有下載弱點的瀏覽器包括：Mozilla 1.7.3 for Linux、Mozilla 1.7.5 for Windows，以及Mozilla Firefox 1.0.。目前尚未有可得的修補程式，但Mozilla程式開發者可望在即將推出的最新版產品修補此瑕疵。

Secunia的安全通告和Mozilla的除錯報告皆可上網瀏覽。（唐慧文）

果真善舉！微軟將通過Update提供新殺毒軟體
http://tech.tom.com/1380/1858/2005110-152252.html

微軟公司6日宣佈，將通過Windows Update免費提供殺毒軟體Malicious Software Removal Tool，11日正式開始。

目前爲止，微軟已經免費提供了針對Blaster，Mydoom，Download.Ject等危害巨大的病毒的專殺工具，此次將集合所有單獨的專殺工具爲一個軟體提供下載。此外，新的殺毒軟體將在每月第二個星期二進行更新，以防止新病毒或現存病毒變種對系統造成威脅。不過微軟尚未明確說明這一殺毒軟體可以查殺何時爲止的病毒。

這一殺毒軟體通過Windows Update，包括Windows XP的自動更新功能提供給用戶。據稱，其中包含了2003年微軟公司收購的GeCAD軟體使用的技術。雖然軟體存在局限性，但微軟此次免費提供殺毒軟體，仍然會對安全業界有相當大的震動。

firefox果真好用？我也來試試。如果可行，乾脆把瀏覽器全換了。
省的每次都要提醒別人，不要亂上色情網站，而對方通常也不會承認。 :jolin:

New! WINDOWS UPDATE 2005/1/12

Security Bulletin MS05-001 Summary
http://www.microsoft.com/security/b...01_windows.mspx
CRITICAL * 2, IMPORTANT * 1