§§   gagaman 專屬部落格

總 覽版 務政 經健康醫療軍 武理 財文 化藝 文科 技台灣的美旅 遊PISA娛 樂鄉 土公 民認 同副 刊哈 啦范氏網
竹縫
視界
耳聾
世界
泰伯
觀點
Joy
隨筆
哈利
天地
Jerry C
鳥 世 界
射水魚
天 空
討海人
鏡 頭
嘻笑
人間
詩情
畫藝
老工仔
思 維
網網
相連
歷史
庫存

Vista 一上市,就顯現安全漏洞與缺陷

發表:gagaman 2006-12-27 02:38:20 閱覽數:14212 (IP: ) T 2156_R 0 引 用
駭客抓包、防毒公司唱衰 Vista拉警報

〔編譯鄭寺音/綜合報導〕微軟上月底向企業用戶發表新視窗作業系統Vista後,不料相繼被電腦安全人員與駭客發現存在瑕疵,微軟標榜為該公司最安全產品的Vista尚未全面正式上市,即已面臨外界對其品質的信心危機。

新瀏覽器軟體碼有瑕疵

繼十二月十五日俄羅斯駭客在網路上公佈Vista瑕疵後,上個週末矽谷防毒軟體公司Determina除通報同樣漏洞外,又提出其他五項弱點,其中包括新瀏覽器IE7軟體碼的嚴重錯誤。

微軟發言人米勒二十三日說,微軟正在調查該項瀏覽器瑕疵,目前並未聽聞針對此項弱點發動的攻擊。

Determina表示,瀏覽器的漏洞特別讓人擔心,因為Vista使用者或許只是單純瀏覽佈下陷阱的網站,就會遭攻擊者的流氓軟件攻擊。

雖然微軟宣稱Vista安全性大幅增強,但許多業界人士仍抱持觀望態度。微軟視窗XP作業系統推出數年間,需要兩項「更新套件」實質增加安全性,且至今仍時有新漏洞傳出。

微軟斥資數百萬美元做廣告,宣稱Vista作業系統為該公司最安全的產品,希望藉Vista一挽視窗頻遭攻擊的頹勢,Vista對微軟的重要性由此可見。

瀏覽器瑕疵恐致密碼遭竊

雖然明年初將正式應用在消費性電腦的Vista已經廣泛測試,但Determina的副總裁慕察達尼表示,「我不認為人們應該滿足,程式全部重寫不代表更加安全,我預期六個月或一年間,會看到Vista出現程式錯誤與瑕疵」。Determina說,瀏覽器瑕疵可能會造成密碼資訊遭竊等傷害。

但IE7的「sandbox」技術可將應用程式與操作系統其它部分分離,即使惡意程式得以入侵瀏覽器,也能降低攻擊者侵入Vista系統其他部分或覆蓋檔案的能力。
http://www.libertytimes.com.tw/2006/new/dec/26/today-int2.htm

回應:gagaman 2007-02-07 01:57:22 (IP: ) T 2156_R 1 引 用
CA發現Office新弱點 建議使用者不要任意開啟檔案與連結
2007/02/06 18:12
記者陳曉藍/台北報導

企業管理軟體公司組合國際(CA)於今(6)日發布Microsoft Office遠端程式碼執行弱點安全警訊,攻擊者可利用此弱點從遠端執行任意程式碼,並癱瘓使用者的電腦系統。CA並建議使用者不要任意開啟未知檔案與連結。

CA安全諮詢團隊日前發現Microsoft Office內含一個允許遠端攻擊者執行任意程式碼的弱點,並且發出高威脅警訊。CA表示,攻擊者可誘使使用者開啟惡意的Office檔案,並且由遠端執行惡意病毒碼後,大量消耗記憶體資源,造成系統癱瘓。包括Word、PowerPoint、Excel、Outlook、FrontPage、 Access、Publisher等Office 2002及Office 2003軟體皆受到影響。

CA方面表示,如果無法執行修補程式,在使用電腦時應注意,開啟防火牆、安裝防毒和反間諜軟體,並且確認有最新病毒碼、檢查安全軟體是否更新,若有更新資訊需盡速下載、開啟來源不明的HTML格式電子郵件內的連結時開啟安全警訊功能、使用無系統管理特權的帳號、不要任意開啟來源未知的檔案或連結,將可使損失降至最低。
http://www.ettoday.com/2007/02/06/339-2051725.htm

回應:gagaman 2007-02-16 00:42:02 (IP: ) T 2156_R 2 引 用
大陸駭客發功 Vista破功
2007-02-15 01:59/陳大任/台北報導

微軟Vista變成駭客角力新戰場,Vista家用和OEM版才在1月底上市,2月初就有大陸駭客搶先繳卷,聲稱已找到破解OEM版防護機制的弱點。破解手法比仿間盜版光碟更直接、更高明,只要經過幾道修改程序,就能讓微軟以為你的電腦是合法使用Vista的品牌電腦。

署名Binbin的大陸網友2月初發表一篇「微軟SLP 2.0技術弱點分析及突破驗證的演示」文章,不但明指微軟的BIOS(基本輸入輸出系統)可以破解,還將自己的測試過程公布。此文一出,馬上引發網友一陣論戰。

微軟自從XP開始導入SLP(System-Locked Preinstallation)預載系統鎖的技術,主要是讓預先安裝好XP作業系統的品牌電腦,在交到消費者手上之後,微軟可以透過SLP再確認一次這台電腦的合法性。在XP時代的SLP是1.0版,Vista採用更驗證程序及層次都增加很多的2.0版。

大陸網站cnBeta.com網站指出,微軟之前對外宣稱SLP 2.0使用的BIOS驗證資料是根據電腦主機板計算出的特定數據,而且經過加密,其他主機板不能偽造,被破解的可能性很小,但是眼前已被高手破解,微軟的說法並不屬實,這對電腦製造商帶來隱憂。

亞裕電子資深軟體工程師連啟智說,利用修改BIOS方式突破作業系統,早在XP時代就有,但是中間的風險太高,一沒做好,電腦就掛了,因為它要破壞 BIOS原有的內容,即使對電腦高手來說,都是一件苦差事,所以一直沒有紅起來,Vista上市不到一個月就被破解,只能說Binbin的動作真的很快。

連啟智說,Vista有三道防線,第一道就是一般消費者熟知的產品序號,沒有序號就沒辦法登錄使用。第二道是啟動碼,裡面包含了電腦裡裡外外軟、硬體的認證編號,一般使用者不會碰觸到這個部分,除非電腦整重新安裝,才需要透過微軟客戶服務電話啟動這個部分。

第三道就是WGA正版檢驗程式,被放在微軟的官方網站上供消費者下載,安裝之後就會主動協助消費者檢驗買來的電腦裡安裝的是否為正版系統,如果不是,就會一直跳出更新的提醒視窗。

Binbin的文章在網路上引發正反兩極的論戰,但是Binbin自己認為,技術沒有正邪之分,關鍵在於使用的人是出於什麼目的。他只是分析微軟SLP 2.0技術的弱點,並且公開突破驗證演示的內容,完全出於技術研討的目的。
http://news.pchome.com.tw/life/chinatimes/20070215/index-
20070215015955240402.html

回應:gagaman 2007-02-19 12:16:05 (IP: ) T 2156_R 3 引 用
微軟更新/2月份12個補充程式 Word在內兩個弱點影響大
2007/02/14 17:32
記者陳曉藍/台北報導

台灣微軟14日發佈2007年2月的安全公告,有12個新的安全性補充程式,這些補充程式是解決Microsoft產品弱點,避免導致遠端程式碼以及權限提高的執行問題,賽門鐵克安全機制應變中心認為,其中Microsoft Malware Protection Engine 、Word弱點影響最大。

賽門鐵克安全機制應變中心將Microsoft Malware Protection Engine 之中的弱點,列為本月安全性公告中影響最為嚴重的弱點。該遠端執行程式碼弱點可能影響微軟多項內含Microsoft Malware Protection Engine的產品,包括 Windows Live OneCare、Microsoft Antigen 9.x、Microsoft Windows Defender、Microsoft ForeFront Security for Microsoft Exchange Server 1.x、以及 Microsoft ForeFront Security for SharePoint Server 1.x。

當使用Microsoft Malware Protection Engine的微軟防毒用戶電腦進行配置以允許執行PDF檔時,就可能產生這個弱點。這個弱點之所以危急,是因為惡意的PDF檔案可能會被置於網站上面;或透過電子郵件傳送,然後在閘道端或到達桌上型電腦時通過受感染的防毒引擎掃描,而成功利用該漏洞的攻擊者便可完全控制受影響的系統。

同時,微軟也針對Word中的多項弱點發佈修補程式,以修正與Trojan.Mdropper.T/W/X木馬程式有關的零時差(Zero- day) Word弱點,這支木馬程式企圖對受駭電腦植入額外的威脅。微軟本次所發佈的安全性公告中,亦包含用戶端Word執行程式碼弱點的修補程式,這項弱點會因暗藏於文件中的惡意物件而造成影響。成功利用該弱點的駭客可能在使用者登入的情況下,從遠端執行任意程式碼。

賽門鐵克安全機制應變中心產品群經理Vince Hwang表示,這個月Microsoft Word的弱點也再度說明了零時差弱點數量不斷增加的趨勢。由於駭客持續縮短從弱點公佈到利用弱點發動攻擊的時間差,賽門鐵克建議不論是企業端和消費端用戶,都必須主動更新軟體,並在第一時間安裝修補程式。

賽門鐵克建議家庭用戶,定期執行Microsoft Update,並且安裝最新的安全性更新程式,以保持軟體處於最新狀態 ,勿開啟來路不明的電子郵件附加檔案,及連結來路不明或未被確認的網站;也要記得安裝資訊安全產品。
http://www.ettoday.com/2007/02/14/339-2055566.htm

回應:gagaman 2007-04-05 14:39:31 (IP: ) T 2156_R 4 引 用
視窗Vista 面臨木馬病毒威脅
聯合新聞網╱記者何佩儒/台北報導 2007-04-05 03:08

微軟昨(4)日公布新作業系統Vista上市後的第一個重大資訊安全公告,為避免圖形用戶介面的弱點,可能會被植入木馬程式,呼籲使用者要執行程式更新。據了解,已有十多個網站被植入木馬程式,一旦連結即會利用此弱點攻擊,眾多網友是中毒而不自知。

微軟昨天公告的程式弱點,包括存在個人作業系統視窗XP、視窗Vista、伺服器作業系統Server 2003等,使用這些產品的用戶都要進行更新,修復弱點。

微軟推出Vista時,號稱是最安全的作業系統,但昨天也在這波公布更新名單中。台灣微軟表示,每一代作業系統有部分相同的程式碼,這個圖形介面在Vista系統也存在。

趨勢科技表示,木馬病毒利用這個程式弱點,在使用者的電腦植入動態游標(Animated Cursor)病毒,使用者只要點選相關惡意連結,就會遭到竊取密碼帳號等機密資料的木馬攻擊,也可能上了遭植入惡意程式的網站,被暗中下毒。

趨勢表示,台灣有多家知名企業的官方網站遭到植入病毒,包含知名醫院、電視台、大學、政府機構、旅行社等官方網站,甚至入口網站也被入侵,趨勢已通知這些網站進行清除,但有不少網友中毒卻不自知,所以無法統計被「駭」到的網友數。

台灣微軟指出,上周五總部公布這個弱點,原預定下周推出修補程式,但駭客已在微軟公布的同時,立刻利用弱點展開攻擊,因而提前在昨天推出修補程式,並呼籲所有的使用者要進行更新。

趨勢表示,除進行更新外,如果有安裝防毒軟體,也要進行程式碼的更新,並開啟個人防火牆。趨勢表示,若沒有安裝防毒軟體,也不知道是否中毒,可以利用網路上提供單次掃描及清除的服務。

趨勢表示,若發現連結到某些網站,防毒軟體會跳出偵測到木馬程式,表示該網站已被入侵,可以先將有病毒的網站連結作封鎖,降低中毒感染的風險。
http://news.yam.com/udn/computer/200704/20070405102490.html

回應:gagaman 2007-12-13 11:56:07 (IP: ) T 2156_R 5 引 用
看一看Vista使用過的人的意見,前途似乎跟上Windows ME的腳步,提早OUT。

回應:gagaman 2008-05-30 19:45:24 (IP: ) T 2156_R 6 引 用
Vista賣不好 Windows7明年上市
網路上已經有Windows 7的截圖出現,畫面與Windows Vista相去不遠,不過目前仍為評估版本。(取自mydrivers.com)

採多點觸碰技術

〔記者陳英傑/台北報導〕微軟Windows Vista作業系統從去年年初面世至今,遲未站穩腳步,下一代作業系統Windows 7,已經準備在二○○九年面世取代Vista,最大賣點就是採用「多點觸碰技術」,有可能使滑鼠及鍵盤退出市場。

http://www.libertytimes.com.tw/2008/new/may/30/today-life14.htm

返回 科技分區 返回 gagaman 專屬部落格  ▲往上  

回  應  意  見  主  題

意見主題:【Vista 一上市,就顯現安全漏洞與缺陷

跟 貼 勿 偏 離 主 題!

貼文請用Big5碼。

姓 名:

回應內容:

      

總 覽版 務政 經健康醫療軍 武理 財文 化藝 文科 技台灣的美旅 遊PISA娛 樂鄉 土公 民認 同副 刊哈 啦范氏網
竹縫
視界
耳聾
世界
泰伯
觀點
Joy
隨筆
哈利
天地
Jerry C
鳥 世 界
射水魚
天 空
討海人
鏡 頭
嘻笑
人間
詩情
畫藝
老工仔
思 維
網網
相連
歷史
庫存

* 討論區內之言論,不代表本園之立場,一切法律責任仍由發言者本人負責
* 如果您有任何不當言論,本園有權決定是否保留您所送貼的意見 。