和SourceFire的那个补丁相比： 1，补丁代码完全剽窃（或者说借鉴），呵呵； 2，走修补路线，不是文件替换，因此补丁程序只有几十KB，小了100倍； 3，适用于Acrobat Reader 8.0 和 9.0各版本。 在以下环境中测试过： Acrobat Reader 8.1.2 简体中文版 Acrobat Reader 8.1.3 简体中文版 Acrobat Reader 9.0.0 英文版 下载地址：http://filedown.jiangmin.com/download/AdobeReaderPatch.exe 欢迎试用。 相关链接：Adobe PDF文件格式惊现零日漏洞 江民紧急施援

这个PDF 0day的分析和利用代码已经公布，并且广为转载了，利用这个漏洞传播病毒已经变得相当容易。     根据已公布的资料，Adobe Acrobat和Acrobat Reader 8 / 9 存在该漏洞。Adobe计划在3月11日发布补丁。暂时的解决方案有： 1，禁用Acrobat Javascript     如果你用的是Acrobat Reader 9.0，可以从这里下载批处理程序，运行后即搞定。     或者手工在首选项里面把启用JavaScript选项禁用，如下图： 2，安装山寨补丁     目前有一个仅供Acrobat Reader 9使用的第三方补丁，下载zip包，解压出AcroRd32.dll覆盖原文件（一般在C:\Program Files\Adobe\Reader 9.0\Reader\） 相关链接： Acrobat 0-day used in targeted attacks Homebrew patch for Adobe AcroReader 9 Have a nice weekend!(PDF love) Multiple PDF Readers JBIG2 Local Buffer Overflow PoC Adobe Acrobat Reader JBIG2 Local Buffer Overflow PoC #2 0day Updated 2009-2-25 禁用JavaScript能够阻止绝大多数的恶意PDF攻击，但不是100%。利用这个0day，无需JavaScript也能制作出稳定运行的恶意PDF。所以，要么安装山寨补丁，要么等2周后发布的官方补丁。 http://secunia.com/blog/44/ Updated 2009-2-26 改进了那个山寨补丁，江民PDF补丁只有几十KB，且适用Acrobat Reader 8 & 9。详见这里。

谨以此标题向“整治互联网低俗之风”运动致敬。第二、三……N批不准备公布了，会没完没了的。 目前这个漏洞的利用率已经升至40%左右，增长趋势还是比较强的。 hxxp://www.hynno8744.cn/17/02.htm hxxp://www.hynno8744.cn/31/02.htm hxxp://www.slllj4.cn/a1/ss.htm hxxp://fffddd11.cn/new10/02.htm hxxp://www.yqwt5efe56w56e.cn/06014.htm hxxp://fffddd11.cn/new3/02.htm hxxp://www.hynno8744.cn/23/02.htm hxxp://cccbbbb.cn/1/02.htm hxxp://www.hynno8744.cn/18/02.htm hxxp://cccbbbb.cn/new3/02.htm hxxp://www.166pp.com/w/ss.htm hxxp://onewedhost.com/qdring1/themes/902.htm hxxp://w.7u8f.cn/01/7.htm hxxp://fffddd11.cn/new12/02.htm hxxp://8.bluesky02.cn/02.htm hxxp://cccbbbb.cn/new1/02.htm hxxp://1.114central.com/17/02.htm hxxp://cccbbbb.cn/new8/02.htm hxxp://w.7u8f.cn/01/5.htm hxxp://www.xiaoyx8.cn/js/sd1/ytxxz.htm hxxp://www.poloi999.cn/2/02.htm hxxp://fffddd11.cn/new8/02.htm hxxp://baidusib.cn/01/ytxxz.htm hxxp://www.hynno8744.cn/21/02.htm hxxp://www.poloi999.cn/10/02.htm hxxp://www.hynno8744.cn/13/02.htm hxxp://1.114central.com/4/02.htm hxxp://ddddsss12.cn/new3/02.htm hxxp://www.auctlva.com/02.htm hxxp://baidusib.cn/05/ytxxz.htm hxxp://www.xiaoyx8.cn/js/td1/ytxxz.htm hxxp://www.sll4362.cn/a1/ss.htm hxxp://www.hynno8744.cn/20/02.htm hxxp://baidusib.cn/06/ytxxz.htm hxxp://www.hynno8744.cn/22/02.htm hxxp://product4.cn/tcoun/ss.htm hxxp://51momo.woy3.cn/root/uc.htm hxxp://www.eryfghfdc.cn/xOiii.htm hxxp://ghost.adf3.cn/root/uc.htm hxxp://www.poloi999.cn//13/02.htm hxxp://www.luckffxi.com/02.htm hxxp://wm.mnvk8.cn/cx.htm hxxp://www.slll4j.cn/a1/ss.htm hxxp://www.ok8uuer5.cn/2/02.htm hxxp://www.poloi999.cn/14/02.htm hxxp://w.6tg7.cn/01/7.htm hxxp://www.hynno8744.cn/26/02.htm hxxp://bb.2015wyt.net/newer/nod32.htm hxxp://www.eretukyig.cn/xOiii.htm hxxp://ddddsss12.cn/new2/02.htm hxxp://www.hynno8744.cn/29/02.htm hxxp://www.al1pay9.com.cn/love/ss.htm hxxp://alan.p9555.cn/images/web/2/ie7_new.html hxxp://www.lkjdlfior.cn/xOiii.htm

今天晚上边吃饭边看新闻联播，报道未成年人健康成长和净化网络网吧环境的时候，突然出现了灰鸽子客户端的画面，是个VIP 2007 BETA2版，持续了1秒左右。 节目显然不是在批判灰鸽子，不知CCTV用意何在，是推荐灰鸽子做网吧管理软件呢，还是推荐灰鸽子做未成年人电脑课程呢？想不明白。这上意揣摩不透，基层工作就不好办了，以后见到鸽子，是杀呢，还是放呢…… 想要求证的，可以查看央视网站上的原始视频，在2:23。

昨天瑞星发表了IE7新漏洞导致木马病毒暴增 瑞星一天截获866万次挂马攻击。文章说，利用MS09-002漏洞的新木马病毒大量出现。由于该类木马病毒的暴增，2月19日截获的挂马网站攻击人次比前一天增加了一倍。瑞星为此发布了红色安全警报。     其实MS09-002没有文章说得那么火，也许过段时间会火起来，但现在还差得远。     MS09-002和IE XML 0day（MS08-078）对比的话，略逊一筹，原因很简单：     其一，IE XML 0day在MS08-078补丁发布之前就已经很泛滥了(当时70%以上的挂马网站已利用了该漏洞)，MS09-002不是0day，微软补丁出现一周后才陆续有人利用，危害显然低了一个档次；     其二，看看微软的bulletin就知道，MS09-002影响的软件平台范围没有MS08-078广泛，各平台上的危害等级都小于或等于MS08-078；     考虑到二者在Windows XP + IE7和Windows Vista + IE7的主流环境上危害程度一致，所以用了“略逊”这个词。     现在，MS09-002的漏洞代码刚刚被milw0rm公布了不到2天，的确拦截到了十来个利用实例，比如： hxxp://www.lkjdlfior.cn/xOiii.htm，hxxp://www.slllj4.cn/a1/ss.htm，但整体利用率尚不足10%，也许我们应该多等些时间，毕竟当初MS08-078一个堂堂0day也花了一周时间才成为最火的挂马漏洞。     参考瑞星前几次红色警报——磁碟机、诺顿误杀、Flash漏洞(CVE-2007-0071)的情形，似乎IE XML 0day那次忘拉了，而这次警报的风格似乎更加未雨绸缪。     当然，警报早拉两天也不算什么坏事，但文章中所说的瑞星截获挂马攻击翻番的事情，要么是截获能力提高了，要么是用户群扩大了，要么是算错了，要么是别的什么原因，总之，那不关MS09-002什么事。

milw0rm上终于公开了MS09-002的利用代码，这下大家都不用费劲找了。 从交换来的样本看，似乎2月11日就有了的说。 上次IE XML 0DAY曝光后一周，利用率就达到了70%以上。这个MS09-002，虽然不是0DAY，但也不用“估计”，马上就会被用来大范围挂马。如果还没有打过补丁，赶快行动吧。

昨晚往老丈人家路上在103.9听到的消息，幸好不是主楼。转段视频： 大楼在烧，旁边的花还在放，无语。这么大的火势，这个北配楼差不多要炸了重盖了吧，不过以CCTV的NB，也不会在乎。 updated: 火灾原因确定：央视自宫。还真让韩寒给说着了。

昨晚摄于明月三千里烤肉广安门店，"MYSQL"满眼皆是，呵呵。考虑到最近特别是年底已经吃过几次烤肉，未来几天内可能还要吃，昨天只要了拌饭、酱汤和牛肉饼。拌饭不怎么样，酱汤味道很正，牛肉饼口感超嫩，我和老婆一共消费56，还有的打包 :)     心仪已久的“XML饭店”——香满楼，还没去过，有机会吧。

前两天在Sophos Blog上看到了一篇LNK Trojan Downloaders - when the shortcut becomes the program，是说使用一个单独的快捷方式(.LNK文件)来下载执行木马程序。收到了几个样本，正在通过台湾Yahoo邮箱传播。     右键菜单里看“目标”：用cmd.exe /c执行一系列命令——先创建一个ftp脚本，然后ftp.exe -s执行脚本，下载文件，最后用start命令启动。     类似的命令行虽早已司空见惯，但用邮件群发这样的快捷方式我还是第一次遇到。看来，有必要做个.LNK-->.BAT的转换程序，把所有的快捷方式都当批处理文件查查了。

和Mozilla的SpiderMonkey一样，Google Chrome浏览器的JavaScript引擎Google V8也是一个开源的独立引擎，可内嵌于任何C++工程之中。     速度是V8追求的主要设计目标之一，它把JavaScript代码直接编译成机器码运行，比起传统的“中间代码+解释器”的引擎，优势不言而喻。在SunSpider测试中，V8的综合表现是最好的。据说Mozilla正在开发的TraceMonkey比V8还要快20%左右，可惜尚未完工。     用V8解密了一把恶意网页常用的Base62加密，结果如下： 看来功能上是没有问题的（100%废话，呵呵，不过原来用SpiderMonkey做解密的时候，出现过程序崩溃）

加为好友

互联网 所有空间 本空间

已有人次访问本空间   什么是RSS？

sos17953	JAY打球
wlb9168	我爱刷炮
chuangyikj	kruglinski
丿叶邪邪	Cyg07