[转贴]7月上旬-提心吊胆地上网冲浪? (大家请下载新版Opera7.52) 从本周开始,我们将每半个月发布一次安全预报,其中包括重要病毒,严重的系统漏洞以及安全厂商的相关动向.我们会通过合作商了解最新的信息,并欢迎大家踊跃投稿.本次我们来了解一下最近纷纷扬扬的IE浏览器ShellApplication对象脚本执行漏洞,它的补丁却不能很好运作:专家新发现:微软新补丁不能堵住所有的漏洞.与此同时,Mozilla等也发现可与IE相同的漏洞,不可大意.
公告一、IE浏览器ShellApplication对象脚本执行漏洞
详细描述:
Microsoft Internet Explorer是一款流行的WEB浏览器。Microsoft Internet Explorer存在安全问题,远程攻击者可以利用这个漏洞使恶意HTML文档在用户系统上执行脚本代码。
利用Shell.Application对象,攻击者可以构建恶意HTML文档,执行脚本代码来更改注册表键值进行进一步的攻击。结合其他漏洞,可能执行用户提供的恶意程序。
要利用这个安全问题一般需要其他漏洞重定向浏览器到本地区域(或其他相关安全域)。当然也可以利用其他攻击方法,如诱使用户下载HTML文档并使用浏览器打开,或者发送HTML形式EMAIL等来触发。
目前厂商还没有提供补丁或者升级程序。
受影响系统:
Microsoft Internet Explorer 6.0SP1
Microsoft Internet Explorer 5.5SP2
Microsoft Internet Explorer 5.5SP1
Microsoft Internet Explorer 5.5
Microsoft Internet Explorer 6.0
- Microsoft Windows XP Professional
- Microsoft Windows XP Home
- Microsoft Windows NT 4.0 SP6a
- Microsoft Windows ME
- Microsoft Windows 98 SE
- Microsoft Windows 98
- Microsoft Windows 2003 Web Edition
- Microsoft Windows 2003 Standard Edition
- Microsoft Windows 2003 Enterprise Edition 64-bit
- Microsoft Windows 2003 Enterprise Edition
- Microsoft Windows 2003 Datacenter Edition 64-bit
- Microsoft Windows 2003 Datacenter Edition
- Microsoft Windows 2000 Server SP2
- Microsoft Windows 2000 Server SP1
- Microsoft Windows 2000 Server
- Microsoft Windows 2000 Professional SP2
- Microsoft Windows 2000 Professional SP1
- Microsoft Windows 2000 Professional
- Microsoft Windows 2000 Datacenter Server SP2
- Microsoft Windows 2000 Datacenter Server SP1
- Microsoft Windows 2000 Datacenter Server
- Microsoft Windows 2000 Advanced Server SP2
- Microsoft Windows 2000 Advanced Server SP1
- Microsoft Windows 2000 Advanced Server
公告二、专家新发现:微软新补丁不能堵住所有的漏洞
7月6日消息,微软在上周曾采取措施解决Internet Explorer (IE)网络浏览器安全漏洞,并终止一系列新的互联网攻击,但据一位安全专家称,这些措施却不能解决另一个极为相关且危险的漏洞。
荷兰安全专家Jelmer Kuperus上周在互联网上公布了一个代码,声称他能够利用该代码能够侵入完全打过补丁的Windows系统。微软曾在7月2日通过软件补丁解决了一个安全漏洞,但这次新的攻击对象却是Windows部件中的另一个漏洞。Kuperus称,恶意黑客使用类似的攻击方式,就可以侵入甚至已经打过补丁的Windows系统。
微软在7月6日证实公司已经意识到该漏洞代码,但不认为所有客户都会因Shell.Application漏洞而受到攻击。
微软在7月2日发布其升级补丁后仅仅几个小时,Kuperus便在其网站上公布了新的安全漏洞。
微软承认Shell.Application具有与ADODB.Stream相似的一些功能,但还没有象ADODB.Stream一样采取措施解决该故障。
微软正在调查故障原因,并计划在未来几周内对IE进行系列升级,以为客户提供更好的安全性。
公告三、Mozilla等也发现可与IE相同的漏洞 不可大意
丹麦Secunia7月1日公开了在Mozilla、Opera及Netscape等Web浏览器中发现的安全漏洞(英文),与6月底公开的Internet Explorer(IE)安全漏洞性质相同,即如果在Web网页中做手脚,可以在使用框架的任意Web内容中显示任意内容.由于是可能被“Phishing(使用邮件进行欺诈)”等恶意利用的安全漏洞,因此务必提高警惕.
Secunia确认以下浏览器中存在此次公开的安全漏洞(与IE相关的同样安全漏洞(英文),已于6月30日公开)。
·Opera 7.51 for Windows
·Opera 7.50 for Linux
·Mozilla 1.6 for Windows
·Mozilla 1.6 for Linux
·Mozilla Firebird 0.7 for Linux
·Mozilla Firefox 0.8 for Windows
·Netscape 7.1 for Windows
·Internet Explorer for Mac 5.2.3
·Safari 1.2.2
·Konqueror 3.1-15redhat
该公司表示上述浏览器的其他版本也可能受到影响。
以下浏览器尚未明确是否受到影响:
·Mozilla Firefox 0.9 for Windows
·Mozilla Firefox 0.9.1 for Windows
·Mozilla 1.7 for Windows
·Mozilla 1.7 for Linux
Secunia公开了确认是否存在此次安全漏洞的示范网页(英文)。图为在Opera 7.23 for Windows日语版中的示范(点击放大(日文))。Secunia的网页看起来象是美国微软的部分网页。
如果恶意利用这一安全漏洞,很容易伪装Web网页。比如,将让人输入个人信息并窃取的网页伪装成著名企业Web网页的一部分。要想达到这一目的,就必须诱导用户访问被做过手脚的Web网页,只要诱导“成功”,用户就极有可能上当受骗。
对策与普通的Phishing防范措施相同,即无论如何也“不访问可疑网页/不点击可疑链接”。只要不访问被做过手脚的网页,就不会在同一页面上显示“著名企业的内容+带有恶意的内容”。对于准备输入个人信息的网页,最好不要通过链接访问,而是自己在地址栏中输入URL进行访问。 | 
