【警告】VML 漏洞會默默把你的資料傳送至遠方...



贊助商連結


頁 : [1] 2

阿 土
2007-02-05, 12:40 PM
使用 WINDOWS 的用戶 , 請常保持 WINDOWS UPDATE
WINDOWS 的漏洞常常有 , 若因為沒更新導致這種損失 , 實在是很恐怖

去年九月 IE 有一個 "VML漏洞" , 中標時電腦不會有任何感覺
但中標後會如同此次事件般的嚴重 (id/pw....會持續默默的在背景傳出去)
不過似乎沒什麼新聞來重視這個漏洞

上個月大陸那邊放出了類似的木馬製作程式 , 改一改之後就可以到處發送
上週看到這個消息後 , 本想整理一下資料來提醒一下

Microsoft Internet Explorer VML Buffer Overflow
http://www.cert.org.tw/document/advisory/show.php?twcert_sn=TW-CA-2006-104

這個 VML 漏洞 , 即使你上的是經過 SSL 加密的網頁 , 資料一樣會以 "明碼" 送出

請參考國外網站做的 VML & PAYPAL 測試:
http://www.websense.com/securitylabs/blog/blog.php?BlogID=82

VML&PAYPAL測試影片下載:(看過後你就知道有多恐怖了)
http://www.websense.com/securitylabs/images/alerts/vml-movie.wmv

國內某 Blog 也有詳細的介紹這段測試:
http://pwl.idv.tw/sphpblog/index.php?d=24&m=09&y=06&category=7
==================================

沒做過更新的 WINDOWS 電腦使用者點選了來路不明的網頁或網址 , 或已經被攻陷並被值入木馬後門的正常網站 (如此次的 so-net)
則個人資料(信用卡/email passwdord/paypal ....)可能已被默默的落入到外人手上.

個人懷疑 So-net 個人網頁網站被置入惡意程式碼! (http://www.pczone.com.tw/thread/28/130880/) 的事件 , 有可能是遭 VML 漏洞攻擊所導致

根據 TWCERT 上的資料 , 此漏洞影響平台是 "Microsoft Internet Explorer (7.0也會中)"
或許可認真思考把瀏覽器換成 FireFox !!
PCZONE 首頁右側有 FireFox 的下載連結 , 有需要請自行取用

贊助商連結


flair
2007-02-05, 06:23 PM
看到這則新聞..實在太害怕了...
現在電腦真的,都處都是virus ...

000110
2007-02-06, 08:00 PM
安裝防火牆可以阻擋嗎?

FYI
2007-02-07, 04:46 AM
Microsoft 安全性公告 MS06-055: 向量標記語言中的弱點可能會允許遠端執行程式碼 (925486) (http://www.microsoft.com/taiwan/technet/security/bulletin/MS06-055.mspx)
Microsoft 安全性公告 MS06-001: 圖形轉譯引擎中的弱點可能會允許遠端執行程式碼 (912919) (http://www.microsoft.com/taiwan/technet/security/bulletin/ms06-001.mspx)

這應該是舊聞了, 想不到現在才發酵, 小弟去年在看了F-Secure : Weblog : News from the Lab (http://www.f-secure.com/weblog/) 所發佈的Real VML Patch is Out (http://www.f-secure.com/weblog/archives/archive-092006.html#00000980) 新聞之後, 記得當時便立即解除了兩個存在危險的DLL, 話說回來, 也只有針對當時正在使用的那一台電腦, 忘了還有其他電腦也要一併處理, 此外, 直到現在小弟也已經完全忘記Windows Update 可能會將已經解除的DLL 重新登記, 理論上雖然是修正過的檔案, 但是小弟並不需要VML 和WMF 啊! 資安問題實在太多了, 多到小弟有時也會阿Q 得認為可以隨遇而安, 不想還好, 想太多反而自尋煩惱

regsvr32 /u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"
Microsoft Baseline Security Analyzer (MBSA) (http://www.microsoft.com/mbsa)
資安論壇 :: 觀看文章 - 使用 Microsoft Baseline Security Analyzer 微軟安全掃瞄工具 (http://forum.icst.org.tw/phpBB2/viewtopic.php?t=6343)
為多人應用Win XP SP2輕鬆配置使用權限-windows-系統共享-天極Yesky (http://big5.yesky.com/b5/soft.yesky.com/os/win/367/2035367.shtml)

Microsoft 資訊安全首頁 (http://www.microsoft.com/taiwan/security/default.mspx)
Microsoft 資訊安全工具 (http://www.microsoft.com/taiwan/technet/security/tools/default.mspx)
間諜軟體移除工具 Microsoft Windows Defender (http://www.microsoft.com/taiwan/athome/security/spyware/software/default.mspx)
惡意軟體移除工具 Microsoft Windows Malicious Software Removal Tool (KB890830) (http://www.microsoft.com/taiwan/security/malwareremove/default.mspx)
Port Reporter 工具的可用性和說明 (http://support.microsoft.com/kb/837243/)
PortQry 2.0 中的新功能和特色 (http://support.microsoft.com/kb/832919/)

阿 土
2007-02-08, 09:18 AM
安裝防火牆可以阻擋嗎?

沒辦法
除非你用防火牆把 IE 也給封了 :|||:
因為該程式是利用 IE 的漏洞把資料傳送出去

----------------------------------------------------------------

上週(2/1)使用 NOD32 測試 VML 漏洞的網頁 -> 無反應
今日(2/8)使用 NOD32 測試 VML 漏洞的網頁 -> 出現偵測到 : HTML/Exploit.IframeBof 木馬
剛上去 NOD32官網發現 , NOD32 - v.2044 (20070207) 的更新已可辨識此 VML 漏洞網頁 , 並出現警告訊息
至於其他的防毒/防火牆軟體 , 請自行上你所使用的防毒 / 防火牆網站 , 查看看 iframe 等相關更新資訊

換個瀏覽器應該是比較快速的解決方法
我因此改換了 FireFox , 重新學習後上手並不困難

影片中查看到資料被送出去的過程是使用 "tcp封包監聽軟體"
Windows 下要監聽TCP 監測軟體 , 建議可使用 WireShark (http://www.wireshark.org/)
按此下載2007/02/08 最新版:wireshark-setup-0.99.5.exe (http://nchc.dl.sourceforge.net/sourceforge/wireshark/wireshark-setup-0.99.5.exe)
或上官網下載最新版

阿 土
2007-02-08, 09:38 AM
這應該是舊聞了, 想不到現在才發酵, 小弟去年在看了

VML 的確是舊聞沒錯 , 不過上個月 (2007/01/09) 又有新的漏洞了....:|||:
Microsoft 安全公告 MS07-004
矢量標記語言中的漏洞可能允許遠程執行代碼 (929969) (http://www.microsoft.com/china/technet/Security/bulletin/ms07-004.mspx)


針對此漏洞 , 已經出現不少相對應的木馬產生程式 , 用該程式可以自動產生一個 VML 漏洞網頁
然後找個空間放著(若是破解流量大的網站然後成功植入後門,後果不堪設想) , 然後再去丟該網頁 link 給不知情的 USER 點選 (msn/聊天室/Forum...)
點選的網頁大部分是空白網頁 , 因為真的內含程式碼的網頁被使用 Iframe 語法把網頁的寬度與高度都設定為 "0" , 導致看起來是空白網頁

若點選該網頁的 User 的 Windows 並未更新到最新的版本 , 然後看過該空白網頁後就關閉並不以為意 , 則有可能就是發生我第一頁上的影片中的事件
之後上網輸入 ID/PW 後 , 資料都會同部傳送到遠端的電腦中


若 Windows 不常去做更新 , 哪天資料被盜用 , 信用卡被盜刷 , 網頁被植入後門....... 這個都是很正常的

所以 , 趕緊去做 Windows Update 然後換掉你的 IE 瀏覽器吧 !!

FYI
2007-02-08, 12:08 PM
看來VML 問題層出不窮, 所以小弟二話不說, 再一次解除 "vgx.dll", 微軟別再幫小弟安裝回來啊!

如果您習慣以Administrator 的權限衝浪的話, 不妨參考一下以下這篇

【轉貼】Mark's Blog : Running as Limited User - the Easy Way (http://www.pczone.com.tw/thread/28/130957/)
小弟通常會以Maxthon 開啟十到二十個標籤, 實在不習慣FireFox 還得捲向左捲向右, 代理伺服器和腳本的開關也不方便使用, 不得已只好到處找偏方, 繼續保佑Maxthon 別把小弟給出賣了!

阿 土
2007-02-08, 06:41 PM
小弟通常會以Maxthon 開啟十到二十個標籤, 實在不習慣FireFox 還得捲向左捲向右, 代理伺服器和腳本的開關也不方便使用, 不得已只好到處找偏方, 繼續保佑Maxthon 別把小弟給出賣了!

我也是 Maxthon 的愛好者 , 你講的那幾樣我都愛得不得了 , 也因此不想換
不過遇到針對 IE 的漏洞寫的木馬越來越厲害 , 忍痛也只得更換使用習慣

使用 FireFox for 3~4 days
第一件是就是找找我以前在 Maxthon 的使用習慣是否可以保留
結果發現 FireFox 的擴展功能寫的不錯 , 滑鼠手勢 / Proxy 快速切換 / 標籤加強功能都找的到替代程式

所以真的可考慮一換 , 使用一週應該就會習慣了

000110
2007-02-08, 06:43 PM
卡巴可以擋下嗎?

FYI
2007-02-08, 11:10 PM
我也是 Maxthon 的愛好者 , 你講的那幾樣我都愛得不得了 , 也因此不想換
不過遇到針對 IE 的漏洞寫的木馬越來越厲害 , 忍痛也只得更換使用習慣

其實很多網友也像小弟一樣, 忍痛繼續使用IE-Clone, 再仔細想想, 降低權限可能還是有空窗期, 不知如何早期發現躲在記憶體中的Alien? 現在又一下子開啟了約三十個標籤, 分屬不同議題, 之前由於消化不完, 已經儲存過數個群組, 想看的永遠都看不完, 所以小弟習慣以休眠取代關機, 看來得重新檢討小弟的不良習慣了


沉思罪、 (http://www.mayacafe.com/forum/view.php3?bn=maya_forum&key=1043285684&first=1045505975&last=1037652017&here=)痛苦、 (http://www.mayacafe.com/forum/view.php3?bn=maya_forum&key=1043360206&first=&last=&here=)希望與真道
彷彿一條秋日的小徑:在還沒有來得及把它清掃乾淨之前,便又蓋滿了落葉。
小弟把那篇文章的結尾修正過了, 觀念上不知是否正確? 請土兄給予批評指教, 那已經是小弟所能找到在不改變目前習慣下的最好方法, 雖然看起來仍有缺陷

結果發現 FireFox 的擴展功能寫的不錯 , 滑鼠手勢 / Proxy 快速切換 / 標籤加強功能都找的到替代程式
小弟改用Maxthon 也是看了土兄的文章, 既然土兄並非危言聳聽, 就請土兄好人做到底, 指點一條明路, 省去大家的摸索, 在此先謝為敬, 不過一想到要把Maxthon 的東西都搬過來, 就又頭痛起來, 此外, 剛剛搜尋了一下, 找到以下文章, 不禁又猶豫了起來, 有必要從水深火熱換到天寒地凍嗎?

【新聞】Firefox比IE安全?專家:風險相差無幾 - PCZONE 討論區 (http://www.pczone.com.tw/showthread.php?t=108838)