2009年7月29日星期三

Flash 0day漏洞攻击

360安全中心在7月29日紧急发布安全公告称,Flash 0day漏洞攻击互联网

Flash0day漏洞出现在Flash的文件解析过程中。只要黑客构造一个内含特定Flash文件的网页,Flash的ocx控件就会崩溃溢出并执行网页中的恶意代码。

据Adobe官方称,该漏洞影响到Adobe Flash Player的9、10两大系列多个版本,Adobe公司旗下的Reader和Acrobat Reader等PDF阅读工具也存在相同类型的漏洞。

由于Flash和PDF文档的应用极为广泛,针对这一漏洞的“挂马”攻击所影响的用户将达到空前规模,包括Windows、Linux操作系统,IE、FireFox、Google Chrome等各主流浏览器均能触发该漏洞,只是不同平台下的漏洞攻击代码稍有不同。

Adobe公司将在7月30日和7月31日分别针对Adobe Flash Player和Adobe Reader/Acrobat Reader发布Flash漏洞安全补丁,请网民届时第一时间前往该公司官网下载安装。

2009年7月22日星期三

天文奇观——日全食视频


这张照片公布中国的新华社,
日全食是在中国西南的重庆市,
在上午09时16分星期三, 2009年7月22日。


视频来源: NASA
Asia witness 21st century's longest eclipse on Wednesday
视频来源: 东方新闻
见证21世纪的亚洲最长的日偏食
马来西亚人将能够在2010年1月15日, 2016年3月9日和2019年12月26日观察偏日食

2009年7月16日星期四

21世纪最夺目的天文奇观 —— 日全蚀


太阳会被月亮完全"吃掉",看上去就犹如一个挂在天上的"黑饼",周围围绕着一圈耀眼的光芒……这五百年一遇的罕见日全食将於7月22日上午8时左右在天空上演,也是本世纪持续时间最长的日全食奇观。

据网上报导,此次日全食从日食初亏到复圆长达2个多小时,日全食的持续时间最长可达6分钟左右。这也是世界历史上覆盖人口最多的一次日全食。

所谓"食"是指一个天体被另一个天体或其黑影全部或部分掩遮的天文景象。日食发生的原理是地球上局部地区被月影所遮盖而造成的。日食共有三种:太阳全部被月球挡住时叫日全食,部分被挡住时叫日偏食,中央部分被挡住时叫日环食。

由於日全蚀带极其狭窄,因此每次日全蚀世界上仅有较少地区才能看见。“有人把此次日全食称为‘大日食’(great eclipse),能看到这次日全食可以说是‘三生有幸’。”

月球的本影覆盖范围包括亚洲东部各区太平洋夏威夷,届时,中国外蒙古日本南韩朝鲜越南柬埔寨台湾都可观赏到日全食。



由於马来西亚偏离日全食轨道太远,因此国人只能看到日偏食,无法观赏完整的日全蚀 (砂劳越只能看到大约10%的日偏食)。国人只能在早上8时45分左右看到日偏食。



观测时要注意保护眼睛

在日全食发生的某些阶段,如果不采用科学的观看方法,将会对人的眼睛造成伤害,甚至导致失明。因为太阳光比月光强100万倍,所以不能用肉眼或者通过没有减光设备的望远镜直接观看,否则容易造成视网膜损伤。



下面为大家介绍一些科学的观测方法:

墨水观测法 (但是此方法减光率较低,易使眼睛受伤,不推荐使用)  
可以取一盆清水,加入墨汁,通过水面的反光看太阳。  

针孔投影法  
利用两块板子,在其中一块板子上挖一个小洞,让阳光穿过这个小洞投影到另一块板子上。  

望远镜投影法  
手可不要乱晃,否则太阳的影子会来回跑。并且千万不要拿着望远镜直接看太阳,如果用望远镜直接看太阳,一定要用滤光镜。  

注意:千万不要使用非正规机构提供的所谓“太阳卡”、“日食卡”等。


呼吁:切勿用肉眼或不符合安全水平的工具观望太阳,以免视网膜被灼伤、视神经损伤甚至失明。

 
就让我们一起期待7月22日的日全食 . . . . . .

此外,我们可以透过此校网站 http://www.chunghuaseremban.edu.my/eclipse%20live%20show/eclipse.html 链接到中国直播网站观赏日全食。

2009年7月7日星期二

微软发布最新的安全通告 - MPEG-2视频0day漏洞

  微软公司向全球用户发布了最新的安全通告(SecurityAdvisory972890),证实了WindowsXP、WindowsServer2003系统的视频控件(MicrosoftVideoActiveXControl)中存在一个漏洞(“MPEG-2视频”0day漏洞)。利用该漏洞,黑客可在用户使用IE浏览器时,无需用户做任何操作就能获得对用户电脑的本地控制权。微软声称,互联网上已经出现针对这一漏洞的攻击。

  该漏洞由DirectShow视频开发包的相关组件产生,与今年5月曝出的“DirectShow视频开发包”0day漏洞属于同一类型,极易被黑客利用进行“网页挂马”攻击,使访问者的电脑自动下载安装任意木马程序。网民一旦访问相应挂马网页,如不采取有效的安全防护措施,浏览器会先假死数秒,随后电脑将自动下载运行由黑客指定的“AV终结者”变种,进而下载大量网游盗号木马广告木马,使个人隐私面临失窃的风险,甚至成为随时被黑客摆布的“肉鸡”。

  
微软在通告中建议WindowsXP和WindowsServer2003的用户取消IE浏览器对所列类标识的支持。虽然Vista和Windows2008用户不受该漏洞的影响,但微软亦建议这些用户取消对该控件的支持。用户可通过手工设置注册表的方式,来禁止IE浏览器中运行视频控件。


来源:360安全中心

2009年7月6日星期一

微软曝出MPEG-2视频0day漏洞

  微软MPEG-2视频解析模块0day漏洞的大规模网络攻击已经在7月5日爆发。黑客利用了微软Windows操作系统BDATuningModelMPEG2TuneRequest视频组件的一个0Day漏洞
  当用户点击相应“挂马网页”时,恶意代码就会自动触发以上MPEG2视频组件的msvidctl.dll模块,相应地IE等浏览器会表现为卡死一小会儿,随后,电脑就会自动下载和运行一系列黑客预先设置好的木马程序,期间会出现恶意代码会强制关闭有大部分安全软件、劫持IE首页、弹出广告页面等各种现象。
  这个MPEG-2 0Day漏洞要容易利用得多,而且黑客不再需要网民运行任何恶意视频文件就能使其电脑变为任由黑客摆布的“肉鸡”。这种攻击方式更为隐蔽,普通用户更难防范,因而会更容易受到木马产业链等不法分子的青睐。另外,从目前测试的结果来看,由于VISTA、Windows2008以及WIN7使用了SAFESEH/GSCOOKIE技术,该0Day漏洞主要影响的是用户量最大的WindowsXP系统。
  MPEG-2视频0day漏洞的爆发极为迅猛...
来源:360安全中心