MT 升级到3.31
Atom 1.0 的输出缺少XML:LibXML,RSS 2.0的输出似乎也有问题,现在还不是全文输出。测试一下,调整好了,:D。
July 21, 2006
March 10, 2006
Google 收购 Writely
好消息啊,原来还担心Beta之后Writely开始收费,到了Google手中,就放心了。Google 有GDrive,速度和容量不会有问题,之后就是Gmail+Writely+CL2+GDrive等各种帐户应用的整合了吧。
January 7, 2006
微软发布WMF漏洞补丁
微软提前发布针对WMF漏洞的补丁程序,命名为MS06-001。用户可以通过Windows更新程序安装该补丁,也可以到该地址下载安装。
微软曾经预告是在习惯性的星期二(1月10日)发布该补丁的。这次提前发布,微软的公开说明是:“首先是我们相信这个更新的质量,团队工作地非常努力,我们关注的所有情况都已经测试通过。第二是因为虽然还没有紧迫的威胁,一些用户已经通过防病毒软件,入侵检测系统和入侵预防系统发现了入侵企图”。从实际角度来看,ISC 的安全级别一直设定为黄色告警,以及非官方补丁的流行对微软的声誉产生了极大的影响。
January 3, 2006
WMF FAQ (中文版)
翻译自ISC WMF FAQ英文版。
为什么这个问题很重要?
WMF漏洞利用程序使用图片(WMF 图片)来执行任意代码。在我们观看图片的时候它就会执行。大部分情况下,不需要经过点击。甚至存储在系统中的图片也会被索引系统触发而执行。在资源管理器中以图标方式查看也会导致恶意代码的执行。
使用Firefox或者IE会更好吗?
IE会在浏览图片的时候,不经过任何警告就导致恶意程序执行。新版本的Firefox会在打开图片之前提示是否执行。不管怎样,大部分情况下这只会起到很少的保护作用,因为图片总是被视为“安全”的。
影响到哪些版本的Windows?
所有版本。Windows 2000, Windows XP, (SP1 and
SP2), Windows 2003. 所有版本都会有一定程度的影响。Mac OS-X, Unix 和
BSD 不受影响。
注意:如果你还在使用Win98/ME,这是一个分水岭:我们相信(没有经过测试)你的系统是有漏洞的,而且微软不会提供补丁。其它的选择很少,看来真的需要升级了。
怎样才能保护自己?
- 微软还没有发布补丁。Ilfak Guilfanov提供了一个非官方的补丁。经过SANS的Tom Liston审查和测试的版本可以从这里下载(现在是v1.4, MD5: 15f0a36ea33f39c1bcf5a98e51d4f4f6), PGP 签名(signed with ISC key)在这里 here. 感谢Ilfak Guilfanov提供这个补丁!!
- 可以注销相关的DLL。
- 病毒检测程序提供了一些防护。
- 点击“开始”,点击“运行...”,输入“regsvr32 -u
%windir%\system32\shimgvw.dll”(不要引号,路径在%windir%\system32\shimgvw.dll),点击确定。 - 出现一个对话框确认注销过程成功。点击“确定”关闭对话框。
非官方补丁的工作原理怎样?
wmfhotfix.dll会注入到任何加载user32.dll的进程中。这个DLL会修补(在内存中)gdi32.dll的Escape()函数,从而使得进程忽略任何使用SETABORTPROC (ie. 0x09) 参数的调用。这将允许Windows程序显示WMF文件,但是阻止恶意代码的执行。这个版本的补丁源代码经过了仔细的检查,并对所有版本的恶意程序进行了测试。可以在WinXP (SP1,SP2)和 Win2K系统中使用。
注销DLL(不使用非官方补丁)可以提供足够的防护吗?
可能行,但不是十分安全。需要明确的是:我们有很强的预感,简单的注销shimgvw.dll并不总是有效的。.dll会被恶意程序或者其它安装的程序重新注册,这就可能导致在这些重新注册了DLL的系统中允许恶意代码的执行。另外一种可能是存在其它利用gdi32.dll中Escape()函数的攻击方法。在微软的补丁发布之前,我们建议在注销shimgvw.dll的同时使用非官方补丁。
是否应该仅仅删除这个DLL?
这也许不是一个坏主意,但是Windows的文件保护机制可能会使它重新回来。你需要首先关闭Windows的文件保护功能。并且,官方补丁出来后需要替换这个DLL。(改名,而不是删除可能对将来的恢复更好)。
是否我应该阻止任意 .WMF图片?
这可能有用,但还不够。WMF文件使用一个特殊的文件头来识别,并非通过其扩展名。WMF文件可以使用任意扩展名,或者嵌入到Word和其它类型的文档中。
什么是DEP(数据执行保护),这个会有帮助吗?
Windows XP SP2中,微软提供了DEP。它通过防止“数据段”的执行,防护很大范围的恶意程序。然而,它需要硬件支持来很好的工作。一些CPU,例如AMD的64位CPU,可以提供完整的DEP功能,从而防止恶意程序的影响。
防病毒产品对这个漏洞的防护如何?
当前情况下,我们注意到一些版本的恶意程序不会被防病毒引擎检测到,希望他们能很快赶上。要捕捉到所有版本的恶意程序,是一个艰苦的过程。更新反病毒系统是必须的,但可能还不够。
恶意WMF文件会怎样进入我的系统?
有多种方式,很难一一道尽。E-mail附件,网站和及时通信程序是最可能的来源。同时不要忘记P2P文件共享和其它来源。
告诉用户不要访问非信任网站是否足够?
不,这有一定作用,但还不够。我们知道至少有一个广受信任的站点(knoppix-std.org)有这个问题了。该网站被添加了一个页面框,将用户引向一个包含恶意WMF文件的站点。“信任”网站以前就是这样被利用的。
WMF图片到底有什么问题?
WMF图片和其它图片有些不同。其它图片仅仅包括“某一点是何颜色”信息,WMF图片可以调用外部过程。其中的一个过程调用能够可以用来执行任意代码。
我应该使用“降低权限”类似功能来减少这个漏洞的影响吗?
这是肯定的。在进行日常工作时,不要使用具有超级用户权限的帐号。但是,这只能限制这个恶意程序的影响,而不能阻止。并且:网站浏览仅仅是触发恶意程序的一种方式,如果一个恶意的图片进入你的系统,并且后来管理员使用某种方式“看”了这个图片,就“中招”了。
服务器有这个漏洞吗?
也许... 你允许上载图片吗?邮件?这些图片会被索引吗?你有时在服务器上使用浏览器吗?总而言之:如果有人上传了一个图片到你的服务器上,如果具有漏洞的DLL访问了它,你的服务器就有麻烦了。
在网络边界/防火墙怎样保护我的网络?
没有很好的办法。代理服务器的脚本可以过滤网站的所有图片?可能你的用户会不高兴。如果代理具有病毒检查功能,也许可以起作用。邮件服务器也一样。你给用户发起外部连接的权限越少越好。对用户工作站进行紧密地监控可以在工作站被感染的时候尽快得到信号。
可以使用IDS来检测这个恶意程序吗?
很多IDS厂商在发布这方面的检测规则,联系你的厂商以获取详细信息。Bleedingsnort.org 在为snort用户不断提供并改进这些规则。
如果我中招了,怎么办?
没啥特别的办法, :(。办法依赖于具体的恶意程序种类。大部分的恶意程序会下载其它组件。这使得我们很难甚至不可能找到一种统一的方法。微软对这个问题提供免费的支持,电话是:866-727-2389 (866 PC SAFETY).
微软提供了什么信息?
CERT怎么说?
http://www.kb.cert.org/vuls/id/181038
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-4560
我的Firefox 扩展
看到大家在列出自己的使用的Firefox扩展,也下载ListZilla,展出一下。我是经常给同事和朋友推荐Firefox的,有人说我偏执,自己喜欢的东西就要别人使用。IE在他们的眼里是所有网站都可以美观显示,我这个人网站看得不多,经常看的那些在Firefox中都有很好的表现,而且喜欢把字体调的较大,这一点只有Firefox可以做到。其实我用Firefox主要是为了安全(参见这篇报告),这一点可能真有点偏执,不是信任的网站基本不允许Script运行。
Adblock Plus 0.5.10
Add N Edit Cookies 0.2.1.0
AJAX Yahoo! Mail [Viamatic WebMail++] 0.5
Coralize 0.5
CustomizeGoogle 0.40
del.icio.us 1.0.2
Download Statusbar 0.9.4
FlashGot 0.5.9.99
IE Tab 1.0.6.4
LinkChecker 0.4.5
ListZilla 0.7
Live HTTP Headers 0.11
NoScript 1.1.3.5
PDF Download 0.5.1.2
Performancing 1.0.1
ScrapBook 0.18.3
Talkback 1.5
Tamper Data 0.93
Web Developer 1.0
xyzproxy 1.12
January 1, 2006
WMF 漏洞补丁
根据微软的公告,Windows的各个版本中存在的图形处理引擎对Windows Metafile(WMF)图形文件进行处理的时候会导致任意代码的运行。这对浏览器用户是非常危险的,在您浏览网站的时候,恶意网站上的图形会导致客户端计算机被远程控制,数据泄密等威胁。由于微软目前没有提供一个好的补丁程序,ISC的预警信号两次调整为黄色。
在微软的公告中,提出的暂时解决方法是注销Windows图片和传真查看器(运行:regsvr32 -u %windir%\system32\shimgvw.dl, 需要管理员权限)。这个方案是有效的,但会有一些负面效果就是图片预览功能消失,如果图片的缺省查看程序是这个程序的话,会出现双击打不开图片的现象。
今天出现了一个非官方的补丁。该补丁的作者是著名的反汇编调试程序IDA Pro的作者,在Sans.org和F-Secure的Blog上都有推荐,应该没有问题。该补丁程序以后是可以卸载的,下载地址在这里,建议使用。
修订:hexblog上发布了修订的1.3版本,增加了对Windows 2000 SP4的支持。同时提供了一个漏洞检测程序。
December 27, 2005
MSN Messenger 8 beta 病毒
今天从F-Secure Blog看到,MSN Mesenger 8的Beta版还没有发布,网上流传的只是伪装的病毒。这个病毒会通过MSN的联系人进行传播,而且感染的机器会变成botnet的一员。前一段时间MSN Messenger不稳定,现在切换到GAIM 2.0Beta,感觉真不错,竟然可以学习聊天对方的表情字符,:D。
November 11, 2005
34个好习惯
1. 不说“不可能”三个字。
2. 凡事第一反应:找方法,而不是找借口。
3. 遇到挫折对自己大声说:太棒了!
4. 不说消极的话,不落入消极情绪,一旦出现立即正面处理。
5. 凡事先订立目标,并且尽量制作“梦想版”。
6. 凡事预先作计划,尽量将目标视觉化。
7. 工作时间。每一分,每一秒都做有利于生产的事情。
8. 随时用零碎的时间(如等人、排队等)做零碎的事情。
9. 守时。
10. 写下来,不要太依靠脑袋记忆。
11. 随时记录灵感。
12. 把重要的观念,方法写下来,并贴起来,以随时提示自己。
13. 走路比平时快30%,走路时脚尖稍用力推进,肢体语言健康有力,不懒散,萎靡。
14. 每天出门照镜子,给自己一个自信的微笑。
15. 每天自我反省一次。
16. 每天坚持一次运动。
17. 听心跳一分钟,指在做重要事情前,疲劳时,心情烦躁时,紧张时。
18. 开会坐在前排。
19. 微笑。
20. 用心倾听,不打断对方说话。
21. 说话时声音有力。感觉自己声音似乎能产生有感染力的磁场。
22. 说话之前,先考虑一下对方的感受。
23. 每天有意识,真诚地赞美别人三次以上。
24. 及时写感谢卡,哪怕是用便笺写。
25. 不用训斥,指责的口吻跟别人说话。
26. 控制住不要让自己做出为自己辩护的第一反应。
27. 每天做一件“分外事”。
28. 不管任何方面,每天必须至少做一次“进步一点点”。
29. 每天提前15分钟上班,推迟30分钟下班。
30. 每天在下班前用5分钟的时间做一天的整理工作。
31. 定期存钱。
32. 节俭。
33. 时常运用“头脑风暴”。
34. 恪守诚信,说到做到。
-----------------------------------------------------------
每天读一遍,坚持读一周先。
October 16, 2005
中文网志年会
很久没写Blog,但是我每天的新闻主要来自Bloglines定阅的Blog。中文网志年会在上海召开,而且主讲人员多是我所敬佩的Blogger,就报名了。今天看到与会者的Blog地图将我也列在其中,感到既高兴又惭愧。
多谢了!
April 23, 2005
对日本的态度
看到一个新闻, 中国IT博览会拒绝日本厂商,表示支持。
INQ报道--鉴于日本拒不承认二战罪行,与中国关系日益紧张,在深圳举行的China IT Expo 2005(中国IT博览会2005)将拒绝日本厂商参加。 China IT Expo 2005的主办方已经明确告诉日本企业,此次展览将不“邀请”他们出席。拒绝原因主要是日本试图通过修改教科书而掩盖历史的行为令中国十分不满。展会一位经理称,“鉴于日本政府的行为,我们将在此次展览上抵制日本公司参与。”日本日报报道。
