2009.07.21 連休の後・・・
2009.07.21 the day after
Belgium (.be) 
独立記念日
昨日の渋滞に巻き込まれた方、本当にお疲れ様でした。
----------
昨日の Firefox 3.5.1 脆弱性への反撃
milw0rm 9158 “stack overflow” crash not exploitable (CVE-2009-2479)
In the last few days, there have been several reports (including one via SANS) of a bug in Firefox related to handling of certain very long Unicode strings. While these strings can result in crashes of some versions of Firefox, the reports by press and various security agencies have incorrectly indicated that this is an exploitable bug. Our analysis indicates that it is not, and we have seen no example of exploitability.
ここ数日、Firefoxに関してのバグ報告が飛び交っており、それは「非常に長いUnicode文字列の取り扱い」に関連したレポート(SANSを含む)だと思われます。これらに示された、特定の文字列によってFirefoxのいくつかのバージョンにクラッシュが引き起こされますが、それらのレポートにあるような不正利用可能(exploitable)なバグであるという幾つかのプレスやセキュリティサ機関での検証は誤ったもの(incorrectly)です。我々の分析ではそれが発生しないことを示しており、不正利用可能な例を一切確認していません。
On Windows, Firefox 3.0.x and Firefox 3.5.x are terminated due to an uncaught exception during an attempt to allocate a very large string buffer; this termination is safe and immediate, and does not permit the execution of attacker code.
Windows上において、Firefox3.0.xと 3.5.xは非常に長い文字列バッファを実行しようとした際に、実行不能な例外処理として停止します。この停止は安全、かつ即座に行われるもので、攻撃者コードの実行を許す性質のものではありません。
Mac/Linuxに関しては、今のところ Drive by Download 攻撃の例が少ないのでアレですが、いずれにせよ今回の一件は Milw0rmに「釣られた」のかもしれませんね(苦笑)
まぁ、確かにクラッシュ=リモートコード実行可能では無いのは事実です。
※正確にはクラッシュではなく、"terminated due to an uncaught exception" と言っていますので性質が違います。
----------
WordPress 2.8.2
WordPress 2.8.2
WordPress 2.8.2 fixes an XSS vulnerability. Comment author URLs were not fully sanitized when displayed in the admin. This could be exploited to redirect you away from the admin to another site.
WordPress 2.8.2 は XSS脆弱性を修正しました。
コメント投稿者のURLがAdmin権限で表示した際に完全に処理(sanitized)されておらず、Adminから別のサイトに対してリダイレクトされてしまう可能性がありました。
もう少し詳しい解説:
Why is WordPress 2.8.2 a Critical Update?
WordPressオーナーがコメントの投稿ページを開こうとした際に、全く予期しないページにリダイレクトされるということは、そこが Drive by Download のウィルスサイトだったり、
こんなサイトだったらどうします?
ということですね。
WordPress 2.8.1 サイトオーナの方は大至急(ASAP)にアップデートしてください。
----------
about Waledac ...
Waledac—an Overview
右に居座ってる腕組んだ先生(Canadian Phermacy)で有名な Waledacなのですが、とにかくソーシャルエンジニアリング的な手法を駆使し、ありとあらゆるスパムで感染者を拡大させているようです。
最近はマイケルジャクソン氏の死去に伴う色々な悪さをやってましたね・・・
今はまだ英語・スペイン語あたりが主流ですが、単純な翻訳を通しただけの日本語スパムで時事ネタが飛んでくるようになると引っかかってしまう人が拡大するのは避けられないでしょう。
もう一つの雄、Zbotもこんな感じでがんばってます(苦笑)
Photos From Michael Jackson’s Memorial Mask Malware
※ポルトガル語で飛んできたスパム
Trojan-Downloader.Win32.Banload.bej, Downloader, PWS-Banker, Mal/Generic-A
----------
Symbian should be called "Sexy Spammer"?
Q & A on "Sexy View" SMS worm
応答が面白かったので(英語のわかる方は)読んでみてください(笑)
「Sexy View」SMSワームについてのQ&A
Q: Which phones are affected by this?
A: All Symbian Series 60 3rd edition phones by Nokia, LG and Samsung. So, for example, best-selling phones like Nokia N95 or Nokia E71.
日本にはあまり関係ない話かな?
Symbian 60 series 3rd Gnと思われる機種:
SoftBank X01NK | SoftBank
SoftBank 705NK|SoftBank
SoftBank X02NK|SoftBank
グローバルモデル | SoftBank
FOMA NM850iG サポート情報
FOMA NM705i サポート情報
FOMA NM706i サポート情報
----------
ThePlanets
Beware of malicious Rapidshare links sent to you by a friend.
RapidShareやMegaUploadあたりのファイルをホイホイ信用しないのは、ここに来ている方には当然なわけですが(きっとそうですよね!)
Sophosが The Planet(AS21844)を防弾ホスト認定しました(笑)
----------
Inj3cti0ns
インジェクション FireFox3.5 Heap Spray Vulnerabilty 追記1
| bvgg6.cn | BLOCKED |  bvgg6.cn | 470 |
| 59.34.197.151 | AS4134 |  CHINA-TELECOM | |
| 3b3.org | BLOCKED | 3b3.org | 470 |
| 66aaaaaa.com | THROUGH | 66aaaaaa.com | 8 |
| 8866.org | THROUGH | 8866.org | 5270 |
| h65uj.8866.org | BLOCKED | h65uj.8866.org | 30 |
| ds355.8866.org | BLOCKED | ds355.8866.org | 4 |
| qvodwf.com | THROUGH | qvodwf.com | NOT YET |
| buffer-ad.qvodwf.com | THROUGH | buffer-ad.qvodwf.com | NOT YET |
| 59.34.197.154 | AS4134 | CHINA-TELECOM | |
この多段攻撃に使用されている他のドメイン:
hongse88.com (トロイ本体撒布先)
s31.cnzz.com (.php リダイレクション)
js.tongji.linezing.com (js リダイレクション)
中国語なので他はわからず・・・
----------
いつだってねらわれるのはカモからカモだから狙われるのか、狙われるようなことをやるからカモなのか・・・
永遠の課題かナ?(笑)
----------
EoF