7月15日消息，据国外媒体报道，安全研究员克瑞斯·卡巴斯基(Kris Kaspersky)日前表示，他将展示如何利用英特尔处理器漏洞来远程攻击用户计算机，无论用户安装的是哪种操作系统。 

克瑞斯称，他计划于今年10月在马来西亚首都吉隆坡举行的“Hack in the Box”安全大会上展示该攻击方法。克瑞斯将利用JavaScript或TCP/IP包来发动攻击，从而证明处理器漏洞(勘误表)可以被黑客用来发动攻击。

克瑞斯还称，处理器漏洞的威胁越来越大，将来，病毒作者也将利用这样的漏洞来开发恶意软件。克瑞斯说，不同的处理器漏洞允许黑客做不同的事情。有些漏洞只能使系统崩溃，有些漏洞则允许黑客完全控制系统，有些可以帮助黑客禁用Vista安全保护。 

克瑞斯将展示攻击基于几乎所有操作系统的PC机，其中包括Windows XP、Vista、Windows Server 2003、Windows Server 2008、Linux和BSD。而且，这些系统均已打全补丁。克瑞斯还补充道，也有可能展示攻击Mac计算机。 

处理器通常包含着上亿个晶体管，因此存在勘误表是很正常的事情。有些漏洞可能影响到处理器性能，而有些用户根本觉察不到。例如，均英特尔6月公布的数据显示，Silverthorne版Atom处理器就存在35处勘误表。 

克瑞斯说：“修复其中大部分漏洞是可能的，英特尔也向各主要BIOS厂商提供了解决方案。但是，并不是每一家厂商都会部署，因此存在漏洞在所难免。”

大多数版本的Windows存在一个安全漏洞

　　微软星期四（4月17日）发布安全警告称，其大多数版本的Windows存在一个安全漏洞。但是，微软没有许诺要修复这个安全漏洞，也没有说它是否要修复这个安全漏洞和什么时候发布一个补丁。微软在三个星期前还拒绝承认这个问题是一个安全漏洞。

　　微软在安全公告中把这个安全漏洞归类为提升权限的安全漏洞。利用这个安全漏洞能够给攻击者访问被攻破的计算机的更大的权限。这个安全漏洞影响到Windows XP专业版SP2和所有版本的Windows Server 2003、Windows Vista和最新的Windows Server 2008。

　　微软称，虽然这个安全漏洞存在于Windows操作系统中，但是，攻击者能够通过在微软Web服务器“互联网信息服务”上运行的客户Web应用程序来利用这个安全漏洞。通过SQL服务器也能够利用这个安全漏洞。

　　nCircle网络安全公司安全运营经理Andrew Storms说，Web应用程序以较低的权限运行。利用这个安全漏洞能够把这个权限提升到本地系统账户的权限，离管理员权限不远了。你能够使用本地系统账户做很多事情。

　　阿根廷的一位研究人员和安全顾问Cesar Cerrudo几个星期前说，他要在即将召开的一个会议上披露一个Windows安全漏洞。Cerrudo在3月末说，这个安全漏洞能够绕过包括Windows Server 2008在内的最新版本的Windows操作系统的安全措施。

　　Cerrudo说，通过互联网信息服务可以实施这个攻击。通过在NetworkService（网络服务）、LocalService（本地服务）和LocalSystem（本地系统）等不同的账户下运行Web应用程序能够缓解这个风险。

　　微软安全反应中心发言人Bill Sick当时说，Cerrudo披露的信息是一个软件设计瑕疵，不是真正的安全漏洞。他还不重视这个安全漏洞，说Cerrudo的演示没有说明攻击者能够获得访问这些可信赖的账户的方法。

　　Cerrudo在阿联酋迪拜举行的“HITBSecConf2008”会议上演示了这个安全漏洞之后，微软承认了这个安全漏洞并且向用户发布了安全警告。

在线广告领袖谷歌公司在周五宣布，它将削减某些网络地址的广告收入，并且不让合法网民和企业接触到它们。在随后的几周里，谷歌公司将开始检查那些被反复注册，然后在5天试用期内放弃并拿回全额退款的域名。

谷歌的AdSense计划将把那些域名排除在外，这样那些人就不能因为他们暂时拥有那些域名来获得广告收入了。那种名为域名试用的行为跟在线购买高档服装然后在参加完聚会之后将服装退回并拿回全额退款的做法如出一辙。

谷歌发言人Brandon McCormick说：”我们相信这个政策将对用户和域名购买者产生积极的影响。”

谷歌称，它已经在周四的时候用电子邮件通知了有关的域名用户。

域名试用原本是为了让用户在获得域名之后有时间去修改合理的错误，比如拼写错了他们想买的域名等。 但是随着在线广告市场发展得越来越大，一些公司和个人通过这个政策先抢注大量域名，然后在测试之后只购买那些可以产生收入的域名。

这种做法使得大量域名始终被占用着，导致其他的企业和个人很难申请到心仪的域名。

之前曾经在其DomainTools博客上谈论过谷歌的变化的Jay Westerdal在接受采访时称，这个政策将让域名试用行为变得无利可图。 他说，谷歌的主要竞争对手雅虎已经开始试着禁止用户试用那些侵犯商标权以及存在许多问题的域名。

Westerdal说：”如果谷歌和雅虎不向这些网站域名付费，我想域名试用行为很快就会消失。”

         Mozilla基金会的负责人昨日证实了一个FireFox中的bug,这可能会引发黑客利用以攻击.

　　Mozilla的首席安全官Window Snyder称这一问题出现在浏览器的Chrome协议中,她已经向公众报告了漏洞的详细情况.Chrome是FireFox的用户界面,通过众多扩展访问用户的机器时在设计上有一些缺陷.

　　FireFox的扩展被封装在独立的文件结构里而不是收集到单一的Java档案,例如Statusbar和Greasemonkey等热门扩展使用”flat”文件结构,这将导致安全隐患.　　

　　使用一些特定扩展的用户可能会遭到欺骗网页的攻击,攻击者可利用图片,脚本和CSS来实现不同种类的攻击和偷窃.　　

　　FireFox的开发者们正在研究补丁已解决问题,但尚未发布.

      视频聊天软件Skype日前被发现存在一个程序错误，该漏洞为网络恶意攻击者实施入侵开启了方便之门，一个网络安全研究机构此前公布了这一消息。

据国外媒体报道，本周四，安全机构Aviv Raff公布了Skype存在安全漏洞的消息。该消息称，Skype软件利用IE浏览器来运行HTML时会出现漏洞，由于Skype公司对该软件的安全监控不够严格，因此攻击者很容易在存在漏洞的用户机上运行恶意代码，其后果将十分严重。

问题出在当Skype运行IE浏览器部件时，其“Local Zone”的安全设置级别很低，因此攻击者几乎可以为所欲为，比如在本地硬盘上读写任何内容，或运行可执行恶意代码，安全研究人员佩特克·佩特克夫本周四在博客上透露了上述消息。

实施攻击前，攻击者通常寻找一个信誉较好、并且存在一名为“跨区脚本错误”漏洞的网站投放诱饵，Skype用户在不知情的情况下会打开并运行恶意脚本。

佩特克夫表示，“攻击得逞的前提条件是，用户通过Skype的添加视频聊天按钮访问DailyMotion网站，并点击触发跨网站脚本矢量器。”比较糟糕的结果是，攻击者会在中招的PC上投放大量经过恶意代码编辑的广告，进一步增大传播的可能性。

上述漏洞影响Skype最新版本3.6.0.244，老版本也可能存在风险。

      日前，美国苹果公司的Quicktime多媒体引擎被爆出存在缓冲区溢出漏洞。

　　美国计算机紧急响应小组（US-CERT）机构日前表示，苹果公司的这一漏洞存在于Quicktime多媒体平台中，同时影响到苹果Mac OS X和微软视窗操作系统的用户。

　　由于苹果Quicktime引擎之上运行着许多播放器等软件，因此Quicktime播放器以及iTunes播放器也受到了影响。

　　据该机构说，这一漏洞发生在Quicktime引擎处理器RTSP相应消息的过程中。一旦黑客恶意制造了一段响应消息，Quicktime将会出现内存溢出。这样，受影响的电脑将可以运行黑客程序，安全将面临严重威胁。

　　该机构表示，他们已经获悉，网上已经出现了利用这一漏洞发起攻击的概念代码。

　　US-CERT给出了多个解决问题的方案，比如暂时卸载Quicktime多媒体平台软件，封堵RTSP协议，以及阻止在网络浏览器中运行Quicktime插件。

　　值得一提的是，就在十二月，Quicktime平台在处理RTSP协议方面也曾爆出一个漏洞，后来苹果公司发布补丁程序修补了这一漏洞。

        国家计算机病毒应急处理中心通过对互联网的监测发现，有一种利用Real文件漏洞的脚本病毒新变种正在互联网络中传播。    该变种采

用脚本语言编写，并且其代码是经过加密处理过的，具有一定的隐蔽性和自我保护能力。

    它利用“Real Player媒体播放器”的漏洞进行传播，一般会内嵌在正常的Web网页中。如果计算机用户操作系统中的“Real Player媒体播放器”没有及时下载安装相应的漏洞补丁程序，那么当计算机用户使用IE浏览器访问染有该变种的恶意Ｗｅｂ网页时，就会迫使计算机用户的操作系统主动链接互联网络中的指定远程服务器站点，随后下载其他的木马、病毒等恶意程序，给受感染的计算机用户带来更大的损失。而这一系列的破坏过程，计算机用户根本无法察觉。

    针对这类脚本病毒，国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施：

    １、下载安装操作系统或是系统中安装的应用软件的漏洞补丁程序，及时将漏洞补上，防止利用漏洞进行传播病毒的入侵破坏。

    ２、不要轻易访问点击观看陌生网站的视频或是下载其他应用程序文件，要到正规网站观看视频或是下载文件。

    ３、及时升级操作系统中的防病毒软件，打开软件的“实时监控”功能，特别是“网页监控”。