今天的错误修补程序和安全警报:
US-CERT警告警告说明MIT Kerberos 5实现(和使用它的产品)包含多种漏洞。根据美国证书的说法,最严重的缺陷可能会被利用来运行未括的系统上的恶意代码。
麻省理工学院的报告:
供应商报告:
**********
rpath,ubuntu发布libexif更新rPath和Ubuntu.最近发布了此漏洞的更新。
攻击者可能利用LibExif代码中的缓冲区溢出,在受影响的系统上运行恶意命令或应用程序。这两个
**********
Evolution处理IMAP服务器消息的方式存在缺陷,可能被用于在具有升级特权的受影响机器上运行恶意代码。Mandriva已经发布了这个漏洞的修复。
**********
OpenPKG在流行WordPress内容管理系统的实现中找到了输入过滤漏洞。为了利用缺陷,必须打开用户身份验证,并且必须对攻击进行身份验证。
**********
今天的恶意软件新闻:
我垃圾邮件的特洛伊木马?真的。我们看到的最新版本的恶意代码被垃圾邮件发送的是贺卡垃圾邮件的特洛伊木马。垃圾邮件中的恶意代码已经过了一段时间。Symantec安全响应博客,06/27/07。
美国司法部(Doj)正在通过声称来自Doj的消息提醒电子邮件用户有关可能的网络钓鱼攻击。IDG新闻服务,06/28/07。
假冒的Windows补丁邮件会导致木马攻击留言未知用户安装刚刚发布的Microsoft Corp.安全更新是虚假的,实际上导致一个在PC上植物恶意代码的网站,今天的一些安全公司警告。垃圾邮件,吹捧“Microsoft安全公告MS07-0065 - 关键更新”作为其主题,似乎来自“update@microsoft.com”,声明用户应下载6月18日的安全补丁并提供给URL的链接看起来合法。Computerworld,06/27/07。谨防lzh.
虽然在过去的六个月内,Microsoft Office零日漏洞的发现急剧下降,但新的文件格式漏洞仍在定期发现(并剥削)。在.zip和.rar文件漏洞之后,最新的存档格式漏洞会影响Lhaca Archiver及其LZH压缩支持。虽然在美国和欧洲并不众所周知,LHACA似乎是日本的一个受欢迎的档案工具,而是压缩格式LZH。Symantec安全响应博客,06/25/07。
**********
来自有趣的阅读部门:
IBM,McAfee和Symantec表示,手机可以闯入,但需要复杂的黑客。Networkworld.com,06/25/07。
这是一篇论文的摘要,该文件计划在下个月在黑帽美国2007年度安全大会上呈现。本周未经会议网站的会议网站解释,并承诺由可信平台模块芯片提供的规避安全:“TPMKIT:打破可信计算的传说(TC [TPM])和Vista(BitLocker)”。有个足球雷竞技app网络世界,网络世界,06/27/07。
由于苹果公司几乎没有提供关于iPhone安全的信息,专家们对于公司是应该禁止使用iPhone,还是应该弄清楚如何让它在企业网络中安全运行存在分歧。计算机世界,06/25/07。
Microsoft Security Group使“最糟糕的工作”列表
鲸鱼粪便研究人员,HAZMAT潜水员和微软安全响应中心的员工有什么共同之处?他们都在科学杂志2007年的科学中的绝对最糟糕工作列表。IDG新闻服务,06/26/07。
在某一时刻,公司可能会发生事故,需要It部门进行正式调查,追踪员工的数字踪迹。你知道该怎么做吗?有个足球雷竞技app网络世界,06/26/07。
安全供应商质疑防病毒测试防病毒软件经常测试性能,因此挑选顶级产品应该简单:选择一个供应商,其软件杀死互联网上传播的所有邪恶事物。你很高兴,对吧?不必要。IDG新闻服务,06/26/07。手机病毒作者在西班牙被捕
据报道,西班牙警方逮捕了一名28岁的男子,他被指控制造了CommWarrior和Cabir手机病毒的变种。IDG新闻服务,07年6月25日。