更新程式／弱點資訊－微軟10月份安全更新

微軟10月份安全更新
微軟依例發布MS06-056到MS06-065等10個安全通告與相應更新程式，一共修復了26個安全漏洞，其中15個漏洞屬於「緊急」的風險等級，攻擊者可利用這些漏洞從遠端侵入並完全控制伺服器或者用戶端系統。

本次更新修正的漏洞包括ASP.NET 2.0導致資訊洩漏、Windows資源管理器中允許遠端執行任意程式、XML核心服務中的漏洞可能允許遠端執行任意程式、TCP/IP IPv6協定的ICMP訊息或TCP訊息可能導致拒絕服務攻擊，以及PowerPoint、Word、Excel等Office應用程式解析帶有特定字串的檔案時，可能導致遠端執行任意程式碼等。

OpenBSD
OpenBSD組織發布修補程式，更正OpenBSD 3.8與3.9版的繞過安全驗證問題。OpenBSD的systrace核心元件被發現含有整數溢位漏洞，攻擊者可通過在systrace ioctl()中指定很大的整數值來觸發這個漏洞，從而繞過安全檢查，向任意核心位址寫入空位元組或讀取內核記憶體塊。

Sun Solaris 10
Sun發布修補程式，修正Solaris 10因對dladm(1M)與ifconfig(1M)預設配置與權限檢查不夠充分，以致本地端攻擊者可藉此非法存取系統資源。

Cisco Secure Desktop SSL VPN
網路安全組織通報Cisco Secure Desktop（CSD）含有3項安全漏洞，第一項漏洞為CSD在某些情況下，無法在VPN連接終止後，刪除SSL VPN連接中所產生的資料，可能導致Windows頁面文件資訊洩露。這個漏洞不是由CSD本身導致，而是Windows與應用程式間的互動所衍生出的缺陷。

第二項漏洞為有心人士可通過Windows印表機程式儲存在C:\WINDOWS\system32\spool\PRINTERS\目錄下的檔案，重新還原CSD產生的資料，從而獲取用戶敏感資料。

最後一項漏洞則是正在執行CSD的作業系統上，無法偵測到硬體鍵盤記錄器（Hardware Keystroke Loggers）的問題。目前Cisco尚未提供相關修補程式。