The Will Will Web

從 ASP.NET MVC 2.0 Preview 2 開始 JsonResult 已經被修改成只能在 HTTP POST 的時候回應，像我們經常使用 jQuery 的 $.getJSON 就不能再用了，我從 ASP.NET MVC 2.0 Preview 2 Release Note 得知 JSON Hijacking 之後就持續追蹤下去，覺得這是個非常值得注意的安全問題。

前陣子 Twitter 就被發現了一個 JSON Hijacking 漏洞，可以讓使用者在進入惡意網站後被取得你所有在 Twitter 的好友清單。建議有在使用 JSON 或動態下載 JavaScript 的網站都應該特別注意！

我看了好幾篇文章，不過都是英文的，解釋的非常清楚，相關資訊請參考「相關連結」。以下我列出幾個中文的文章供各位參考：

• 石頭閒語:JavaScript Hijacking and How to
• 什麼是JavaScript Hijacking？
• JavaScript Hijacking: Ad Hoc Ajax
• JavaScript Hijacking (from Fortify Software)

要避免這個問題，最簡單的作法就是『不要透過 HTTP GET 送出 JSON 資料』，雖然 jQuery 沒有內建 $.postJSON 方法，但卻非常容易實做，且在官網的 jQuery.post 文件有提供一個簡單的範例如下：

$.postJSON = function(url, data, callback) {
    $.post(url, data, callback, "json");
};

相關連結

• JSON Hijacking
• Anatomy of a Subtle JSON Vulnerability
• The real reason for (JavaScript|JSON) Hijacking
• JavaScript - Wikipedia, the free encyclopedia ( Cross-site vulnerabilities )
• You Don’t Know What My Twitter Leaks / Twitter JSON Hijacking Updates
• I KNOW WHAT YOUR FRIENDS DID LAST SUMMER
• Amazon.com: Ajax Security (Paperback)
• JSON - 維基百科，自由的百科全書

市佔率高達 99% 的 Adobe Flash Player 再次出現「重大」安全弱點，這可不是危言聳聽，國外有人評論這次可能算是 Web 界最大的一次資安漏洞，雖然 Adobe 早在 2009/7/30 釋出更新，但根據資安公司 Trusteer 評估全世界大約還有 80% 的使用者尚未套用此更新，只要你上了惡意網站很可能立即被植入木馬。更危險的是，這個漏洞也是「跨平台」的，包括 Windows, Macintosh, UNIX-like 作業系統全部遭殃！

從 Adobe Security bulletin 公告的弱點說明頁面可發現影響的軟體不止於 Adobe Flash Player 而已，還包括 Adobe AIR、Adobe Reader 與 Acrobat 等產品，影響的範圍如下：

• Adobe Flash Player 9.0.159.0 and 10.0.22.87 and earlier 9.x and 10.x versions
• 任何 Adobe Flash Play v10.0.22.87(含)之前的版本，都強烈建議升級到最新版 v10.0.32.18
• Adobe AIR 1.5.1 and earlier versions
• Adobe Reader and Acrobat 9.1.2 and earlier 9.x versions

如何查詢你的 Adobe Flash Player 版本

開啟 http://www.adobe.com/software/flash/about/ 頁面，並查看你的 Flash 版本編號，我這台電腦的 Flash Player 剛好是 易受傷的(vulnerable) 版本，如下圖示：

如何套用 Adobe Flash Player 更新

• 直接連到 Player Download Center 下載更新版安裝即可。
• 安裝有困難的可以直接下載 exe 安裝檔：click here to download
• 針對 Firefox, Safari, Opera, Google Chrome 的瀏覽器需額外下載
• http://get.adobe.com/flashplayer/
• http://fpdownload.adobe.com/get/flashplayer/current/install_flash_player.exe

如何套用 Adobe AIR 更新

• 直接連到 Adobe AIR Download Center 下載更新版安裝即可。

如何套用 Adobe Reader 更新

• 安裝 Adobe Reader 9.1 以上的使用者可以直接透過 Adobe Updater 自動更新。
• 安裝舊版的用戶，就去下載新版吧。

如何套用 Acrobat 更新

• Acrobat Standard and Pro users on Windows
• Acrobat Pro Extended users on Windows
• Acrobat Pro users on Macintosh

相關連結

• Security updates available for Adobe Flash Player, Adobe Reader and Acrobat
• The Biggest Security Hole on the Web?

台灣微軟昨天發佈兩個緊急安全更新補充程式編號 MS09-034 (重大) 與 MS09-035 (中度) 與 安全性摘要報告 973882，並強烈呼籲所有用戶應立即更新電腦，以避免電腦遭受攻擊，各位可以透過 Windows Update 自動更新 或透過以下網址下載安全更新補充程式。

• Microsoft 安全性公告 MS09-034 (重大) - Internet Explorer 積存安全性更新 (972260)
• Microsoft 安全性公告 MS09-035 (中度) - Visual Studio Active Template Library 中的弱點可能會允許遠端執行程式碼 (969706)

上述的網址內包括許多更新檔的下載連結，如果不知道怎麼選就靠 Windows Update 幫你更新就對了。

這次 Visual Studio 2008 SP1 的更新檔非常大，有 365.2 MB 之多，我發現有許多人透過 Windows Update 會失敗，遇到這種情況建議自行下載更新補充程式執行安裝，這樣比較能知道錯誤發生在哪裡，更新過程可能需要重開機才能完成安裝。

• Visual Studio 2008 Service Pack 1 ATL Security Update  [ 適用於 VS2008 英文版 ]
• 下載詳細資料： Visual Studio 2008 Service Pack 1 ATL 安全性更新 [ 適用於 VS2008 中文版 ]

想瞭解本次 Active Template Library (ATL) Security Update 的人也許想看看以下這個影片：

• Inside the Active Template Library (ATL) Security Update [ 34" 17' ]

相關連結

• [安全性公告] 避免攻擊鎖定ActiveX，請立即下載 MS09-034、MS09-035 安全更新！
• Microsoft 安全性摘要報告 (973882)  /  Microsoft Security Advisory (973882)
• Microsoft 安全性公告 MS09-034 (重大) - Internet Explorer 積存安全性更新 (972260)
• Microsoft 安全性公告 MS09-035 (中度) - Visual Studio Active Template Library 中的弱點可能會允許遠端執行程式碼 (969706)
• ［資安小常識］什麼是ATL？
• 台灣微軟資安部落格 
• Microsoft issues emergency patches for Visual Studio vulnerability
• Inside the Active Template Library (ATL) Security Update

微軟在 2009/7/6 公布一個 Microsoft Video ActiveX Control 弱點，目前只要是 Windows XP 與 Windows Server 2003 都在受害範圍內，只要利用支援 ActiveX 的瀏覽器 ( 例如: Internet Explorer ) 連到受駭的網站，就有可能被立即以當下使用者的執行權限執行任意程式，其中包括: 安裝木馬軟體、刪除檔案、建立帳號、變更檔案屬性或權限、…任何你能做的事情，駭客都能做！

由於是「零時差」攻擊，目前微軟正努力撰寫修補程式，所以建議各位以最快的速度對所有 PC 與 Server 進行臨時的因應措施。

微軟目前準備了兩個安裝檔，可以讓你套用這個因應措施：

1. 當微軟修正這個弱點之前，請安裝以下程式暫時啟用這個因應措施

2. 當微軟修正這個弱點之後，可以安裝以下程式取消這個因應措施

習慣在 Windows Server 2003 上面用 Google 查找資料的人，也必須非常小心，如果不幸逛到有問題的網站，你可能就會「立即」中標，千萬不要相信你會沒事，通常等你發現被駭的時候通常就來不及了。

我幾年前曾經遇過從來不做 Windows Update 的客戶，他給我的理由是：「我們之前套用 Windows Update 之後原本的程式就不能動了，所以之後我就不再執行 Windows Update 了，反正我們前端有台很強的防火牆在檔」。這實在是一個種非常嚴重的迷思，當時他非常堅持，我沒能說服他，真不知道他現在改觀了沒？

相關連結

• Microsoft Security Advisory (972890)
• KB972890: Microsoft Security Advisory: Vulnerability in Microsoft Video ActiveX control could allow remote code execution
• iThome online :  : 微軟ActiveX漏洞遭駭客攻陷

剛剛在實驗透過 Outlook 2007 發送含「自然人憑證」簽章的郵件，結果卻發現郵件怎樣都寄不出去，我透過我自己寫的【如何安裝設定「自然人憑證」所需的基礎執行環境】進行環境設定，也將憑證都匯入到電腦中，而且也可以用自己的自然人憑證存取政府服務。除此之外，我也有透過自然人憑證用戶端系統環境檢測工具檢測我電腦，結果也十分正常。再者，也檢查了系統中的 Smart Card 服務，也有正常啟動運作中。照理說 Outlook 沒什麼理由不能發簽章信吧！

但是在發信的時候卻發生【基礎的安全性系統發生錯誤。未定義機碼組。】這個錯誤訊息，讓我完全不知到如何是好：

如果各位有看到「這項資訊有幫助嗎?」，請記得不要按錯，一定要按「否」。

後來，東試西試的還是給我試出來了，解決方法如下：

1. 先在 Outlook 2007 中的選單點選 [工具] –> [信任中心(S)]

2. 然後再選取 [電子郵件安全性] –> [預設設定] –> [我的 S/MIME 設定值] –> [設定]

3. 然後再看一下「憑證及演算法」中的「簽章憑證」與「加密憑證」中是不是你本人！ ( 重點檢查項目 )

這才發現，原來簽章的人不是我，而是我公司，不知道什麼時候選到這裡的，我壓根不記得我有設定過這個選項。要解決這個問題，就是選對憑證，選對，就可以正常發信了。

如下圖示：