Adobe PDF Reader、Flash新漏洞之解決方法

最近不少朋友都轉寄這篇文章：「Adobe出現新零時漏洞　下載PDF檔要當心」給K大俠

http://tw.news.yahoo.com/article/url/d/a/100623/52/27y8r.html

我想這個問題應該有不少人關心，到底有沒有對策？

Adobe公司給了答案，主要的解法為：

1.針對Flash本體請安裝10.1版。

2.避免Adobe Reader受害的方式是暫時將authplay.dll這個檔案給更名或刪除。（路徑應該在 C:\Program Files\Adobe\Reader 9.0\Reader\authplay.dll）

但其實不論是什麼檔案，下載前最好都要確認來源是否值得信任。若是朋友寄來的，也最好先詢問一下本人最定不是自動轉寄的再開啟。

談個資法與電信法對電信業在資安上的新挑戰

隨著新版個人資料保護法的通過，企業對於客戶資料的保護，已不再侷限於特定產業，而是全面性的要求。其中電信業由於特殊的中介服務性質，掌握許許多多用戶的個人資料，自然成為個資法適用的主要目標。另一方面，電信業的主管機關NCC也積極推動業者強化資訊安全管理，在「電信事業資訊通訊安全管理作業要點」中希望各電信業者導入資安管理體系（ISMS），取得相關認證。未來並規劃於電信法修正條文中，將此作業要點的位階拉高，賦予對應罰則，以加強對業者的要求。因此電信業者除了要針對個資法的要求做因應外，也應把ISMS納入企業流程的一環，做好法規遵循的準備。

新版個資法與電信法修訂這兩項遵法議題有一定的相關度，但其目標是完全不同的。業者在面對這兩項議題時，可以先單獨思考個別的要求，對企業現有服務與流程做差異分析。但在進行風險改善或處理計畫時，為了避免資源重複投入的浪費，宜將兩邊的需求加以整合。

例如：個資法第二十七條中，針對個人資料檔案安全維護計畫及業務終止處理方法，要求「非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。」這部份其實與許多ISO 27001附錄A的控制項有許多關聯。而且施行ISMS後，許多政策或程序都會被要求增加執行的紀錄或做有效性評估，這部份對於企業來說，在處理未來與客戶個資相關爭議時，可以藉由ISMS施行的相關紀錄，作為法律上責任歸屬的依據。

但是個資法與電信法也有許多不同的要求，例如個資法對於資料的生命週期與相關權利義務有非常詳細的陳述，企業必須認真檢視現行客戶與行銷名單的來源、內容與處理流程，在企業流程上做適當的因應。亦即為了保有行銷名單，可能要做好付出成本的準備。而電信法若修正後，可能會要求現有業者，需完成ISO 27001甚至是ISO 27011的國際管理標準驗證。其施行範圍，也可能擴大至「交換機房、交換中心匯集處」等，影響層面與範圍都可能加大許多，規模較大的電信業者必須及早做好準備。

K大俠在此要強調，針對個資保護或資安管理作業，要作到滴水不漏同時要兼顧業務進行順暢是絕對不可能的。然而企業必須體認到投資在資訊安全上的成本，隨著法令上責任的變更與罰則的加強，已不再是過往聊備一格的選擇。電信業除了面臨個資法外，未來還有新版電信法的挑戰，因此增加資安上的投資，或許也是提昇企業未來競爭力的一個重要方式。

Apache Axis2/Java 弱點

由於是Server端的軟體，特別在此做個警訊：使用Apeche Axis的夥伴請儘速更新到1.5.2或1.6以後的版本。

Apache Axis2/Java XML Document Type Declaration Processing Vulnerability

Release Date 2010-06-21

Criticality level Moderately critical

Impact Exposure of system information、Exposure of sensitive information、DoS

Where From remote

Authentication level Available in Customer Area

Report reliability Available in Customer Area

Solution Status Vendor Workaround

Systems affected Available in Customer Area

Approve distribution Available in Customer Area

Software:

Apache Axis2/Java 1.x

CVE Reference(s) CVE-2010-1632 CVSS available in Customer Area

Description

A vulnerability has been reported in Apache Axis2/Java, which can be exploited by malicious people to disclose system information or potentially sensitive information and cause a DoS (Denial of Service).

The vulnerability is caused due to Axis2 not properly restricting the processing of XML Document Type Declarations (DTD). This can be exploited to e.g. determine the existence or include contents of local and potentially external files by including them as a DTD reference or cause a DoS due to CPU or memory consumption by providing e.g. a heavily nested DTD.

The vulnerability is reported in version 1.4.1 and 1.5.1. Prior versions may also be affected.

Solution

Apply patch and update to version 1.5.2 or 1.6 as soon as available. See vendor's advisory for additional details.

Original Advisory

https://svn.apache.org/repos/asf/axis/axis2/java/core/security/CVE-2010-1632.pdf

https://issues.apache.org/jira/browse/AXIS2-4450