一 : Ghost有漏洞 镜像恢复需小心陷阱

如今世面上和网上流行各种WindowsXP系统万能Ghost安装光盘和文件，使用起来也确实方便，安装一个系统只需要恢复下Ghost镜像文件，装点驱动，断断十多分钟就完成了。但是各种万能Ghost版本系统光盘其中有精品，也有垃圾，更有暗留了后门的陷阱!
一、WindowsXP万能Ghost系统分析 万能Ghost系统制作时，是在安装成功后删除Windows自带的多余文件，并且删除硬件信息，然后进行系统封装。如果在安装前，制作者有意将某个系统文件替换成木马后门，或者在系统中打开某些端口，开启某些危险服务，留下某些空口令帐户，那么制作出来的Ghost系统就会存在各种安全漏洞。这些Ghost系统流传出去后使用这些系统的用户可能被作者控制为肉鸡。 二、Ghost版系统常见漏洞一览 1.空密码远程桌面漏洞，可以用空密码进行3389远程登陆，可以远程进行任务系统操作。用途利用3389漏洞刷Q币，盗取ADSL密码账号等等。 2.隐藏共享漏洞，任何用户都可以访问共享，非默认的IPC$共享，可以发现共享权限为Everyone完全控制。用途很多，Guest组用户也可以格式化你的硬盘。 3.Administrator用户密码漏洞,不多做介绍了。 4.起用危险服务，在服务工具中可以发现很多危险服务都被打开，并且远程选项卡中允许用户远程连接到此计算机被启动。 5.防火墙作过手脚，在系统防火墙可看到默认未开启允许通过的项目都被勾选。 6.流氓软件与后门木马，私自为用户安装很多流氓软件。更恐怖的是将系统文件换成灰鸽子木马!(并且现在有克隆系统文件版本信息的软件，可以把木马文件伪装的外表上看上去和系统文件一样包括标识大小标注等等!) 三、危险GhostXP系统版本检测 目前已知有问题的版本列表如下： 1.番茄花园系列番茄花园WindowsXPProSP2免激活版v2.8和2.9以及新版本。　　 2.雨林木风系列雨林木风Ghost WinXP2v2.0装机版纯净会员版y1.7v1.85以及新版本。　　 3.东海电脑公司版Ghost xp_sp2电脑公司特别版v4.0v4.1v5.0v5.1v5.5以及新版本。 大家可在系统属性对话框中查看自己系统版本判断是否存在问题，网上流传的其他Ghost系统版本也或多或少的存在如上的安全问题!请谨慎使用!

二 : 乌云：联通管理后台不需要漏洞即可进入，可以修改话费等！

不用任何安全漏洞就能轻松进入中国联通的统一管理的后台，这报告竟然有了魔幻黑客大片的即视感。我们到底是该膜拜思路诡异的白帽子，还是去膜拜神一样的企业呢？反正乌云君给两位神都拜了下，你看着办不用漏洞进入中国联通统一后台（可控制网厅客户端、wap、业务管理等）。这样子岂不是可以随便修改自己手机话费的余额了，想用多少就写多少。

来自：乌云-漏洞报告平台

如果你关注数码科技，想了解更多请数码科技资讯，业界干货，请关注微信公众号，数码小分享：fenxiang2100

三 : 专家建议网站漏洞要及时修复

　　360互联网安全中心日前发布的《中国网站安全报告(2015)》显示，网站漏洞仍然比较严重，并且修复率不到一成。对此，专家建议应及时修复漏洞，避免不必要的损失。

　　据悉，数十亿条个人信息面临泄露危险。按照被攻击次数，2015年北京、苏州等十城市遭受漏洞攻击超过12亿次，其中，北京遭到攻击的IP最多，高达2.9亿个。

　　黑客对网站发动攻击包括用漏洞入侵网站，对网站发动流量攻击，或在网站内植入木马，引导网民转向恶意网址。

　　据360互联网安全中心专家裴智勇博士介绍，从各种漏洞类型来看，跨站脚本攻击漏洞(21.9%)、异常页面导致服务器路径泄露(11.8%)和SQL注入漏洞(16.0%)这三类安全漏洞是占比最高的网站安全漏洞，三者之和接近网站所有漏洞检出总次数的一半。相比2014年，“异常页面导致服务器路径泄露”之漏洞是2015年的“黑马”漏洞，超过SQL注入漏洞而跃居第二。

　　在万物互联时代，物联网、车联网、互联网+金融、O2O创业等领域方兴未艾，厂商重视客户端应用界面的快速上线，而忽略了应用背后常规、基础的安全保障功能，以致对安全投入成本跟不上，导致大量应用及网站服务器端漏洞曝出。360互联网安全中心专家对IT/互联网、电信运营商六个重点领域网站存在的漏洞进行分析，发现泄露信息漏洞共可导致约11.5亿条个人信息泄露。其中：IT/互联网网站可能泄漏的个人信息最多，其次是医疗卫生网站，电信运营商‘金融理财网站，汽车交通网站，教育培训。

　　“事实上，只要是人编写的程序，都有可能出现漏洞，只要及时修复，就很大程度上避免信息泄露。”补天漏洞响应平台专家鲍宇介绍，虽然漏洞频繁，但网站漏洞修复率过低，是目前网站安全面临的重大问题。2015年的统计数据显示，网站在收到相关漏洞报告后，平均修复率仍然不超过10%，有的行业甚至低于5%。

　　裴智勇博士建议，鉴于多数通用型漏洞属于可以检测的已知漏洞，事件型漏洞则存在一定的偶发性和不可预测性。如果网站加入补天平台，就会安排专人对补天平台报告的漏洞进行响应和处理。统计显示，在2015年被报告漏洞的备案网站中，有22.0%的网站已加入补天平台。

　　裴智勇博士表示，2015年，“数据驱动安全”的全新技术理念正在逐步取代传统的被动防御、静态防御、孤立防御的技术理念，成为广泛认可的重要的网络安全发展趋势，并且已经取得了一系列的重要成果。威胁情报将是未来一两年内，最具发展潜力的新兴安全服务技术。人工智能、机器学习以及大数据可视化等一系列新兴的网络安全技术，将成为网络安全企业竞争力的核心体现。(记者向阳)

四 : Adobe Flash Player 25正式发布:主要修复漏洞、安全升级

今天，Adobe Flash Player 25迎来了正式版发布，按照惯例，本次更新主要是修复漏洞、安全升级。允许Adobe自动升级的用户，将在24小时内自动更新至最新版本。

与此同时，Adobe AIR 25也正式发布，同样带来了新的功能，bug修复，以及安全升级。

Adobe Flash Player 25主要修复问题如下：

— 在输入框中输入空格时app表现异常；

— Flash Player 24.0.0.221意外中断；

— 在使用Chrom 55时Wacom感应数位屏无法正常工作；

— 在Windows 10以及Firefox中麦克风使用异常；

— [Windows 10]观看视频时按空格键，会导致视频重新加载或者重新播放；

— 其他多项安全及功能性修复；

软件名称：

Adobe Flash Player 独立播放器 25.0.0.104 多语绿色免费版

软件大小：

4.78MB

更新时间：

2017-02-05

相关阅读：

Adobe Flash Player 20.0.0.267更新下载:重要Bug修复和安全更新

Adobe Flash Player 19.0.0.185正式版更新下载:修复不少漏洞

本文标题：漏洞需要修复吗-Ghost有漏洞 镜像恢复需小心陷阱
本文地址： http://www.61k.com/1166812.html