一 : 金山网盾高危漏洞 遭中美俄安全机构齐告警

5月25日消息，继中国国家信息安全漏洞库、Secunia等权威漏洞机构之后，美国国家漏洞库、IBM网络安全漏洞库、俄罗斯权威安全实验室、绿盟科技等国内外数十家重磅安全组织今日相继证实并公布了金山网盾存在的高危漏洞信息，并向其用户发出了安全警告。至此，中、美、俄三国最权威的安全机构大都已确认了金山网盾的高危漏洞。但截至发稿前，金山公司除之前高调发布的否认声明外，仍未对公众作出新的回应。

据了解，鉴于金山公司发表声明否认了漏洞，按照国际安全界的惯例，国外一些大的网络安全组织为此公布了金山网盾漏洞的技术细节和部分利用代码，从而使黑客攻击金山网盾用户的方法完全公开化。目前，除中美俄三大漏洞库和安全实验室外，国际上最权威的几家漏洞研究组织SecurityFocus、Secunia、OSVDB、IBM网络安全漏洞库Xforce，以及国内安全厂商绿盟科技等数十家专业机构均对金山网盾的用户发出安全警告。

据360安全专家证实，金山网盾的这一高危漏洞会导致其用户被木马病毒控制电脑系统、窃取重要资料。而金山网盾的漏洞和产品缺陷，已被木马团伙大量利用来加载木马，篡改用户浏览器首页并强锁为恶意欺诈网站。同时，金山网盾会采取非正当手段强行注入用户浏览器，从而导致浏览器出现慢、卡甚至崩溃等现象。在微软刚公布的《IE8性能优化白皮书》中，金山网盾在IE8崩溃用户电脑软件中的流行度排名全球第八。但由于金山网盾主要通过遨游捆绑、后台静默安装以及没有提供明显卸载入口，大多数用户很难将其顺利卸载。

就在金山网盾高危漏洞被国内外网站曝光的同一天，金山公司因把金山毒霸“病毒检测率倒数第一”宣传成“全球第一”而遭遇消费者打假，该公司高管回应称此系金山员工“笔误”导致，并向消费者道歉。

截至本发稿前，金山公司仍未对究竟是否存在高危漏洞作出进一步回应。安全专家建议，金山网盾用户密切关注漏洞的修复情况，在此之前最好暂停使用。

二 : 微信红包存在高危漏洞：可窃取他人红包

新浪科技讯 3月5日下午消息，乌云漏洞平台今日发布最新高危漏洞，显示微信红包存在设计缺陷，黑客可以设计程序自动领取他人发送的红包，分分钟领取数百元。目前腾讯已经确认该漏洞，等待处理。

乌云漏洞平台显示，白帽黑客only-guest发现了微信红包的高危漏洞，源于厂商的客户端程序设计缺陷，黑客可以绕过权限，设计程序来随意领取红包。

该白帽黑客截图显示自己一分钟内领取了200多元红包，并在漏洞描述中玩笑称，“发家致富奔小康，日薪百万不是梦，估计写成程序一天几百万不是问题！”。

微信红包功能自推出以来，受到用户欢迎，在节假日期间形成多个使用高峰。而该高危漏洞的发布，显示该功能具有设计缺陷，发放和领取红包的用户存在遭受财务损失的可能性。

目前，这一漏洞细节已经通知厂商，等待处理。腾讯方面回复：“这个问题我们已经确认，正在与业务部门进行沟通制定解决方案。如有任何新的进展我们将会及时同步。”截至发稿，暂无处理结果。(娜拉)

三 : 瑞星警示：Windows再爆超高危漏洞

3月13日晚间，微软发布了今年3月份的安全公告，共更新了6个漏洞。其中一个名为MS12-020的漏洞为超高危漏洞，黑客可利用该漏洞特别构造RDP协议包来远程控制用户电脑或服务器，该漏洞影响Windows XP、Vista、2003、win7和2008等主流操作系统。考虑到远程桌面服务在系统中默认打开，大量用户正在使用此服务，瑞星特此发布紧急提示，告知用户尽快安装此漏洞补丁。目前，瑞星安全助手（http://tool.ikaka.com/）已经对此次微软更新的漏洞列表提供了自动安装修复功能。

MS12-020影响操作系统列表

据介绍，MS12-020漏洞存在于Windows的远程桌面协议中，如果攻击者向开启远程桌面的计算机发送一个特别构造的RDP协议包请求，那么就能对其进行远程代码执行，也就是通常上说的可对电脑进行远程控制。

瑞星安全专家表示，与以往黑客通过病毒来实现对用户电脑控制的方式不同，此次漏洞导致黑客只需要发送一个协议数据包，便可以获得未安装此漏洞补丁电脑的本地最高权限，进而获取用户电脑上存储的所有资料。用户虽然可以通过关闭远程桌面服务来暂时避免受攻击，但最彻底的解决办法仍是第一时间安装微软的相关漏洞补丁。

本文标题：openssl高危漏洞-金山网盾高危漏洞 遭中美俄安全机构齐告警
本文地址： http://www.61k.com/1144222.html