Chinadu's Blog

Raff表示，Google Maps中一个小小的XSS问题就可能绕过浏览器的同源政策以劫持Google、Gmail或Google Apps的账号。

两名资安研究人员Aviv Raff及Adrian Pastor上周相继指出Google Apps含有安全设计上的漏洞。

Raff在Blog中指出，使用者可以透过许多的Google子网域存取Google的多种网络应用程序，包括Google Maps、Gmail、Google Images、Google News及Google.com等，主要问题在黑客可利用这些跨网域的网络应用程序共享的安全设计漏洞。

所谓的跨网域共享网络应用程序指的是在特定的网域下可以连结其它网络应用程序，例如可在Google Maps网域下使用Google News服务。

Raff表示，因此Google Maps中一个小小的XSS问题就可能绕过浏览器的同源政策（Same Origin Policy）以劫持Google、Gmail或Google Apps的账号。

而Pastor则公布了一个相关的概念性验证程序，可用以攻击Google Images中的页框注射（frame injection）漏洞，在Google Images中嵌入一个假的Gmail登入网页，然后使用跨网域的网络应用程序共享漏洞进一步让使用者相信这是一个合法的登入页面。

Raff指出，他在今年4月就发现该漏洞并提报给Google，当时Google表示会调查该漏洞，但随后一直未收到Google的响应，随着Pastor发表该概念性验证程序，他才决定揭露相关的信息以期Google可尽速修补。

根据Linux创始人Linus发出的信函显示，Linux内核已经正式升级至2.6.27。而他的信函同时也显示了Linux系统的不断前进的过程，一点一滴的积累，众多爱好者不断的参与，才会有今天的Linux操作系统。

Linus在信中写道：

“在2.6.27 RC9之后没有太多的改动，这是一件好事。我当然不希望在正式发布之前任何的变动。而且我也不想让很多人去看修正列表。我认为，我们现在已经到了一个相当不错的状态。我可不想让发布新闻稿延期。

RC9之后的改动确实非常小。我怀疑很多人会关注修正列表，和往常一样，如果你想了解自2.6.26之后的所有变化，去看完全版的更新日志。不过更容易阅读的版本可以参阅这里。

更重要的是，这些内容已经通过了测试。不过如果你是个坏男孩（女孩），根本没参与RC测试，那你还是看看吧。”

据悉此次2.6.27内核升级增加了新的文件系统UBIFS，此文件系统专门针对纯闪存存储装置，另外，大大改善了Direct I/O的可扩展性和性能，ext4的延迟问题得到解决，同时增加队列网络功能，数据完整性检查，MMIO追踪器，改进摄像头的兼容性。支持Intel 5000系列WiFi网卡、支持RTL8187B网卡、增加Atheros AR5008和AR9001的驱动程序。其他驱动程序也获得了相应的增加。

新闻来源:腾讯科技
据国外媒体报道，微软计划下周发布11款补丁软件，其中4款的安全等级被评定为“危急”（critical）。

微软本周四在一份有关补丁软件的公告中表示，这些补丁软件将修正Windows活动目录、IE、Excel和Microsoft Host Integration Server中的“危急”缺陷。

微软称，安全等级为“危急”的活动目录缺陷只影响Windows 2000 Server，Excel缺陷影响Windows和Mac OS X版Excel。

微软还将发布6款安全等级为“重要”（important）的Windows补丁软件和1款安全等级为“中等”（moderate）的Office补丁软件。

微软计划美国太平洋时间本周二上午10点左右发布这些补丁软件。

之前,安全人员透露了一个严重的"clickjacking"跨浏览器攻击漏洞，该漏洞影响所有主流桌面平台，包括，IE, Firefox, Safari, Opera 以及 Adobe Flash。这个被称为 Clickjacking 的安全威胁，原本要在 OWASP NYC AppSec 2008 大会上公布，但包括 Adobe 在内的厂商请求暂时不要公开这个漏洞，直到他们开发出安全补丁。今天Adobe在安全公告栏上第一次提及此事，本次漏洞影响9.0.124.0之前的所有版本，同时他们发表了暂时的解决方案，希望各位注意。

Flash Player workaround available for "Clickjacking" issue
http://www.adobe.com/support/security/advisories/apsa08-08.html
 

“代理脚本蠕虫变种Q（Worm.Script.VBS.Agent.q）”病毒。该病毒通过网络、U盘传播，可以感染HTML等多种格式的文件，给用户带来比较大的损失，病毒还能够从黑客指定的网站上下载新的病毒。
这是一个蠕虫病毒，它运行后试图关闭多种杀毒软件，同时它可以禁用系统注册表等多种系统配置程序，给用户的使用带来不便。病毒运行后会删除磁盘上含有成人色情词汇且扩展名为mpg、rmvb、avi、rm的视频文件。

病毒还可以感染磁盘中扩展名为hta、htm、html的网页文件，然后在这些文件里加入病毒代码，当用户浏览这些文件时就可能传染上新的病毒。病毒复制自身到所有磁盘根目录下，并以此传播。

消息来源：南方都市报
 

PS:写病毒的都从良了？

对于微软英国网站来说,当地时间周三是黑色的一天,他们被一个沙特阿拉伯的少年黑客玩得团团转.在微软英国的主页查询结果页上出现了这位少年摇旗呐喊的照片.
微软欧洲,中东和非洲首席安全代表Roger Halbheer周五确认了这一消息.问题已经被修复,但明显暴露出一个庞大的软件公司仍然会给黑客留下机会.
黑客名为 "rEmOtEr",它利用微软的SQL程序漏洞进行了注入攻击,未经授权访问数据库,并让服务器查询返回错误信息.

SQL注入攻击在网络安全业界有愈演愈烈的态势,多家厂商表示他们要研究数据库保护技术来防止未经授权的注入.安全人员Davie称不但是微软,所有人都面临着这一威胁.

6月10日晚，完美时空所属的四个游戏陆续被黑客攻击，包括：完美世界、完美世界国际版、武林外传、诛仙，由于四个游戏属于同一引擎同一游戏模版，黑客利用最新的游戏漏洞对各服务器数据进行疯狂盗链.完美时空为避免玩家更大损失被迫陆续关闭四个游戏的所有服务器以及官方网站、官方论坛、公司网站.

完美时空承诺24小时之内所有游戏恢复正常。截至目前（11日凌晨3点）仍无任何服务器恢复正常的消息，某些游戏网站中出现了一些黑客组织宣布对此次攻击负责。

这次攻击很可能导致部分玩家游戏回档，甚至会出现无法弥补的数据错误，请玩家做好心理准备，据悉这是目前中国游戏公司最大范围的一次受袭。

最新消息,Java Development Kit开发环境中的两个严重的远程漏洞被黑客发现,可用来完全控制系统.该漏洞被FrSIRT (French Security Incident Response Team)评定为"危急".其中一个漏洞在处理整合ICC的JPEG文件时触发整数溢出.另一个在虚拟机打开包含恶意代码的BMP文件时被触发,可引发DoS.
这两个严重漏洞在Sun JDK 1.x版本全部存在.建议升级到1.5.0_11-b03 or 1.6.0_01-b06以避免这个问题.

Vista用户系统登陆密码形同虚设？4月6日下午,据金山毒霸反病毒专家透漏，微软Vista操作系统输入法接口存在本地登录权限提升漏洞。VISTA用户，如果输入法默认状态设置为谷歌拼音或极点中文输入法,VISTA系统登录密码将形同虚设,电脑可轻易被他人操控。

　　金山毒霸反病毒工程师李铁军表示，如果将谷歌拼音或极点中文输入法安装到Vista上，并设置为缺省状态，将重现当年Windows2000输入法漏洞，恶意用户可以利用该漏洞在没有获得本机用户许可的情况下，入侵用户电脑。

　　据了解，之前Windows 2000输入法曝出漏洞，在默认安装的情况下，Windows 2000中的简体中文输入法不能正确地检测当前的状态，导致在系统登录界面中提供了不应有的功能。进而，一些别有用心的用户可以通过直接操作该计算机的键盘得到当前系统权限，运行他选择的代码、更改系统配置、新建用户、添加或删除系统服务、添加、更改或删除数据，或执行其他操作。

　　据悉，截止到记者发稿时，Google公司已经发布了相关补丁，但由于部分VISTA用户不能及时下载补丁或某些输入法仍存在此漏洞，漏洞仍然会给Vista用户带来一定的风险。所以金山毒霸反病毒专家建议用户，一方面立即下载Google发布的相关漏洞补丁，同时，最好也是最直接的办法可将输入法的默认状态设置为系统自带输入法。

安全专家声称,用于加密无线局域网的WEP(有线对等保密)协议已经被完全攻破,任何使用该技术的无线网络都不再安全.
WEP的核心算法是RC4,通过40-bit或104-bit长的密钥对数据进行加密,然后进行无线传输.早在2001年,Scott Fluhrer、Itsik Mantin、Adi Shamir等人就发表了对RC4串流加密法的详尽分析,此后黑客就能不同程度地破解WEP密钥.2005年,Andreas Klein又进行了深入剖析,证明了RC4密钥流之间的更多相关性.

在前人的研究基础上，德国达姆施塔特理工学院的研究人员借实现了对104-bit WEP密钥的破解，而且捕获的数据包越多，可能性就越大。据称，只需要40000个就能让WEP密钥难以躲藏，85000个时的可能性高达95％。
捕获40000个数据包所需要的时间不到一分钟，利用Pentium M 1.7GHz进行计算更是三秒钟就能完成。

研究人员建议无线网络设备尽快改用WPA1和WPA2加密技术，以确保安全

3月17日，据外电报道，一家网络安全公司日前警告称，Google的博客网站(www.blogger.com)存在大量用来传播恶意软件的虚假博客。

　　据PCWorld网站报道，网络安全公司Fortinet称，一些看似真实的博客，其主题涉及《星球大战》、学校、家具、圣诞节、汽车和女友等，其实包藏了大量各种类型的以脚本启动的恶意软件。该公司称，Google博客服务中这样的网站现在有数百个之多，而且用户在访问这些网站完全意识不到存在的危险。

　　Fortinet举例说，其中一个网站看起来是为了吸引本田(Honda)CR450的车迷，但其真正目的是却为了传播Wonka木马病毒。Fortinet给出的另一个虚假博客则会将用户重定向到一个自称为“药品快递”(Pharmacy Express)的商店主页，但这个所谓的商店网站却是一个钓鱼网站，它已在大量由Stration蠕虫传播的垃圾电子邮件中出现过。

　　对此Google在一份声明中说：“这些并不是被感染了的合法博客，它们建立的目的是为了展开‘钓鱼’攻击。这种行为这违背了我们的服务条款。我们正在调查，而含有恶意代码或是试图进行‘钓鱼’攻击的博客将被删除。”社区网站是互联网增长最快的一个领域，但同时也为传播恶意软件提供了温床，假冒博客只是又一个例子。近段时间，MySpace和YouTube被用来传播或是被重定向到恶意软件的例子时有所闻。去年10月，MySpace上发现了“网络钓鱼”的鱼饵；同年早期，有用户报告称受到了来自该网站的广告软件的感染。

　　到去年11月，开始轮到Google旗下的YouTube遭殃，它上面发现了重定向诡计，不过当时使用了虚假黄色视频做为诱饵。