美国
cnet.com:微软下周二将发布两个重要安全补丁
微软星期四称,他将在下周二发布两个重要的安全补丁修复windows和office软件中的安全漏洞。远程攻击者如果成功地利用这些安全漏洞能够控制用户的计算机。
微软在安全反应中心博客中发布的消息称,这些补丁是微软每月补丁星期二发布的安全补丁的一部分。这些安全漏洞影响到微软的windows 2000、xp、vista、windows 7、server 2003和server 2008等操作系统软件;office xp、office 2003、2007等办公软件;微软visual basic for applications和visual basic for applications软件开发工具。windows 7和server 2008 r2用户在默认状态下不会受到影响。
然而,微软补丁星期二发布的补丁中没有修复上个星期披露的sharepoint services 3.0和sharepoint server 2007等软件中的一个安全漏洞的补丁。这个安全漏洞能够导致通过浏览器实施跨站脚本攻击。利用这个安全漏洞的概念证明代码已经发布了。
微软安全反应中心响应通讯部门经理jerry bryant在发表的帖子中称,我们的团队仍在研制这个漏洞的补丁。同时,我们建议用户评估这个安全公告并且使用这个绕过措施。
同时,微软称,对于windows 2000和xp sp2的技术支持将在今年7月13日结束。用户应该升级到有技术支持的操作系统或者最新的服务包以便继续得到安全更新。
cnet.com:一种恶意蠕虫正通过雅虎通传播
一种蠕虫本周四正在通过雅虎通传播。这种蠕虫引诱用户下载他们以为是朋友发来的照片,而实际上却是下载一个恶意软件。这个恶意软件在windows系统上安装一个后门并且传播到受害者的即时消息联络人。
这个蠕虫是通过一个联络人发出的消息传播的。这个消息内容是“照片”或者“多张照片”或者就是一个笑脸标识,附带一个指向一个网站的链接,类似于一个facebook网页、myspace网页或者其它可能放照片的网页。
如果用户点击在一个mac机上的链接,就会下载一个可执行文件,但是不会发生进一步的行动。在windows系统上,这个可执行文件也会下载。如果用户执行这个文件,这台计算机就会受到感染。这个恶意消息就将传播到所有的即时消息联络人。
据安全软件公司赛门铁克称,一旦运行这个恶意文件,这个蠕虫就把自己复制到%windir%infocard.exe文件,然后把自己添加到windows防火墙列表中,修改注册表键值并且停止windows更新服务。如果你看到这个消息,请不要点击“运行”。
赛门铁克检测到这种蠕虫的名称是“w32.yimfoca”。赛门铁克称,这个蠕虫影响到windows 98、windows 95、windows xp、windows me、windows vista、windows nt、windows server 2003和windows 2000等操作系统。
赛门铁克安全响应部门技术经理zulfikar ramzan说,这是非常危险的。当你收到你的熟人发来的即时消息,你很可能会点击它。这种蠕虫向被感染的计算机中放入的恶意软件能够把用户的计算机变成一个僵尸网络中的僵尸电脑。但是,一旦这个后面安装在被感染的计算中,什么事情都可能发生。
安全公司bitdefender在博客中称,这种蠕虫能够劫持口令和其它敏感的数据。
雅虎在博客中称,它已经知道了这个问题并且正在努力解决这个问题。
infoworld.com:安全公司披露微软上个月悄悄修复三个严重漏洞
一位安全专家本周四称,微软上个月悄悄地修复了三个安全漏洞,其中有两个安全漏洞影响到企业执行重要任务的exchange邮件服务器。微软在安全公告中没有说明这些安全漏洞。
微软没有宣布的三个安全漏洞之中的两个安全漏洞和这三个安全漏洞中的一个最严重的安全漏洞被打包在了ms10-024安全补丁中。这是微软在4月13日发布的exchange和windows smtp服务的一个更新并且标记为“重要”等级。这位微软排在第二位的威胁等级。
据core安全技术公司首席技术官ivan arce说,微软修复了这些安全漏洞,但是,没有披露它修复了这些安全漏洞的消息。这些安全漏洞比微软披露的安全漏洞更加严重。这意味着系统管理员也许会对使用补丁的决策做出错误的决定。他们需要这个信息来评估这个风险。
core实验室研究人员nicolas economou在深入研究微软发布的安全更新的时候发现了这两个没有宣布的安全漏洞。
core对于研究人员economou的这个发现发表了自己的安全公告。这个安全公告称,攻击者能够利用微软ms10-24补丁修复的这两个没有公开的安全漏洞假冒对于windows smtp服务发送的任何dns查询的回应。除了ms-024补丁原来说明的拒绝服务攻击和信息泄露等影响之外,dns回应欺骗和缓存染毒攻击还能产生其它各种安全影响。
ncircle security安全运营经理andrew storms说,秘密补丁既不是新鲜事也不少见。多年以来一直存在这种事情。这种事情本地也不是一个巨大的阴谋。
不同寻常的是core把微软悄悄地修复安全漏洞的事情公开了。core称,微软错误地说明和低估了ms10-24安全漏洞的严重性。core敦促企业it管理员考虑重新评估优先使用补丁的事情。
core发现的第三个没有说明的安全漏洞是在微软4月13日发布的ms10-028补丁中。这个补丁修复了微软项目图表软件visio中的安全漏洞。
微软承认它在没有告诉用户的情况下修复了一些安全漏洞。但是,微软为这种做法进行了辩护。微软安全计划经理jerry bryant说,这样做有助于减少用户使用安全补丁的数量,因为更新会中断用户的软件环境。
路透社:诺基亚董事会支持管理层从硬件向服务转变的战略
诺基亚董事长约玛·奥利拉(jorma ollila)星期四在对股东发表的讲话中称,诺基亚管理层从硬件向提供服务转变的战略已经得到了董事会的全面支持。他说,我们在这方面支持管理层。
诺基亚已经开始建立新的业务,提供从音乐下载到电子邮件的广泛的互联网服务。但是,这些服务到目前为止还没有受到关注。
诺基亚首席执行官康培凯(olli-pekka kallasvuo)说,我们仍然有需要工作要做。但是,我们已经建立的坚实的基础。我们相信我们的战略。
由于诺基亚的股票价格错过了市场的复苏,诺基亚管理层一直受到分析师和股东的批评。诺基亚是在经济复苏的2010年错过利润增长的少数公司之一,并且软件问题继续影响诺基亚的智能手机。
诺基亚上个月延迟了推出使用symbian 3软件的手机。诺基亚的软件平台升级产品symbian 3被看作是使诺基亚智能手机能够具有竞争力的第一步。推迟发布这种手机引起了市场抛售诺基亚的股票。
康培凯说,诺基亚预计其新一代手机将显著缩小在高端智能手机竞争方面的差距。
自从苹果iphone手机推出三年以来,诺基亚一直没有对iphone构成真正的挑战。诺基亚上一个热门的智能手机n95是在2006年推出的。那一年正是长期担任公司律师的康培凯担任了诺基亚首席执行官。
法新社:阿拉伯语成为史上第一个非拉丁字符域名
用阿拉伯语字符写的互联网地址本周四开始在互联网上应用,成为历史上第一个非拉丁字符的在线域名。
icann在称,这是历史上第一次在顶级域名中首次采用非拉丁字符。阿拉伯语现在已经成为第一个用于互联网域名的非拉丁字符。
顶级域名就像在线地址的邮政编码一样,众所周知的例子包括 .com、.org和.net等。
新的顶级域名旨在用于埃及、沙特阿拉伯和阿联酋。icann的kim davies在博客中说,这三个国家都是阿拉伯字符域名,将允许域名完全从右向左边书写。
埃及称,第一个非拉丁字符网站采用新的“.masr”域名。
icann称,目前处在批准最后阶段的采用本地域名字符的语言包括中文、僧伽罗语、泰米尔语和泰国语。
icann称,阿拉伯语是目前互联网上最常用的语言之一。拥有使用自己的语言作为整个域名的能力,中东地区的用户将更容易访问互联网。
