• :
  • 全球首家发现“画皮”漏洞 金山毒霸获微软公开致谢-爱毒霸交流论坛
    用户
     找回密码

        找回密码

    QQ登录

    只需一步,快速开始

    搜索

    全球首家发现“画皮”漏洞 金山毒霸获微软公开致谢

    [复制链接]

    该用户从未签到

    发表于 2013-12-11 11:27:26 只看该作者

    马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

    您需要 登录 才可以下载或查看,没有帐号?

    x
      全球首家发现“画皮”漏洞 金山毒霸获微软公开致谢

      沿用了十多年的安全认证体系,正面临前所未有的挑战!

      金山毒霸安全中心,三个月前全球率先发现了一个系统高危漏洞“画皮”,并第一时间提交给微软。该漏洞影响所有Windows系统,病毒木马等恶意程序利用该漏洞可轻松绕过99%的杀毒软件。历时三个月时间,微软终于发布了针对性的安全补丁,并对金山毒霸公开致谢。历时之长,实为罕见。
      
      微软在“补丁星期二”(美国时间)照例更新了12月份的安全补丁,此次,共修复了11个系统漏洞,其中公告号为“MS13-098”的补丁尤其严重,影响到全球所有Windows版本,包括Windows XP/Server 2003/Vista/Server 2008/Windows 7/Server 2008/Windows 8//Windows 8.1/Server 2012,甚至Windows RT/Windows RT 8.1等。金山卫士已更新补丁库,请网友尽快安装补丁。
       补丁2.png
      
      “画皮”漏洞之所以被定义为高危级别,是因为它突破了数字签名这一基础安全认定技术。传统认识上,杀毒软件对程序进行安全分析的一个非常重要的依据就是数字签名。它相当于软件程序在电脑系统中的身份证号码,每个合法程序都拥有唯一的签名信息,如果此文件被恶意篡改,签名信息就会失效。
      
      拥有正常身份证信息的公民都是良民,基于这样的判定体系,杀毒软件将一些拥有数字签名的安全度较高的文件信息添加到白名单,比如QQ、迅雷等正规的、大型的软件公司的相关文件,杀毒软件扫描这些文件的时候就不会耗费太多的时间,分析速度就提高了。
      
      但是,金山毒霸发现的此“画皮”漏洞颠覆了业界对程序安全验证的传统认识。利用此漏洞,病毒木马等恶意程序可以植入或者篡改合法程序而不改变其数字签名,从而绕过几乎所有杀毒软件的查杀。这就相当于“画皮”,她看起来是一个正常的人类,你让她进入自己的家门,但其实她内在是一只恶鬼!拿最常见的文件做例子更容易理解:
       画皮图片1.png
      图:正常程序文件(上)被篡改为后(下),两个文件哈希值不同,签名完全正常
      
      “画皮”漏洞会带来许多不确定的安全风险。由于能躲过杀毒软件的查杀,各种病毒均有可能溜进网民的系统,窃取网民隐私,盗取敏感商业文档,甚至记录网银账户和密码,直接将银行资产划走……给网民带来无法弥补的重大损失。
      
      金山毒霸安全中心9月份发现了“画皮”漏洞后,立即向微软安全中心通报了“画皮”漏洞的全部细节,并对自己的防御查杀体系做了修正。由于影响面甚广,微软修复此漏洞花了大约3个月的时间。微软安全团队在漏洞公告中对金山毒霸安全中心的这一发现表达了谢意。
      
      微软和金山毒霸安全中心建议网民尽快更新该漏洞补丁,防患于未然,避免不必要的损失。不愿更新系统补丁的网民可以安装金山毒霸,目前市场上只有金山毒霸对此漏洞可能引发的病毒威胁进行了专业防范。
      
      金山毒霸拥有超过1.5亿用户,每天均能捕获海量的病毒样本,正是基于对此大规模的样本进行的专业分析,才能够在全球最早发现“画皮”漏洞。

      附微软感谢金山毒霸安全中心页面链接及截图:
      http://technet.microsoft.com/en-us/security/bulletin/ms13-098#section24

       画皮图片2.jpg

      附与数字签名有关的安全漏洞被攻击者利用会引发严重后果:

      2013年7月,有国外安全厂商曾发现99%的安卓系统存在一个类似Windows“画皮”漏洞的数字签名漏洞,攻击者可随意篡改安卓应用程序(.apk)而使文件的数字签名不变,漏洞细节公布不到两周,多家安全厂商就在多个国内安卓软件市场发现数以万计的安卓病毒利用数字签名漏洞传播。这个高危漏洞的严重危害引起全行业的普遍关注,相关新闻被大量媒体转载。
      
      在2013年度最后一个月度安全更新中,IE漏洞再次被提及。相关漏洞可导致网页挂马攻击:根据漏洞定制特别的网页,通过电子邮件、社交网络发布攻击网址,存在漏洞的电脑点击攻击链接,就会偷偷安装木马。攻击者利用图形组件中的安全漏洞(公告号:MS13-096)可以构造特别的TIFF图片文件,在Office文档中嵌入这种图片文件,打开文档就会中毒。
      
      附微软2013年12月份补丁信息
      1、Microsoft图形组件中的漏洞可能允许远程执行代码
      安全公告:MS13-096
      知识库编号:KB2901674\KB2850047\KB2817641
      级别:严重
      描述:此安全更新可解决Microsoft Windows , Microsoft Office和微软的Lync一个公开披露的漏洞。该漏洞可能允许远程执行代码,如果用户查看内容包含特制的TIFF文件。
      影响系统:vista_32/64(SP2);Microsoft Office 2003 SP3;Microsoft Office 2007 SP3;
      
      2、Internet Explorer累积安全更新
      安全公告:MS13-097
      知识库编号:KB2898785
      级别:严重
      描述:此安全更新可解决Internet Explorer中七个秘密报告的漏洞。如果用户使用Internet Explorer查看特制网页,最严重的漏洞可能允许远程执行代码。成功利用最严重的漏洞谁的攻击者可以获得相同的用户权限为当前用户。那些帐户被配置为在系统上拥有较少用户权限的用户比具有谁管理用户权限的用户可以影响较小。  
      影响系统:XP(SP3);vista_32/64(SP2);2003(SP2);win7_32/64(SP1);win8_32/64(SP0)
      
      3、Windows数字签名漏洞可能允许远程执行代码
      安全公告:MS13-098
      知识库编号:KB2893294  
      级别:严重
      描述:此安全更新解决了Microsoft Windows中一个秘密报告的漏洞。该漏洞可能允许远程执行代码,如果用户或应用程序运行或安装一个特制的签名移植可执行(PE )受影响的系统上的文件。
      影响系统:XP(SP3);vista_32/64(SP2);2003(SP2);win7_32/64(SP1);win8_32/64(SP0)
      
      4、Microsoft脚本运行时对象库中的漏洞可能允许远程执行代码
      安全公告:MS13-099
      知识库编号:KB2892074\KB2892075
      级别:严重
      描述:此安全更新解决了Microsoft Windows中一个秘密报告的漏洞。如果攻击者说服用户访问特制网站或承载特制内容的网站,该漏洞可能允许远程执行代码。成功利用此漏洞谁的攻击者可以获得相同的用户权限的本地用户。
      影响系统:XP(SP3);vista_32/64(SP2);2003(SP2);win7_32/64(SP1);win8_32/64(SP0)
      
      5、Windows内核模式驱动程序的漏洞可能允许特权提升
      安全公告:MS13-101
      知识库编号:KB2893984\KB2887069
      级别:重要
      描述:此安全更新可解决Microsoft Windows中五个秘密报告的漏洞。更严重的漏洞可能允许特权提升如果攻击者登录到系统并运行特制的应用程序。攻击者必须拥有有效的登录凭据并能本地登录才能利用此漏洞。
      影响系统:XP(SP3);vista_32/64(SP2);2003(SP2);win7_32/64(SP1);win8_32/64(SP0)
      
      6、LPC客户端或LPC服务器的漏洞可能允许特权提升
      安全公告:MS13-102
      知识库编号:KB2898715
      级别:重要
      描述:此安全更新可解决Windows中一个秘密报告的漏洞。该漏洞可能允许特权提升如果攻击者发送了特制的LPC端口信息,任何LPC消费者或服务器。成功利用此漏洞谁攻击者可随后安装程序,查看,更改或删除数据;或者创建新帐户拥有完全用户权限。攻击者必须拥有有效的登录凭据并能本地登录才能利用此漏洞。
      影响系统:XP(SP3);2003(SP2)
      
      7、Microsoft Office共享组件的漏洞可能允许绕过安全功能
      安全公告:MS13-106
      知识库编号:KB2850022
      级别:重要
      描述:此安全更新解决了一个公开披露的漏洞在Microsoft Office共享,目前正在开发的组件。如果用户查看特制的网页在Web浏览器能够实例化的COM组件,如Internet Explorer中的漏洞可能允许安全功能绕过。在网页浏览攻击情形中,成功利用此漏洞谁攻击者可以绕过地址空间布局随机化(ASLR )安全特性,这有助于保护用户从一个广泛的一类漏洞。本身的安全功能绕过不允许任意代码执行。然而,攻击者可以在与另一个漏洞,比如一个远程执行代码漏洞,该漏洞采取ASLR绕过的优势来运行任意代码一起使用ASLR绕过漏洞。
      影响系统:Microsoft Office 2007 SP3
      
      8、恶意软件删除工具
      安全公告:无
      知识库编号:890830-V67
      级别:重要
      描述:此工具可以检查您的计算机是否受到特殊流行恶意软件(包括 Blaster、Sasser 和 Mydoom)的感染,并在找到感染时帮助将其删除。
      影响系统:XP(SP3);vista_32/64(SP2);2003(SP2);win7_32/64(SP0);win7_32/64(SP1);win8_32/64(SP0)
      
      9、Adobe Flash Player 安全更新
      安全公告:无
      知识库编号:KB660030
      级别:重要
      描述:修复Flash Player 11.9.900.170或更早版本中的漏洞。
      影响系统:XP(SP3);vista_32/64(SP2);2003(SP2);win7_32/64(SP1)
      
      10、Windows 8 的 Internet Explorer Flash Player 的更新
      安全公告:无
      知识库编号:KB2907997
      级别:重要
      描述:Microsoft 宣布提供一个适用于 Windows 8、Windows Server 2012 和 Windows RT 所有受支持版本上的 Internet Explorer 10 中的 Adobe Flash Player 的更新。通过更新包含在 Internet Explorer 10 中的受影响的 Adobe Flash 库,此更新解决了 Adobe Flash Player 中的漏洞。
      影响系统:win8_32/64(SP0)
      更多详情,可参考微软安全公告摘要(http://technet.microsoft.com/en-us/security/bulletin/ms13-dec

    点评

    铁军老师闪亮登场了····不容易啊~~~  发表于 2013-12-12 09:34
    支持铁老大  发表于 2013-12-12 07:48
    终于有一次了。。军哥。。。  发表于 2013-12-11 20:49
    360的家庭网络管理功能很好!新毒霸应该要开发!  发表于 2013-12-11 16:02
    1表示祝贺继续加油 2貌似正在毒霸如火如荼加速整合卫士之际 军哥不以毒霸的漏洞修复展示却以卫士的示人 介是要公开跟高层唱反调么  发表于 2013-12-11 14:03

    评分

    参与人数 2元宝 +2 收起 理由
    elysian777 + 1 很给力!
    云fender + 1 很给力!

    查看全部评分

    使用道具 举报 回复
    沙发帮顶!!!金山加油!
    使用道具 举报 回复 支持 反对
    他大爷的,三个月,在你电脑里什么都够干 了。
    使用道具 举报 回复 支持 反对
    支持军哥!
    使用道具 举报 回复 支持 反对
    不错,有了突破
    使用道具 举报 回复 支持 反对
    不错!金山好样的!
    使用道具 举报 回复 支持 反对
    支持
    使用道具 举报 回复 支持 反对
    本帖最后由 byxxdrls 于 2013-12-11 13:11 编辑

    游客,本帖隐藏的内容需要积分高于 99999999 才可浏览,您当前积分为 0
    [/hide]
    使用道具 举报 回复 支持 反对
    金山好样的。。
    使用道具 举报 回复 支持 反对
    给力金山!!!

    使用道具 举报 回复 支持 反对
    支持金山加油
    使用道具 举报 回复 支持 反对
    都只自己吹自己,我到别的新闻网上就没看到有这条新闻。

    点评

    文中不是有微软公告的链接么?  详情 回复 发表于 2013-12-11 16:36
    17楼告诉你一部分,更多自己搜。  发表于 2013-12-11 13:50
    使用道具 举报 回复 支持 反对
    真腻害
    使用道具 举报 回复 支持 反对
    金山强大,要广而告之,展示安全技术实力。
    使用道具 举报 回复 支持 反对
    金山加油!
    使用道具 举报 回复 支持 反对
    不错不错 发现了新漏洞
    使用道具 举报 回复 支持 反对
    5.jpg
    使用道具 举报 回复 支持 反对
    金山用行动告诉世人,金山没有离开安全,金山具有世界领先的安全技术。选择金山安全产品,互联网用户更有信心。
    使用道具 举报 回复 支持 反对
    不错,希望毒霸继续努力!
    使用道具 举报 回复 支持 反对
    支持铁军老师。支持金山。赞一个!
    使用道具 举报 回复 支持 反对
    您需要登录后才可以回帖 登录 | 注册

    本版积分规则