1月20日消息,据国外媒体报道,微软去年Pwn2Own黑客大赛上发现的漏洞,在9个月后终于得到了修补,但是短短一天过后,就有研究者公布了新的Windows补丁的攻击代码。
这个被微软定义为最高危险等级“危急”的漏洞早在9个月前的黑客大赛上就发现了,当时它被其发现者用于强强联手攻击Internet Explorer 8 (IE8),并为其赢得了10000美元的奖金。
Vreugdenhil在去年的Pwn2Own上只用了2分钟就攻击了IE8,被称为“技术上令人印象深刻的”。他不光用了两个漏洞,而这两个漏洞都可以自身被利用,他还令两个漏洞同时奏效。 阅读全文
可靠消息透露,微软将在当地时间2010年1月21日公布之前造成巨大影响的Internet Explorer 6, 7 , 8版本远程代码执行漏洞的补丁.
该漏洞曾引发Google在内的多家公司网络被攻破,同时攻击代码也已经在互联网不断蔓延,多国政府向国民发出安全警告,提示暂时停用IE.本次更新也是 微软今年首次Patch Tuesday以外的紧急非计划更新,影响的Windows版本有:2000,XP,Vista,7,2003和2008.
查看:Microsoft Security Bulletin Advance Notification for January 2010
1月22日更新:
周四,微软发布了重要的Internet Explorer的累计补丁,总共修复了8个漏洞,其中包括导致Google在内的多家公司被攻击的漏洞。
本次安全更新涉及IE5/6/7/8四个版本,问题的严重性包括可以允许远程执行代码,安装该更新后可以消除一系列来自IE的漏洞,并可以减少受攻击的风 险,微软建议客户尽快部署防范已知攻击的安全更新。与此同时,趋势科技和赛门铁克公司周四表示,他们已找到新的恶意软件样本,利用IE漏洞进行攻击。
来源:80sec
DirectShow 0day是一个中率极高的0day漏洞,目前已经开始在网上爆发,其攻击形势不亚于去年的IE7 0day以及往年的ANI 0day。
攻击特性如下:
1.使用了.NET SHELLCODE技术,机器上装有.net framework就会中招。
2.利用XP自带的Windows Media Player播放漏洞媒体文件触发。
阅读全文
问题实在过于严重,微软今天发布了一个预告,他们将在当地时间12月17日发布之前爆出的IE7 0day漏洞的补丁.
目前安全警示已经出现,KB号码961051,该漏洞已经早上成千上万的机器被入侵和劫持,本次补丁也是微软今年第二次非常规性的突发漏洞补丁,我们将继续保持关注.
查看:Microsoft Security Bulletin Advance Notification for December 2008
后续:微软于18日准时发布了这款补丁MS08-078,这也是微软打破传统的每月一次的安全更新制度而针对安全漏洞紧急发布的一个补丁。据微软方面透露,这个安全漏洞已经使数百万用户的计算机遭到黑客控制。
