2009.06.25
2009.06.25
もうすぐ今年も半分が過ぎ去ろうとしていますね
---------------
Movable Type : XSS 脆弱性 および アクセス制限回避の危険性
影響下にある製品:
Movable Type 4.25 Enterprise およびそれ以前
Movable Type 4.25 (Professional Pack, Community Pack を同梱) およびそれ以前
Movable Type Commercial 4.25 (Professional Pack を同梱) およびそれ以前
Movable Type 4.25 (Open Source) およびそれ以前
Movable Type 4.25 (Professional Pack, Community Pack を同梱) およびそれ以前
Movable Type Commercial 4.25 (Professional Pack を同梱) およびそれ以前
Movable Type 4.25 (Open Source) およびそれ以前
JVN#86472161 -- Movable Type におけるクロスサイトスクリプティングの脆弱性
ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。
JVN#08369659 -- Movable Type におけるアクセス制限回避の脆弱性
遠隔の第三者により、任意の宛先へ不正にメールを送信されたり、当該製品に保存されている情報を閲覧されたりする可能性があります。
update:
Movable Type 4.261 の出荷を開始します
---------------
Adobe Shockwave Player UpdateAdobe released a security update for the Shockwave Player today which apparently can be exploited by a remote website.
shockwave って・・もう無くなったかと思っていました(汗)
なお、インストールの前に必ず旧バージョン(11.5.0.596)をアンインストールしてから、最新版を入れなおしてください。
Shockwave version 11.5.0.600
Security Update available for Shockwave Player---------------
phpMyAdmin
Exploit tools are publicly available for phpMyAdmin攻撃ツールが on the wild になっている可能性があるようですので、mysql+phpmyadmin 環境下で運用されている方は現在のバージョンをチェックし、適切な措置を取ってください。
phpMyAdmin 3.1.3.2
PMASA-2009-4
---------------
また
facebook ですか?
Simple Facebook flaw put all members at risk of identity theft a simple hack that would show everything listed in a Facebook member's "Basic Information" panel, even if this information had been hidden by the user with the website's security settings. Using the security hole, FBHive was able to access personal information about Facebook CEO Mark Zuckerberg, Digg Founder Kevin Rose, and famous blogger Cory Doctorow.
単純な方法で FaceBookに登録されていた、生年月日、ホームタウン、性別、家族、フレンドリスト、政治および宗教的視点等の情報が漏洩した危険性があります。
facebook創始者の Mark Zuckerbe、
Digg創始者のKevin Rose や、著名なBloggerであるCory Doctorowといった人物の個人情報にもアクセスすることが可能でした。現在は既にこの問題は fix されていますが、こうした情報がどの程度拡散したかは不明瞭です。
Sophosも言うように、SNSなどに自分の個人情報を記述するのは極力避けるのが一般常識のひとつとなりそうです。
参考:
Is Privacy An Illusion? Facebook ‘Fans’ Claim Hack Exposes Private Profile Information (Update)オフィスの様子とか・・・
Twitter、Facebook、Diggとかってどんなオフィスなの?がよくわかる写真いろいろ---------------
その facebook ですが、対 Twitter とも見て取れる新機能を追加したようです。
There’s That Facebook “Everyone Button” We Told You AboutFacebook、「ウェブ全体に公開」ボタンを設置―Twitterへの攻撃、第4弾ま・・Twitter大好きな(笑) TechCrunchの記事なので、その辺を勘案して読んでみてください。
しかし、SNSの栄枯盛衰は恐ろしく流れが速く、正直なトコ情報が追いついていません。
Myspace が25%の従業員の解雇準備?Twitter, Facebook にとっても他人事ではない件
---------------
いまだに実像を掴めない The Nine Ball ですが、確実に存在し、もしかしたら拡大しているのかもしれません
FireEyeから具体的なトロイのビヘイビアが提示されました。
What's behind the "Nine Ball" attacks?Andrew Martin氏のサイトでは、Gumblarとの関連を指摘しています。
Nine-Ball = Gumblar Redux? - 40,000 websites compromised 感染してしまった後の話なんですが、確かに TCP/IPパケットを Sniff されている様子です。
しかし(一般的な)ユーザが、現在のシステム構成でも感染してしまうのかは「?」なんですよね~
そのWebsenseですが
Fort William Mountain Bike World Cup 2009 Site Hijacked Fort Williamのマウンテンバイク・ワールドカップの公式サイトが Nine Ball に感染していたと公表、サイトマスターが気がついていない可能性があり、NineBall(Botnet)から悪意コードを一時的に撤収した可能性があるとして警告しています。
なんかコレ・・出し入れ自在のインジェクションなんでしょうか?
ほんとにモグラたたきだなぁ
---------------
今日も体調不良なのでこの辺で止め・・・湿気に弱い(苦笑)
---------------