April 17, 2008

使用動態游標恐洩漏線上交易密碼、卡號

  世界知名防毒大廠 McAfee 的安全防護實驗室 (Avert Labs),
在美國時間 2007.03.29 證實了一項微軟的安全性漏洞。
而此一漏洞將造成微軟的 Windows 2000、Windows XP、
Windows 2003、Windows Vista 發生冗長的當機/重啟的無限迴圈,
而這一切問題的源頭只是一個不正常的動態游標。

一間名為 eEye 的安全性軟體開發商,
曾於 2005 年 1 月發現此一問題。
而微軟之後隨即發佈了安全性修正程式,
這個修正程式影響的作業系統從第一版的 Windows 98 至 Windows XP。
但 Avert Labs 發現另一個相似的安全性漏洞,
透過動態游標檔 (*.ANI) 攻擊微軟眾多版本的 Windows 作業系統

可能遭受攻擊的 Windows 版本如下:

Microsoft Windows 2000 Service Pack 4

Microsoft Windows XP Service Pack 2

Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)

Microsoft Windows XP Professional x64 Edition

Microsoft Windows Server 2003

Microsoft Windows Server 2003 for Itanium-based Systems

Microsoft Windows Server 2003 Service Pack 1

Microsoft Windows Server 2003 with SP1 for Itanium-based Systems

Microsoft Windows Server 2003 x64 Edition

Microsoft Windows Vista

  為了證明這個已存在的漏洞,
Avert Labs 將操作的過程錄製下來並上傳至 YouTube。
在這個簡短的影片中,Windows Vista 試圖去載入一個動態游標,
點我看中毒發生影片
當作業系統偵測到異常而即將當機時,
會先將未存檔的資料存入重新啟動區中 (restart sequence) -
此為 Vista 的新功能,接下來才會通知使用者 Windows Explorer 發生異常中止。


  台灣微軟伺服器暨平台事業部資深行銷經理史百誠表示,微軟已在上週公布這個弱點。目前正積極調查此一漏洞,幾日內即會對此發出更新資訊

Windows 動態游標(.ani)漏洞是在上週相繼由資安業者McAfee及eEye揭露。根據eEye說法,由於.ani經常被網頁開發人員用來提供動態游標以改善網站使用經驗,而駭客只要在網站上的.ani檔案中嵌入惡意程式,當使用者執行超連結並造訪惡意網站時就可能受到感染。對此eEye更已在上週緊急發表一暫時性的非官方修補程式供下載。

—————————————————————————

趨勢科技亦於第一時間發佈警訊,木馬病毒 TROJ_ANICMOO.AX 利用Windows動態游標缺陷(Vulnerability in Windows Animated Cursor Handling)發動零時差攻擊,使用者只要點選相關惡意連結就會遭受竊取密碼帳號等機密資料的木馬攻擊,但也有可能因為上了遭受植入惡意程式的網站,而被暗中下毒。目前台灣有多家知名企業的官方網站遭植入該病毒,其中包含知名醫院、電視台、大學、政府機構、汽車、相機廠商、旅行社等官方網站,使用者只要瀏覽這些被暗中下毒的網站,就會利用弱點,植入動態游標animated cursor (.ANI)的病毒檔案,不過該執行檔副檔名偽裝為圖片檔.jpg,藉以躲避偵測。趨勢科技技術顧問簡勝財表示目前疫情有擴大跡象,趨勢科技全線產品皆可偵測及清除該病毒,建議用戶立刻更新最新病毒碼。


引述自:趨勢科技,Ressol's blog

0推薦此文章
Today's Visitors: 0 Total Visitors: 30
Personal Category: 資訊記事 Topic: technology
Previous in This Category: MSN on Blog   Next in This Category: 網拍達人請注意....
[Trackback URL]

Post A Comment









Yes No



Please input the magic number:

( Prevent the annoy garbage messages )
( What if you cannot see the numbers? )
Please input the magic number

誰來收藏
Loading ...
unlog_NVPO 0