Browse: Normal | List

網站 111229 M$定期外更新

M$定期的自動更新都在每個月的第二個週二,被稱為"Patch Tuesday",但是在這之外也會針對特別重要(或嚴重)的零時差安全漏洞發佈定期外的更新,被稱為"Out-of-band patch"

在今天,M$發佈一個定期外的更新,針對的是ASP.NET的安全性漏洞
Advanced Notification for out-of-band release to address Security Advisory 2659883
Microsoft Security Advisory (2659883) Vulnerability in ASP.NET Could Allow Denial of Service

這是ASP.NET的hash table的漏洞,會造成hash collision攻擊(字面上看應該跟密碼破解有關?),好像是網頁中利用"application/x-www-form-urlencoded"和"multipart/form-data"這兩種content-type傳送的POST Method表單,如果在傳送中對資料中作手腳,會造成ASP.NET的程序效能顯著變慢(阻斷攻擊),影響的範圍是所有windows版本(Windows XP~Windows2008)上面所有版本(1.0~4.0)的.NET Framework

其實這個漏洞在多年前就被發現,而且影響不只是M$的產品,包含Apache,PHP,Ruby都受影響,除了更新版本之外,暫時解決的方法是設定限制POST Method的資料量
Tags: M$ 更新
Category: 網站 | Trackback: 0 | Comments: 0 | Read: 1626

電腦 一波三折的IE8更新

EeePC這陣子秀抖的有點嚴重,時常會忽然無法開機...不知道是不是這台年紀大了(汗
這幾天趁它狀況比較穩定一點,想說把裡面那個萬年IE6給換掉
本來想應該很簡單,不會像先前升級SP3那樣..
結果事實似乎不是這樣...
我是直接上M$網站下載安裝,而不是用windows update...
然後安裝才一開始...
ie8-setup-crash.jpg
早速error...12.GIF

[Read All]

Tags: EeePC M$ IE 更新
Category: 電腦 | Trackback: 0 | Comments: 0 | Read: 4106

電腦 一波三折的XP SP3更新

這邊目前用的桌機在最初安裝就已經是XP SP3,唯有兩台NB比較早還是使用XP SP2...
雖然說XP SP3已經公開一年多,但是兩台NB都還沒升級
主要是發現,SP3更新過程會一直出現拒絕存取而失敗
本來說SP2用的好好的也就算了,不過最近M$一直出現不少安全漏洞,加上XP SP2要跟Windows2000在今年7月正式中止更新支援,為了系統安全著想,更新成SP3是遲早要做的...
今天終於決定再challenge!

過去其實已經知道SP3更新中出現拒絕存取是系統裡面權限設定的原因造成,M$對這部份也有公開解決方法
嘗試安裝 Windows XP Service Pack 時,收到錯誤訊息:「拒絕存取」或「Service Pack 安裝未完成」
主要的解決方法就是,把登錄和檔案的權限全部重設,讓它設成Administrators和SYSTEM有完整權限,用的是"subinacl"這個resource kit裡面的工具程式
Quote:
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=administrators=f /grant=system=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=administrators=f /grant=system=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=administrators=f /grant=system=f
subinacl /subdirectories %SystemDrive% /grant=administrators=f /grant=system=f
subinacl /subdirectories %windir%\*.* /grant=administrators=f /grant=system=f
secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose

其實它寫權限的問題我心裡就有底,因為很多東西個人認為安全因素所以直接把權限取消讓我不會不小心存取到,只是這的動作在系統重大更新變成阻礙
過去為了不想更動現有的權限設定,還嘗試了不少方法,連讓自己成為有SYSTEM權限的密技都搬出來,結果還是不管用,可想當時設定權限是把所有帳號的存取權刪掉才會造成
不管怎樣,這次就用M$的方法重設權限之後再更新
...

[Read All]

Tags: OS XP SP3 更新 M$
Category: 電腦 | Trackback: 0 | Comments: 0 | Read: 7533

電腦 IE修正檔公開

前不久因為google攻擊事件使的IE漏洞變成全球注目,連法國德國官方都相繼公開建議停止使用IE,所以M$已經在22日急忙的公開了它的修正檔
MS10-002 - Internet Explorer的累積安全更新:緊急
IEの臨時パッチ公開、できるだけ早く適用を
對應的系統從windows 2000的IE5到windows7的IE8
特別注意的是,不要以為自己不用IE就沒事,因為這次的漏洞存在於IE的核心引擎mshtml.dll裡面,所以任何利用IE引擎的程式(e-mail或媒體播放等等)全部都會被波及

另外,先前被發現的權限升級漏洞也已經確認,這個安全性漏洞存在所有的32bit系統,M$也針對它發佈安全性建議
安全性建議979682 - Windows核心漏洞造成權限升格
因為漏洞是存在16bit的DOS虛擬機器(NTVDM)內,所以依照上一篇提的方法停用16bit程式就能暫時解決,不過因為XP home版沒有gpedit.msc,所以要修改登錄檔達到相同效果
方法是使用reg指令
CODE:
reg ADD "HKLM\System\CurrentControlSet\Control\WOW" /v DisallowedPolicyDefault /t REG_DWORD /d 1
Tags: M$ 更新 IE 資安
Category: 電腦 | Trackback: 0 | Comments: 0 | Read: 4704

電腦 Windows 12月更新

MS今天公開了12月份的更新檔,總共有6項修正檔,包含3項歸類為"緊急"和3項歸類為"重要"
Microsoft Security Bulletin Summary for December 2009
緊急的三項是MS09-071:網際網路認證服務的安全漏洞;MS09-072:IE的多項安全性修正;MS09-074:Office project的安全性漏洞
另外Adobe也同時更新了Flash Player版本,修正了多個安全漏洞
Security updates available for Adobe Flash Player
最新的版本應該是"10.0.42.34",注意使用IE以外瀏覽器的記得要更新兩種flash核心

不過這邊的電腦不知到為什麼,在更新時似乎又出現問題,windows update完全無法使用
進入Microsoft update網頁之後不是error就是整個網頁停擺...什麼狀況...~_~
Tags: M$ 更新
Category: 電腦 | Trackback: 0 | Comments: 2 | Read: 2259

電腦 Windows9月份更新檔MS09-048內容修正

ms09-048-updated.jpg
M$在9日公佈TCP/IP相關3個漏洞的修正檔MS09-048,該修正檔對應的系統是Vista/Server2003/2008,但是隨後M$修正了內容,因為發現公開的3個安全漏洞裡面,有兩個會影響Windows XP
Microsoft Security Bulletin MS09-048 - Critical
(目前中文版內容尚未更新,仍然把XP列在"不受影響"裡面)

會影響XP的是CVE-2008-4609"Zero Window Size"漏洞和"CVE-2009-1926"Orphaned Connections漏洞,兩者都不會造成電腦被遠端執行程式碼,所以重要程度被歸類為"最低"等級
MS09-048內容中M$已經表示,不會為XP提供該漏洞的更新檔
Windows XPのTCP/IP問題には対処せず、Microsoftが表明

但是注意XP系統被該上述兩種TCP/IP漏洞攻擊的結果會造成記憶體消耗和系統停止回應(阻斷服務),這是因為被攻擊者持續丟來改造過的TCP封包造成,一旦封包停止時系統就會回復...(好像說廢話|||)
和windows 2000一樣,M$建議改以防火牆過濾封包減低被攻擊的機會
Tags: M$ 更新 XP
Category: 電腦 | Trackback: 0 | Comments: 0 | Read: 2648