Ethical Hacking: IE Zero Day Exploit
Microsoft varnade i går av en ny attack pågår mot ett fel i ActiveX-kontrollen för Snapshot Viewer för Microsoft Access, som används av IE. Det finns ännu ingen korrigeringsfil tillgänglig för säkerhetshålet för nollagarna, och attackerna kommer sannolikt att fokusera på affärsmål.
I sin säkerhetsrådgivning säger Redmond att den sårbara kontrollen installeras med "alla stödjade versioner av Microsoft Office Access med undantag för Microsoft Office Access 2007. ActiveX-kontrollen skickas också med fristående snapshot viewer. " En förgiftad webbsida som utnyttjar hålet kan surreptiskt ladda ner skadlig kod till en offer PC.
"Aktiva, riktade attacker" pågår i relativt liten skala enligt rådgivningen. Målta attacker involverar vanligtvis mer noggrann planering och utformning, och kan till exempel använda ett offrets namn och titel i ett socialt konstruerat e-postmeddelande med en länk till en skadlig webbplats, till exempel. Jag brukar bara se riktade attacker mot företag, vilket passar sårbarheten i Microsoft Access. Så se upp för detta medan du är på jobbet.
US-CERT-sårbarhetsrapporten inspirerar inte hoppet: "Vi är för närvarande inte medvetna om en praktisk lösning på detta problem. " Du kan ställa in vad som är känt som en dödsbit för den här aktiva ActiveX-kontrollen för att förhindra att den körs i IE, men det kan hindra dig från att titta på snabblåsningar för Access Report, och det innebär att du muckar med Windows-registret. Se den här Microsofts supportsidan för instruktioner om dödsbit (CLSID är säkerhetsrådgivande).
I US-CERT-rapporten anges också att IE 7: s ActiveX-inloggningsfunktion bör bidra till att mildra sårbarheten, som Microsoft-rådgivningen överraskande inte gör " t nämner. Det skulle innebära att du skulle få en snabbmeddelande innan du kör kontrollen på en förgiftad sida och skulle ha en chans att stoppa den innan den attackerade datorn.
Om du har val kan det vara en bra idé att använda Firefox tills det här hålet är löst. Och om du fortfarande är på IE 6 på jobbet, hammar på din IT för att få dig uppgraderad. Varje säkerhetsexpert jag pratar med säger att du faktiskt frågar om du surfar på webben med den föråldrade webbläsaren. Om det finns en särskild in-house-app som bara fungerar med IE 6, använder du Firefox som standardwebbläsare och slår bara upp IE 6 för den gamla appen.
En stam av den rogue AV, som för närvarande heter Total Security 2009 , kommer nu att blockera åtkomst till någonting på din dator tills du betalar för ett serienummer för rogue-programmet. Försök att öppna något kommer istället att dyka upp ett meddelande som hävdar att filen är infekterad och att du ska "aktivera din antivirusprogramvara". Om du betalar $ 79,95 för ett serienummer och aktiverar programmet kan du använda din dator en gång till, enligt ett inlägg från antivirusprogramv
Ransomware som rymmer filer som gisslan har funnits i åratal, men det har varit en relativt liten nisch på den svarta marknaden online. Men där tidigare utpressningsförsök var uppenbara, till och med klumpiga, använder den här nya vridningen ännu ett lager av socialteknik för att dölja lösenbehovet som en antagen säkerhetsåtgärd.
Det finns ett gammalt ordspråk att bygga en ny dator eller uppgradera en gammal: "Använd rätt verktyg för rätt jobb." Visst kan du använda ett smör kniv för att lossa en skruv eller ett tang för att dra åt ett moderkort, men det gör inte jobbet något jämnare, och man kan satsa på att det kan göra någon skada. Att använda rätt verktyg för ett visst jobb gör jobbet enklare och det förbättrar vanligtvis den slutliga kvaliteten på den färdiga produkten.
Varje systembyggare behöver ett antal verktyg för att slutföra alla PC-byggnader eller uppgradera med effektiviteten och precisionen hos en kirurg. Några av verktygen kommer att vara uppenbara, andra mindre.
ÄVen om ditt jobb inte har något att göra med grafisk design, är chansen att du fortfarande måste producera enstaka diagram. Om du är uppmanad att skapa ett nätverksschema, ett flödesschema, ett gränssnittsmockup eller ett org-diagram, är Gliffy ett onlineverktyg som försöker göra processen så enkelt som möjligt. Det är inte specialiserat på någon typ av diagram, men det rika biblioteket med glyphs och ett brett urval av startmallar gör det enkelt att skapa nästan alla tvådimensionella diagram.
Gliffy låter dig komma till affärer utan att öppna ett konto . Skapa ditt diagram först, oroa dig för att spara det senare. Det första du ser när du börjar arbeta i Flash-gränssnittet är en stor dialogruta som bjuder in dig att välja en mall. Dessa är indelade i nio kategorier, som spänner mellan spalten från webbdesign och Venn-diagram till flödesschema och UML (Universal Modeling Language, som används i programmering).