UnderForge of Lack

2年契約でiPhone 3G 8Gバイト版が実質0円
ソフトバンクモバイルは2月25日、2年契約をすることで「iPhone 3G」の本体価格を値下げし、パケット定額フルの月額上限額を4410円とする期間限定のキャンペーン「iPhone for everybody」を発表した。申し込み受付期間は2月27日から5月31日まで。

iPhone for everybody

ついさっき買っちゃったよ！って人へ
FAQ　購入後 -- iphone wiki

ま・・こういう噂もありますので、計画的に
アップルがフラッシュメモリを大量発注、新型iPhoneに向けた動きか？

Excelに新たなゼロデイ攻撃
SymantecはMicrosoft Excel 2007にリモートから悪用可能な脆弱性が発見され、この脆弱性を悪用する攻撃が行われていることが確認されたと報じている。
詳細については分かっていないが、SymantecはExcel 2007およびExcel 2007 SP1にコードが実行される脆弱性を発見したようだ。他のバージョンにも影響がある可能性があるという。この問題は現在、トロイの木馬Mdropperの亜種によって実際に悪用されている。

Excelに未修正の脆弱性、悪用ファイルが日本で発見
現時点では「限定的なターゲット型攻撃」が起きているとMicrosoftは説明。現在、脆弱性解決のためのパッチを開発中で、臨時アップデートまたは月例アップデートを通じて配布する予定だとしている。
Symantecによると、同社の日本のエンジニアが23日に一部顧客からの異常なサブミッションに気付いた。そのすべてに不審なExcel 2007のスプレッドシートが含まれており、調べたところ、Excelの未知の脆弱性を悪用していることが分かった。これを開くとトロイの木馬に感染するという。

----------------------------
Excel Exploited
適当訳
我々は絶えずこのような動作を見張っており確認され次第更新しますが、アナリストは今回の脆弱性が以前に見られなかった新しいものであると考えています。この状況は 新しい.xlsxフォーマットではない、旧い Excelの .xls バイナリフォーマットによって引き起こされます。悪意を持ったスプレッドシートを開くことが、この脆弱性のトリガとなります。これにより実行されるシェルコードは２つのファイル（先に参照された悪意のあるバイナリファイルと、別のExcelドキュメント）をシステムにコピー(Drop)します。シェルコードはコピー(Drop)したファイルをバイナリ実行し、最初のExcelファイルがクラッシュしたことを隠蔽するためにもう一つのExcelドキュメントをOpenします。これにより、影響（悪意）のあるスプレッドシートの検知を遅らせることを手助けしています。
また、この攻撃の裏側にいる人物（Maliciousコードの作成者）は検出を防ぐためのいくつかのテクニックを使っています。例えば、スプレッドシートに埋め込まれたバイナリファイルに（単純な）暗号化を施しています。暗号をデコードするとわかりますが、一般的な解析を避けるためにMZヘッダを偽装していることに気がつくでしょう。トリックの一つは MZ を ZM に、 PE を EP に入れ替えています。下に示すスクリーンショットにあるように、「DOSモードではプログラムは実行できない」ことが重要な要素です。


Symantecは、このスプレッドシートを Trojan.Mdropper.AC として検出します。
Trojan.Mdropper.AC
%Temp%\rundll.exe
* [http://]61.59.24.55/sb.php?id=[19 RANDOM ASCII CHARACTERS]
* [http://]61.59.24.45/sb.php?id=[19 RANDOM ASCII CHARACTERS]
* [http://]61.221.40.63/sb.php?id=[19 RANDOM ASCII CHARACTERS]
Writeup By: Kazumasa Itabashi
※注意、これは現在進行中の攻撃元IPアドレスであり、これを塞げば将来ずっと安全になるというわけではありません。

----------------------------
McAfeeも対応したようです。
New Excel Trojan Hits the Net

Exploit-MSExcel.r

BackDoor-DUE

TrendMicroもがんばってます（笑）
Another Exploit, This Time On MS Excel

TrendMicroのMaliceExcelFile定義：
TROJ_MDROPPER.XR
ですが、コレを見ると悪意ファイルをインターネットからダウンロードしているような感じなんですが、
Symantecの解析では、「内部に埋め込まれたEXE/PEをドロップして、Port80番の待ち受けを行う」となっており、どうも違う種類が混在しているのかもしれません。

いずれにせよ注意が必要です。

----------------------------
IDS/IPS担当者の方へ
61.59.24.55 及び 61.59.24.45:
SEEDNET-TW(台湾) 全体 : 61.59.0.0 - 61.59.255.255
IUEN-CHANG-TW : 61.59.24.32 - 61.59.24.63
61.221.40.63:
HINET - Chunghwa Telecom Co.(台湾) 全体:
　61.220.0.0 - 61.227.255.255
HINET - Chunghwa Telecom Data Communication Business Group:
　61.221.40.0 - 61.221.40.255
※HINETもSEEDNETも台湾で１・２を争う大手ISPですので、全遮断（丸焼き）は問題が大きいかもしれません（笑）
　アジアのインターネット市場調査 2008年 29.Taiwan の ISPsの１・２位に掲載されてます

----------------------------
Wordと違ってExcelはスクリプトを許可しなければ動かない機能が多いため、外部コードの実行にも悪用されやすいんですよね

最近は Excelを嫌って SUNのOpenOfficeを使っているところもあるかもしれませんが、そちらをつかって同じようなことができないとも限りません。

いずれにせよ、不審な XLSファイルや ODSファイルを不用意に開かないように注意してください。
XLSX？そんなものシラナイ（笑）

参考：
OpenOffice.orgのセキュリティリスクは高い 2006.08.15

無料オフィスソフト「オープンオフィス」の新版が公開、脆弱性を修正 2008.06.12

----------------------------
追加
ばるまーMSも、この脆弱性を認識しているようでして
マイクロソフト セキュリティ アドバイザリ (968272)
で注意を喚起しています。

対策として MOICE(Microsoft Office Isolated Conversion Environment) の導入が推奨されています
Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パックの Microsoft Office Isolated Conversion Environment の更新について
こんなもの、存在すら知らなかった（笑）

しかし・・
MOICE を使用して、マクロが含まれているファイルを変換すると、ファイルからマクロが削除されます。
いいのかソレで？（笑）

----------------------------
Off Topics

そうか、MSの計算ミスはコレノセイだったんだ！
ナイナイ（笑）

ま、
「Officeファイルを不用意に開かない」
という理由で今日は早く帰宅してください（笑）

そして権限が上のヒトが踏んで、管理者コード付きで実行される・・・っと

----------------------------

自動再生 (Autorun) & Excel 0-day
本日、2つのセキュリティ アドバイザリを新たに公開しました。
アドバイザリ 968272 (Excel):
Microsoft Office Excel の脆弱性により、リモートでコードが実行される
こちらは、現在進行中の Excel のほうの記事を参照してください。

アドバイザリ 968272 (Autorun):
Windows Autorun (自動実行) 用の更新プログラム
http://www.microsoft.com/japan/technet/security/advisory/967940.mspx
このアドバイザリでは、Autorun (自動実行、自動再生)の機能を無効にするために必要な更新プログラムの公開をお知らせするものです。Autorun を無効にするためには、NoDriveTypeAutoRun レジストリ キーを設定する必要があるのですが、レジストリキーが想定通りに機能しないという問題がサポート技術情報 953252でお伝えしていました。
今回は更新プログラムを、Microsoft Updateを通じて配布可能な更新プログラム (967715)を新たに公開しています。既に、更新プログラム (953252)を適用している場合は、更新プログラム (967715)を新たに適用する必要はなく、Microsoft Updateでも配信されません。

なお、これらの更新プログラムを適用しても、Autorunが無効になるわけではありません。無効にしたい場合には、サポート技術情報 967715 に従って、レジストリ値の変更、またはグループポリシーの設定を行う必要があります。

Confickerが猛威を振るっている元凶の Autorunですが、以前書いたようにMSが以前推奨していた方法では、完全にAutorunをシャットダウンできない問題の修正が入りました。

尚、このアップデートを入れても「自動でAutorun解除が設定されるわけでは無い」ことに留意してください。

※個人的には強制的に Autorun 停止でもいいと思うんですがね？

Apple、Safari 4 を発表。Public Beta のダウンロード開始。

Safari 4 Betaの登場です。
Windows版をわざわざ使うかどうかはともかく
Mac版3.2を使っている方は、βなのであくまでも様子見程度に・・

プレスリリース

アップル、Safari 4を発表  世界最速、最も革新的なブラウザ
Safari 4は、新しいNitro JavaScriptエンジンなど、世界で最も進んだウェブテクノロジーをベースに作られており、JavaScriptをIE7より最大30倍速く、 Firefox 3よりも3倍以上速く実行します。SafariはHTMLウェブページの読み込みも速く、IE7より3倍以上、Firefox3と比べてもほぼ3倍の速さで素早く読み込みます。
３倍早いってどっかで聞いたフレーズだけど・・ま、いっか（笑）

個人的に Safariはこーいうことをヤッテクレルのであまり好きじゃありません
Apple Software Updateはソフトを新規インストールしようとする？
WindowsでiTunesを使っているとApple Software Updateを通してSafariが新規インストールされる可能性があるとのこと。SafariをインストールしていないPCでもアップデータの Safariのチェックボックスがオンの状態で表示され、「アップデータ」がデフォルトで新規ソフトウェアをインストールしようとするのは問題だと MozillaのCEO John Lilly氏は指摘する。
気がつかないうちに入れられてた人も結構いるんではないでしょうかネ？
※ちなみに、Win2kはサポート外（というよりも動かない）にも拘わらず、デフォルトでインストールしようとします（笑）

Safari4βを実際に入れてみた人柱ユーザさんの感想：
Safari 4 βを入れてみた