UnderForge of Lack

-----------
so-net 渾身の一撃

そのへんのセキュ会社より遥かにマシな記事を書いてくださる so-netさんですが

その後の正規サイト改ざん〔前編〕（1）～6月に入っても続いた改ざん報告

その後の正規サイト改ざん〔前編〕（2）～Googleで見る改ざん状況

その後の正規サイト改ざん〔前編〕（3）～セキュリティベンダーの感染状況報告


後編にも期待します

-----------

あなたのウイルス対策は本当に正しいですか？

なんか重要な部分がヌケてませんか？

Adobe製品などの「既知の」脆弱性をつかった Drive by Download なんですけどねぇ・・
そして、企業などでは Windows Updateは行っていても、その他のアプリ・コンポネンツのアップデートに疎いんですよね・・
要するに、統合リポジトリのようなアプリケーションアップデートのシステムが Windowsに存在しないことが大きなセキュリティリスクになっているわけで・・・

古いOSを使っていることの多い企業PCは、そういった意味で潜在的な危険が内在しています。


日々 IPS をアップデートしている ｎさんセキュ担当者に幸福が訪れますように～

-----------

NetBeans6.7

RC3まで行っていた NetBeans 6.7 がようやくStableとして公開されました。

重いですけどね～

気がつくと、2009年が半分終わろうとしていますね・・・

-----------

お母さんはテクノロジーで武装している・・・？

“She’s armed with technology”

WSJの書いたこの Blog Article
How Moms Feel About Social Media
The survey also found them using technology to keep track of family memories — 93% own digital cameras, 84% edit and manage snapshots online, and 45% make home videos. And 15% blog about their family lives. “She is armed with technology,” Ms. Sharkey said.
を引き合いに出して、その Arm が本当に大丈夫なのか？ということを Sophos が疑問視しているわけですが・・・

まさに似た事態が起きたわけです。
同人誌やサークルといった、比較的閉じたコミュニティの幾つかのサイトが Gumblar/Geno に感染し、リングを通して爆発的に感染が拡大しました。

サイトオーナーの中で比較的ＰＣの知識のある方が早めに対処を取り、まとめサイトを作り、コミュニティに対して警告を浸透させることにより、現在は沈静化していますが、それでもまだ感染しているヒトは潜在的にかなりいるかもしれません。

それは、4/5月の爆発的な感染が収束した現在でも、このウィルスに関する問い合わせが絶えないことでも判ります。
Sophosも述べているように、セキュリティに関心のある人と無い人の感覚的な温度差のズレによって、そうした汚染サイトが予期しない時期に予期しない場所に現れる可能性は否定できません。

Internetに接続し、SNSのようなソーシャルネットワークに参加し、あるいは自分自身のBlogやサイトを持つ場合、自分の eMailアドレスやプロフィールを書き込み、あるいは写真や個人特定につながるような記事を書くときには、その危険性に関しても注意を払うべきでしょう。

しかし Tooth Fairy ってのは始めて知りました

-----------

[2009年06月29日]さくらの専用サーバ/専用サーバエントリーの一部にてDoSアタックによるアクセス遅延発生
上記発生時間におきまして、
弊社のIPアドレス宛のDoSアタックによる
大量のトラフィックが発生した為、
さくらの専用サーバご利用のお客様の一部にアクセス遅延が
発生いたしました。

Slowlorisかな？　断定はできませんけどね・・

-----------

unescape, eval, base64, replace・・・
これらの JavaScript関数を使って悪意コードを難読化させることが常套手段となっているわけですが・・

New Anti-analysis Technique for Script Malware

こんな怪しい Injection があったら即、気がつきそうな気もする（苦笑）

最近、何も難読化されていない単純な iframeや src=xxx.js のようなインジェクションのほうが気がつきにくい気がしてきました。

-----------

DNS changer

PE型(.exeなど）に仕込まれて、DNSレジストリを不正なものに書き換え、DNSリクエストを違う結果で返してしまうものです。

New Koobface Component: A DNS Changer

このマルウェアに汚染された場合、どこをアクセスしても悪意サイトに向けられてしまう可能性があるため、Internetアクセスそのものが不能になってしまいます。

昨年流行した Zlob の亜種と見られています。
DNSChanger.gen!CA9E0322

-----------

そういえば、Symantecの Blogに繋がらなくなったわけですが・・

嫌われたかな（笑）

夜のお菓子はうなぎパイ・・・（意味不明）

-----------------

続・Outlookスパム、セキュリティパッチ装いボットネットでZbotを配布中
内容は、ソフォスが18日付けのブログで公表したタイプの偽サイト誘導版。セキュリティパッチ「Update for Microsoft Outlook / Outlook Express(KB910721)」と称して、「officexp-KB910721-FullFile-ENU.exe」をダウンロードさせようとする。もちろん実態はセキュリティパッチなどではなく、実行しようものなら、パスワードの盗み取りや他のコンポーネントのダウンロード、システムを乗っ取る機能などを持つ「Zbot」と呼ばれるトロイの木馬がインストールされる。

いつも鋭いとこを突いてくる so-net ですが、今回もコレを持ち上げてくれました。

cNotesさんがずっと追いかけていますので、順に見ていくとわかりやすいです。

Outlookユーザーをターゲットとしたスパム -- 06/17

Outlookユーザーをターゲットとしたスパム 追記 -- 06/19

Outlookユーザーをターゲットとしたスパム 追記2 -- 06/19

Update for Microsoft Outlook spam継続中 -- 06/27

Update for Microsoft Outlook spam受信 -- 06/29

はっきり言って、「未だにOutLookを使っている」という辺りが危険なわけですけどネ・・

仮に IDE/PFWで対応しようとすると・・・・
洪水状態

/shrug

まぁ・・OutLookの使用を止めて、脆弱性を塞ぐことをお奨めしておきますです。

-----------------

著名人の死や、重大な事故・事件をネタにマルウェアに誘導するspamやらscamやらは後を絶たないわけで・・

Michael Jackson Malware
マイケル・ジャクソン・マルウェア

Another Michael Jackson Scam

マイケル・ジャクソン氏の死に便乗するサイバー攻撃が横行

あまりにも早すぎる死が、こんなクダラナイことに利用された Micheal は天国でどう思ってるんでしょうね・・
きっと苦笑しているでしょう・・・

-----------------

Gumblar/Genoの影響・・・

もういいかげん、GENOウィルスって言葉が日本では定着してしまったので、ウチも使おう（笑）

トップページ ＞ 約款 ＞ 約款新旧対照表

2. 利用者は、本サービスの利用に関して当社が発行したアカウントを用いて第三者が行った一切の行為（不作為を含む）について、利用者の関与の有無を問わず、当社に対し、利用契約または法令に基づく民事上の一切の義務ないし責任を負うものとします。

どうみても Gumblar/Geno 対策です、ほんとうにあ（ry


コレなんかも、対策の一環ですね
【お知らせ】FTPアクセス制限サービス提供開始のお知らせ -- Kagoya


-----------------

わたしたちはGoogle Waveの奴隷になるのか

まさにそうなりつつあります・・

たとえば、１からスケジューラを開発するよりも、Google Wave のコンポネンツを使ったほうがはるかに完成度が高く、フレキシブルに対応できます・・・

逆に言えば、スケジューラをコレまで必死で作ってきた弱小ソフトハウスのクビを真綿どころか鎖で絞めている・・そんな感じですね（笑）

Google帝国の一員になったほうがいっそ気楽なのかもしれないと思う今日コノゴロ・・・


参考；
【詳報】Google Waveとは何なのか？

-----------------

Panda Labはコラボを考えるべきでしたね

ユニットコム、"いとうのいぢ"イラストの痛ノートPCを日本橋限定で100台販売

音々ちゃん

私的には、PCの熱を利用した熱帯魚水槽がほしい


-----------------

明日の朝更新するネタが無くなったかもしれない・・・（苦笑）

月曜日です。今週もがんばっていきましょう～

って・・あれ・・新着記事が何も無い（あたりまえか・・・）

----------

パケット監視ツールのIPアドレスのフィルタリング

IP Address Range Search with libpcap

WireShark(旧ethereal)のようなパケット監視ツールで問題になるのは、とにかくログが多くて見ただけではまったくわからない点です。
libpcap 経由でのパケット監視を行っている際に、対象の IP レンジを指定するのは CIDR 指定でなければならなかったのですが、この方法を使えば、よりタイトに絞った監視ログを導き出せる・・・・のではないかと

普通のヒトはパケット監視なんかやってないよ！
だって・・この記事しか新着に無かった・・・

----------

ざーっと MDL WoT MWL あたりを眺めてみましたが・・・

----------

Cutwail

Botnetのひとつ、 Cutwail(Pushdo)の撒布サイトがちらほらと・・

195.190.13.106

109438129432.cn
783456788839.cn
109438129432.cn
384756783900.cn
234273849543.cn
なんですかこのナゲヤリなドメイン名は・・・

撒布ファイルは古いものです
File 076e74cf244e1f7fbf11159b08c576ba received on 2009.06.12 10:04:30 (UTC)

----------

RFI のレポートがかなりあがっています。

過去、 FeeLCoMz と呼ばれていたものらしく、PHP で

と記述されている単純なものです。

PHP enabled なグローバルサーバの管理者の方は、再度 RFI 対策が行われているかどうか？　不審なプロセスがあがっていないかどうかを確認しましょう。

サーバーも狙われる ～RFI攻撃によるボットの感染～

----------

概ね、平和な日のようです・・
願わくばこのまま今週も・・・

日曜日はまた・・・・雨

----------

ほんとに何て呼べばいいのかわからない :8080 インジェクション攻撃ですが
現在のところ以下のような IP での攻撃が続行中の様子

64.91.254.69	2009.06.25	AS32244
77.37.18.36	2009.06.25	AS44146
77.37.19.43	2009.06.25	AS44146
77.37.19.173	2009.06.26	AS44146
77.37.19.179	2009.06.26	AS44146
84.16.247.12	2009.06.24	AS28753
89.171.115.10	2009.06.23	AS12968
88.191.78.48	2009.06.23	AS12322
90.156.144.78	2009.06.24	AS25532
91.121.146.101	2009.06.24	AS44146

84.16.247.12 は従来とは違う形（偽AV誘導）ですので、少し注意が必要です。
この AS28753 (NETDIRECT) も防弾ホストっぽいですねぇ

ちなみに
77.37.18.36
77.37.19.173
77.37.19.179
77.37.19.43
90.156.144.78
この５つのドメインのラウンドロビン (MDLでは Fast-Fluxと言ってますがどうなのかな？）で存在する ドメインは・・・

この有様

ドメインを Hosts に登録するのもイヤになりそうです。

----------

すっかりお馴染みの LeaseWeb (AS16265)です

95.211.9.25に、michael-jackson-and-brooke-shields.a2h.usとか変なドメインがいっぱい・・・

まぁ・・もう何も言わないことにしましょう（苦笑）

----------

最近、クラウドクラウドと言われてますが・・・


2010年版コンシューマ市場向け “超軽量級(ウルトラライト)”マルウェア対策4製品をリリース（日本語版含む）

コレの販売版ですね。
Panda Cloud Antivirusをリリース: 業界初の無料クラウド型アンチウイルス シンクライアントプロテクション 2009.04.29


私も１００％理解しているわけではありませんが、IDE（ウィルス定義ファイル）を内部に持たずに挙動が変なファイルを検出したらその都度、ネット経由のデータベースに紹介するものです。

誰かが saclifice になると、他のみんなのタメになるという自己犠牲精神バンザイのシステム・・・いう認識ですけど、間違ってるかな？（笑）
こうしたシステムの要は、どれだけの数のユーザがシステムに参加しているか？によって検出率に直結しますので、シェア＝検出率ということにもなりますね。

同様のネット経由の自動検体を行っているのは
ってとこなのかな？

しかしこれ、MD5/SHA-1ハッシュの提出ならいいけど、自動で実ファイルを送られることに懸念をもつ企業も多いでしょうね・・
あと・・名前とFaviconがなぁ・・かわいいんだけど（苦笑


ともあれ、メモリ不足のユーザはお試しあれ～

----------

パスワードのマスキングは廃止すべき

んーん・・
ヒトによるかなぁ・・

特に今後増えていく、高齢のネットユーザはパスワードそのものを嫌う傾向があるのも事実

４桁の数字だけのパスワードにしてほしいって要望は意外と多い・・・
それってパスワードじゃなくて PIN ですがな・・

----------

日曜日は曇り～

----------

マイケル・ジャクソンの悲報の影響は大きくて・・

MSN Bot Plays on Controversy over Michael Jackson’s Death

MSN(Microsoft Messenger)のspamが横行しているようです。

ここに出てくる HI5 というキーワードですが、現在はおとなしくなっている米国のSNSで、以前はspamまがいの勧誘やらで話題にのぼったこともありました、

今日は「Hi5」どころじゃない。SNSのナンバー3が人員の10～15%をレイオフ

というニュースの後はパッタリと話題に上らなくなっていたのですが・・・


Michael Jackson News Affects Web Traffic

the % of long-tail URLs associated with Michael Jackson
グラフに単位がないんだけど・・・たぶん 20% 前後ってことなんでしょうね（笑）

----------

The Nine Ball

厄介な大規模Webサイト改ざん事件が再発生

こないだの記事の日本語訳なんですが、ちょっとだけ気になったのが

CVE-2007-2496
Word Viewer OCX ActiveXコントロールに関するバッファオーバフロー
The WordOCX ActiveX control in WordViewer.ocx 3.2.0.5 allows remote attackers to cause a denial of service (Internet Explorer 7 crash) via a long (1) DoOleCommand, (2) FTPDownloadFile, (3) FTPUploadFile, (4) HttpUploadFile, (5) GotoPage, (6) Save, (7) SaveWebFile, (8) HttpDownloadFile, (9) Open, (10) OpenWebFile, (11) SaveAs, or (12) ShowWordStandardDialog property value.

聞いたこともないアプリだったわけですが・・

Edraw Viewer OCX For Word v3.2
http://www.officeocx.com/
現行バージョン 3.2

Office OCX Word Viewer Multiple Method Remote Command Execution Vulnerability
Affected: Office OCX Word Viewer version 3.2.0.5 and prior
ってことは放置状態ってことですか？（苦笑）

しかし、この単体アプリの問題のために、IE全体で ActiveXをとめるってのもどうなんでしょう？（苦笑）
Internet Explorer で ActiveX コントロールの動作を停止する方法

まぁ・・これをきっかけにActiveXコントロールを KILL してしまうのは悪いオプションではないのかもね

----------

DNS amp

DNS amp - impactpoint.ru ， editdns.info

いろんなアナリスト？ネタとしてどこかでしゃべってた人たちがいたのに、攻撃発生状況は継続しているけど最近は全然情報として聞かないですね。。。

被害規模の問題なのか、目立つ被害が見えない？から、それとも他のDDoSと同じで珍しいものではなくなったから？古いネタになったから？確かに去年かおととし最初にさわがれた時点でもbotを利用したDDoSの中の割合でいえばかなり小さな、地味な話だったわけで、、、

で、まぁ、とりあえずDNS ampはいまだに継続してますということで。

ウチもそうならないように気をつけないといけませんね・・・

とりあえず DNS amp に関する情報は

分散サービス拒否（DDoS）攻撃を仕掛けるDNS ampとは？ -- 2006.08

DNS ampの踏み台サーバになるのを防ぐ（コンテンツ・サーバ編） -- 2006.08

DNS ampの踏み台サーバになるのを防ぐ（キャッシュ・サーバ編） -- 2006.08

DNS の再帰的な問合せを使った DDoS 攻撃の対策について -- 2006.03


ネームサーバ診断
「DNSの再帰的な問合せを使ったDDoS攻撃」の踏み台になる可能性に関する診断です。

----------

学校非公式サイト等の監視を開始しました！

ふぅ～ん

そもそも 学校非公式サイト（いわゆる学校裏サイト）をどうやって特定するんだろう・・

----------

暑い・・・・

------------------

spammerって奴は空気読めないんですよね・・

Sad News Generate Bad Things
The "King of Pop", Michael Jackson, died last night after suffering a cardiac arrest. The news is currently spreading through a lot of different media outlets and they are being printed worldwide.
The subjects themselves are not related to information security, but how long do you think it will take until the bad guys pick up the news as well and start using it? Usually it has taken a few days at most.

"a few days"も持ちませんよ？

Michael Jackson Spam Distributes Malware
The victim was asked to download the "video" file is named "Michael.Jackson.videos.scr" was actually a malicious program--a downloader that would start the infection chain. See the VirusTotal report.

Video: News of Michael Jackson's Death Used In Malicious Spam

最近の傾向として、エールフランス機の事故原因！とか、時事ネタをキーワードにした spam が流行しています。
とにかく、出所不明のメールを開くことを止めるクセを付けましょう。

※そして、Spam Filterに重要なメールが捉えられ・・・（以下略）

------------------

DirectShow 脆弱性問題

Online Game Password Stealers Riding with 0-day DirectShow Exploits

Symantecも、すでにこの攻撃が開始されていることを報じていますが、MSも認識しているようです。

が・・
使用されてるのは .mov(QuickTime)ではなく.avi・・・・
コンテナ内に何か特殊な仕掛けでもしてるんでしょうかね？

しかし、フィルタ掛けにくいなぁ・・

CVE-2009-1537

とにかく、現在出来ることは、ココの下のほう
マイクロソフト セキュリティ アドバイザリ: DirectShow 脆弱性により、リモートでコードが実行される.

FIX IT で解決策を有効化してください。

参考：
【続・ゼロデイ攻撃】DirectShowの脆弱性攻撃、拡大のおそれ

------------------

またおまえか（™)

Image Spam Déjà Vu

腕組んだ先生が出てこないだけマシなのかな？（苦笑）

このテの spam も全然減りませんね

------------------

１２人居る！

Secunia PSI: US PCs Have 2,720,800,000 Vulnerable Programs Installed!
1. In the US there are 227,000,000 Internet users.
2. Approximately 400,000 US based users got the Secunia PSI, they have an average of 4 unpatched programs.
3. The average non-PSI users in the US have 12 unpatched programs.

Facts:
1. The Secunia PSI have helped patch more than 3 million insecure programs in the US alone
2. In the US there are at least 2.7 billion vulnerable programs installed – remember; the criminals only need one unpatched program to compromise your machine!

PC USERS in the US alone HAVE 2,720,800,000 VULNERABLE PROGRAMS INSTALLED!

Secuniaの提唱する、「Secunia PSI」というサービスがあります。
これは、現在インストールされているアプリケーションにどのくらい脆弱性問題の残っているものがあるか？ということをスキャンするものです。

で・・ USのユーザは平均 12 の潜在的な脆弱性問題を持ったアプリをインストしている・・っと

参考：
PCの脆弱性は平均12件――Secuniaが試算

------------------

Sophosのウィルス定義ファイルの偽者が出回っているらしいです

Warning: fake Sophos IDE update malware
This is being sent out in email, with the subject: “Update your SOPHOS IDE scanner”. Attached to the email is a .rar file - or rather, an EXE file pretending to be a rar file. At this time, the filename was “SOPHOS IDE scanner.rar”. Please don’t run it - it will attempt to install malware on your system. Sophos updates should be obtained via the auto-update function of Sophos Anti-Virus, or by visiting http://www.sophos.com/downloads/ide/ - we never send identity data (IDEs) via email.

やっぱり、出所不明のメールにはロクでも無い物が沢山存在します。

------------------

研究者が指摘するサイバー攻撃の今後とは？
近年のサイバー攻撃は、目的が大きく変化したと多くのセキュリティ研究者が指摘している。従来はどれだけウイルスを拡散させることができたかという愉快犯目的が主流だったが、最近は重要情報を盗み出して闇市場で換金する金銭搾取が目的になっているという。

とっくにそうなってたかと思ってたけど、違うのかな？
少なくとも、Gumblar/GENO（笑）に関しては明らかに Zeus/Zbotのようなサイバー犯罪組織と何らかのつながりがあります。

------------------

Windows 7 Upgrade ぽちっとな ―

上司に言ったら「アルチメット無いの？」って言われた・・・

ていうかもう売り切れ！？

------------------
EoF

もう金曜日なんですね～

----------

CGI security warning

レッツPHP! 製 PHP-I-BOARD におけるディレクトリトラバーサルの脆弱性
レッツPHP! 製 PHP-I-BOARD におけるクロスサイトスクリプティングの脆弱性

レッツPHP! 製 Tree BBS におけるクロスサイトスクリプティングの脆弱性

コレを書いているときは繋がりませんでしたが、フリーのPHPスクリプト配布サイト レッツPHP! の２製品にセキュリティ警告が出ています。

当該製品を使用している方はアップデートを、当該製品を使用しているサイトを見かけた方は、そのオーナーに教えてあげてください。

----------

お世話になっている先輩の方から相談を受けたのですが

「ちょっと知っている程度のお店のWebがGoogle Blockedになってるんだけど、どう思う？」

調べてみると・・・

Google Blocked の理由が martuz.cn （苦笑）
最終感染検知が 2009.06.22

って・・・いつから放置してるページですか？


しかし、こうした感染サイトにその状況を知らせることは極めて難しいんですよね・・・・
下手に教えると、「営業妨害したいのかゴルァ！」って逆切れされかねません

前も似たようなことを書いた気もしますが、
車に乗っていて「歩行者に危害を加えたい」と思っている人は居ないと思いますが
万が一そうなってしまった時には責任を負う訳です。

少なくとも、ショップのサイトのように、自分が Internet で Shop の宣伝を行っていて
そこでウィルスを撒き散らしてしまった際に、何も告知せずに再開するということは
「轢き逃げ」と同じことだと自分は考えています。

----------

サイバー軍

Government, Military - Aviation?

そういえば昨日、ゲイツ国防長官がそんな発表をしてた気がしましたね

米「サイバー軍」を創設、2010年10月本格稼働予定

AFPは怖いのでReferは無し（笑）

米 システム防御へサイバー軍
アメリカ国内では、インターネット上での中国やロシアによる不正なアクセスへの懸念が高まっていますが、国防総省のモレル報道官はサイバー軍の創設について、「国防総省と軍のコンピューターネットワークを外敵から防御し、日々の作戦行動をより円滑に進めるための試みだ」と述べ、サイバースペースでもアメリカ軍の優位を確保したいねらいをのぞかせました。

いや・・その前に、国内の防弾ホスティングを何とかしてください（苦笑）

----------

a moron screwed up everything

三菱UFJ証券顧客情報148万件持出し事件～システム部部長代理の元社員逮捕

元三菱ＵＦＪ証券社員の顧客情報売却：金融庁、業務改善命令　ずさん管理、信用に傷

三菱UFJ証券、情報漏えいの再発防止について表明


この元部長代理が得たお金・・
32万8000円 三菱UFJ証券の元部長代理を逮捕　5万人分の顧客情報売却
同社によると、久保容疑者はデータベースから顧客情報をCDにコピー。自宅に持ち帰り、約5万人分を名簿業者3社に32万8000円で売却した。久保容疑者はデータベースにアクセスできる社員約300人の指導役で、各社員が自分のIDを使ってアクセスした顧客情報に触れることができる立場にいた。

三菱UFJに与えた損害 1万円のギフト x 5万人 = ５億円超

そして、失った信用は Priceless

----------

Windows7 upgrade will be launched as soon as Ballmer mashed up

Windows® 7 Upgrade Option Program

さて、どういう価格体系になるんでしょうね～

参考；
Microsoft sets Windows 7 pricing, upgrade programs

----------

Firefox 3.5への移行は3.5.1のリリースを待つのが無難なのか？ ―

Firefox 3.5 gets a third release candidate

Firefoxも最近ちょっと重くなって「なんだかなぁ・・」と思うことが多くなりました。
友人は チョロメ(chrome) に移行して「チョロイチョロイ（意訳：軽い軽い）」とか言ってます。


個人的には FireBug / NoScript（苦笑） / Live HTTP headers のリプレスがあるブラウザーなら何でもいいんですよ・・

----------

Injection report via websense

Nonstop Web Site Re-Infections

こっちは The Nine Ball ではなく、Compromised Site: Embassy of Ethiopia in Washington D.C. -- 06/22 の追報です。

同様の感染サイトもすぐに見つかりました

このIPは Botnet C&C としてマークされています。
traffics-inspector.cn
112.137.162.134

AS17971 (EASTGATE) は 112.137.162.136 にもトロイ撒布履歴が見られますので注意してください。

----------

TrendMicroもMcAfee も似たような話を・・・

Sex the Bait in Mass Orkut Compromise

Another Sex Tape, Another Malware Attack

インドって宗教的にそういうネタは有なんですかね？（苦笑）

いずれにせよ、エロサイト（決め付け）経由でウィルスに引っかかる人は「処置無し」だと思ってます（笑）

----------

えーっと・・オチは・・・？

無し

2009.06.25

もうすぐ今年も半分が過ぎ去ろうとしていますね

---------------

Movable Type : XSS 脆弱性 および アクセス制限回避の危険性

影響下にある製品：

JVN#86472161 -- Movable Type におけるクロスサイトスクリプティングの脆弱性
ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。

JVN#08369659 -- Movable Type におけるアクセス制限回避の脆弱性
遠隔の第三者により、任意の宛先へ不正にメールを送信されたり、当該製品に保存されている情報を閲覧されたりする可能性があります。

update:
Movable Type 4.261 の出荷を開始します

---------------

Adobe Shockwave Player Update
Adobe released a security update for the Shockwave Player today which apparently can be exploited by a remote website.

shockwave って・・もう無くなったかと思っていました（汗）

なお、インストールの前に必ず旧バージョン(11.5.0.596)をアンインストールしてから、最新版を入れなおしてください。

Shockwave version 11.5.0.600
Security Update available for Shockwave Player


---------------

phpMyAdmin

Exploit tools are publicly available for phpMyAdmin

攻撃ツールが on the wild になっている可能性があるようですので、mysql+phpmyadmin 環境下で運用されている方は現在のバージョンをチェックし、適切な措置を取ってください。

phpMyAdmin 3.1.3.2
PMASA-2009-4

---------------

また facebook ですか？

Simple Facebook flaw put all members at risk of identity theft

a simple hack that would show everything listed in a Facebook member's "Basic Information" panel, even if this information had been hidden by the user with the website's security settings. Using the security hole, FBHive was able to access personal information about Facebook CEO Mark Zuckerberg, Digg Founder Kevin Rose, and famous blogger Cory Doctorow.

単純な方法で FaceBookに登録されていた、生年月日、ホームタウン、性別、家族、フレンドリスト、政治および宗教的視点等の情報が漏洩した危険性があります。
facebook創始者の Mark Zuckerbe、Digg創始者のKevin Rose や、著名なBloggerであるCory Doctorowといった人物の個人情報にもアクセスすることが可能でした。

現在は既にこの問題は fix されていますが、こうした情報がどの程度拡散したかは不明瞭です。
Sophosも言うように、SNSなどに自分の個人情報を記述するのは極力避けるのが一般常識のひとつとなりそうです。

参考：
Is Privacy An Illusion? Facebook ‘Fans’ Claim Hack Exposes Private Profile Information (Update)

オフィスの様子とか・・・
Twitter、Facebook、Diggとかってどんなオフィスなの？がよくわかる写真いろいろ

---------------

その facebook ですが、対 Twitter とも見て取れる新機能を追加したようです。

There’s That Facebook “Everyone Button” We Told You About

Facebook、「ウェブ全体に公開」ボタンを設置―Twitterへの攻撃、第4弾

ま・・Twitter大好きな（笑） TechCrunchの記事なので、その辺を勘案して読んでみてください。


しかし、SNSの栄枯盛衰は恐ろしく流れが速く、正直なトコ情報が追いついていません。

Myspace が25%の従業員の解雇準備？Twitter, Facebook にとっても他人事ではない件

---------------

いまだに実像を掴めない The Nine Ball ですが、確実に存在し、もしかしたら拡大しているのかもしれません

FireEyeから具体的なトロイのビヘイビアが提示されました。
What's behind the "Nine Ball" attacks?

Andrew Martin氏のサイトでは、Gumblarとの関連を指摘しています。
Nine-Ball = Gumblar Redux? - 40,000 websites compromised

感染してしまった後の話なんですが、確かに TCP/IPパケットを Sniff されている様子です。
しかし（一般的な）ユーザが、現在のシステム構成でも感染してしまうのかは「？」なんですよね～

そのWebsenseですが
Fort William Mountain Bike World Cup 2009 Site Hijacked

Fort Williamのマウンテンバイク・ワールドカップの公式サイトが Nine Ball に感染していたと公表、サイトマスターが気がついていない可能性があり、NineBall(Botnet)から悪意コードを一時的に撤収した可能性があるとして警告しています。

なんかコレ・・出し入れ自在のインジェクションなんでしょうか？
ほんとにモグラたたきだなぁ

---------------

今日も体調不良なのでこの辺で止め・・・湿気に弱い（苦笑）

---------------