2009.07.11 SAT
暑い・・夏は暑いのがあたりまえなんですが・・
----------
wordpress 2.8.1 now available
WordPress 2.8.1
root / branches / 2.8
WordPress Fixes Multiple vulnerabilities
WordPress 2.8.1 has been released to fixes many bugs and tightens security for plugin administration pages. Some admin pages added by certain plugins could be viewed by unprivileged users, resulting in information being leaked. Not all plugins are vulnerable to information leak but WordPress advise upgrading to 2.8.1 to be safe.
いくつかのプラグインの admin pageが権限のないユーザからも見えてしまい、結果情報がリークしてしまう問題が修正されています。全てのプラグインがこの影響を受けるわけではありませんが、2.8.1へのアップデートを推奨します。
download now!
The latest stable release of WordPress (Version 2.8.1) is available
----------
DDoS to USA and South Korea because Bot
韓国、米国で発生している DDoS 攻撃に関する注意喚起
--
Born on the 4th of July
We've observed a number of malware components that are responsible for the attacks
W32.DozerTrojan.Dozer213.33.116.41 through TCP port 53
216.199.83.203 through TCP port 80
213.23.243.210 through TCP port 443
W32.Mydoom.A@mmW32.Mytob!gen--
Latest Updates on Ongoing DDoS on Governmental/Commercial Websites in USA and S. Korea訳:
米韓へのDoS攻撃はありふれた手口、都合のいい解決策は見当たらず根本的な問題を解決するためには、DDoS攻撃そのものに対処することよりも、多数のユーザーが簡単にマルウェアに感染させられてしまう状況に対処することだとSANSは指摘。
ただし、エンドユーザーに家庭で使うPCのセキュリティ強化は期待できず(simply lack the skills)、また、期待すべきでもないとしている。セキュリティ強化の責任はユーザーに最も近い立場にあるインターネットサービスプロバイダーにシフトすべきだとSANSは提言し、それができない限りは、今回のような問題が今後も起きるだろうと予想している。
まさに、そのとおりなんですが、根本的な対策を打ちにくいのも実情です。
特にCATVやマンション内配線で、ルータ無しの直結線を行っている人が多すぎます(嘆息)
参考:ボット駆除活動宣言 -- CCC/総務省
--
米国や韓国のサイトを狙う大規模攻撃、原因はボットネット --
MYDOOM Code Re-Used in DDoS on U.S. and South Korean Sites感染した場合、(不幸にも)攻撃対象になるサイト一覧:
WORM_MYDOOM.EAamazon.com やら yahoo.com やら含まれて居ますね
--
ここを見てる人に言っても釈迦に説法なのですが、周辺(親や地域、上司や部下)などで比較的ネットワーク系の知識の薄いであろうと思われる方がインターネット接続している場合、ちょっとだけ注意喚起をしてみるのはいかがでしょうか?
現在、
ルータは非常に安価なものですので、これを入れるだけで攻撃を相当緩和することができます。セキュリティソフトに関しては、とりあえず無料のものを入れて貰うか、契約しているプロバイダで割引特典のあるセキュリティソフトを導入することを薦めてみてはいかがでしょうか?(後のフォローをISPに押し付けれるのでラク・笑)
----------
ActiveX (msvidctl.dll)攻撃・その後
Zero-Day Vulnerability in Microsoft Msvidctlインジェクション部は、cNotes様のとこの解析とほぼ同じような流れで、残りのステップを解析しています。
多少、頭痛を伴うステップ:
CVE-2008-0015の脆弱性を悪用し、"Malcrafted"(悪意に基づいて作成された) .GIF ファイルの NumberOfBytesパラメータに従い、0x34h バイトのデータを読み込ませます。しかし、読みこまれる bufferの実サイズはたった4バイトしかなく、ActiveX関数はその実サイズのチェックを行っていません。こうして読み込まれた残りの部分には 0xffffffff と 0x0c0c0c0c が構造化例外処理(SEH)を誘引させるために記述されています。
こうして、不正規に誘導されたチェイン構造に従い、0x0C0C0C0C 番地のシェルコードが実行させられてしまいます。
あとはトロイの実行ファイル(.exe)を実行され、バックドアをOpenさせられます。
幸いなことに、現時点でのトロイ本体のファイルは
svchost_2_.exe received on 2009.07.06 08:55:36 (UTC) 29/41(70.73%)と、多数のセキュソフトで検知されていますので、それほど危険というわけでは無いようです。
逆に言えば、30%のセキュソフトが検知できてないわけですが・・・
特に nProtectが検知してないってドウイウコト?・とか思ったり・・
----------
Koobface周り
Koobface.DU returns to TwitterKoobface Increases Twitter Activityセキュリティ・トラブルの尽きない Twitterですが、いいかげん短縮URLを禁止にしたほうがヨクナイ? とか思う今日この頃・・
----------
DDoSでヒドイ目にあっている
MDL様が更新再開の様子。が、forumはまだおかしいようです・・
DDoS対処、タイヘンそうです
----------
NoScriptのIFRAME処理がおかしいFirefox 3.5b3の頃からですが、NoScriptで<iframe>を禁止してるのに、表示されてしまうことが稀にありました。
そのうち治るだろうと思ってたのですが、Fx 3.5の正式版になったら更に酷く……ググって見たけどそれらしい情報も見つけられず……
う・・まだ 3.5 for Win 入れてない(苦笑)
というか出向先なので、自分の好みの環境を構築できないんですよね・・・
(こっそり VM上のLinuxには 3.5 入ってるのでちょっと試してみようっと)
----------
ロシアのアドレスからスパムコメントが飛んでくるようになりました(笑)
300/day くらい・・・
全部スパム逝きじゃぁ!
コメントを書いて消されちゃったって人は、ひょっとしたら操作ミスで消されているかもしれませんので、ごめんなさい
EoF