目前分類:網站安全 (44)
- Feb 08 Thu 2007 03:57
台灣綜合研究院網站某連結連至色情廣告網站
- Feb 07 Wed 2007 10:13
威策電腦網頁遭駭
更新資訊:威策電腦事件應變小組處理此事件速度非常快,並且,在他們的網站發布相關訊息,足以做為其他公司的表率。
威策電腦網頁遭駭。這裡要注意的是這個網站是有可能被植入惡意連結或惡意程式碼,所以,他們的網管應該要找出問題的關鍵,而不是只是移除這些遭駭的內容。
**請幫忙通知他們,謝謝**
公司簡介:威策成立於1986年; 成立初期, 公司主要專注於宏碁中文電腦系統之推廣, 亦同時研發一系列企業管理軟體。幾年來, 藉由完整的服務體系與售後服務, 在企業界中建立了良好的聲譽與形象! 2000年, 威策以eService的技術, 為資訊服務開創了嶄新的局面。此年也是威策公司e-世代元年!
公司首頁:
遭置換網頁:
至於詳細的資訊,可以參考 zone-h。
威策電腦網頁遭駭。這裡要注意的是這個網站是有可能被植入惡意連結或惡意程式碼,所以,他們的網管應該要找出問題的關鍵,而不是只是移除這些遭駭的內容。
**請幫忙通知他們,謝謝**
公司簡介:威策成立於1986年; 成立初期, 公司主要專注於宏碁中文電腦系統之推廣, 亦同時研發一系列企業管理軟體。幾年來, 藉由完整的服務體系與售後服務, 在企業界中建立了良好的聲譽與形象! 2000年, 威策以eService的技術, 為資訊服務開創了嶄新的局面。此年也是威策公司e-世代元年!
公司首頁:
遭置換網頁:
至於詳細的資訊,可以參考 zone-h。
- Feb 05 Mon 2007 11:16
華視網站掛了
- Feb 05 Mon 2007 04:04
國立政治大學國際關係研究中心網頁遭駭!
國立政治大學國際關係研究中心網頁遭駭。這裡要注意的是這個網站是有可能被植入惡意連結或惡意程式碼,所以,他們的網管應該要找出問題的關鍵,而不是只是移除這些遭駭的內容。
**請幫忙通知他們,謝謝**
中心簡介 -- 前身為「國際關係研究會」,於民國四十二年四月一日創立,主要研究中共及國際問題,提供政府參考。五十 年改為「中華民國國際關係研究所」,擴大對國內外學術研究機構之聯繫與合作。六十四年七月一日改制為「國際關係研究中心」,隸屬國立政治大學,繼續推動對 中國大陸以及國際事務之研究。八十五年八月一日完全併入政治大學建制。
中心首頁:
遭置換的網頁:
至於詳細的資訊,可以參考 zone-h。
**請幫忙通知他們,謝謝**
中心簡介 -- 前身為「國際關係研究會」,於民國四十二年四月一日創立,主要研究中共及國際問題,提供政府參考。五十 年改為「中華民國國際關係研究所」,擴大對國內外學術研究機構之聯繫與合作。六十四年七月一日改制為「國際關係研究中心」,隸屬國立政治大學,繼續推動對 中國大陸以及國際事務之研究。八十五年八月一日完全併入政治大學建制。
中心首頁:
遭置換的網頁:
至於詳細的資訊,可以參考 zone-h。
- Feb 03 Sat 2007 10:29
MS Office 被發現另一個零時差安全漏洞
微軟今天發布另一個 MS Excel 安全漏洞,攻擊者可以利用惡意的 Office 文件檔執行惡意程式碼。此漏洞目前沒有修補程式,可能會造成零時差攻擊。
受影響軟體:
至於其他詳細的資訊,請參考:
Microsoft Security Advisory (932553): Vulnerability in Microsoft Office Could Allow Remote Code Execution
Exploit-MSExcel.h
-----
受影響軟體:
- Office 2000
- Office XP
- Office 2003
- Office 2004 for Mac
至於其他詳細的資訊,請參考:
Microsoft Security Advisory (932553): Vulnerability in Microsoft Office Could Allow Remote Code Execution
Exploit-MSExcel.h
-----
- Feb 03 Sat 2007 04:47
EmailCash 台灣電子郵件市調網網頁遭駭!
EmailCash 台灣電子郵件市調網網頁遭駭。這裡要注意的是這個網站是有可能被植入惡意連結或惡意程式碼,所以,他們的網管應該要找出問題的關鍵,而不是只是移除這些遭駭的內容。
**請幫忙通知他們,謝謝**
公司簡介 -- 它是由台灣人「鄭言立」創辦的 EmailCash 在澳洲創下相當醒目的成績,獨占澳洲與紐西蘭的線上獎勵問卷網站龍頭,同時擴展版圖,前往台灣以及英國設點,準備進入亞洲與歐洲市場。並在2005年獲得 提名,以本屆最年輕的企業家身分,拿下非常難得的海外華人創業楷模獎項。
公司首頁:
遭置換網頁:
至於詳細的資訊,可以參考 zone-h。
**請幫忙通知他們,謝謝**
公司簡介 -- 它是由台灣人「鄭言立」創辦的 EmailCash 在澳洲創下相當醒目的成績,獨占澳洲與紐西蘭的線上獎勵問卷網站龍頭,同時擴展版圖,前往台灣以及英國設點,準備進入亞洲與歐洲市場。並在2005年獲得 提名,以本屆最年輕的企業家身分,拿下非常難得的海外華人創業楷模獎項。
公司首頁:
遭置換網頁:
至於詳細的資訊,可以參考 zone-h。
- Feb 03 Sat 2007 04:31
奇普仕股份有限公司網頁遭駭!
奇普仕股份有限公司網頁遭駭。這裡要注意的是這個網站是有可能被植入惡意連結或惡意程式碼,所以,他們的網管應該要找出問題的關鍵,而不是只是移除這些遭駭的內容。
**請幫忙通知他們,謝謝**
公司簡介 -- 這是一家資本額為新台幣 13 億 1524 萬元,營業內容為半導體及電子零組件銷售設備及電路板銷售的上市上櫃公司。
公司首頁:
遭置換的網頁:
至於詳細的資訊,可以參考 zone-h。
-----
**請幫忙通知他們,謝謝**
公司簡介 -- 這是一家資本額為新台幣 13 億 1524 萬元,營業內容為半導體及電子零組件銷售設備及電路板銷售的上市上櫃公司。
公司首頁:
遭置換的網頁:
至於詳細的資訊,可以參考 zone-h。
-----
- Feb 03 Sat 2007 04:07
中研院資訊科學研究所資訊網際合作實驗室網頁遭駭!
中研院資訊科學研究所資訊網際合作實驗室網頁遭駭。最高學術研究單位都這麼容易被黑,更何況是其他的單位。這裡要注意的是這個網站是有可能被植入惡意連結或惡意程式碼,所以,他們的網管應該要找出問題的關鍵,而不是只是移除這些遭駭的內容。
**請幫忙通知他們,謝謝**
至於詳細的資訊,可以參考 zone-h。
-----
**請幫忙通知他們,謝謝**
至於詳細的資訊,可以參考 zone-h。
-----
- Feb 02 Fri 2007 12:24
IE7 釣魚過濾器效能問題
更新資訊:XP 和 2003 已經有修補檔可下載。(感謝 Spooky Ranger)
微軟最近在自己的 IEBlog 部落格上提到有關 IE7 釣魚過濾器 (Phishing Filter) 效能問題。當使用者瀏覽一個有多個框架 (Multiple Frames) 的網頁或多個框架同時被瀏覽時,釣魚過濾器會同時檢查每種狀況,導致同一個網頁被檢查了很多次,產生效能方面的問題。
針對 Windows Vista 的使用者,微軟已經提供修補檔 (KD928089),可以在下列的網址下載或是透過 Windows Update:
電腦可能會回應非常慢, Phishing Filter 評估 Internet Explorer 7 中 Web 網頁內容
至於 Windows XP 和 2003 的使用者,要等到二月才有修補檔 (不知何時呢?)。
微軟最近在自己的 IEBlog 部落格上提到有關 IE7 釣魚過濾器 (Phishing Filter) 效能問題。當使用者瀏覽一個有多個框架 (Multiple Frames) 的網頁或多個框架同時被瀏覽時,釣魚過濾器會同時檢查每種狀況,導致同一個網頁被檢查了很多次,產生效能方面的問題。
針對 Windows Vista 的使用者,微軟已經提供修補檔 (KD928089),可以在下列的網址下載或是透過 Windows Update:
電腦可能會回應非常慢, Phishing Filter 評估 Internet Explorer 7 中 Web 網頁內容
至於 Windows XP 和 2003 的使用者,要等到二月才有修補檔 (不知何時呢?)。
- Feb 02 Fri 2007 11:28
Windows Vista 安全漏洞
Windows Vista 最近被發現有一個語音辨識的安全漏洞。攻擊者可以利用 Windows Vista 語音辨識的能力下達攻擊指令給系統。
微軟在安全回應中心 (MSRC) 的部落格上提到有關 Windows Vista 語音辨識的問題,須具備下列的條件,才有可能被攻擊者利用:
系統語音辨識功能會接收「複製 (Copy)」「刪除 (Delete)」「關閉 (Shotdown)」等指令,然後,執行這些指令。微軟強調不可能透過語音指令直接執行須經由使用者帳號控管 (UAC) 確認後才能執行的的程式,因為預設語音指令不能操作 UAC (不曉得可不可以開啟呢?)。至於其他詳細的資訊,請參考:
Vista Speech Command exposes remote exploit
Issue regarding Windows Vista Speech Recognition
-----
微軟在安全回應中心 (MSRC) 的部落格上提到有關 Windows Vista 語音辨識的問題,須具備下列的條件,才有可能被攻擊者利用:
- 系統語音辨識功能已開啟,並且調整相關設定。
- 系統有安裝擴音器 (speaker) 和麥克風 (microphone),並且已開啟。
系統語音辨識功能會接收「複製 (Copy)」「刪除 (Delete)」「關閉 (Shotdown)」等指令,然後,執行這些指令。微軟強調不可能透過語音指令直接執行須經由使用者帳號控管 (UAC) 確認後才能執行的的程式,因為預設語音指令不能操作 UAC (不曉得可不可以開啟呢?)。至於其他詳細的資訊,請參考:
Vista Speech Command exposes remote exploit
Issue regarding Windows Vista Speech Recognition
-----
- Feb 01 Thu 2007 02:06
Windows Mobile 安全漏洞
趨勢科技發現 Windows Mobile 存在安全漏洞。這些安全漏洞是由預先安裝在 Windows Mobile 系統上的應用程式所造成的。
其中一個是 Windows Mobile Pictures & Videos,當在處理惡意圖片檔時,會造成系統停止 10 到 15 分鐘。另一個是瀏覽器,當處理到安全漏洞時,瀏覽器會被終止,Windows Mobile 裝置會變的不穩定。
受影響系統 (對 Smartphones and PocketPC):
其他資訊,請參考 Trend Micro Finds More Windows Mobile Flaws。
-----
其中一個是 Windows Mobile Pictures & Videos,當在處理惡意圖片檔時,會造成系統停止 10 到 15 分鐘。另一個是瀏覽器,當處理到安全漏洞時,瀏覽器會被終止,Windows Mobile 裝置會變的不穩定。
受影響系統 (對 Smartphones and PocketPC):
- Windows Mobile 5.0
- Windows Mobile 2003/2003SE
其他資訊,請參考 Trend Micro Finds More Windows Mobile Flaws。
-----
- Jan 26 Fri 2007 09:08
IThome 網站掛了
- Jan 25 Thu 2007 12:51
「請Service轉寄這一封反YAHXX的真相報導!!」= 垃圾郵件?
- Jan 25 Thu 2007 11:45
新廣告垃圾信大戶 = Google 網上論壇?
最近 Goolge 官方發佈 Google 網上論壇 (Google Groups) 升格為正式版,它就像 BBS 或 論壇,只是多了一些自訂功能,還有就是 Google 所提供的其他服務。
今天我要談論的主題是廣告垃圾信。也不知道是怎麼一回事,晃來晃去,竟然,晃到 Google 網上論壇,剛開始只瀏覽某些特定群組,感覺發表的主題怎麼跟這些群組不太相關,再瀏覽其他的群組之後,晃然大悟,怎麼這麼多廣告垃圾信 (如下),有沒有搞錯,正常的主題沒幾個,廣告垃圾信,倒是一推。
如果 Google 再不快點找出對策的話,應該有很多人都不會去使用它吧!另外,就像 Blog Spam 一樣,Google Groups Spam 也是一種商機囉,想做的廠商,趕快動工。
我想這個還是要從法律面著手,制定相關法律 (立法委員該做正事了吧),否則,很難阻止這種行為。
-----
今天我要談論的主題是廣告垃圾信。也不知道是怎麼一回事,晃來晃去,竟然,晃到 Google 網上論壇,剛開始只瀏覽某些特定群組,感覺發表的主題怎麼跟這些群組不太相關,再瀏覽其他的群組之後,晃然大悟,怎麼這麼多廣告垃圾信 (如下),有沒有搞錯,正常的主題沒幾個,廣告垃圾信,倒是一推。
如果 Google 再不快點找出對策的話,應該有很多人都不會去使用它吧!另外,就像 Blog Spam 一樣,Google Groups Spam 也是一種商機囉,想做的廠商,趕快動工。
我想這個還是要從法律面著手,制定相關法律 (立法委員該做正事了吧),否則,很難阻止這種行為。
-----
- Jan 23 Tue 2007 11:36
SHA-1 被破解了嗎?
大紀元時報報導中國教授宣稱破解了 SHA-1 (Secure Hash Algorithm) 演算法,如果是真的,那可就危險了。
有興趣的人,請參考 Chinese Professor Cracks Fifth Data Security Algorithm 或 世界??密? 中?教授十年破五套。
-----
有興趣的人,請參考 Chinese Professor Cracks Fifth Data Security Algorithm 或 世界??密? 中?教授十年破五套。
-----
- Jan 23 Tue 2007 09:14
2006 年安全漏洞總數
根據美國電腦網路危機處理暨協調中心 (Computer Emergency Response Team/Coordination Center, CERT/CC) 安全漏洞統計報告指出,2006 年的安全漏洞比 2005 年增加了 35% 左右。
下面的圖是從 2000 年到 2006 年的安全漏洞總數:
隨著網際網路的快速發展,越來越多的應用軟體被發現有很多的安全漏洞,尤其是網路應用軟體 (Web Application),安全或軟體廠商疲於奔命地修補漏洞,但往往成效不彰,使得有心人士可以利用這些安全漏洞進行破壞,所以,以後各位在瀏覽網站時,應當要特別小心。至於更詳細的資訊,有興趣的人,請參考 Vulnerability tallies surged in 2006 和 CERT/CC Statistics 1988-2006。
下面的圖是從 2000 年到 2006 年的安全漏洞總數:
隨著網際網路的快速發展,越來越多的應用軟體被發現有很多的安全漏洞,尤其是網路應用軟體 (Web Application),安全或軟體廠商疲於奔命地修補漏洞,但往往成效不彰,使得有心人士可以利用這些安全漏洞進行破壞,所以,以後各位在瀏覽網站時,應當要特別小心。至於更詳細的資訊,有興趣的人,請參考 Vulnerability tallies surged in 2006 和 CERT/CC Statistics 1988-2006。
- Jan 22 Mon 2007 05:33
Intel 安全縱深防禦方式
Intel Premier IT 雜誌介紹了 Intel 相信面對不同的威脅與需求,最好的方式是縱深防禦 (A Layered Defense)。
第一個圖 (很像 CISSP 中所說的) 說明威脅對企業所造成的影響。在圖中,你可看出一個關係 [Threats]->exploit->[vulnerabilities]->exposing->[assets]->to a loss of->[confidentiality/integrity/availability]->causing->[business impact]->which are mitigated by->[controls],意思是說明「威脅是透過系統漏洞對企業的資產所造成的損失,以影響企業運作,但可利用某些控制的方法將損害降低至企業所能承擔的範圍」。
第二個圖,安全與成本效益之間的關係。
第三個圖是說明以安全政策 (Security Policy) 為基礎階層式架構。
第四個圖是說明縱深防禦 (A Layered Defense)。
我覺得 Intel 這一篇文章寫的不錯,想要閱讀全文的人,可以參考 Intel Premier IT Magazine。
-----
第一個圖 (很像 CISSP 中所說的) 說明威脅對企業所造成的影響。在圖中,你可看出一個關係 [Threats]->exploit->[vulnerabilities]->exposing->[assets]->to a loss of->[confidentiality/integrity/availability]->causing->[business impact]->which are mitigated by->[controls],意思是說明「威脅是透過系統漏洞對企業的資產所造成的損失,以影響企業運作,但可利用某些控制的方法將損害降低至企業所能承擔的範圍」。
第二個圖,安全與成本效益之間的關係。
第三個圖是說明以安全政策 (Security Policy) 為基礎階層式架構。
第四個圖是說明縱深防禦 (A Layered Defense)。
我覺得 Intel 這一篇文章寫的不錯,想要閱讀全文的人,可以參考 Intel Premier IT Magazine。
-----
- Jan 19 Fri 2007 11:51
昇陽電腦修補 JRE 安全漏洞
昇陽電腦發佈一個緊急的安全修補程式,以修補當 JRE (Java Runtime Environment) 在處理圖片檔案 (Graphics Interchange Format or GIF) 的安全漏洞。
此安全漏洞允許駭客經由不可靠的 Java Applet 控制使用者的電腦,請盡速更新。
受影響的軟體版本:
Sun Java JDK 1.5.x
Sun Java JRE 1.3.x
Sun Java JRE 1.4.x
Sun Java JRE 1.5.x / 5.x
Sun Java SDK 1.3.x
Sun Java SDK 1.4.x
修補程式:
JDK and JRE 5.0:
Update to JDK and JRE 5.0 Update 10 or later.
http://java.sun.com/javase/downloads/index_jdk5.jsp
SDK and JRE 1.4.x:
Update to SDK and JRE 1.4.2_13 or later.
http://java.sun.com/j2se/1.4.2/download.html
SDK and JRE 1.3.x:
Update to SDK and JRE 1.3.1_19 or later.
http://java.sun.com/j2se/1.3/download.html
參考:
Sun Java JRE GIF Image Processing Buffer Overflow Vulnerability
Security Vulnerability in Processing GIF Images in the Java Runtime Environment May Allow an Untrusted Applet to Elevate Privileges
此安全漏洞允許駭客經由不可靠的 Java Applet 控制使用者的電腦,請盡速更新。
受影響的軟體版本:
Sun Java JDK 1.5.x
Sun Java JRE 1.3.x
Sun Java JRE 1.4.x
Sun Java JRE 1.5.x / 5.x
Sun Java SDK 1.3.x
Sun Java SDK 1.4.x
修補程式:
JDK and JRE 5.0:
Update to JDK and JRE 5.0 Update 10 or later.
http://java.sun.com/javase/downloads/index_jdk5.jsp
SDK and JRE 1.4.x:
Update to SDK and JRE 1.4.2_13 or later.
http://java.sun.com/j2se/1.4.2/download.html
SDK and JRE 1.3.x:
Update to SDK and JRE 1.3.1_19 or later.
http://java.sun.com/j2se/1.3/download.html
參考:
Sun Java JRE GIF Image Processing Buffer Overflow Vulnerability
Security Vulnerability in Processing GIF Images in the Java Runtime Environment May Allow an Untrusted Applet to Elevate Privileges
- Jan 19 Fri 2007 10:25
MS07-002 再釋出新的修補程式!
之前 (2007 年 1 月安全漏洞) 的修補程式似乎有問題,MS07-002 針對 Excel 2000 再釋出新的修補程式。
這個版本主要是修正無法執行中文、韓語、日語內嵌的語音資訊。如果您不是使用 Excel 2000,您是不需要擔心且進行更新。更詳細的資訊,請參考 MS07-002。-----
這個版本主要是修正無法執行中文、韓語、日語內嵌的語音資訊。如果您不是使用 Excel 2000,您是不需要擔心且進行更新。更詳細的資訊,請參考 MS07-002。-----
- Jan 15 Mon 2007 11:45
Oracle 預先發佈 2007 年 1 月安全更新
效法微軟預先公佈安全更新訊息的做法,Oracle 將在 2007 年 1 月 16 日發佈的 52 個安全更新,其中包含 27 個資料庫相關的安全漏洞和 10 個遠端登入相關的安全漏洞等。
關於更詳細的資訊,請參考 Oracle Critical Patch Update Pre-Release Announcement - January 2007。-----
關於更詳細的資訊,請參考 Oracle Critical Patch Update Pre-Release Announcement - January 2007。-----