UnderForge of Lack

Adobe Flash Player

永らくFlashを見るのを自粛していた方、お待ちどう様でした。
昨日ニコニコ生中継を見てたクセに！
また、関連して Adobe AIRを使用中の方もアップデートしてください

Security updates available for Adobe Flash Player

Flash Player 10.x	→	10.0.32.18
Flash Player 9.x	→	9.0.246.0
Adobe AIR 1.5.1	→	1.5.2

注意：
Flash Player のバージョンチェックのページはまだ最新版が10.0.22.87となっていますので注意してください。さすが Adobe・・・
バージョンチェックのページの最新版表記が更新されました。尚、IEの場合一度ブラウザを再起動しないと正確な表示ができません。

複数のブラウザを使用中の方は、必ず各ブラウザ上でバージョンチェックを行い、10.0.32.18 (もしくは 9.0.246.0)になっていることを確認してください。
※基本的にはIEだけ別コンポネンツのはずですが・・・

----------
Security Bulletin Posted for Adobe Flash Player

CVE:
CVE-2009-1862
Unspecified vulnerability in Adobe Reader and Acrobat 9.x through 9.1.2, and Adobe Flash Player 9.x through 9.0.159.0 and 10.x through 10.0.22.87, allows remote attackers to execute arbitrary code via (1) a crafted Flash application in a .pdf file or (2) a crafted .swf file, related to authplay.dll, as exploited in the wild in July 2009.

CVE-2009-0901
The Active Template Library (ATL) in Microsoft Visual Studio .NET 2003 SP1, Visual Studio 2005 SP1 and 2008 Gold, and Visual C++ 2005 SP1 and 2008 Gold and SP1 does not prevent VariantClear calls on an uninitialized VARIANT, which allows remote attackers to execute arbitrary code via a malformed stream to an ATL (1) component or (2) control, related to ATL headers and error handling, aka "ATL Uninitialized Object Vulnerability."

CVE-2009-2395
SQL injection vulnerability in the K2 (com_k2) component 1.0.1 Beta and earlier for Joomla! allows remote attackers to execute arbitrary SQL commands via the category parameter in an itemlist action to index.php.

CVE-2009-2493
The Active Template Library (ATL) in Microsoft Visual Studio .NET 2003 SP1, Visual Studio 2005 SP1 and 2008 Gold and SP1, and Visual C++ 2005 SP1 and 2008 Gold and SP1 does not properly restrict use of OleLoadFromStream in instantiating objects from data streams, which allows remote attackers to execute arbitrary code via a crafted HTML document with an ATL (1) component or (2) control, related to ATL headers and bypassing security policies, aka "ATL COM Initialization Vulnerability."

以下はreserved (非公開脆弱性)
CVE-2009-1863
CVE-2009-1864
CVE-2009-1865
CVE-2009-1866
CVE-2009-1867
CVE-2009-1868
CVE-2009-1869
CVE-2009-1870

----------
セキュ各社報道：

6:30(JST)ではまだ無かった・・・

----------

シス管の方へ
コレでもカジリながらインストールしてください（笑）

ちなみに、まだ Adobe (Acrobat) Reader も残っています
（明日パッチ予定：月曜ですね・・）

Ciscoのルータを導入している方には更に楽しい（？）日になりそうです・・・

システム管理者の日
ほんとうにお疲れ様です（苦笑）

他には パラグライダー記念日
蓄音機の日(エジソンの特許取得)
こだまの日(でももう0系はいない・・)

----------
幸せならインストールしましょ♪

Happy patching day

Flashはもう終わりましたが・・・

BIND PANIC:

CentOS-announce (要ログイン)
yumには既にbind-9.3.4-10.P1.el5_3.3 がコミットされています。
# yum update bind
CentOS alert CESA-2009:1179 (bind)

A Security Vulnerability in Solaris BIND named(1M) Due to Insufficient Input Validation of Dynamic Update Requests Can Lead to Denial of Service (DoS)
[SECURITY] Fedora 11 Update: bind-9.6.1-4.P1.fc11
[SECURITY] Fedora 10 Update: bind-9.5.1-3.P3.fc10
[SECURITY] [DSA 1847-1] New bind9 packages fix denial of service
USN-808-1: Bind vulnerability -- Ubuntu
NetBSD Security Advisory 2009-013
[slackware-security] bind (SSA:2009-210-01)

CISCO PANIC:
Cisco Security Advisory: Cisco IOS Software Border Gateway Protocol 4-Byte Autonomous System Number Vulnerabilities
There are two issues that affect certain version of the IOS that allow 4 byte AS numbers and have BGP enabled. Both issues will cause the device to reload.
Cisco IOSもしくはIOS-EXが動作している Routerで、AS4Bytes(Four-octet AS Number Space)とBGP(Border Gateway Protocol)をサポートしているものが影響を受けます。BGPによるupdateの最中にAS(autonomous system)パスのセグメントに1000以上のASを送られたり、悪意のあるBGP要求を受け付けるとルータがリロードしてしまいます。

Cisco Security Advisory: Multiple Vulnerabilities in Cisco Wireless LAN Controllers

シス管いじめの日が続いています・・・

----------
SSL認証詐称の脆弱性

ベガスで開催されている BlackHat USA+2009 ですが
DNS Cache Poisoning脆弱性を発見した、Dan Kaminsky氏とMoxie Marlinspike氏により、新たに認証鍵システムの脆弱性が見つかったと発表。

Null Character Hack Allows SSL Spoofing
"Two researchers, Dan Kaminsky and Moxie Marlinspike, came up with exact same way to fake being a popular website with authentication from a certificate authority. Wired has the details: 'When an attacker who owns his own domain — badguy.com — requests a certificate from the CA, the CA, using contact information from Whois records, sends him an email asking to confirm his ownership of the site. But an attacker can also request a certificate for a subdomain of his site, such as Paypal.com.badguy.com, using the null character in the URL. The CA will issue the certificate for a domain like PayPal.com.badguy.com because the hacker legitimately owns the root domain badguy.com. Then, due to a flaw found in the way SSL is implemented in many browsers, Firefox and others theoretically can be fooled into reading his certificate as if it were one that came from the authentic PayPal site. Basically when these vulnerable browsers check the domain name contained in the attacker's certificate, they stop reading any characters that follow the " in the name.'"

WIREDに詳細が載っていますが、badguy.com の名前でCAを申請し、CAはWhoisレコードからそのemailに対してCert所有者の認証を行います。しかし、攻撃者は ヌル(/0) で始まるサブドメインを取ることができた場合、たとえば paypal.com/(0).badguy.com の認証に対して、多くのブラウザは "0"-ヌル で読み込みを中止してしまうため、結果的に paympal.comと認識されSSLの詐称が成立します。

どうなることやら・・
Black Hat DC 09 Moxie Marlinspike Interview
※必ず Flash Updateを行ってから見てください。

Marlinspike said Firefox 3.5 is not vulnerable to this attack and that Mozilla is working on patches for 3.0.
Firefox3.5にはこの脆弱性は無い模様。

Busy day at Black Hat
Kaminsky also described a "leading zero attack," by which a certificate can fool client software by essentially attaching an invisible zero to the first hex character in the certificate. Again, I'm happy to tell you that VeriSign won't issue SSL Certificates with leading zeros on any of our brands.
VeriSignは「ウチには関係ない」と宣言しました。

関連：
Vegas Baby!
ベガスで「Black Hat」が開催

----------
FirefoxでURL ツールバーの詐称脆弱性

URL bar spoofing vulnerability
The URL in the address bar can be spoofed when a new window or tab is opened by a malicious web page.

Firefox 3.5.2の公開が 8/3 (8/4 JST)に迫っているわけですが、この問題が修正されるかどうかは？です。

既存の Firefox にアドレスバーが偽装される脆弱性が存在

----------
時間切れ・・

シス管の方へのプレゼントは何がいいでしょうか？（苦笑）

プロレス記念日
1953年7月30日に、力道山さんが日本プロレスリング協会を結成したことに由来。
最近、プロレスって言葉を聞かないような気もするけど・・・

----------
[EMERGENCY]

昨夜の BIND 9 ISSUE ですが、攻撃コードが出回り始めました。
BIND 9 DoS attacks in the wild
As the DoS attacks have been seen in the wild, and simple scripts that can be used to reproduce the attack are also easily available, this is not really surprising.

この攻撃は非常に単純なもので、これが蔓延するとInternetのネームサービスそのものに深刻な影響を与えかねません。

シス管の方、大変でしょうが自社内で BIND9を運用している場合、直ちに、今すぐに、アップデートしてください。

再掲：
BIND Dynamic Update DoS

- BIND 9.6.1-P1
http://ftp.isc.org/isc/bind9/9.6.1-P1/bind-9.6.1-P1.tar.gz
- BIND 9.5.1-P3
http://ftp.isc.org/isc/bind9/9.5.1-P3/bind-9.5.1-P3.tar.gz
- BIND 9.4.3-P3
http://ftp.isc.org/isc/bind9/9.4.3-P3/bind-9.4.3-P3.tar.gz

明日、善良なシス管の方にプレゼントを贈りましょうね・・・

CVE-2009-0696 bind: DoS (assertion failure) via nsupdate packets

Red Hat Enterprise Linux 5:
Important: bind security update
bind-9.3.4-10.P1.el5_3.3

Red Hat Enterprise Linux 4:
Important: bind security and bug fix update
bind-9.2.4-30.el4_8.4

Red Hat Enterprise Linux 3:
Important: bind security and bug fix update
bind-9.2.4-25.el3

バージョン細かすぎ・・・

CentOSはまだyumには来ていません

----------
[WARNING]

Adobe Releases Shockwave Player Update and Flash Player Security Advisory
Adobe has released Shockware Player 11.5.1.601 because previous versions used a vulnerable version of the Microsoft Active Template Library (ATL). Additionally, Adobe has released a security advisory to address the same issue in Flash Player. Exploitation of this vulnerability may allow an attacker to execute arbitrary code.

えー、昨日修正された Visual Studioの問題に関連して、ATL(Active Template Library)を使用しているプロダクツが同様の脆弱性を持っている可能性があるというレポートを発表、Visual Studioを使用している全てのデベロッパに注意喚起を行っています。

Pandemic according Visual Studio とでも呼ぶべきなんでしょうか？

そして、明日のFlashの修正が待たれる Adobe ですが、つい先日緊急セキュリティアップデートを行った Shockwave(Flashでは無い）に関して、Visual Studio絡みでのアップデートを行っています。
Impact of Microsoft ATL vulnerability on Adobe Products

今後、ATL絡みのセキュリティパッチが増加すると思われますので、使用中のアプリケーションのチェックをマメにするようにしましょう・・・・
って・・それはMSの仕事なんじゃ？

MSが臨時パッチをリリース、Visual StudioとIEの脆弱性を修正
Microsoftは開発者向けのリソースページを併せて公開し、自分が開発したコントロールやコンポーネントでこのATLの脆弱性を悪用される恐れがあるかどうか、直ちにチェックしてほしいと呼び掛けている。脆弱性の影響を受ける場合は更新プログラムをインストールした上で、Microsoftのガイダンスに従って脆弱性の影響を受けないコンポーネント／コントロールを作成し、ユーザー向けに配布する必要がある。

ATLが影響を及ぼすかどうかのフローチャート：
Active Template Library Security Update for Developers

あぁ・・またづつう（なぜか変換できない）のタネが・・・

----------

Increasing number of attacks on security sites
最近、有名なサイトが陥落しているケースを目にすることが多くなりました。今回はセキュリティ会社のHomePageが犠牲者となっていました。

類推ですが、たぶん matasano・com でしょうね・・

SANSも言っているように、SSHのFUDなどにまどわされることのないように、どういう経緯でクラッキングされたのか公表してほしいものです。

----------

既に報道等でご存知でしょうが・・
速報―MicrosoftとYahooの検索提携の主な内容
予想どおり、MicrosoftがYahoo Searchの検索実行を引き受ける代りに、Yahoo!は世界でYahoo!とMicrosoftの独占広告代理店となることとなった。

一方、事前にニュースやブログ記事で予測されていなかったのは、提携が10年間ときわめて長期間にわたることだ。10年といえば、インターネット業界では「永遠」と同義といってもよい。Microsoftは今後10年間にわたってYahoo Searchテクノロジーについて、あらゆる細部にわたって独占的にアクセスできる権利を得た。要するにYahoo Searchが蓄積してきた検索テクノロジーのノウハウを完全に独占することができたわけで、これはBing検索エンジンの改良に大きな力となるだろう。逆にBingがYahooが利用する検索連動広告の唯一のエンジンとなることに決まった。これらを総合すると、Yahooは検索マーケットできわめて大きな譲歩をしたといってよいだろう。

バルマー氏が「うぉぉぉ！」とか吼えてそうだ（苦笑）

さて読者はどうご覧になるだろう？　MicrosoftとYahooにとってウィン・ウィンの提携といってよいのか？ユーザーにとっては？　Googleにとって脅威になるのか？　規制当局の見解は？

うちの今週の解析結果でも載せておきますか？


----------

そしてまた、「ゼロデイのApple」の通称が・・

iPhone SMS attack to be unleashed at Black Hat
Apple has just over a day left to patch a bug in it's iPhone software that could let hackers take over the iPhone, just by sending out an SMS message.

ベガスで開催されている BlackHat USA+2009で、とうとう公表されてしまいました（笑）

Fuzzing the Phone in your Phone
これは、SMSを使って実行可能なコードを相手の認証無く送りつけ、相手のiPhone上で実行させることができます。またSMSを送り続けることで相手のiPhoneを１０秒ほどHaltさせることも可能なようです。この脆弱性は 現在のiPhoneの機種、OSバージョンに関係なく全てに波及します。

Black Hat USA 2009にてiPhoneのSMSリモートコード実行脆弱性が公表に

----------

トレンドマイクロ（ウィルスバスター）の新しいセキュリティ・ポータル：
TrendWatch

でも ReLaunchなのか・・

----------
今日、こんなメッセをもらいました。

esli.twがDenyログに出てたよ、あんがとさん。
その一言のために継続してますよ～
踏んだのがトレントのトラッカーサイトってのは、社内的にどうなん？とは思いますがネ！

EoF

[ATTENTION]

皆さん、もう Microsoft/Windows Updateは済まされましたか？

MSが詳細なレポートを出したことで、今後脆弱性攻撃が開始される危険性があります。

Patch NOW
http://update.microsoft.com/microsoftupdate/
(※Firefoxの方は IE-tabを使用してください)

そしてシス管の方、おつかれさまでした。

----------

[EMERGENCY]

ISC BIND 9 におけるサービス運用妨害 (DoS) の脆弱性

Bind9.xでマスターゾーンに対して動的な更新メッセージを送り続けることでサーバそのものがターミネートしてしまうDoS攻撃につながる脆弱性が発覚しました。既にPoC(実証コード）が出回っています。尚、この脆弱性は動的な更新(dynamic updates)を無効にしていても緩和することができません。

大至急現在の Name Serverを確認し、BINDを使用中の方はアップデートしてください。

＃ああぁ・・まただ・・
シス管の人、睡眠妨害してごめんなさい！

BIND 9 Issue
The Internet Systems Consortium announced a DoS condition in BIND 9. Details are on their web site. There are proofs of concept available online for those with good searching skills.

good searching skill :)
Debian Bug report -- bind9 dies with assertion failure

bind can be crashed with an update packet:

CVE:
CVE-2009-0696

対処：
BIND Dynamic Update DoS

- BIND 9.6.1-P1
http://ftp.isc.org/isc/bind9/9.6.1-P1/bind-9.6.1-P1.tar.gz
- BIND 9.5.1-P3
http://ftp.isc.org/isc/bind9/9.5.1-P3/bind-9.5.1-P3.tar.gz
- BIND 9.4.3-P3
http://ftp.isc.org/isc/bind9/9.4.3-P3/bind-9.4.3-P3.tar.gz

----------

MySQL Connector/J における SQL インジェクションの脆弱性
Sun Microsystems が提供する MySQL Connector/J は、MySQL データベースにアクセスするための Java 言語用ドライバソフトウェアです。MySQL Connector/J には、SQL インジェクションの脆弱性が存在します。

MySQL Connector/J SQL Injection Vulnerability

対処；
C.6.1.1. Changes in MySQL Connector/J 5.1.8 (16 July 2009)

SQL Injection when using U+00A5


----------

逃避中
ホラーぽいネタで話を書くと、貼られたリンク先（もう治ってますけど）が404 Not Foundでちょっぴり涼しくなれるとか（笑）。
ば・・バレてた！？

おかしいなぁ・・すぐ直したつもりだったんですけど・・
ごめんなさい

では・・ Good Night!

Internet Explorer

MS09-034 : Internet Explorer の重要な更新
Internet Explorer 用の累積的なセキュリティ更新プログラム (972260)
このURLの e っていうのは「絵で見る」の e なんでしょうかね？

詳細：
マイクロソフト セキュリティ情報 MS09-034 - 緊急
Internet Explorer 用の累積的なセキュリティ更新プログラム (972260)

CVE:
CVE-2009-1917 *reserved*
メモリの破損の脆弱性
CVE-2009-1918 *reserved*
HTML オブジェクトのメモリの破損の脆弱性
CVE-2009-1919 *reserved*
初期化されていないメモリの破損の脆弱性

このセキュリティ情報の公開時に、この脆弱性は一般に知られていましたか?
いいえ。マイクロソフトは信頼のおける情報元からこの脆弱性に関する情報を受けました。

このセキュリティ情報の公開時に、マイクロソフトはこの脆弱性が悪用されたという報告を受けていましたか?
いいえ。このセキュリティ情報が最初に公開された段階で、マイクロソフトはこの脆弱性が一般で悪用され、お客様が攻撃されたことを示す情報は受けていませんでした。また、公開された検証用コードのいかなる実例の存在も確認しておりません。

----------
MS09-035 : Visual Studio の重要な更新
Visual Studio の Active Template Library の脆弱性により、リモートでコードが実行される (969706)

詳細：
マイクロソフト セキュリティ情報 MS09-035 - 警告

CVE:
CVE-2009-0901 *reserved*
ATL の未初期化オブジェクトの脆弱性
CVE-2009-2493 *reserved*
ATL COM の初期化の脆弱性
CVE-2009-2495 *reserved*
ATL の Null 文字列の脆弱性

このセキュリティ情報のリリース時に、この脆弱性は一般に公開されていましたか?
いいえ。マイクロソフトは信頼のおける情報元からこの脆弱性に関する情報を受けました。マイクロソフトは、このセキュリティ情報が最初に公開された際に、この脆弱性が一般に知られていたという情報は受けていませんでした。

このセキュリティ情報の公開時に、マイクロソフトはこの脆弱性が悪用されたという報告を受けていましたか?
いいえ。このセキュリティ情報が最初に公開された段階で、マイクロソフトはこの脆弱性が悪用され、お客様が攻撃されたということを示す情報は受けておらず、また、公開された検証用コードのいかなる実例の存在も確認しておりません。

----------

追補
Microsoft Security Advisory 973882, Microsoft Security Bulletins MS09-034 and MS09-035 Released

Overview of the out-of-band release
While there are several vulnerabilities described in Security Advisory 973882 and MS09-035 the vulnerability we think will get the most discussion is one in ATL that allows COM object instantiation despite the killbit security check. As many of our readers remember from our previous killbit-related blog posts, the killbit is a protection mechanism useful for blocking the use of vulnerable controls.

関連するタグ [MSVIDCTL] :
tag:msvidctl

Internet Explorer Mitigations for ATL Data Stream Vulnerabilities

ATL vulnerability developer deep dive

MSVIDCTL (MS09-032) and the ATL vulnerability

----------

他機関

Microsoft Releases Two Out-of-Band Security Bulletins and a Security Advisory

MS released two OOB bulletins and an advisory
Apply this patch ASAP. The impact of a user viewing an evil web page is arbitrary code execution.

Microsoft Visual Studio Active Template Library Three Vulnerabilities

Internet Explorer Three Vulnerabilities

Microsoft Active Template Library patches published out-of-band

New Out-of-Band Patch from Microsoft
パーマリンクが有効でないのでTopLink（慌てたのかな？）

Microsoft to ship emergency IE, Visual Studio patches

----------
DIGG IN!
さぁ、パッチを充てましょう
シス管のヒト、２日後、３日後にまたあるけどがんばってくださいね
今週末は システム管理者の日ですしね～
残りの364日にはほとんど敬意を払われていないシステム管理者に対し、そのシステムの利用者等がプレゼントを贈るなどして感謝の意を表する日

Internet Explorer （一応）警報解除
Unicode crashのほうはどうなった！？

Adobe Flash Player
　２日後

Adobe Acrobat Reader
　３日後

アマチュア無線の日
日本アマチュア無線連盟
太平洋戦争勃発で禁止されていたアマチュア無線が復活した事で、戦後初めてのアマチュア無線局予備免許が、1952 年7 月29 日、全国の30人に発給されたことから、この日が選ばれたのです。

----------

YYAMCCBA
なんですかその略語は・・・
Yes Yet Another Massive Credit Card Breach Alas

The breach happened some time before 12 March 2009, and was discovered some time after 08 June 2009. Thousands of merchants and almost 600,000 credit cards may be affected.

このbreachは、2009/03/12以前に発生し、2009.06.08に発覚しました。数千のmerchantのおよそ600,000のカード情報が影響しています。

Data Security Alert - Problem Fix and Customers Notified
In the ordinary course of business, Network Solutions identified unauthorized code on servers supporting some of our E-Commerce merchants’ websites. We promptly removed this code, and all of our E-Commerce servers are functioning properly. No servers supporting networksolutions.com were affected.
ベンダー側は、現在は安全と言い切ってますが・・

----------

また Twitter・・・
Twitter spam/phish

twitterview.net

いっぱいドメイン収容されてますが、悪意判定は一つもなし

twitterview.net	THROUGH	NOT YET
19april.com	THROUGH	NOT YET
accounthelper.com	THROUGH	NOT YET
buellcoinc.com	THROUGH	NOT YET
choicetravelexpress.com	THROUGH	NOT YET
gottheworx.com	THROUGH	NOT YET
heavyequipmentsurplus.com	THROUGH	NOT YET
inservo.com	THROUGH	NOT YET
lakeo.org	THROUGH	NOT YET
leads2money.com	THROUGH	NOT YET
masterground.com	THROUGH	NOT YET
matricdance.com	THROUGH	NOT YET
myegenda.com	THROUGH	NOT YET
wemakehits.com	THROUGH	NOT YET
74.208.84.61	AS8560	1&1 Internet AG

----------

時間切れ：

最新のインジェクション情報：
Malicious Domain :
61.232.154.43:8888
xiqiji.cn
xiaominggogo4.9966.org
xiaominggogo.9966.org
yxj26.9966.org
ylzf004.cn
img.tongji.linezing.com
js.tongji.linezing.com

中国のトレント系のサイトが感染したそうですので注意を

EoF

ウザイToolBarとして有名（？）な Gaming Harber ToolBar がバージョンアップして帰ってきました

いや・・帰ってこなくて良いから、コッチクンナ（AA略）

Juicy Access Toolbar

アプリケーションの削除

フォルダの削除

レジストリ削除

あと、Toolbarにゴミが残りますが、そっちは値がランダムで変わるので気が向いたときにでも・・・

このへんかな？

----------

IEの使用自粛が解除されるまで、あと１日！ (7/29)

Flashの使用自粛が解除されるまで、あと３日！ (7/31)

Adobe Reader(Acrobat)の使用自粛が解除されるまで、あと４日！ (8/1)

世界中からマルウェアがなくなる日まで、あｔ（

----------
昼休み追加

Cisco Releases Security Advisory for Vulnerabilities in Cisco Wireless LAN Controllers

Multiple Vulnerabilities in Cisco Wireless LAN Controllers

Cisco Wireless LAN Controllerのアップデートが公開
影響を受けるのは、Cisco 1500 Series／2000 Series／2100 Series／4400 Series／4100 Series／4200 Series、Wireless Services Modules（WiSM）、WLC Modules for Integrated Services Routers、Cisco Catalyst 3750G Integrated Wireless LAN Controllersの各製品。

----------

AT&T Statement Regarding img.4chan.org
img.4chan.org から DoS 攻撃っぽいトラフィックを検出したので遮断したと・・

現在は遮断は解除されている模様ですが、digg あたりで大騒ぎになっていたようです。


閲覧注意 > 仕事中のヒト（笑）
AT&T、4chan遮断はDOS攻撃回避が目的と説明
米大手通信業者のAT&Tは7月27日、米国で人気の匿名画像掲示板4chan.orgへのアクセスが一部不能になっていた件について、DOS攻撃の回避が目的の遮断だったと説明した。4chanは日本の画像掲示板「ふたば☆ちゃんねる」の非公式海外版ともいえる存在で、アニメの画像や写真が多数掲載されている。26日に4chanの公式ブログが、AT&Tが説明なく掲示板の1つimg.4chan.orgを遮断したと発表し、ユーザーやネット擁護者などからのAT&T批判が高まっていた。

なんというか、こんな巨大なサムネを入れなくてもよさそうなものなのに・・・

----------

JUNIK again !

ま～たラトビア旅行が再燃しているようです。

起点：iframe元
71spice.info	THROUGH	71spice.info	1
7addition.info	THROUGH	7addition.info	12
8addition.info	THROUGH	8addition.info	524
8addition.org	THROUGH	8addition.org	31
add-content-filter.info	THROUGH	add-content-filter.info	537
deonix.biz	THROUGH	deonix.biz	NOT YET
hel90.biz	THROUGH	hel90.biz	NOT YET
people-vip.ru	THROUGH	people-vip.ru	NOT YET
vip-internal.ru	THROUGH	vip-internal.ru	NOT YET
213.182.197.236	AS8206	JUNIK
PDF/SWF/OCWなどのマルウェア(Mal-Crufted file)撒布先
zyejanag.cn	THROUGH	zyejanag.cn	513
cazkafuq.cn	THROUGH	cazkafuq.cn	2626
doflolab.cn	BLOCKED	doflolab.cn	1282
jagbibiv.cn	THROUGH	jagbibiv.cn	NOT YET
yawxowaj.cn	THROUGH	yawxowaj.cn	1503
zekxowiv.cn	THROUGH	zekxowiv.cn	NOT YET
195.88.191.46	AS49093	Bigness Group Ltd.
トロイ本体撒布先
xbx.tw	BLOCKED	xbx.tw	286
ake.kz	THROUGH	ake.kz	3
bmt.tw	BLOCKED	bmt.tw	107
bro.tw	BLOCKED	bro.tw	1008
crd.tw	BLOCKED	crd.tw	17
dmr.tw	BLOCKED	dmr.tw	2379
esli.tw	BLOCKED	esli.tw	118
jkk.tw	BLOCKED	jkk.tw	1337
molo.tw	BLOCKED	molo.tw	1688
orep.tw	BLOCKED	orep.tw	42
rmi.tw	BLOCKED	rmi.tw	4152
rnw.kz	BLOCKED	rnw.kz	3522
sovi.tw	BLOCKED	sovi.tw	445
trustedtrf.info	BLOCKED	trustedtrf.info	NOT YET
213.163.84.28	AS20495	WEDARE(We Dare BV Autonomous System)

やぁ、おひさしぶりですね
molo.tw

cnameに nikodomain.info という文字が見えたりしてるので、日本をターゲットにしている可能性もあります。

急いで作ったのでミスがあったらごめんなさい

なお、Googleで不正サイトへの媒体やら、感染させているやらの数が出ているにもかかわらず、THROUGH になっているものは、サブドメインがブロックされている可能性があります。

----------

Murphy said..
Whenever you need a crucial file from your hard drive, your computer will crash.

よくあること

お・・お見舞い申し上げます（汗

最近はほんと、セキュのためにComputerやってる気がしないでもないデスネ・・
本末転倒もいいとこなんですが、出口の見えないトンネルです
出口が無いのかもしれない

EoF

2009.07.28 TUE

冷蔵庫記念日
ってなってるんですが、由来も、誰が制定したのかも不明・・・
そのうち、DHMO記念日とかできそうだ（苦笑）

----------

今日はイロイロあるので簡単に逝きたいんですが・・ムリかな

----------

さよなら Filemon and Regmon

Filemon and Regmon are dead, long life to Procmon!
The most significant piece of information is that End of Life for Filemon and Regmon is September 1, 2009. Yes, in about one month, two of the most widely used tools for Windows malware analysis and system inspection will say goodbye.
ぇ～！？

The good news is that Procmon (v2.5 at this point) is the natural replacement:

Process Monitor
Process Monitor は、ファイルシステム、レジストリ、プロセスおよびスレッドの活動をリアルタイムで表示する高度な監視ツールです。Process Monitor は Sysinternals のレガシ ユーティリティである 2 つの機能、Filemon と Regmon を組み合わせたものですが、豊富な非破壊フィルタリング、セッション ID、ユーザー名などの情報を含む包括的なイベントプロパティ、信頼性の高いプロセス情報、各操作に対する統合されたシンボル サポートを備えたフル スレッドスタック、ファイルへの同時ログ記録など、多くの機能強化が施されています。独創的で強力な機能を持つ Process Monitor は、システムのトラブルシューティングやマルウェア検出において中核的な役割を果たすツールキットとなるでしょう。

こっちは使ってませんでした（というか Filemonの機能があることを知りませんでした）。
Filemonはずっと使ってたツールですが、お別れを告げることにしましょう。

Updates: Autoruns v9.52, VMMap v2.2, procdump v1.2, procmon v2.5 | Marks Blog: Pushing the Limits of Windows: Processes and Threads

----------

EC-CUBE におけるクロスサイトスクリプティングの脆弱性
EC-CUBE におけるクロスサイトスクリプティングの脆弱性
EC-CUBE における SQL インジェクションの脆弱性
EC-CUBE における SQL インジェクションの脆弱性
EC-CUBE におけるクロスサイトスクリプティングの脆弱性

ロックオンの提供するオープンソースのECサイト構築CMSである EC-CUBE に複数の脆弱性が 2008.11 の時点で報告、既に修正されていますが、今回新たに脆弱性情報への注意喚起が出されました。

脆弱性一覧

EC-CUBE は GPLベースということもあり、小さなECサイト構築に使用されています。

EC-CUBEベースでサイト構築を行っている方は今一度現在のバージョンチェックを行い、適切な処置を行ってください。

また、EC-CUBEベースのサイトでECサイトを構築しているサイトが知人でいらっしゃる方は、注意喚起をしてあげてください。

----------

Hitachi Business Logic Container Unspecified Cross-Site Scripting


Hitachi Business Logic - ContainerおよびHitachi Business Logic - Container 2におけるクロスサイトスクリプティングの脆弱性

関係のある方は（以下略）

----------

Twitter の利用が拡大している（らしい）ですが・・？

Malicious Twitter Posts Get More Personal
Additionally, the spambot uses the URL shortener Doiop.com to mask the original URL in the posts, and for a not so good reason. The URL directs to a URL that triggers a couple of redirections that ultimately lead to the download of the file RegistryEasy.exe

Twitterはその性質上、短縮URLを使用します。
別にそれが悪いわけではありませんが、マルウェアが氾濫している昨今、そうした短縮URLを「何の躊躇も無く」踏ませてしまうシステム自体に大きな問題があることは事実でしょう・・・

とりあえず

短縮URLサービスを変えればいいだけですし、exe はいくらでも改変できるので意味がない対策ですけどね・・・

----------

ラルクの歌詞をエサにして・・・

Relationships 101: Don’t write malware for Girlfriend !!
Today I saw what seems to be another dumb effort by some script kiddie to please his girlfriend.

The author attempts to show off his soft side, by dedicating the Japanese band l’Arc-en-Ciel’s hit song “Honey” to his partner.

どうせならこっちをリンク（笑）


「.exe を踏みつける時点で終わっている」
ということを周知させるのはまだまだ時間がかかりそうです。

----------

ハリーポッター絡みのspamやらscamやら・・

Not Enough Magic by Spammers Using the Potter Tale
Harry Potter ebook.
のようなフレーズでメールが届き・・・


だからなぜそうなる！？

Rumors of Emma Watson's Death Leading to Rogue AV Sites
もう遅いかも（苦笑）

----------

Center for Defense Information Compromised

防衛情報センターCenter for Defense Information
米国の国防系の情報シンクタンクのウェブサイトが、例の OWC 脆弱性攻撃のタグをインジェクションされていた模様

ここを見ている皆さんは既にコレ↓を実行しているでしょうから関係ありませんけどね～
Microsoft Office Web コンポーネント コントロールの脆弱性により、リモートでコードが実行される

----------

H1N1 Shortcut Malware
H1N1ショートカット・マルウェア
　我々は「H1N1」新型インフルエンザをエサにした、新たなマルウェアと遭遇した。
　これはショートカット・ファイルで、.LNKに名称変更されたWindows EXE実行ファイルではなく、実際のリンクファイルだ。

.exeではなく .lnk にもマルクラフト(Mal-Cruft)可能な例

これでまた、注意すべき拡張子が増えましたね

----------

読み物：
アンダーグラウンドの臭いがする「Nine-ball」，アジアに忍び寄る危機
（1）パッチ以外の回避策があるものに関しては設定変更を実施
（2）悪意あるWebサイトのURLが公開されている場合は，ファイアウォールなどのアクセス制御リストを変更
（3）攻撃コードが公開されているのであれば，攻撃トラフィックの特徴的な個所をシグネチャ化してIPS/IDSへ登録

このへんはもう定番ですね
だからこそ、危険URL/ドメイン/IP を出しています。

利用してくれる方が少なくとも２名はいるので（笑）

Gumblar(JSRedir-R)の目的がはっきりしないのは事実ですが、1und1の例なんかを見ると Gumblarによって窃取されたFTP credentialsが取引されているのでは？という指摘もあります。

----------

Adobe 'zero-day' flaw is eight months old

Adobeの今回の脆弱性は８ヶ月前に指摘されていた！？
というお話

ZDnet/Cnetの話は、１歩引いてみる癖がついていますが・・・

----------

DHCPに迫る危険



・・・・・
CVE-2009-0692

DHCP Stack Overflow in 'dhclient' script_write_params()
Upgrade to 4.1.0p1, 4.0.1p1, or 3.1.2p1
There are no fixes planned for DHCP 3.0 or DHCP 2.0, as those release trains have reached End-Of-Life.

----------

あー多かった・・

EoF

Google Blocked ! （苦笑）
www.stemcellproject.mext.go.jp の診断ページ
疑わしいサイトとして認識されています。このウェブサイトにアクセスするとコンピュータに損害を与える可能性があります。
さすが Google 先生、容赦ありません（笑）

再生医療の実現化プロジェクトのWeb改ざんについて
　文部科学省は、内閣官房情報セキュリティセンターより、平成21年7月26日日曜日、文部科学省の「再生医療の実現化プロジェクト」のWebが一部改ざんされているとの連絡を受けました。文部科学省では、直ちに、同Webの管理・運営を委託している（財団法人）先端医療振興財団にサーバーの停止を指示しました。詳細については確認中ですが、現在の状況は以下のとおりです。

文科省のサイトが改ざん　中国サイト？にリンク
中国のサイト？ってなってますけど、 .cn だからって中国だと決め付けるのは .to ドメインの人はみんなトンガの人って決めるのと同じだとおもいます（笑）

delzzerro.cn	BLOCKED	delzzerro.cn	3887
updatedate.cn	BLOCKED	updatedate.cn	6152
91.212.198.37	AS49314	NEVAL(Hosting company LIR.KZ)

NEVAL Russian Federation
となっていますが、TraceRouteしてみると直前のGatewayが
213.182.206.26 JUNIK Latvia
なのでお察しください・・・って感じですかね？（笑）

--
他の DELZZERRO 感染サイトから最終的にインストールされる（と思われる）トロイ本体の挙動
Report MD5:e41e16d0ec09d694caab8f0350add417

チェックすべき場所：レジストリ：
HKLM\​Software\​Microsoft\​Windows\​CurrentVersion\​Run
Name = braviax
Name = sysldtray
に不審な exe が登録されていないかどうか
(注) nameは変動する可能性が高いです

もし、不幸にもトロイがインストールされてしまうと、キーロガー的な挙動を行うと思われています。
別の亜種の挙動：
Mal/EncPk-JB, TrojanDownloader:Win32/Harnig.gen!P, Hoax.Win32.Renos.vchc..

mcsmc.org	THROUGH	mcsmc.org	NOT YET
micronetsys.org	THROUGH	micronetsys.org	NOT YET
chkwl.com	BLOCKED	chkwl.com	73
dnscustomsite.info	THROUGH	dnscustomsite.info	NOT YET
dvdserv.com	THROUGH	dvdserv.com	7
forummoda.net	THROUGH	forummoda.net	NOT YET
94.75.207.170	AS16265	LeaseWeb
はい・・おなじみ LeaseWebです（笑）
mnprfix.cn	THROUGH	mnprfix.cn	NOT YET
eventmng.cn	THROUGH	eventmng.cn	NOT YET
118.126.7.223	AS4837	China Network Communications
bureltanovaderta.com	BLOCKED	bureltanovaderta.com	47
1024service.com	THROUGH	1024service.com	NOT YET
66.79.178.200	AS27645	Managed Solutions Group, Inc.

installb.exe0 received 2009.07.25 02:33:29 (UTC)
現時点ではもうちょっとは検出率上がってるとは思いますが・・・