『 資訊安全』更新程式-Apple Mac OS X
Mac OS X 10.4.8版更新程式,一共修補了10.4.7版本以前的15項安全漏洞。
弱點資訊
Windows 2000/XP
網路安全組織通報Windows含有導致洩漏敏感資訊的安全漏洞,這起因於Windows Shell 的WebViewFolderIcon ActiveX 控制元件(webvw.dll)中的setSlice()方法,在處理含有惡意參數的網頁時可能導致系統記憶體緩衝溢位錯誤,攻擊者可透過架設惡意網站或發送附有惡意檔案的郵件發動攻擊,從而獲取用戶系統控制權、植入木馬程式竊取敏感資料。微軟已確認此問題會影響Windows 2000與XP SP2,Windows Server 2003則不受影響,目前有多家資安廠商宣稱偵測到利用此漏洞的木馬程式,並已在網路上流傳。
Skype
網路安全組織通報Skype因沒有正確驗證用戶的輸入,遠端攻擊者可藉由格式串攻擊,觸發空指標引用,導致系統發生拒絕服務或執行任意指令。此問題存在於Skype 1.5.0.79,廠商尚未釋出修補程式。
更新程式
Apple Mac OS X
Apple發佈Mac OS X 10.4.8版更新程式,一共修補了10.4.7版本以前的15項安全漏洞。包括Adobe Flash Player包含多個可導致執行任意指令的漏洞、ImageIO在處理特殊JPEG2000圖檔導致緩衝區溢位,Kernel Mach導致非法提升權限、Cyrus SASL導致遠端拒絕服務攻擊,以及WebKit處理特定HTML檔案導致記憶體管理漏洞等。
Sun Solaris
Sun發佈適用於Solaris 10的兩個更新程式,修補系統核心的SSL代理功能導致遠端拒絕服務攻擊,以及本地攻擊者可關閉系統的syslog(3c)功能,導致系統事件不能記錄的漏洞。
OpenSSH
多款開放源碼作業系統使用的Open SSH安全shell協定實作上含有洩漏敏感資訊的漏洞,OpenSSH處理GSSAPI驗證存在問題,遠端攻擊者可藉此獲得敏感資訊。目前尚未有漏洞細節公佈,但OpenBSD已發佈OpenSSH 4.4與Portable OpenSSH 4.4.p1修正這個問題。
