|
|
|||||||
| 論壇說明 |
|
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
 |
|
|
主題工具 | 顯示模式 |
2004-09-16, 11:18 AM
|
#1 |
|
長老會員
 |
JPEG圖檔漏洞危及Windows PC
JPEG圖檔漏洞危及Windows PC
CNET新聞專區:Robert Lemos 15/09/2004 微軟公司14日公佈其軟體處理JPEG圖檔過程中某一重大瑕疵的修補程式,並呼籲顧客使用新工具找出有此漏洞的許多應用軟體。 這項嚴重瑕疵一定和微軟的作業系統及其他軟體如何處理廣泛使用的JPEG檔有關,並且能讓攻擊者創造一個點閱後即可在受害電腦執行惡意程式的影像檔。由於微軟的IE瀏覽器有許多漏洞,Windows使用者可能只是造訪帶有這類影像的網站就受到攻擊。 有鑑於該瑕疵的嚴重程度,某些安全專家擔心,利用這個問題的病毒很快就會出現。軟體安全公司McAfee的病毒研究經理Craig Schmugar說:「攻擊的可能性非常高。但我們尚未發現任何概念驗證程式。」這類程式會展示如何利用特定的瑕疵,且通常在軟體商公佈修補程式後迅速出現。 受影響的至少有十幾種微軟的應用軟體和作業系統的不同版本,包括Window XP、Windows Server 2003、Office XP、Office 2003、IE 6、Service Pack 1、Project、Visio、Picture It和Digital Image Pro。完整名單公佈在微軟網站的公告中。目前正陸續下載到許多顧客電腦中的Service Pack 2,並未含有該瑕疵。 微軟的事故反應中心安全程式經理Stephen Toulouse表示:「難處在於(有瑕疵的功能)存在許多不同產品中。」由於太多應用軟體都有這項瑕疵,微軟必須創造個別的工具幫助顧客更新電腦。Windows Update的使用者將被導向微軟的Office Update工具,然後是尋找並更新造像與顯影應用程式的工具。這些工具是微軟未來產品的預告,Toulouse說:「顧客最重要的心聲之一,就是簡化軟體更新過程。我們的目標是建立一個統一的更新機制。」 出於必要,Linux經銷商已經發展出這種統一的更新軟體,不僅能更新核心作業系統,也包括其他開放原始碼社群所創造的應用軟體。然而,Windows大多數應用軟體是由微軟之外的公司製造,使得這種統一的更新系統在政策上更難實現。 JPEG處理過程瑕疵讓影像中潛藏的程式在受害者的系統中執行,這項瑕疵和8月初發現的另一種影像漏洞無關。該項漏洞,存在圖書館用來支援可攜式網路圖形(PNG)格式的一種普通程式中,影響Linux、Windows和蘋果Mac OS X等系統的應用軟體。JPEG和PNG都是網站普遍使用的格式。 微軟已於今年4月推出一項通知計劃,任何與該公司簽署一份非公開協議的顧客,都在三天前收到這次JPEG瑕疵的警告。Toulouse表示:「有些顧客希望得到更多資訊。」通知計劃參與者所得到的資訊,僅限於若干瑕疵、受影響的應用軟體,和相關瑕疵的最高威脅等級。 JPEG影像處理過程漏洞,是微軟最新發現的產品瑕疵,也是該公司今年第28次公告的主要內容。微軟經常用一份公告涵蓋多個問題;例如今年4月的四份公告便包含20個以上安全漏洞。微軟14日公佈的第二個修補程式,是針對Office、Publisher、Word和Works當中WordPerfect檔案轉換器的瑕疵。該瑕疵屬第二高威脅的「重要」等級,僅次於「嚴重」。若使用者開啟一份惡意的WordPerfect文件,這項漏洞便可讓攻擊者控制受害者的電腦。微軟建議顧客使用Office Update下載修補程式。(陳智文) 原出處 http://taiwan.cnet.com/news/software...0092530,00.htm |
|
送花文章: 78005,
|
|
2004-09-16, 12:56 PM
|
#3 (permalink) |
|
長老會員
 
|
您說的JPEG漏洞, 這裡剛好有個範例, 其實它本身並不是真正的圖檔,
還有裡面的圖檔不要點下去喔~ 中毒我可不負責... http://www.slime2.com.tw/forums/showthread.php?t=125239 |
|
|
送花文章: 96,
|
平板模式
