前不久因為google攻擊事件使的IE漏洞變成全球注目,連法國和德國官方都相繼公開建議停止使用IE,所以M$已經在22日急忙的公開了它的修正檔
MS10-002 - Internet Explorer的累積安全更新:緊急
IEの臨時パッチ公開、できるだけ早く適用を
對應的系統從windows 2000的IE5到windows7的IE8
特別注意的是,不要以為自己不用IE就沒事,因為這次的漏洞存在於IE的核心引擎mshtml.dll裡面,所以任何利用IE引擎的程式（e-mail或媒體播放等等)全部都會被波及

另外,先前被發現的權限升級漏洞也已經確認,這個安全性漏洞存在所有的32bit系統,M$也針對它發佈安全性建議
安全性建議979682 - Windows核心漏洞造成權限升格
因為漏洞是存在16bit的DOS虛擬機器(NTVDM)內,所以依照上一篇提的方法停用16bit程式就能暫時解決,不過因為XP home版沒有gpedit.msc,所以要修改登錄檔達到相同效果
方法是使用reg指令

繼13日google發表關於被中國大肆攻擊的聲明之後,防毒程式公司McAfee對於這個事件發表了一篇調查報告,表示這次的google攻擊事件是因為IE的安全性漏洞所造成
Googleへのサイバー攻撃はIEの脆弱性を悪用――McAfeeが調査
More Details on “Operation Aurora”
微軟安全漏洞 駭到Google?
McAfee表示,這次的google攻擊事件是有計劃且精密的行動,被稱為"Operation Aurora",方法是針對目標公司的特定個人,讓對方以為是可以信任的對象而引誘去點連結或檔案,之後再由IE的安全漏洞侵入系統並竊取資料
先前F-secure懷疑這次的標地型攻擊利用的是pdf reader的漏洞,但是根據McAfee的調查似乎不是這樣

Microsoft隨後承認IE有未修補的漏洞存在,並且發佈了最新的安全建議
Microsoft Security Advisory (979352) - Vulnerability in Internet Explorer Could Allow Remote Code Execution
這個安全性漏洞發生在IE內部存在一個無效的參考指標,在某些狀況下,物件被刪除之後使這個無效的指標被存取,造成IE會從遠端執行程式碼
影響的範圍是Windows 2000/XP/Vista/7/server2003/2008的IE6/7/8版,也就是除了IE5.01以外所有系統的所有版本IE都有這樣的安全性漏洞
MicrosoftがIEの脆弱性を報告　IE 6狙った攻撃も
目前暫時沒有這個漏洞的修正檔,M$建議有以下措施減低因為IE這個漏洞而導致系統遭駭的方法
1.修改IE的安全性設定,把網際網路的安全等級設定成"高"
2.開啟IE的保護模式(只適用於Windows Vista/7)
3.開啟IE的資料執行防止(DEP)
關於開啟IE的DEP這方面,M$也發佈了一個"Application Compatibility Database"檔案,可以自動開啟所有版本IE的DEP,對於IE的使用者可以暫時自保
KB979352:Vulnerability in Internet Explorer could allow remote code execution
M$表示調查完畢之後會儘速公佈這個漏洞的修正檔案

在台灣最火紅的微網誌plurk其官方網誌在14日爆出被人抄襲
Microsoft China rips off Asia’s No. 1 Microblogging Service
噗浪：微軟msn剽竊程式碼 不齒
Microsoft、中国のミニブログサービスにコード盗用疑惑
原來抄襲它的是MSN在中國地區開放的最新微網誌服務"MSN聚酷"
從plurk自行調查發現不但介面,連程式碼都照抄
MSN在被爆出之後才緊急關閉該服務,而且16日承認抄襲
Microsoft、ミニブログサービスのコード盗用認める
Microsoft Statement Regarding MSN China Joint Venture’s Juku Feature
但是在新聞稿的聲明仍然表示,這項服務是外包給中國的某家公司製作,對該公司違反合約的行為非常失望云云
結局呢?
聽說plurk沒打算告M$,M$一定暗中偷笑,因為這樣搞下來某個不知名包商必然遭到M$的鉅額索賠
對M$本身根本無關痛癢吧

Windows7發售一陣子了,在很多人還在考慮要不要升級的時候,M$提醒大家,上上上一代的系統Windows 2000即將終止更新支援
Windows 2000とXP SP2のサポート、2010年7月で終了
Windows 2000 Server, Windows 2000 Client and Windows XP SP2 Support Ends July 2010
目前M$每個月公佈的系統更新仍然有提供給Windows 2000 workstation/server(SP4),但是這項支援即將在明年7月13日終止
因為本來Windows 2000提供的支援只有到2005年,而之後這段時間仍然提供更新則是"延長支援"...
同時終止更新的還有Windows XP SP2
M$建議目前有使用以上系統的人儘快升級成Windows 7或Windows server 2008,並且還有特設網頁
Windows 2000 End-of-Support Solution Center
對於建議win7這點個人不予置評,不過停止更新的系統實在很危險,尤其2000已經是NT核心,跟98性質不同,所以建議最基本也盡量更新到XP SP3...
至於Windows XP SP3和Windows Vista的延長支援會持續到2014年4月為止

MS今天公開了12月份的更新檔,總共有6項修正檔,包含3項歸類為"緊急"和3項歸類為"重要"
Microsoft Security Bulletin Summary for December 2009
緊急的三項是MS09-071：網際網路認證服務的安全漏洞；MS09-072：IE的多項安全性修正；MS09-074：Office project的安全性漏洞
另外Adobe也同時更新了Flash Player版本,修正了多個安全漏洞
Security updates available for Adobe Flash Player
最新的版本應該是"10.0.42.34",注意使用IE以外瀏覽器的記得要更新兩種flash核心

不過這邊的電腦不知到為什麼,在更新時似乎又出現問題,windows update完全無法使用
進入Microsoft update網頁之後不是error就是整個網頁停擺...什麼狀況...~_~

電腦安全公司VUPEN在21日發現M$的IE6/IE7出現零時差漏洞
這個漏洞是IE參照一個無效的指標,可能在存取網頁裡被刪除的CSS物件時發生,造成IE執行程式碼的危險,這個漏洞在VUPEN網站歸類為"緊急"
IE 6と7に未修正の脆弱性、深刻な影響の恐れ
Zero-Day Internet Explorer Exploit Published
Internet Explorer Vulnerability Exploit Detected
被這個安全性漏洞影響的範圍是Windows XP/VistaSever2003/2008上的IE6/IE7,而IE8和Windows2000的IE5不會被影響

而M$也在23日針對這個漏洞發布了安全性建議
IE7/6にゼロデイ脆弱性、MSがセキュリティアドバイザリを公開
Microsoft Security Advisory (977981)
目前還沒有針對這個安全性漏洞的修正檔,不過該網站上有提供幾個建議來避免遭到這個漏洞的危害:

[Read All]