2009.07.10 FRI
----------
WARNING!
取り急ぎ次の2つのドメインの封鎖を行ってください
microsotf.cn
myb88.com
myb88のインジェクションサイトが急増しています。
----------
MS定例アップデートの時期です
July 2009 Advance Notification
Three Critical updates affecting Windows.
One Important update affecting Publisher.
One Important update affecting Internet Security and Acceleration (ISA) Server.
One Important update affecting Virtual PC and Virtual Server.
One Important update affecting Publisher.
One Important update affecting Internet Security and Acceleration (ISA) Server.
One Important update affecting Virtual PC and Virtual Server.
問題になっている2つの脆弱性 ZERO-DAY に関して、最初の DirectShow は
First, we will be addressing the issue discussed in Security Advisory 971778 concerning a vulnerability in DirectShow. As noted in the advisory, we are aware of limited active attacks and we have been working aggressively to get a quality update shipped to customers.
という非常にビミョーな言い回し・・・
現在深刻化している ActiveX周りは、どうみても間に合いそうにありません。
いずれにせよ
As you know, this information may change between now and next Tuesday. We will do our best to keep you updated if it does.
ということですので、もう少し様子見です。
そういえば、今回の IE ActiveX 脆弱性に関して、
小野寺さんのトコが沈黙してますね(苦笑)----------
で、その ActiveX 周りで、「なんで2008年初頭の脆弱性(
CVE-2008-0015)が今頃顕現化してるんだ!?」という疑問に関する答え・・・(かな?)Questions about Timing and Microsoft Security Advisory 972890くどくど書いてますが、
Another thing our investigation showed is that there was no known use for these interfaces in Internet Explorer. In fact, as part of our security work on Vista, these interfaces had been disabled in Internet Explorer.
(超訳)普通に知られているインターフェイスではなかったし、Vistaでは直してるからね! XP?ナニソレ?
ってことでしょうかネ?
----------
FUD : fear, uncertainty and doubt
よくセキュリティ・ベンダーが使うマーケティング手法で、恐怖(fear)、不安(uncertainty)、疑念(doubt)を煽り、不安感を払拭するためにその商品を購入しなければならないような錯覚に陥らせること。
OpenSSH 0day FUDSo, I'd like to ask everyone not to spread the FUD anymore. Every piece of evidence we received so far points only to brute force attacks on SSH servers (which have been around for years!). Do keep an eye on your server and install all patches.
というわけで、現在拡散している OpenSSH への過剰な不安は慎むべきなのかもしれません。
現時点での最新パッチを充て、(あるかどうか不明な)ZERO-DAY に踊らされること無く情報の自己判断を行うべきでしょうね
----------
Hijacked SSL
昨日書こうと思ったけどペンディングにしてあった
Phishing Toolkit Attacks are Abusing SSL Certificatesの訳文が出てました。
SSL証明書を使う詐欺サイトが急増、乗っ取りサーバで運営
「鍵マークが出ても過信は禁物」、SSLサイト悪用のフィッシングが急増 なんか全然違う印象を受けるんですが・・(笑)
SSLは通信の暗号化と経路の確実性を保障するものであって、通信相手の安全性を保障するものではありません。特に、共用SSLが増えている昨今、そのサイトが本当に自分が通信したい相手なのかどうかを知るためには、いちいちCertificate(証明書)を開いて、その発行対象を確認するしかありません。
EV-SSLに非対応なブラウザ(特にIE6!)を使用している人は、すぐにでも対応ブラウザに変えたほうがいいのは事実ですが、EV-SSLはその会社の存在証明を必要とするだけ(他にも色々ありますが)であって、内容そのものを保障するわけではないことを認識する必要があります。
特に、共用サービスに EV-SSL が使われるようになると、結果的に EV(Extended Validation)の意味がなくなってしまい、その辺の安価なSSL となんら変わらなくなってしまいます。
また、Gumblar/Geno のように、対象のID/Passwordを窃取してしまうような攻撃が成立すると、陥落サイトに山のようなバーチャルホストとドメインを投げ込み、詐欺サイトの巣窟に仕立て上げることも不可能ではありません。
いずれにせよ、有価情報(クレジットカードやPayPal情報)を入力する際の SSL 画面では自己防衛的にいくつかの防護策を講じる必要がありそうです。
・MD5 Baseの証明書をいまだに使っているとこは信用しない
・発行対象と運用会社が違うSSLを信用しない
・オレオレ証明書・・・は論外ですね(苦笑)
安すぎるSSL ttp://www.namecheap.com/learn/other-services/ssl-certificates.asp
namecheap -- $9.95 RapidSSL
をいをい・・
----------
Apache HTTP Server の mod_imap および mod_imagemap におけるクロスサイトスクリプティングの脆弱性
Apache HTTP Server の mod_imap および mod_imagemap におけるクロスサイトスクリプティングの脆弱性WanBooster:
対象となる製品のバージョン:2009年5月11日以前の全バージョン
CVE-2007-5000--
Apache HTTP Server の mod_imap および mod_imagemap におけるクロスサイトスクリプティングの脆弱性Apache Tomcatにおける情報漏えいの脆弱性MCOne :
対象となる製品のバージョン:MCOne V4.9.x
CVE-2008-5515なぜ今頃・・とか思っちゃいけません!
----------
あー長い・・
EoF