引用連結

共同特徵：

1.瀏覽了雅虎或雅虎奇摩(沒錯，是tw.yahoo.com)

2.使用了過舊的FLASH且預設為啟動，FALSH版本為21.0.0.213以及之前的因為存在共通的漏洞而中獎，此漏洞已於五月中有更新補上，但如果沒有即時更新一樣中獎，而且最可怕的是，只要"看到"就會中獎

3.絕大部分使用IE瀏覽器，也有極少數使用IE以外瀏覽器，原因就是FLASH沒有即時更新，這次反而不是IE本身的漏洞

4.雅虎於6/8~6/9之間收到通報把相關連結下架，推測問題連結應於五月底至六月初之間(最早受害者於6/3~6/4大量發難)

5.WIN7以上的UAC會跳警告確認，如果把UAC關了或是不小心按下確定就開始上鎖了...

預防方法：
1.如果是WIN7以下用戶，IE的設定建議FLASH關閉，或是改用FIREFOX或CHROME

2.如果是XP用戶，IE外連CHROME也不要用請改用FIREFOX，因為XP下的CHROME已經停止更新很危險，而且因為CHROME政策關係，很多銀行轉帳的外掛元件都已不支援，FIREFOX卻都還是繼續支援著，所以可以安心使用

3.WIN8以上客戶，請"一定、千萬"要開啟微軟的自動更新，因為從WIN8開始，IE的FLASH更新由微軟更新提供，只要有開，FLASH有更新你一定三天內就會收到

4.CHROME基本上都會隨時自動更新所以不會有甚麼大問題，如果很擔心的話就把它關掉吧(怎麼關請找你的GOOGLE老師)

5.FIROFOX基本上也是會自動更新，如果不想要FLASH自動啟動的話，請去附加元件設定內把FALSH設定為"啟動時詢問"，這樣就不會自動執行了

6.Adobe已於台灣時間6/16發表FLASH 22.0.0.192新版本，這個版本又修復了一個漏洞，且這漏洞只要是 22.0.0.192以前的版本都會中獎，請盡快更新。




原來是雅虎奇摩......
話說他的首頁廣 告應該也不是第一次被掛馬了，他們的廣 告輪播系統也太......

不過攻擊者也頗有眼光，台灣這邊絕大多數使用者都是 IE 配雅虎奇摩，然後萬年XP(而且還不更新的那種，怕跳盜版警告)

這次攻擊用的算是新漏洞，其實我覺得就算是用老漏洞攻擊掛上雅虎奇摩廣 告平台，一樣也能收割到一堆台灣使用者


我自己是把 Flash 設成需要時才啟動

chrome也要拔掉flash了
firefox有參加beta頻道, 所以基本上一定比stable版還新

這次flash漏洞是卡巴發現

火狐可以裝
FlashDisable
https://addons.mozilla.org/zh-tw/fi...n/flashdisable/


平常沒在用可以關起來，比詢問那個方便多
把按鈕拉到工作列，開關方便

中標者一定有按是
卻說我什麼都沒做


比好奇有沒有萬年XP不更新
有連網路還沒中標的案例？

#142的解釋，不知道您的看法是？還是這樣也要算在瀏覽器的帳上？

一般我們看這種都是case by case
卻有人以為全世界只有這一個case
某人只是喜歡見縫插針專門找人穢氣而已
別期待他講出什麼大道理來
我至少回答了他所有的問題跟質疑
他回給我的卻是"零"
只會一直跳針


另外繼續提醒一點
adblock或者ublock等基於網頁元素的擋廣 告軟體
並不能阻止或降低你被入侵的風險
因為已經經過瀏覽器解析
物件已經執行
你用adblock去阻擋
其實只是套用隱藏規則
讓你的眼睛看不到
這也是為什麼使用阻擋廣 告套件
瀏覽器佔用的資源會比不用還來得高很多的原因之一

而像adaway之類基於ip/host的
效果會比較好一點，但這東西的目的並不在這裡
所以也不建議把它當作一個完整的解決方案

而網頁元素一般還是建議用支援http scan的防毒軟體會比較適合
所有的http流量在進入瀏覽器之前，就會先經過防毒軟體掃描

先前在使用 Firefox時，都有安裝 No Script 來阻擋。
也確實有降低 CPU 的使用率。

No Script 與 Adblock 這兩個有不一樣的地方嗎?

不過免費版防毒沒幾家給http scan (要賣錢)
有的也不見得好用，像某家有的很鳥~照中綁架
用心酸的，還拖網速xd

瀏覽器我是加裝NoScript+uBlock Origin+uMatrix
另外用Fox Web Security，這套件用諾頓等四家知名的DNS濾掉釣魚和有問題網頁，當然有些是誤殺但也可以自設白名單




.

No Script由用戶決定是否要執行javascript或flash等plugin
一個網頁例如果都不執行這些，那基本上就是一個純html頁面
所以省資源是一定的
如果不是，我反而要質疑它宣傳的效用


簡單的說，它們差別在

一個
下載所有元素 > 瀏覽器解析 > adblock套用隱藏規則 ＝ 元素已經執行，只是網頁排版沒呈現(你看不到，但他存在)

另一個
下載所有元素 > 決定不讓瀏覽器解析 = 元素沒有執行


不過我其實不建議使用No Script
因為早年No Script作者幹過一些無恥的流氓行為
在我心中已經認定此舉跟3721作者周鴻禕是同樣的水平
https://antimalicious.blogspot.tw/2009/05/noscript.html



你這樣子搭其實很夠了
但重點是你知道為什麼要這麼做
跟怎麼去用它

目前依照W3C的發展
未來只有走加密協定的https
有一天http scan會完全無用
任何這種經過中間人的流量掃描
會因為內容加密(目前很多只有通道加密)，導致任何基於proxy的監控失效
甚至出現瀏覽器提醒正在被中間人攻擊