http://www.microsoft.com/presspass/...rterPilotPR.asp
節錄
Simplified task management. With Windows XP Starter Edition, first-time home PC users can have up to three programs and three windows per program running concurrently. Further simplification of the operating system includes the display resolution set to 800x600 maximum and no support for PC-to-PC home networking, sharing printers across a network or more advanced features such as the ability to establish multiple user accounts on a single PC.
很棒對吧~~

承先前的#35
XP SP2的相關負面消息
看樣子
除了公司機關要暫停安裝外
個人層級在安裝前也要好好想想

"XP SP2漏洞陸續被發現"
http://taiwan.cnet.com/news/softwar...20091828,00.htm

安全研究人員表示已陸續找到微軟Windows XP SP2服務包中所存在的漏洞。

上周，德國Heise安全公司宣佈，他們發現Windows XP SP2服務包中存在兩個漏洞，可用來避開執行不受信賴程式時原本應該出現的警告訊息，這使得電腦入侵者更容易執行在受害者電腦上執行程式碼。

而漏洞評估商PivX的資深安全研究員Thor Larholm也表示陸續還有更多漏洞會被挖出來。Larholm從SP2程式檔公布後就開始偵測漏洞，並通知微軟相關議題，但不願進一步透露細節。

「我很確定未來幾週就可看到很嚴重的漏洞出現，幾個月後也會有蠕蟲避開SP2功能入侵。」他說。

Larholm之前幾年曾多次找出數十個Windows XP與IE瀏覽器的漏洞，之前還放了一個網頁專門公布微軟瀏覽器還沒補好的漏洞。

微軟則不願表示是否已經收到Windows XP SP2新漏洞的報告，僅表示該公司已開始瞭解Heise所提出的問題。

「安全回應中心已經開始瞭解這些報告，」一位公司代表表示，「這項功能原本是要保護用戶，不會執行來自不明來源的執行檔，目前我們還沒聽說有任何人可以藉著e-mail或瀏覽器來避開這項功能的。」

安全研究員也指出微軟雖然在SP2加入幾項新的安全技術，但還沒解決部分廣為人知的議題。比如防火牆雖然改善了，但任何在本地端執行的程式卻可避開防火牆的規範，eEye數位安全公司駭客長Marc Maiffret表示，這是多數個人防火牆程式都會碰到的問題。

Maiffret表示他們也已經開始分析微軟的安全更新，「我們看到一些很有趣的東西，但才剛開始進行一週而已。」

SP2遭發現漏洞的消息將使企業對升級Windows XP更加躊躇，之前就已經有許多公司表示會延後進行更新。

SP2的主要目的是強化Windows XP在處理網路資料，程式，網頁瀏覽以及電子郵件時的安全性。

去年8月11日的MSBlast病毒爆發以來，微軟經過一年多的努力，終於推出SP2服務包。微軟主席比爾蓋茲將SP2描述為Windows有史以來涉及面最廣的一次免費升級，公司已經承認，SP2的開發工作已經影響到了其他專案的進度，比如Longhorn等。

至於XP本身的漏洞，eEye的Maiffret認為更新程式本身是為了強化Windows XP安全性，而非找出作業系統中的全部漏洞。「微軟從沒說過SP2可以封掉所有的安全漏洞。」(李海/陳奭璁)

"SP2中文版九月中推出"
http://taiwan.cnet.com/news/softwar...20091843,00.htm

微軟Windows XP SP2中文版本預定在九月中開放下載。

台灣微軟將於下週二推出中文版的RTM(Ready to Manufacture，可視為正式版本)SP2，提供給本地軟硬體合作廠商。預定九月中開放一般企業或個人及家庭使用者下載正式版本。

SP2提供方法有二，線上下載者為80Mbytes，而完整版為270Mbytes，若使用者於線上訂購，微軟會以光碟形式免費寄出。

這個被認為是最重要的Windows XP更新版，最大的特色是在安全上做了強化。而其中又以防火牆Windows Firewall的預設開啟，導致許多連網應用，像是檔案分享、遠端存取（如FTP）、線上遊戲以及即時傳訊(IM)等，在SP2中都會被擋下來。

微軟日前發佈的「知識庫」文件中，詳列可能受到SP2影響而無法如以往正常運作的軟體，甚至包括微軟自己的產品。

「這不應該被視為衝突或不相容，」負責SP2的台灣微軟資深產品行銷經理陳宣霈指出，「在Windows Firewall啟動的情形下，這種通訊被阻斷的情況本來就一定會發生。」

她指出，其實只要是合法的存取流量，SP2使用者可以很輕易將之恢復連接。以Windows Messenger為例，在第一次開啟使用者，作業系統會跳出對話框是否要使用，一旦使用者按下「是」的選擇，則Windows Messenger就會被加入SP2的「例外清單中」。陳宣霈表示，使用者也可以選擇在Windows Firewall中自行決定哪些通訊埠需要打開，藉此允許流量的進入。

「SP2和過去不相同的，就是特別考慮安全。」陳宣霈強調，而這個改變也將影響軟體開發商(ISV)的思維，未來ISV們也不能只考慮便利性，也必須考慮安全。

以防毒軟體賽門鐵克為例，過去該公司防毒軟體並不讓其他軟體監測其運作，但為了符合SP2「資訊安全中心」(security center)的設計，必須開放作業系統蒐集訊息，以知道使用者是否更新病毒碼。賽門鐵克表示SP2使用者在下載更新版，就不會有不能運作的問題。

至於本地ISV，微軟表示已透過MSDN或研討會提供相關訊息，作為修改憑藉。

微軟指出，企業自行開發的應用是最有可能在SP2環境下發生問題的，因此呼籲企業進行測試。對於大型企業，微軟表示已提供微軟技術中心(MTC)相關技術人員協助相容性測試。

不過在企業或個人使用者下載SP2後，不可避免會因為軟體不能使用，或得做修改動作而有抱怨。陳宣霈表示，微軟客服中心或支援人員，都已展開SP2的訓練，協助解決問題。

「我不會說這是抱怨，但是企業為了安全，一定要面臨使用經驗的改變。」她說。

題外話，現在看來2000是不是比交安全，好像XP一直出事，小弟是用2000

2000/XP系統核心相近
一樣是用IE
不補洞一樣慘

整體來講 (SOFTWARE UPDATE SERVICE)
2000在SUS上有2105個中英文PATCH
XP在SUS上有1761個中英文PATCH
IE6在SUS上有557個中英文PATCH
很恐佈對吧
但一般人需要裝的
了不起裝個30個左右的CRITICAL UPDATE吧

"網路騙術工具箱免費下載中…"
http://taiwan.cnet.com/news/softwar...20091869,00.htm

若干網站現正提供網友免費下載網路騙局的「釣魚工具箱」，內含構建假網站所需的所有圖片、網頁編碼和文字內容。

安全公司Sophos表示，這個工具箱可讓使用者設計出看似合法的銀行網站，用來詐騙不知情的使用者透露個人帳戶的詳細資料。Sophos的資深科技顧問Graham Cluley說：「只要提供業餘者必要的工具，攻擊的次數有可能將持續上升。」

Sophos警告，許多這類的工具箱同時含有垃圾郵件軟體，讓潛在的騙徒寄發數千封可直接連到假網站的釣魚郵件。Cluley說：「這種”自設騙局”工具箱的出現，代表現在任何人都可以假造擬真的銀行網站，取信顧客透露敏感的資料，例如他們的密碼。」

許多網路銀行的網站，現在都帶有呼籲使用者不要打開任何疑似詐騙郵件的訊息，並且在收到可疑的郵件後，立刻打電話到銀行求證。在網路上用釣魚的方式詐騙，已成為嚴重的問題。目前也有若干網路反釣魚指南，教導使用者辨識這類騙徒常用的伎倆。（陳智文）

"雅虎修正兩個電子郵件系統漏洞"
http://taiwan.cnet.com/news/softwar...20091862,00.htm

雅虎星期四公佈了兩個郵件系統漏洞修補程式，這兩個漏洞可以讓用戶的cookies洩密，以及改變網頁的外觀。

兩個漏洞都是跨網站腳本漏洞（cross-site scripting flaws），攻擊者可以利用腳本語言修改網路伺服器的設定，對用戶發起攻擊。受害人在存取網站時會被引導至另外一些網站，同時，用戶的cookies （個人化資訊）也會洩漏。攻擊者還能夠在用戶的電腦上執行惡意程式。

雅虎此次直接在自己的伺服器上安裝了修補程式，雅虎電子郵件的用戶並無需進行安裝。(李海)

我想我絕對不會去用網銀這種東西的=.=
雖然便利性很高　但是對我來說　　
網路上沒有什麼事是不可能發生的=.=

從資安論壇轉看來的
說明什麼是Hotfix與SP
原文出自大陸
雖然不太願意
但覺得大陸的駭客與資安都滿有搞頭的

"深入解析什麼是Hotfix與SP"
http://network.ccidnet.com/pub/arti...a145654_p1.html - [GB]

上網下載最新的系統補丁，給作業系統“進補”，是大家經常要做的一件事，但面對網上鋪天蓋地的Hotfix和SP補丁，許多用戶特別是電腦新手往往會迷失方向。那麼什麼是Hotfix，什麼是SP，它們之間又有什麼聯繫和區別呢？

明明白白Hotfix

Hotfix是針對某一個具體的系統漏洞或安全問題而發佈的專門解決該漏洞或安全問題的小程式，通常稱為修補程式。微軟公司為提高其開發的各種版本的Windows作業系統和Office軟體的市場佔有率，會及時地將軟體產品中發現的重大問題以安全公告的形式公佈於眾，這些公告都有一個惟一的編號，即MS-，如MS03-063，MS是微軟的英文縮寫，03代表2003年，063代表該安全公告的編號，合起來就是微軟公司在 2003年發佈的第63個安全公告。在這個公告中微軟公司都會給出一個形如Q(2003年4月份前用此編號)或KB(2003年4月份後用此編號)的編號，這個編號是微軟知識庫中的一個編號，通過該編號我們可以在微軟知識庫(support.microsoft.com)中查找到有關該問題的所有技術性文章和相應的解決方案。

我們以微軟發佈的用於Windows XP作業系統的衝擊波漏洞的補丁“WindowsXP-KB823980-x86-CHS32λ.exe”為例來說明。

★Windows XP——產品名稱，說明該補丁適用的作業系統。可能出現的選項有Windows 2000 、Windows XP、WindowsServer 2003等等，分別應用於對應的作業系統。

★KB823980 ——KB是Knowledge Base的首字母縮寫，意即基本知識庫，823980是該補丁在微軟知識庫中相應的說明性文章的編號，我們鍵入網址 “support.microsoft.com/KBid=823950”即可以查看該補丁的技術文章。

★x86——處理器平臺的標識，示例中x86說明該補丁應用於Intel 公司的x86構架的處理器平臺。可能出現的選項有x86、AMD64和IA64等。

★CHS32λ.exe ——語言版本的標識。示例中的CHS表明該補丁應用于中文版的Windows作業系統。可能出現的選項有CHS、ENU和INTL，分別應用于中文版、英文版和多語言版的Windows作業系統中；32表示的是應用於32位元的處理器平臺；λ表明該補丁為非正式版，只是一個測試版。

提示：α、β、λ常用來表示軟體測試過程中的三個階段，α是第一階段，一般只供內部測試使用；β是第二個階段，已經消除了軟體中大部分的不完善之處，但仍有可能還存在缺陷和漏洞，一般只提供給特定的用戶群來測試使用；λ是第三個階段，此時產品已經相當成熟，只需在個別地方再做進一步的優化處理即可上市發行。修補程式經過測試上市發行之前在編號上會略加修改，即去掉後面的“32λ”字樣，因此正式版衝擊波補丁名稱應為“ WindowsXP-KB823980-x86-CHS.exe”。

明明白白SP

SP是Service Pack的縮寫，意即補丁包。微軟的作業系統及軟體產品漏洞很多，微軟不得不頻繁地發佈各種Hotfix來進行修補，但對一般用戶來說，要查看自己的電腦是否安裝了某個Hotfix是一件麻煩事，下載安裝各種Hotfix也很繁瑣，微軟為了解決問題，就開始發佈SP補丁包，SP補丁包中包含有SP發佈日期前所發佈的所有Hotfix。也就是說，Hotfix是針對某一個問題的單一補丁，SP包含SP發佈日期前的所有Hotfix補丁。因此，只要你下載並安裝了SP補丁包，就不需要再去下載安裝SP發佈日期前的Hotfix了。SP補丁包按發佈日期的先後順序排列，這樣便有了SP1、SP2、SP3……等等。

針對Windows作業系統的SP補丁包是可疊加補丁包，也就是說SP2中已包含有SP1中的所有補丁，SP3中已包含有SP2、SP1中的所有補丁，以此類推，如Windows 2000現在就有SP1、SP2、SP3、SP4補丁包。

不過，Office產品的SP補丁包是不可疊加補丁包，比如SP2只包含有SP1發佈日期以後到SP2發佈日期前這一段時間內的所有補丁，以此類推。因此，對於Windows產品來說，用戶只需下載並安裝最新的SP補丁包即可。而對於Office產品則必須下載並安裝所有的SP補丁包，這一點務必要注意。

提示：用戶要瞭解系統打過了哪些補丁，可以單擊“開始→設置→控制面板→添加/刪除程式”，在“添加/刪除程式”視窗中形如 “Windows XXXX修補套裝程式——KB 823980”字樣的選項就是你為系統打的補丁。或者單擊“開始→運行”?在彈出的運行對話方塊中輸入“REGEDIT”打開註冊表編輯器?找到如下分支? HKEY＿LOCAL＿MACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼Hotfix ，觀察Hotfix下的子鍵就可以看到系統打了哪些補丁。

http://www.heibai.com.cn/index1.htm
士可忍
孰不可忍
完完全全被瞧扁了

"間諜軟體披著Winamp外皮入侵"
http://taiwan.cnet.com/news/softwar...20091972,00.htm

安全組織已經發現，Winamp播放器中存在一個安全漏洞，使得間諜軟體（spyware）可以利用Winamp的主題，或外皮（skin）功能感染個人電腦。Winamp是美國線上旗下Nullsoft公司出品的數位音樂播放器，其軟體吉祥物是駝馬。

目前，已經發現有間諜軟體利用這個漏洞，用偽裝的外皮檔侵害使用者的電腦。根據法國的安全公司K-Otik表示，這項攻擊已經利用網路聊天室（Internet relay chat）在散播間碟軟體，使用者只要點選出現在聊天視窗裡的連結，就會受到感染。

K-OTik的顧問Chaouki Bekrar表示：「我們已經接到了好幾起攻擊的報告，用戶反映，當他們點擊了網路聊天室中的鏈結，電腦就被感染了，並寄出額外的訊息。」

這種漏洞和最新的著名「零時差」（zero-day,或0-day）漏洞一樣，都不會給使用者任何的預警，因而，在修補程式出來之前，其感染性相當強。微軟IE瀏覽器裡也有一個類似的漏洞，可讓間碟軟體的入侵者在使用者造訪他們的網站時在個人電腦上載入軟體。這個嚴重的漏洞也讓微軟很快發表了解決該問題的修補程式。

美國線上已經表示，他們已經注意到這一問題，但仍未設計出修補程式。該代表指出：「我們正在看報告內容，而且會在必要時，於適當時間提供更多的資訊。」

Secunia安全組織將這一漏洞評為「極度危險」──也是軟體威脅中最高等級的評等。該組織同時警告說，這個漏洞威脅影響所及除了即時通訊軟體之外，還包括了任何可透過瀏覽器或電子郵件下載外皮的軟體。

「惡意的網站利用精心設計過的Winamp外皮執行惡意程式，」藉以控制受害的電腦，該公司在週三的建議上表示。「在IE上，不需要使用者的互動就可完成這種攻擊。」

該公司也提出了簡單的安全建議，就是「使用其他產品」。(郭和杰整理)

ok~
連SKIN or PLUS or POWER TOOL之類的PLUG-IN/MOD都有可能是SPYWARE
所以呢
不知名第三方出的PLUG-IN最好少裝
不然自己掛自己中招
完全自業自得

"瀏覽器活動呼籲用戶放棄IE"
http://taiwan.cnet.com/news/softwar...20091971,00.htm

「網路標準計畫」（WaSP）--一個推動瀏覽器標準相容的組織，正推動要放棄使用微軟的IE瀏覽器。

WaSP設立的網站讓人回想起蘋果電腦的「真人說法」（Real People）的****活動──這項活動呼籲大家要放棄Windows作業系統改用麥金塔（Macintosh）。該網站還找來許多放棄IE瀏覽器的用戶來作現身說法。

「IE是一個長期的痛苦，」David Catherall在親自現身法說中表示，「IE一點也不直覺，而且似乎越來越像是為駭客而打造一樣──而不是為初學者。隨著時間的過去，我越來越擔心它的漏洞會造成安全問題。」

WaSP的活動主題相當正面：「快樂瀏覽」，不過傳達出的卻是負面的警告。

「IE可能讓你的電腦不安全」，網站上如此說，「為什麼不改用更安全的瀏覽器？已經有許多人這麼做了，看看他們的故事，然後選擇一款適合你的瀏覽器。」

該網站還呼籲更多放棄IE瀏覽器的人多多來現身說法做見證。

微軟發言人不願評論該網站，但表示對IE有信心，有能力讓大眾所接受。

「我們相信客戶會選擇最適合他們需求的瀏覽器，」微軟代表表示，「我們相信大部份的人在評估過所有的因素之後，還是會繼續選擇使用IE：包括終端使用者的功能性，應用的相容性，開發者的擴充性，企業的管理性，以及由微軟所保證的流程、工程原則等安全支援。」

不過，微軟的安全措施不力導致了對其IE瀏覽器的眾多批評。

WaSP指出，最近「美國電腦緊急處理小組」（Computer Emergency Readiness Team）由於安全問題而建議不要使用IE。

在IE的替代選擇方案裡，WaSP列舉了Mozilla基金會的開放源始碼瀏覽器Mozilla和Firefox、蘋果的Safari，以及Opera瀏覽器。

WaSP在網站上寫道：「對於還在使用IE的人來說，網路實在是個很不快樂的地方。」「彈出式視窗、狡猾的間諜軟體，專門攻擊安全漏洞的病毒，讓使用者生活不快樂而浪費金錢。我們在IE上看不到有什麼創新的功能，或者可以讓網路更順暢好用的方法。微軟對這些問題的反應都相當慢。」

WaSP是在1998年由網站的開發者所創辦。該網站在去年宣佈，已經完成一項目標，推動微軟和其他瀏覽器之間有更好的標準相容。(郭和杰整理)

再一次的
MSIE遭受炮火批評
MS的官僚們
IE7.0還不趕快秀出來
不然至少舊版還有的嚴重漏洞先補一補好嗎?

"Windows SP2出師不利？"
http://taiwan.cnet.com/enterprise/t...20091889,00.htm

大家都誤解比爾．蓋茲了。其實他並不想統治世界(或電腦世界)。也許他暗自詛咒Linux原始碼統統燒光光，但那並不是蓋茲最大的願望。

這位軟體大亨只是想重溫舊夢。回想起1990年代初期，微軟推出新版Excel軟體時，大家唯一關心的，是能畫出什麼樣的圖表，和試算表裡能嵌入多少公式。大多數客戶自願掏出300或400美元買新軟體。至於安全性(security)為何物？只是吩咐穿制服的保全人員，別讓我等媒體記者溜入奉有茶點的客戶簡報室罷了。

世事多變。過去九個月來，蓋茲砸下數千萬美元，召集手下最棒的程式設計師打造免費的程式，以便更新一套許多人仍然敬謝不敏的作業系統。

近幾年來，這家世界最大的軟體公司遭鎖定Windows和Internet Explorer瀏覽器的安全攻擊挾持，攻擊一波波來襲，前仆後繼。去年，蓋茲和微軟執行長Steve Ballmer終於忍無可忍：結果便是Windows XP SP2。微軟宣稱，SP2會封閉Windows最大的安全漏洞。

更新服務包第二版（SP2）終於推出，但這一周來微軟如坐針氈。才告知大企業SP2準備發布，微軟的下一步卻是讓SP2難以取得。

微軟說，SP2和現有大約50種應用程式不相容。你也許會說，就Windows更新程式而言，這種情況屢見不鮮。但令人遺憾的是，不相容程式清單裡，竟包括微軟自製的一種管理工具程式，是大企業安裝SP2到內部個人電腦所必需的。

所以，為了避免大公司員工因取得SP2而立刻毀掉一部分榜上有名的應用程式，微軟暫時關閉號稱是SP2一大特色的自動發布(automated distribution)功能。Windows XP家用版使用者正陸續開始取得更新，其餘的XP用戶月底前也可取得。但企業寧可慢慢來，許多公司上周表示，在SP2的問題塵埃落定之前，會先按兵不動。

緊接著，安全研究員周三(18日)表示，他們發現SP2內含一些重大的安全漏洞，可能讓不懷好意的使用者入侵受到SP2保護的個人電腦，至少理論上可這麼說。

SP2的處女秀被微軟搞砸了嗎？以我的專欄作賭注，答案恐怕是「沒錯」。這真是令人難堪，因為不論用什麼標準衡量，SP2是Windows XP很不錯的更新版，而XP本身已是有史以來最佳的Windows版本。微軟勢必會著手解決這些問題--不得不然。

對微軟而言，SP2終於能減輕外界批評該公司疏於加強安全性的炮火。而且，SP2雖然免費提供下載，但一旦能說服目前仍使用Windows 2000的眾多公司升級至Windows XP，進而連帶使用Office XP和其他搭配的應用程式，到頭來也能增進微軟的營收。

更何況，別忘了SP2也對Windows XP的內部結構作了一番調整，讓作業系統較不容易受制於惡意的攻擊(只要你用的是最新的硬體)。SP2也廣納眾多歷來的更新程式，包括SP1和最新的安全修補程式與除錯程式。

或許SP2最大的成就，會是提高實際安裝Windows修補程式的使用者人數。多年來，微軟頻頻表示，Windows的弱點未必出在Windows本身，而是在使用者。使用者若是肯花一些時間安裝俯拾即得的修補程式，大多數個人電腦的問題即可迎刃而解。

說的比做的容易。只要問系統管理員就知道，把公司的Windows系統維持在最新狀態是一回事，做不做得到又是另一回事。維持系統的安全性本是IT管理員的職責所在，只是在IT預算緊縮的今天，管理員人手減少，負責的個人電腦數量卻已增加。

更別指望一般消費者能對軟體更新亦步亦趨了。軟體修補程式何其多，不但令人困惑，有時還互相衝突。記得，電腦的使用已普及化，現在連老年人都懂得上 eBay購物，青少年也熱中於用即時傳訊聊天。能指望這些人明白為什麼非安裝「Update for Background Intelligent Transfer Service (BITS) 2.0 and WinHTTP 5.1 (KB842773)」不可的道理嗎?也許，要他們分裂原子還比較容易。應該有更可行的方法才對。

微軟想出了一個辦法：稱為自動修補(automatic patching)。SP2的預設環境即把微軟的「自動更新」服務設定為開啟狀態，以便把最新的除錯程式直接載入電腦。真正的考驗是：如果微軟的理論可行，下一回疾風病毒(MSBlast)級的蠕蟲現跡時，受害的Windows電腦應會大為減少。

既然大多數安全專家都認為，下一波重大的病毒疫情遲早會來襲，我們用不著等太久，答案便會揭曉。（唐慧文）

ok~~
手腳快的人
大概都嘗過WINXP SP2了
當然, 可敬的駭客們也一樣
也許他們正為了新玩具的到來而歡欣鼓舞
屈指一算
SP2正式版發行快滿一個月了
SP2的漏洞s也有公司解析出來了 (SEARCH SP2 & BUG)
駭客大概也準備的差不多了
真是刺激啊
哈哈