Mozilla基金會表示，Mozilla和Firefox瀏覽器，以及電子郵件軟體Thunderbird的最新產品，可修補10項安全問題，其中包括3個嚴重的漏洞。

根據Mozilla基金會15日發佈的訊息，這3項嚴重的瑕疵能讓攻擊者在受害者的電腦跑程式。這些漏洞是起於不當處理電子名片vCards；BMP格式影像過大；和連結的主機名稱使用無法印出的符號。

Mozilla基金會最新一版的開放原始碼軟體產品：Mozilla 1.7.3、Firefox備選版1.0和Thunderbird 0.8，可補救上述的問題。資訊安全公司Secunia將這10個漏洞列為最高等級的「高度嚴重」威脅。

Mozilla基金會以提供獎金的方式，鼓勵研究人員找出其軟體中確實的安全問題，一個月後，果然有許多漏洞被抓出。據此，該組織於15日推出最新版的軟體組。

Firefox瀏覽器特別因對手微軟的IE瀏覽器安全防護不佳而受惠。日前微軟公佈的安全瑕疵，只要IE無意間進入惡意的網站，使用者的電腦便會受到牽連。（陳智文）

詐騙份子利用Gmail進行網路「釣魚」欺詐活動，專門蒐集用戶的e-mail位址與密碼。

對於喜歡追求流行的技術人員來說，擁有Gmail超大電子郵件帳號可能是時下必備的身份象徵。但是，Gmail現在並沒有開放註冊服務。

過去網路釣魚騙術多半是與透過e-mail要求用戶透露隱私資訊有關，且來源都半是偽裝成eBay、或花旗銀行等。這次，騙子則在Gmail註冊邀請函上打起了主意。該欺詐信件表示，用戶可邀請3-6名朋友加入Gmail。信件的名稱為「我覺得這封信超怪」(I found this e-mail very weird.)。

詐騙份子在信上還表示：「Gmail團隊很高興宣布，我們將提供Gmail免費邀請函給既有的Gamil用戶所有人，你現在也許已經知道了Gmail和傳統的網路郵件與眾不同，他具有搜尋功能，免費的1GB儲存空間，宛如談天式的信件排列方式。你僅需要填寫以下的表格資訊即可獲得免費的註冊邀請函。」

詐騙者要用戶要公佈他們的Gmail郵件位址與密碼才行。

目前，這封欺詐信件可以避開Gmail垃圾郵件過濾機制，但Gmail的愛好者已經在網路上大幅轉告大眾別上當。

若是真正的Gmail註冊邀請資訊，帳號所有人只需進到自己的信箱就可看得到邀請函按鈕了。

現在還不知道詐騙者用這些帳號和密碼做什麼。一種可能的用途是用這些帳號來傳播垃圾郵件。另外一種可能是搜尋這些電子郵件信箱來發現銀行帳號等資訊。

Windows Update 網站針對 Windows、.NET Framework 及 Internet Explorer (Windows 元件) 的受影響版本提供更新
http://windowsupdate.microsoft.com/

Office Update 網站為受影響的 Office 程式提供更新。
http://office.microsoft.com/officeupdate/

如果您執行的是舊版 Windows，且安裝有特定版本的 Greetings、Picture It! 或 Digital Image Pro，則您可能必須安裝其他更新。 GDI+ Detection Tool 會檢查您的電腦是否有受影響的版本，然後回報一份連結清單，使您可下載需要的任何更新。

如果您使用開發者工具，請檢視本頁中的受影響軟體清單，查看是否有任何其他已安裝的程式需要更新。 Microsoft 下載中心並提供其他軟體的更新。

【賽迪網訊】“表哥，你這幾年在上海過得好嗎？身體好嗎？知道我是誰嗎？先不告訴你，看了我的相片你就知道了，嘻嘻。” 如果收到這個郵件的用戶因為好奇而打開附件中的女孩照片，那就要小心自己的網絡銀行賬號了。

這個郵件裡帶有一個名叫“小燕表妹（Trojan.ClipSor）”的病毒，該病毒專門偷竊用戶的網絡銀行密碼，於9月21日被瑞星全球反病毒監測網截獲。根據瑞星技術部門分析，病毒作者對攜帶病毒的郵件進行了很好的偽裝，郵件題目為“表哥，你最近還好嗎”，使它看上去非常象正常郵件。電子郵件攜帶的附件裡帶有偽裝成照片的病毒，電腦用戶在看到照片的時候即被病毒感染。

瑞星反病毒部門負責人蔡駿介紹說，中毒電腦會向外大量發送病毒郵件，可能造成企業局域網變慢。更重要的是，該病毒會常駐用戶電腦，當用戶使用網絡銀行等業務的時候，就會自動記錄賬號、密碼等等信息並發送出去，造成用戶的網絡銀行資料被盜。

蔡駿表示，以前的病毒郵件往往來源於國外，題目和內容都是英文，用戶很容易區別。而現在許多郵件病毒是由中國作者編寫的，攜帶病毒的郵件“長”的越來越象正常郵件，誘惑性越來越強。就拿“小燕表妹”發送的病毒郵件來說，內容裡的噓寒問暖讓人誤以為是一封發錯的信，加上附件裡普通女孩的照片，讓用戶根本不會懷疑自己的電腦已經染毒。

反病毒專家提醒用戶，病毒和垃圾郵件的制造者想盡一切辦法進行偽裝，因此不論收到什麼樣的郵件，在打開前最好用防毒軟件掃描，以免上當受騙。（n101）

我是今年就讀大一的學生，幾天前上即時通時看到許多朋友不約而同傳了一個離線訊息給我：http://geocities.yahoo.com.br/nice_pool_games/pool_games.html我一看便覺得是YAHOO新推出的撞球遊戲，畢竟Microsoft的MSN都推出有趣的MSN撞球，風靡一時（15天試用版），YAHOO接著推出也沒什麼好大驚小怪的。
不疑有他，我馬上點選連結進去，並且輸入了自己的帳號和密碼，因為玩YAHOO即時通撞球當然要先「登入」，結果等了老半天，就是沒有什麼球跑出來，只有一堆錯誤訊息。沒能玩，我也不以為意。

誰知道今天我的同學突然在MSN上告訴我，他從YAHOO即時通上收到我傳給他這個網址，並且他也去開，可是沒有東西可以玩！問題是我今天早上有課，根本沒有登入傳什麼訊息，下午要上YAHOO即時通的時候，信箱、家族、即時通完全都不能使用，哪裡能傳訊息給大家？

因此我有相當的證據可以證明該網站盜用我的ID了。

我的即時通裡有三十幾位聯絡人，傳送了這個連結，聯絡人又會再傳給通訊錄裡的聯絡人，只要都連上了該網站，並且輸入了ID和密碼，沒過幾天帳號就會被盜用！這樣下去我想YAHOO ID被盜用的情況會非常嚴重！

我目前找不到方法聯絡YAHOO的公司（只有寫封mail寄到YAHOO的使用者建議的地方），希望透過新聞台，無論是真是假，都能幫我跟YAHOO公司聯絡並做確認；如果是真的，希望趕快將這篇消息傳送給大眾知道，不要再有人上當受騙！

註：經網路追追追查證，該網址的確是騙人的，請參見：(●作者IT Man為宜蘭人，大學生。本文為ETtoday.com網友投稿，言論不代表本報立場。●照片為資料照。)

專科學生網路釣魚盜帳號，黑吃黑幹掉駭客高手！刑事警察局偵九隊昨天偵破一起國內「網路釣魚」 (phishing)案件，年僅16歲的吳姓學生，假借拍賣網站客服中心的名義，要求網友回傳個人資料偷看個人信件，吳姓學生甚至藉由取得的帳號，對以駭客交流的網站「駭客聯盟」下手，不但取得站長資料，還將對方密碼、帳號改掉，自己當起駭客站長。

警方表示，就讀高雄國立專科學校的吳姓學生，從坊間出版的「駭客實戰手冊」，抄錄撰寫程式指令語言，再冒稱拍賣網站客服中心，寄發電子郵件確認信，以「網路釣魚」的手法，宣稱要求網站會員藉由使用認証，重新登錄帳號、密碼，以確保使用權限，在被害網友不疑有他的情形下，順利取得網友寄回的個人資料。

警方指出，被害人回傳個人機密資料後，再以竊得的他人帳戶、密碼等資料，並冒名偷看其他人的電子郵件；不過吳姓學生表示，並未透過網路釣魚的方式，盜領他人的帳戶存款。另外，吳姓少年取得大量會員帳號及密碼後，更針對以駭客技術討論的網站下手，不但植入木馬程式，取得對方站長的帳號密碼，更為自己取得權限，變更為「駭客聯盟」網站的站長。

偵九隊指出，日前曾接獲多家銀行反映，指稱已有十餘位客戶個人機密資料，被歹徒以「網路釣魚」的手法騙走，使個人帳戶存款遭盜領。而在破獲這起學生「網路釣魚」案件後，將繼續追查是否有學生透過相同手法犯案。

...美國當地時間9月16日，與安全相關的電郵清單和網站相繼公開了惡意利用較早前公開的安全漏洞（833987）（MS04-028）的JPEG檔，該安全漏洞利用JPEG處理（GDI+）的緩存溢出執行代碼。如果用戶在未安裝補丁的Windows XP電腦上打開該檔，便將強行終止Windows的shell程式（explorer.exe）...

一個程式範例22日在網路現身，展示惡意駭客如何利用Windows處理圖檔的漏洞，攻擊他人的電腦。

安全專家預測，該程式預告新一輪的病毒和特洛伊木馬攻擊即將出現，尚未更新的Windows電腦都可能受害。這項漏洞，出自微軟軟體處理JPEG圖檔的過程，使用者開啟含有惡意程式的JPEG檔，其電腦便可能被駭客掌握。

賽門鐵克資深安全經理Vincent Weafer說：「幾天之內，就可能看到以這個程式碼為基礎的攻擊。這對每個使用JPEG檔的人都有某種程度的危險。」這個程式是所謂的「刺探碼」，教導其他人如何製作利用特定漏洞的攻擊程式。類似的程式碼曾經分別在Sasser與MSBlast病毒爆發的前2天和9天出現。

這個嚴重的安全漏洞，與微軟的Windows和其他軟體處理JPEG圖檔的過程有關。由於微軟的IE瀏覽器非常容易被攻擊，Windows使用者可能只是造訪含有JPEG圖片的網站，就成為攻擊的受害者。

受影響的至少有十幾種微軟的應用軟體和作業系統，包括Windows XP、Windows Server 2003、Office XP、Office 2003、IE 6、Service pack 1、Project、Visio、Picture It和Digital Image Pro。微軟已在網站上公佈完整的名單，目前仍在陸續安裝的Windows XP Service Pack 2，並沒有這項缺失。

使用者可以到微軟的Windows Update和Office Update伺服器下載補救程式。此外，微軟也提供線上掃毒程式及補救程式。賽門鐵克與其他公司也紛紛釋出最新的軟體，偵測可能攻擊這個漏洞的程式。（陳智文）

【記者曹明正／報導】

繼6月底傳出旗下的「天堂」與「希望Online」有不法分子製造假官網竊取玩家的帳號密碼後，近日遊戲橘子又發現一大陸網站以「gamannia」的名字做為網域名稱，並放上遊戲橘子的識別Logo企圖瞞天過海，所幸發現得早、未接獲受騙案例。

遊戲橘子客服部經理宋時亮指出，該公司是在本月21日接到玩家以E-mail的方式提醒，有一網站註冊「gamannia」的網域名稱，左上角有遊戲橘子Lo-go，說明配合政府打擊詐騙，要求玩家輸入資料進行核對，不過事實上這個網站正是犯罪集團的幌子。

常上線的玩家可以發現，遊戲橘子的網域名稱是「gamania」，至於「假官網」則在字母中間多了1個n。宋時亮表示，第1時間接到玩家來信之後，隨即檢測發現該網站的主機位置架設在大陸，不明所以而登錄資料的玩家可能會被植入木馬程式。

另外，針對日前在電玩資訊站巴哈姆特上有玩家上傳「天堂2」官網已被植入木馬程式的圖片，宋時亮也澄清，真正官網上的公布欄寬度較小，疑為有心人士造假。面對層出不窮的詐騙事件，遊戲橘子則是提醒玩家留意官方真正的網路位址避免受騙。

....RealNetworks宣佈該公司的音視頻播放軟體“RealOne Player v1/v2”、“RealPlayer 10”、“Helix Player”等產品存在多個安全漏洞。如果播放做過手腳的檔，就可能強行運行任意程式（比如病毒）。其對策是安全該公司提供的補丁程式（升級程式）。....

若你是2億名舊版本Windows 作業系統的用戶之一，想取得IE安全更新的話就準備掏錢吧。

微軟最近重申將只在Service Pack 2(SP2)中提供新版本IE瀏覽器的更新，而從任何一種舊版本Windows 升級到Windows XP 需要99美元，全新安裝的價格是199 美元。

分析師認為比較值得關心的是：用戶要對原本免費、獨立的瀏覽器產品進行升級卻要承受不合理的價格。

Directions on Microsoft公司研究分析師Michael Cherry表示：「用戶為了升級瀏覽器而必須購買作業系統是不合理的，這看起來倒像是要鼓勵用戶多多升級到XP。」

微軟確認了IE最新的安全更新只供XP用戶使用。

「 我們沒有計劃為Windows 2000或其他較舊版本的Windows 用戶提供Windows XP SP2更新。現在最安全的Windows 版本是帶有SP2 的Windows XP，我們建議用戶儘快升級到XP和SP2。」微軟在聲明稿中如此表示。

網際網路上混亂的安全狀況讓許多廠商有利可圖，尤其是防毒軟體公司。微軟則宣布把安全當作頭號要務。

由於舊版作業系統的用戶無法更新IE安全，僅能付費升級至XP後才可取得最新IE版本，微軟此舉行同是將原本安全性惡名昭彰的瀏覽器變成了強力推銷用戶升級的超級利器。

而這項利器在作業系統本身已經缺乏賣點時更顯得突出。

微軟已經三年沒有推出新的作業系統了，它的下一代作業系統（代號Longhorn）也一再延期。為了在2006年推出Longhorn，上個月微軟刪減了該系統的一些新功能。

華爾街雖然滿心期待微軟在Longhorn之前推出一個作業系統來增加營收，但微軟則盯上了接近一半的Windows 舊用戶，他們還在堅持使用著XP之前的作業系統，含2000、ME、98與95。

不過微軟則否認它故意利用網際網路安全問題來刺激市場對XP的需求。

該公司發言人說：「微軟沒有利用安全問題來刺激升級，但是最新的產品確實是最安全的。」

微軟堅持認為IE瀏覽器是作業系統的一部分，這是它跟美國政府的反壟斷官司中一直堅持的論調。

去年，該公司宣佈以後IE將不作為獨立產品發佈，本周它又重申了這一點。

微軟一位發言人表示：「IE一直都是作業系統的一部分，IE是Windows 的功能之一。」 當被問到IE剛開始是免費的、獨立的產品時，該發言人則說：「 你所談論的軟體早就成為歷史了。

微軟曾經承諾對所有版本的Windows 和IE進行「持續性的安全更新」(ongoing security update)，但是這些持續性的安全更新不包括上個月發佈的Service Pack 2。SP2包括一個彈出(pop-up)****攔阻機制和新的管理系統，用於管理ActiveX 控制和下載的內容。

安全廠商過去不斷要求重視IE安全考量，這些才是真正重要的改良部分，而非支援產品中常態性的漏洞修補而已。只是現在究竟是否有一半的Windows用戶能存取道更新版IE都有問題。

「這對於還處於主流支援的產品更是令人困惑，那到底主流支援代表什麼意思呢？」Directions on Microsoft的Cherry表示。

根據IDC 的統計顯示，微軟目前佔了全世界94% 的作業系統市場(此一數字是納入了可產生營收的開放原始碼Linux作業系統來計算，不含免費版的部分)。

在所有已裝機的Windows 作業系統之中，Windows XP Pro占26.1% ，Windows XP Home 占24.7%.剩下的49.2% 包括Windows 2000 Professional （17.5% ）， Windows 98 （14.9% ），Windows Me（6.5%）， Windows 95 （5.4%）和Windows NT Workstation（4.9%）。

這剩餘49.2% 的Windows 用戶在IE及其他軟體的重大升級面前被冷落了。

沒有升級到SP2 的IE用戶將面臨一系列安全問題，其中許多都與ActiveX API 較差的安全性有關。

SP2此次也內建了跟對手同等級的彈出視窗****(pop-up)攔截程式。

「雖然我能理解微軟想簡化它的內部流程，但是我不喜歡把安全修補程式、修正檔和新功能通通一起放到同一個升級包中。」IDC 副總裁Dan Kusnetsky 表示，「即使一些機構僅僅需要安全相關的更新，或只需要其中一種新功能，他們也不得不接受全盤接受更新，否則就得放棄。」

Firefox緊追不捨

就在企業與用戶在面臨這種Windows與IE零和升級的兩難局面時，另一個開放原始碼瀏覽器卻可望受益，讓遭到SP2遺忘的舊版Windows與IE用戶多了一種選擇。

在1.0 版本的正式版發佈之前，Mozilla 的Firefox 瀏覽器就有希望侵蝕微軟佔了絕對優勢的市場份額。上星期發佈的Firefox 1.0 預覽版只用了4 天多一點就完成了10天1 百萬次下載的目標。

Firefox、蘋果的Safari瀏覽器和Opera 軟體的桌面瀏覽器三者相加的市場率其實相當低。但是諸如分頁瀏覽(tabbed browsing)之類的功能，加上較早採用了廣告視窗控制，使這些瀏覽器吸引了一些忠實的用戶。

甚至一些微軟的blogger （博客）也承認很喜歡Firefox。 Longhorn 還要一年多才能上市，微軟已經感受到了威脅。

威脅來自多方面：一是由網頁開發人員發起的運動敦促用戶從IE轉向Firefox 及其他替代品；二是Mozilla 的市場攻勢；三是網路上對IE瀏覽器一年多無所作為的譴責聲音。

一些博客在IE支持者Dave Massy的blog上表達了對IE開發團隊的不滿。但是Dave Massy和其他人一起為微軟辯解，說微軟近期主要致力於改善安全性能，所以放慢了瀏覽器的開發速度。

Firefox 一位發言人則認為Firefox 對微軟施加的任何壓力都是它成功的證明。

Mozilla 發言人Bart Decrem 表示：「IE 用戶需要得到全力的協助，我們試圖協助這群用戶，如果微軟願意幫助他們當然更好。Mozilla 的任務是提供有意義的選擇，市場領導者沒有很多創新是因為他們的壟斷地位造成的。因此如果他們被迫改革，並對Firefox 的成績作出反應，我們的目的就達到了。」

一些分析師表示微軟沒有把SP2 中瀏覽器安全特性讓非XP用戶使用，一方面是因為想促使用戶採用XP，另一方面也是因為人手不足。

另一位Directions on Microsoft分析師Matt Rosoff 指出：「 現在他們的主要焦點是Longhorn的IE，這是個成本問題。」

Rosoff 也認為Firefox 和其他幾種瀏覽器將受益於微軟的IE發佈策略，但是他指出大多數的用戶不太可能像Firefox愛用戶那樣單單去下載一個瀏覽器來使用。

Rosoff表示，「從用戶的觀點來看，評估其他的瀏覽器當然有其意義存在。微軟將面對越來越多使用兩種平臺的用戶，他們不願看到在Firefox 中的免費功能在IE中卻要付費使用。但是大多數用戶都是能免則免，不太願意去下載新東西。」

安全更新檔 你可以利用前面的鏈結或是從你的 Firefox 的 「工具」「選項」「進階」「軟體更新」「馬上檢查」安裝。
此更新修正「惡意的網頁可能誘導使用者試圖儲存檔案但實際上卻刪除了下載目錄中的檔案」