Update your Adobe Flash Player to 9.0.124 now!!!

Critical vulnerabilities have been identified in Adobe Flash Player
that could allow an attacker who successfully exploits these potential
vulnerabilities to take control of the affected system. A malicious SWF
must be loaded in Flash Player by the user for an attacker to exploit
these potential vulnerabilities. It is recommended users update to the
most current version of Flash Player available for their operating
system.

Affected software versions:

Adobe Flash Player 9.0.115.0 and earlier, and 8.0.39.0 and earlier

It has been reported Malicious SMF files found spreading over the malicious websites.

Update the Adobe Flash Player to latest version 9.0.124 now!!!
IE:
http://fpdownload.macromedia.com/get…r_active_x.msi

Firefox and Opera:
http://fpdownload.macromedia.com/get…yer_plugin.msi

新发现IE浏览器VML缓冲器溢出漏洞及临时应对办法

又是一个利用浏览器的漏洞远程执行代码,不过这次可能被感染的途径只可能是通过浏览恶意网站和查看html格式的邮件。
微软关于这个漏洞昨天发布了安全建议http://www.microsoft.com/technet/security/advisory/925568.mspx
针对性的补丁计划在10月10日发布。微软每个月都要这么来一次
等到10月10日微软放出security update的时候,也许利用这个漏洞的页面已经出现了,攻击也会随之而来,面对这种0day攻击的防护真空期,我们得想点临时的解决办法。
可以通过注销明确存在漏洞的VML相关dll,来躲避这个存在的风险。
在开始-运行

regsvr32 /u "%CommonProgramFiles%Microsoft SharedVGXvgx.dll"

注销vgx.dll就行了。
VGX是主要处理VML(Vector Markup Language)的,具体VML是干什么的,我不是很懂,但大致是处理页面中的矢量图形的。互联网大多数的网站页面没有用到VML,所以注销这个插件也不是很大的影响,而且VML是微软的IE独有的,firefox和opera则支持SVG(Scala ble Vector Graphics )
可以通过IE访问http://webfx.eae.net/dhtml/VMLClock/clockScriptlet.html来看看VML的一个sample。若是没注销vgx.dll的话应该看到一个时钟,注销了则应当啥都看不见。
微软的OE邮件客户端也同样存在这样的风险,但是好在email中显示的html默认的被归为限制站点,二进制和脚本行为都是禁用的。但是你通过IE浏览器去看webmail中的邮件同样存在风险哦。
所以强烈建议,赶快按上面说的注销这个动态链接库文件吧。
翻译并添油加醋自http://www.f-secure.com/weblog/archives/archive-092006.html#00000974