今天的bug补丁和安全警告:
思科公司的网络硬件制造商在昨天发布了修复补丁后不久,昨天思科网站突然中断,导致客户在大约三个小时内无法取回21个关键补丁。这21个补丁分4次更新,在断电前3小时发布,将修复IOS的一系列漏洞,其中一些漏洞可能导致攻击者将自己的代码注入脆弱的思科硬件。根据思科的报告,四个IOS更新中有三个堵住了漏洞,攻击者可以或可能通过远程代码利用这些漏洞。
思科报告:
Cisco Unified MeetingPlace XSS漏洞
**********
微软将于下周发布9套安全补丁,其中包括针对Windows、Office、Internet Explorer及其Visual Basic开发软件的6个关键更新。
**********
苹果公司已经为其新推出的iMac和其专业级台式机Mac Pro发布了软件更新。苹果公司对这次软件更新的内容提供了有限的细节,只说它“提供了重要的bug修复,并推荐用于20英寸和24英寸、2.0、2.4或2.8GHz处理器的iMac机型。”
**********
诺顿杀毒软件使用ActiveX编程语言的方式存在缺陷,可能会给赛门铁克产品的用户带来严重问题。周四,赛门铁克修补了该漏洞,警告称,赛门铁克客户端软件使用的两个ActiveX控件中的一个漏洞可能允许攻击者在受害者的计算机上运行未经授权的软件。安全供应商Secunia将该问题评级为“高度严重”。IDG新闻服务,08/09/07。
**********
从Trustix推出的新补丁修复了文件、gd和mutt中的缺陷。最严重的缺陷可以通过触发缓冲区溢出来利用,允许攻击者在受影响的系统上运行恶意代码。
**********
今天的恶意软件的消息:
好吧,你可以用任何你想要的机构名称来替换,但结果几乎都是一样的。不久前,我在一篇关于高级TDS(另一种mpack类型的克隆软件)的博客中提到,一些恶意软件开发者变得多么专业。Symantec Security Response Weblob, 08/06/07。
**********
来自有趣阅读部:
一个蜜罐只是一个“被严密监视的计算资源,我们想要被探测、攻击或破坏,”尼尔斯·普罗沃斯和托尔斯滕·霍尔兹在他们的新书《虚拟蜜罐》中告诉我们。有个足球雷竞技app网络世界,08/10/07。
周四启动了安全行业两大漏洞悬赏计划的人为为漏洞付费的想法进行了辩护,但他也说,他对批评人士的回应是对漏洞细节进行了更严格的限制,以确保它们不会落入坏人之手。计算机世界,08/09/07。
防火墙、入侵检测和防御系统、反病毒——这些都是业界的老把戏,IT部门传统上使用它们来维护大型复杂网络的安全。但这就足够了吗?威胁量在增加,传播速度在增加,攻击变得更加先进和难以捉摸。幸运的是,有一些创新的新方法可以补充传统的方法。而且,安全的光明一面可能也有“黑暗”一面。赛门铁克安全响应Weblog, 08/09/07。
安全公司Immunity发布了一款工具,旨在将安全漏洞的整合过程实现自动化,一些人认为此举将导致“零日”漏洞的数量急剧上升。TechWorld 08/09/07。
从服务提供商那里窃取价值100万美元VoIP通话时间的技术人员使用常见、简单的攻击来获取非法访问。有个足球雷竞技app网络世界,08/10/07。