今天的bug补丁和安全警报:
Mozilla在其Firefox浏览器上修补了两个令人讨厌的漏洞。两周前,安全研究人员首次发布了显示漏洞如何被攻击的代码。周一发布的Firefox 2.0.0.6版本修复了Firefox URL协议处理程序组件中的两个相关缺陷,该组件用于在用户点击特定精心设计的网络链接时启动程序。IDG新闻社,2007年7月31日。
* * * * * * * * * *
苹果公司昨天发布了Mac OS X的安全更新,修补了45个漏洞,其中包括几个开源Samba文件共享代码漏洞,研究人员最近警告,这些漏洞在发现关键漏洞10周后仍对用户构成威胁。计算机世界,08/01/07。
苹果iPhone的安全更新不仅仅是修复了手机的严重缺陷。据希望解锁手机的黑客说,它还会查找并清除用户对手机固件所做的任何修改。IDG新闻社,08/01/07。
* * * * * * * * * *
根据Drupal的建议,“由于表单API的不当使用,或者仅对GET请求采取行动,Drupal核心中的几个部分没有受到防止跨站点请求伪造的保护。恶意用户能够删除评论和内容修改,并禁用菜单项,通过引诱特权用户访问特定的url,同时受害者登录到目标网站。”用户应该升级到5.2版本。
Drupal核心处理某些变量的方式存在缺陷,攻击者可能利用这种缺陷将恶意脚本注入到Web页面中。Drupal 5。x用户应该升级到5.2和4.7版本。x用户应该下载4.7.7版本。
* * * * * * * * * *
今天的恶意软件的消息:
…是他们给我的具体来说,是SB.Badbunny,一种试图通过IRC传播的相当新颖的OpenOffice宏病毒。赛门铁克安全响应博客,07/30/07。
我将在本周的黑帽简报会上和下周的Usenix安全会上介绍移动恶意软件的现状。我将在这些演讲中宣布的一项新发现是,在最新的基于symbian的智能手机中,蓝牙用户界面已经被修改为更能抵御恶意软件。f安全防病毒研究Weblog, 07/30/07。
我决定查看与我测量过的Peacomm相关的明信片垃圾邮件的来源。我真诚地期望在到达日期上有更少的差异,而在下载位置上有更多的差异。我在这里没有看到“周末不要发垃圾邮件”之类的模式,也没有任何迹象表明他们在避开任何特定的国家。这只是数据的一个子集,只是基于我的收件箱,没有其他的。Arbor网络安全博客,07/30/07。
最近,以《辛普森一家》为诱饵的垃圾邮件攻击开始了。但所有这些攻击都试图验证电子邮件地址。NetworkWorld.com, 07/30/07。
来自趣味阅读系:
趋势科技发布了托管反僵尸网络安全服务。该产品针对的是日益增长的安全威胁,已经影响到100多万受害者。有个足球雷竞技app网络世界,07/30/07。
一项分析显示,最近最著名的两个勒索软件木马可能是同一个人所为,或者是一个相关的犯罪团伙所为。TechWorld 07/30/07,
自Scott Chasin开始BugTraq详细讨论计算机安全漏洞以来,已经过去了近14年。从那时起,它已经从一个小的电子邮件列表成长为一个顶级的行业漏洞信息来源,并在此过程中,通过其全面的信息披露政策,帮助推动了行业的许多变化。从那时起,这是一次多么漫长和奇怪的旅行啊。但有一件事是不变的,那就是在充满道德地雷的战场上做正确的事情。赛门铁克安全响应博客,08/01/07。
TippingPoint的Terri Forslof说可以。McAfee的Dave Marcus拒绝了。两人就这个有争议的话题展开了一场优雅的唇枪舌剑。最近的一场黑客竞赛为一位安全研究员赢得了1万美元的奖金,这再次引发了对这个问题的热议。安全研究人员发现漏洞的工作是否应该得到报酬?还是说这种支付违反了道德?Forslof是TippingPoint的安全响应经理。Marcus是McAfee的安全研究和通信经理。
电脑安全公司Errata Security Inc.的研究显示,通过Wi-Fi访问谷歌的Gmail或Facebook社交网站的用户,其账户可能面临被劫持的风险。IDG新闻社,08/01/07。
周三,在拉斯维加斯举行的黑帽会议上,一位安全研究人员告诉观众,一个持续10年之久的安全问题再次困扰公司IT。IDG新闻社,08/01/07。
周三,Mozilla安全部门负责人表示,该公司将向开源社区发布一系列自主开发的安全工具,其中第一个是在Firefox浏览器中发现了一些漏洞的JavaScript模糊器。计算机世界,08/02/07。
编者按:从8月13日开始,该通讯将被重新命名为“安全:威胁警报”,以更好地反映该通讯的重点。感谢您阅读网络世界通讯!有个足球雷竞技app