UnderForge of Lack

自民党の歴史的敗北の日？

野菜の日／ベジタブルデー
とうぜん、8(や)3(さ)1(い)のゴロあわせ・・

マレーシア 独立記念日

----------
Apple "純正" Malware Protection = 2

つい先日発売された SnowLeopardに搭載された Malware Protection 機能ですが、
Snow Leopard's malware protection only scans for two Trojans
Snow Leopardのマルウェア保護機能の対象は2種類のトロイの木馬だけ
AppleのSnow Leopardへのアップグレードに組み込まれたマルウェア保護機能は、もっともよく出回っているMac OS Xの2つのトロイの木馬（OSX.RSPlugおよびOSX.IService）の5つのシグネチャを持つ、単なるXProtect.plistファイル以上のものではないようだ。
と酷評を受けています（笑）

もっとも、Apple MacOSを狙うMalwareの報告数とその検体が少ないことも事実で、DNSChangerに早急に対応してもらえれば、あとはシグネチャの増加を淡々と行ってくれればよいだけの気もします。
前提として、今後爆発的に MacOS X 用ウィルス/マルウェアが増加しないという条件がつきますが・・

ていうかですね
従って、この恐ろしく控えめなシグネチャベースも、ユーザーがBitTorrentからマルウェアをダウンロードした場合には、台無しになる。
そもそもTorrentから怪しげなソフトを落としてる時点で論外のような気もしますが？

参照：
Snow Leopard's Xprotect malware scanner currently protects against two files, more could come -- 9to5mac
とある(MacOS)セキュソフトとの比較
Intego VirusBarrier X5 Compared to Apple’s Mac OS X 10.6 Snow Leopard anti-malware function
ウチだって！(by Sophos)
Snow Leopard malware protection system: What does XProtect do?

----------
Firefox Spy-Add-ons

FlashPlayer周りの問題もなかなか減らないわけですが、そうするとコンナモンも出没するわけで・・
Firefox Add-on Spies on Google Search Results
※ウィルス詳細はTSPY_EBOD.Aらしいですが、書いてる最中はつながりませんでした。

Fake Adobe Flash Player Monitors Your Google Searches
[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions]
GUID="191d3f14-ff4c-4895-bdea-db54526cb49a"に登録されます。
登録名は "Adobe Flash Player 0.2"・・・なにそのバージョンは・・？
だいたい、FlashPlayerは「アドオン」ではなく、「プラグイン」セクションに表示されます。
※TrojanHunter はMichel Internet Securityの提供するトロイの木馬型に特化した検出ツールです。

このへんかな？
VirTool:Win32/DelfInject.gen!T, VirTool.Win32.DelfInject, W32.SillyFD -- 2009.08.18

このアドオンがインストールされると、SERP(検索結果）がモニターされ、どっか知らない場所に送信されます。

出所不明のアドオンを入れない！　ということですね（笑）

----------
New AV: Immunet

Immunet Protect - Cloud and Community Malware Protection
新しいスタイルのAnti-Virus/Malwareソフトが8/19にベータリリースされました。
この Immunet は既存の セキュリティソフトに新しいスキャニングレイヤーを追加するもので、クラウドベースによる新しいレイヤーのビヘイビア検出をフィードバックしています。

ちょっと面白そうなので、試してみようかな

Immunet

----------
Induc

A short history of Induc
どこがshortなんだよ！

先日紹介したMcAfeeのレポートにもありましたが、ブラジルのマルウェアコードの作者がInducに感染しており、感染コードは世界各所で使用されていることから、inducの作者はブラジルに居る可能性が高いと指摘、
更に、正統で問題の無いアプリケーションベンダーが、こうした侵食型マルウェアに侵された場合、ホワイトリストに登録されている「安全性」が信頼性を失う結果にもなりかねないと警鐘を鳴らしています。

QIP
----------

オチなし

EoF

焼き肉の日
8月29日の「829」が「焼き肉」と読めることから。
そういえば近所のスーパーなんかでも 毎月29日は肉の日だったかな？

文化財保護法施行記念日

秋田県の記念日
きりたんぽ・・・・・

----------
選挙

政治系の話は一応しないことにしてはいましたが、とりあえず

明日が投票日です

---------
AV 2010

そろそろ、セキュリティソフトの年号変更の時期なんですね

ノートンベータセンター
トレンドマイクロ、「ウイルスバスター2010」の公開ベータテストを開始(8/15終了)
Internet Security 2010
※DoS問題は（一応）解消したそうです。
McAfeeは見当たらず・・

そして・・・当然ながら
Prepare for the new upcoming 2010 AV products.
PC Antispyware 2010

のような偽セキュソフトもアップデート（？）しています。

聞いたことのないようなアプリに「ウィルス感染の疑いがあります」と言われても必要以上に恐れないようにしましょう。

----------
FakeAV は地方のイベントにも出没

上述の偽セキュソフトは、アノテコノテで「踏ませ」ようとするものですが・・

Are Cyber Criminals Targeting Local Events In Your City?

スペインのPanda Lab.のカリフォルニア支局は L.A の Angels National Forestの側にあるようでして、公園で発生している山火事の情報に関して、Google先生にお伺いを立てたところ・・・？

blocknote.terrainformatica.com
mg6a.info
という流れで、偽セキュソフトに誘導されるというもの・・・

mg1a.info の挙動
Analysis report for hZZp://mg1a.info/in.html?s=sb
インストールされるFakeAV:
2009.08.08 11:41:47 (UTC) Result: 15/41 (36.59%)

マルウェア作者も、その辺に住んでるんでしょうね・・・タブン

----------
apache.org DOWN

Apache.org Compromised
According to Apache, the attacks began at 18:00 UTC on August 27th and were detected at 07:45 UTC on August 28th.
apache.org compromised
one of their servers has been compromised due to an SSH key being exposed.
Apache.org hack
Apache.orgがハック

SSHのキーが奪われたのかどうかわかりませんが、バックアップ実行用のSSHキーが不正に使用された模様。

apache.org downtime - initial report
To the best of our knowledge at this time, no end users were affected by this incident, and the attackers were not able to escalate their privileges on any machines.

しかし・・・
backup用のサーバの名前は "minotaur.apache.org" なのかぁ・・（苦笑）

あーそういえば、どっかの某有名企業のロードバランサー分割サーバのresolve取ったら
succubus(n).xxx.ne.jp だったなぁ（笑）

----------
spype'ed skype

VoIP(IP経由で音声通話を行う仕組み)で巨大なシェアを持つ（と思われる）Skypeですが

Trojan.Peskyspy—Listening in on your Conversations
Skypeを盗聴するトロイの木馬、ソースコードがネットに公開
Skypeには通信内容を暗号化する仕組みを備わっているが、Trojan.PeskyspyはWindowsの音声処理に関するAPIを悪用してSkypeのプログラムと音声デバイス（マイクなど）の間に介在し、暗号化されていない状態の通話を盗聴する。

Skypeの暗号化ロジックが破られたわけではなく、Skypeに渡る前の音声データをフックするタイプの物ですね。さしずめ、"VoiceLogger"ってとこでしょうか？（笑）

ほんとにコレがそうなのかは不明ですが、現時点では Norton先生のみ検出・・・？
SkypeDLLInjector.exe received on 2009.08.27 22:13:51 (UTC) Result: 1/41 (2.44%)

----------
Fight against Zombies

Support for simple explain of Botnet & PC zombie

Zombieは怖いですよね～

SCO、UNIX著作権に関する判決の破棄を受けて死の淵からよみがえる
あ～怖い怖い

----------
MSRT August Top Detection Reports
This month the MMPC added a new threat family, Win32/FakeRean, to the MSRT. You can refer to Hamish’s blog post, “Win32/FakeRean and MSRT” for more details on this fake, or rogue, security software. As of August 24, the MSRT had cleaned FakeRean from 162,328 infected machines. The following table shows data gathered from the MSRT since its August release.

Family	ThreatCount	MachineCount
Taterf	544,662	463,000
Renos	308,789	228,973
Alureon	249,101	211,441
FakeRean	219,359	162,328
Bancos	173,134	158,152
Koobface	274,769	134,139
Frethog	140,218	132,827
Cutwail	166,284	110,840
Rustock	98,673	90,788
Tibs	93,175	84,081

Win32/Taterfってヤケに古いんですけど、最近の a0v系もコレで検出してるのかな？

om7890.com

----------
犯人はヤ・・

大規模なSQLインジェクション攻撃、“ホシ”は単独犯の可能性
「現在発生している大規模な3つのSQLインジェクション攻撃は、同じアタッカーが発信元になっているようだ。使用されているドメイン名から追跡した結果だが、マルウェアなどをばらまく目的のためだけに使われるドメイン名『マル・ドメイン』として使用されているドメイン名のうちの7つは、同じ名前と住所で登録されていることが判明した」

同一犯っていうか、犯罪組織なんじゃないでしょうか？

----------
EV-SSLプレゼント
ブラウザの鍵マークにはもはや意味が無い？―Comodo Group CEO が語る EV SSL
※Comodo Group の日本法人である株式会社コモドジャパンから、japan.internet.com の読者向けに EV SSL（1年間有効）を抽選でプレゼント。応募はこちらから。

EV SSL 読者プレゼント！
「japan.internet.com」の読者へお知らせ
信頼性が最も高く高品質な「EV SSLサーバ証明書」をプレゼントします。

さすがcomodo 太っ腹だ～
なんですが、個人でEV-SSLを入れるのは、存在証明とかいろいろあって問題（主として入れる側の）もありそうですが・・

----------
明日から１週間、PCが使えなくなる環境下をうろうろしますので、不定期になります

EoF

民放テレビスタートの日・テレビCMの日
1953年8月28日午前11時20分に、日本テレビが本放送を開始したことに由来。2005年に制定。
このとき同時に、日本初のテレビコマーシャルも放送された。

----------
IRCで怒られたこと（半分私信）

最近、セキュリティというよりアップデート関連の話が多くなって、ワケワカラナクなった
といわれました。ハイ。

確かに、脆弱性アップデート情報のウェイトが高くなってますね

ただ、うちは特定のセキュリティソフトをお勧めしたりする場所じゃないので、脆弱性に関して「セキュソフト入ってれば大丈夫」よりも、確実に脆弱性を塞いで起きましょう～という立ち位置だったりします。
副題の prevent everything ってのは実はタイヘンなんです（笑）

構成とかは試行錯誤でやってますが、基本は好き勝手書いてるということでご了承ください（拝）

----------
Malware List via GSB

Malware Statistics Update

グラフを見ると一目瞭然なのですが、Gumblarやら8080やらが増え始めた 5月あたりから Malware Domain の数が急増しています。

このGSB(GoogleSafeBrowsing)は、無料で一般にも公開されていますが、なかなかよく出来ていて面白いです。
が・・・
更新の頻度が激しいため、MySQL上に溜め込んだHashデータがとうとう５０万件を突破（苦笑）

mysql> select count(*) from hash;
+----------+
| count(*) |
+----------+
| 511803 |
+----------+
1 row in set (0.00 sec)

Removedが多いので、現在もアクティブなのは

mysql> select count(*) from hash where flag = 1;
+----------+
| count(*) |
+----------+
| 394510 |
+----------+
1 row in set (1.27 sec)

こんなとこですけどね～

----------
またTwitterの重大な問題？

Twitterの重大なセキュリティ問題がまだ未解決状態のままだ

Massive Twitter Cross-Site Scripting Vulnerability

Twitterに深刻な脆弱性？　つぶやきを見ただけでアカウント乗っ取りの恐れ
Twitterは、Webアプリケーション開発において、外部から提供されたデータを盲目的に信頼するという基本的な過ちを犯したと筆者は断言。 Twitterでは指摘を受けて問題を解決したとしているが、同社の取った措置では解決になっていないとブログ筆者は反論している。

セキュリティ的な懸念が尽きないTwitterです・・・

----------
Adobe download manager re-flash'ed

もう１社、セキュリティ的な懸念が尽きないとこがありましたね・・？

New Version of Download Manager for Adobe Reader Available
新しいダウンローダの提供により、Adobe Reader Installerのローカル権限委譲の問題が緩和されます。
それに伴い、
C:\Program Files\NOS
C:\Program Files(x86)\NOS
の中に何かファイルが入っている場合は全部消去し、
ファイル名を指定して実行の欄に "services.msc"とタイプして、サービス一覧を開き、"getPlus(R) Helper"を消してください。

・・・・
だから、これを一般のひとにヤレとおっしゃる？

----------
[vulnerabilities]
--
bingo!CMS core および bingo!CMS におけるクロスサイトリクエストフォージェリの脆弱性
JVN#68640473: bingo!CMS core および bingo!CMSにおけるクロスサイトリクエストフォージェリの脆弱性

--
Drupal Go - url redirects Module Multiple Vulnerabilities
update: gotwo 5.x-1.4
update: gotwo 6.x-1.1

----------
流出 その・・・いくつ？

続・クレジットカード情報流出(2)：イーサプライ、クレジットマスター他

通販サイト「イーサプライ」不正アクセスでカード情報5620件流出

参考：
「アミューズ」での情報流出事件、お詫びに500円分の金券進呈
ソフトバンクが500円にみそ汁つけてれば今頃おわびにはみそ汁がつくように…。

あぁ・・あのストラップとか付けてくれればいいなぁ（違）

----------
a0v.org 解析

Following the Injection - a0v.org

解析自体は、cNotesさん、FFXI(仮)さん、ScanSafeさんのものとあまり変わらないのですが、脆弱性使用フローチャートが面白い（不謹慎かも！？）
これでもか！というくらい既知の脆弱性を試そうとする手口が「執念」を感じさせます。

----------
何故あなたは古いままのブラウザを使い続けるのですか？

Why some Firefox users choose not to update

Why People Don’t Upgrade Their Browser – Part I
Why People Don’t Upgrade Their Browser – Part II
“Did we ever explicitly tell Firefox 2 users that they need to update to keep getting security fixes?”
What an excellent question/point.
Many users may think about security issues and the importance of updates/upgrades less than they do about a new feature or functionality that they really don’t care for.
Or they may just lack the knowledge.

だって、Flashの古いバージョン放置が80%のこのご時勢なんですもの・・・

----------
Malware作者もセキュリティには気をつけましょうね

Brazilian Malware Writers Stumble Again
So, please, malware writers, repeat after me: “I must install anti-virus software. I must install anti-virus software.”
笑

Delphiワームはいまのところ、何もしないワームですので、あまり神経質になる必要はありません・・・
が、そうしたものに「感染してしまう環境」の方は以後注意しましょう～
もちろん、ペイロードを持つ亜種に変貌する可能性はありますが

【続報】DTMマガジン2009年9月号収録のフリーウェアへのウィルス感染について

----------
EoF

男はつらいよの日
1969年8月27日に『男はつらいよ』シリーズの第一作が公開されたことに由来。
男はつらいよ 40周年

----------
Microsoft Update ... ?

Microsoft Windows オペレーティング システム用の 2009年 8 月累積的なタイム ゾーンの更新
更新プログラム夏時間 (DST) に対応するタイム ゾーン データ変更複数国は、この資料で説明されているとします。この更新プログラムでは、その他 DST 関連の変更、タイム ゾーン関連の変更、および設定関連の変更も含まれます。これらの変更の一部が記載されてされて製品を最初にリリースされたために発生しました。
Windows Vista と Windows Server 2008 のアプリケーション互換性更新します。
Windows Vista アプリケーション互換性更新は Windows Vista の一般的なアプリケーション互換性に関する問題に対処するソフトウェア更新です。 マイクロソフトは Windows Vista および Windows Server 2008 のアプリケーション互換性アップデートを定期的に解放します。

なんか勝手に再起動されてました（VMwareをぶった斬るのはヤメテ）

で、こっちのほうは適用されていないっぽい・・
Windows で自動再生機能への更新します。
Windows XP、Windows Vista の場合は、および Windows Server 2003 をで自動実行エントリが大容量記憶装置があり、ルート ディレクトリ内の書式設定された有効、AutoRun.inf ファイルが含まれているすべてのデバイスの読み込まれます。 これには CD、DVD、USB サムドライブ、外部ハード_ディスク、および大容量記憶装置として自体を公開するボリュームが含まれます。 この更新プログラム自動再生] の自動実行エントリを無効にされ、表示のみのエントリは、CD や DVD から作成されるドライブ。 実際には、これを防ぎます自動再生 USB メディアを使用します。

Microsoft Update の OPTION にも KB971029は表示されないので、手動で入れろということなのでしょうかネ？

Windows Autorun (自動実行) 用の更新プログラム (967940)


そして再起動・・

----------
ISPがダークサイドに堕ちてしまったら？

Investigations on a Cybercrime Hub in Estonia
Tartuはエストニア第２の都市ですが、そこで稼動しているとあるISPは年間５百万ドルの売り上げと、70人以上の従業員を抱える（見た目上）真っ当な企業でした。
しかし、裏面は違いました。現実には 2005年以降の大規模なサーバー犯罪ネットワークの本部（の一つ）として使用されており、Tartu従業員のアドミンサイトには、トロイの木馬が仕込まれたcodecがホスティングされており、感染したボットネット端末をコントロールするC&Cとして機能していました。これらの犯罪を効率的に運用するために、複数のダミー(daughter)会社がヨーロッパとUSのあちこちに散在し、それらのダミー会社は短期間に設立され、インターネット上で悪事を展開しています。そして、ネット上で悪評が立ったり上位プロバイダとの契約が切れると消滅しています。

合法のISP、正体はサイバー犯罪ネットワークの隠れ蓑
「今」大丈夫な企業だからといって、「将来的に」大丈夫とは限らないわけで。日本の大手プロバイダの何処かが明日あたり乱心して、裏でよろしからぬ商売をはじめるかもしれないわけです。

結局のトコは自己防衛するしかないんですけどね～

あ・・ダークサイドといえば、変な連載がありますね？
Security Wars

関連？
IceGold is NOT Back
IceGoldは帰還せず
お金を預けるなら、どこか別の所にした方が良いだろう。

----------
Snow Leopard bite you

Snow Leopard might crash your apps
あなたがMacOS依存症であるとして、私はあなたにWindowsユーザにかつて行ったのと同じアドバイスをするなら、Test! test and TEST! しましょう。最良の方法なのですが、時として悪い結果になってしまうかもしれません、注意しましょうね。
参考までに、Microsoftは新しいOSをリリースする際には、少なくとも公開ベータテストを行い、リリース候補評価版(RC)を出してテストを繰り返しています。

いやはや・・まったくそのとおりで
その点はMicrosoftに軍配が上がりますね
※Snow Leopard の互換性リスト・・・が開けませんでした。

後、Malware作者は容赦してくれないらしく・・・
Bogus Snow Leopard Update Sites Lead to DNS Changers
偽のSnowLeopard Updaterにより、DNS汚染するサイトへの誘導が確認されているようです。

アップデートは必ず Apple のサイトから行いましょう。

----------
Autonomy KeyView

昨日、Lotus Notes の話をしたような気もしますが、Excelファイルを展開する際の Autonomy KeyView SDK は他にも使われている様子です

Autonomy KeyView SDK Vulnerability

Potential security issue with Lotus Notes file viewer for Microsoft Excel
Security Advisories Relating to Symantec Products - Symantec Products Autonomy KeyView Module Vulnerability

The original reporters of the vulnerability state that users of other applications that use an affected version of the Autonomy KeyView SDK may wish to remove the xlssr.dll filter module or comment out the reference to xlssr.dll in the KeyView.ini file distributed with the affected application.

----------
Cisco製品も多いなぁ・・

Cisco Lightweight Access Point Over-the-Air Provisioning Manipulation Vulnerability

Ciscoの無線LANアクセスポイントに脆弱性、エクスプロイトが出現
セキュリティ企業のAirMagnetがCisco Wireless Access Pointの脆弱性を発見。修正パッチはまだ公開されていない。

Cisco over-the-air-provisioning skyjacking exploit
The quick summary: Establish basic configuration options like encryption keys and preferred controller lists before deploying the device.

No ETAっと

----------
Gumblar/Geno 挙動検証結果

Webからの脅威「Gumblar」（ガンブラー）

いまさらすぎ？（笑）

----------
なぜ Adobe パニックが発生するのか？

80 per cent of users surf with vulnerable versions of Flash
around 80 per cent had a vulnerable version of Flash installed. Attackers could infect these computers with malware using crafted website-based Flash applets. Trusteer also found vulnerable versions of Adobe Reader on almost 84 per cent of the computers studied.

約80パーセントのユーザーが古いFlashをインストールしたまま使用しており、ウェブサイト上から悪意をもって作成されたFlashを使用して攻撃を容易に成功させられる。また、Acrobat Readerの脆弱バージョンを放置しているユーザは84%に上る。

Flash Security Hole Advisory

そりゃ、無くならない訳ですね・・orz

----------

EoF

ナミビアの日
国連が制定した国際デーの一つ。(EN)
1990年3月に独立した、アフリカ南西部にあるナミビアの自立を援助する日。

ユースホステルの日
1909年にリヒャルト・シルマンが計画した遠足（８泊徒歩旅行）中、大雨に遭って小学校に避難宿泊した際に、若者が安全に宿泊できる施設の重要性を痛感、ユースホステルの運動を展開するきっかけとなった日。
今年は100周年に当たる

----------
Adobe's Security descent upon ground

Flash attack vectors (and worms)
Now, before digging into what this worm does, I'd like to point out how dangerous embedding SWF files can be. It is very common that authors put basic XSS protection into their programs (for example, preventing users from entering the tag), however, Flash files can also be dangerous – I've successfully used them during various penetration tests to evade web application firewalls (which are not the solution to bad coding!).

Back to the worm – the playswf() function creates the following object:

<embed src=”"+o.filename+”” type=”application/x-shockwave-flash”
“+”width=”"+(o.width||”320″)+”” height=”"+(o.height||”240″)+”” allowFullScreen=”true”
wmode=”"+(o.wmode||”transparent”)+”” allowScriptAccess=”always” ></embed>

The allowScriptAccess parameter controls the level of access to the local HTML page by the Flash object. By default, this parameter is set to "sameDomain", which means that a Flash object can only access the HTML page if it was retrieved from the same domain. In other words, by omitting this parameter the Flash attack vector would be effectively disabled since the attacker wasn't able to put the Flash file in the same domain as the main site.

However, by setting this parameter to "always", the Flash file can directly access any element of the local HTML page, including (you guess) cookies.

この allowScriptAccess が Always(Flash 7までは Alwaysがデフォルトだった）に設定されていると、ブラウザやWebアプリのファイアウィールを貫通して直接XSSができる、実にステキな機能です。
で、中国で有名（らしい・・学校系）なSNSが、自動で alwaysを設定する embedタグを生成していたので、この脆弱性によりCross Site Flashing (XSF)を仕掛けられ、あるいは CSRFが成功している模様です。

攻撃に使用された evil.js のホスティングに使用されている
o.99081.comは、つい先日、Small but important update -- DNS-BHのブラックリストに追加されています。
※日本国内の掲示板スパムにも使用されていますね。

218.28.188.240 as AS4837 China-Network(CNC Group)
収容ドメイン：Results for IP 218.28.188.240
Displaying items 1 to 100, out of a total of 184 多いよ・・

えーっと、回避はどうすればいいんでしょう・・（苦笑）
it didn't matter what version of Flash you were running since the code on the web site was vulnerable.

参照：
インジェクション -- FFXI(仮)

XSS worm targeting Chinese website
/ I’m not a malicious worm.^^;
いや・・十分Maliciousです・・

----------
TEH Botnets
知らないBotnetも出てきていますね

Ilomo:
All Your Info Are Belong to Us

Waledac:
Spammers broadcast it for FREE!
Waledac, Part 3: A Spammer, Downloader, and Infostealer—Among Other Things

ZeuS(Zbot):
Zeus, King of the Underground Crimeware Toolkits

Zeus系は最近おさまってたようにも思っていたのですが、そうでもなかったようです・・・

----------
その価値は500円ですか？

アミューズ、情報流出の恐れがある14万人に500円の商品券
芸能プロダクションのアミューズは8月25日、通信販売サイト「アスマート」に対する不正アクセス攻撃に関する経過について説明した。情報流出の可能性がある14万8680人を対象に、お詫びとして500円分のQUOカードを9月上旬から発送することを決めた。

クレカ情報の変更って大変なんだけどなぁ・・
しかし、運用してたテイパーズに損害賠償が跳ぶんでしょうね・・きっと

----------
Snow Leopard has Malware Protection

8/28発売の決まった 新MacOS X : Snow Leopard ですが、評判のほうはどうなんでしょう？
MacOS X 10.6 Snow Leopardの発売日、8/28に決定

でも、使われてるユキヒョウはちょっと目つきが悪い（笑）
かわいい仔はこんなかんじです

本題：
Apple - Mac OS X - Security - Keeps safe from viruses and malware
マルウェアプロテクション機能が装備された模様です。

Snow Leopard Contains an Antivirus
"install.pkg" will damage your computer, You should move it to the Trash
という感じで、既知のMalware(偽iWork)を検出した実証もレポートされています。

3300円のアップグレードが安いか高いかは難しいところですが、セキュリティパッチの遅いAppleは今後、10.5のサポートも遅延する可能性があることは念頭に入れなければならないでしょう（苦笑）

----------
Chrome Update (automatically as well)

Stable Update: Security fixes
Google Chrome 2.0.172.43 has been released to the Stable channel to fix the security issues.
２つの重要なセキュリティfixがはいりました。
もっとも、自動アップデートで既にパッチが当たっているとは思いますが

----------
WordPress WP-Syntax Plugin Code Execution Vulnerability

WordPress で ソースコードなどを参照表記する際、PREタグを GeSHi(Generic Syntax Highlighter)の表記規則に従って、表示してくれるプラグイン WP-Syntax にリモートコード実行可能な脆弱性が確認されました。

Wordpress Plugin WP-Syntax <= 0.9.1 Remote Command Execution PoC

インストールされている Plugin フォルダ内の "wp-syntax/test" directory を削除してください。

----------
IBM Lotus Notes Client

Potential security issue with Lotus Notes file viewer for Microsoft Excel
iDefense Labs contacted IBM Lotus to report a potential keyview buffer overflow vulnerability in Lotus Notes. In specific situations it was found that there is the possibility to execute arbitrary code.

Lotus Notesってまだあるのか！？　なんて思った方、意外とあったりするんですよ（笑）

Notes 8.5.x, 8.0x, and 7.x はアップデートが出されますが、6以下はライフサイクルが終わっていますので、Viewerを切るしかなさそうです。

----------
Massive Injection via China 続報

Potent Trojan Cocktail / SQL Injection May be Regionally Targeted
だいたい、ScanSafeが連続で報じるときはホントに激しいことになっていることが多いので気をつけましょう。

もっとも、
インジェクション　61.232.154.43のリファラーチェック -- 2009/08/08
にもあるように、リージョンチェックを行っており、いまのところ中国国内のみ（ゲームパスワード窃取？）ターゲットにしているようです。

----------
ゆだんしてると
休暇中にTwitter（ツイッター）を利用していたイスラエル・ハイマン氏が空き巣の被害に遭ってしまったようだ。ハイマン氏および夫人の居場所が絶え間なくアップデートされ、泥棒が余裕で犯行におよぶことが出来たため、ツイッターが非難されている。

苦笑
まぁ、訴訟に発展してないだけマシなのかな？（笑）
Twitterの特許訴訟来たる。TechRadiumが先陣を切って提訴 -- 2009.08.06

Twitterがまたダウン、8月だけで4回目
ダウンネタはもういいかな・・

何かと話題の多いTwitterですが、実際みなさん使ってますか？（笑）

----------
来週ひょっとしたらいなくなるかもしれません。

EoF

チキンラーメン誕生の日／即席ラーメン記念日／ラーメン記念日（日本）
1958年8月25日に、日清食品が即席ラーメン第1号となる「チキンラーメン」の発売を開始したことに由来し、日清食品が制定。
85グラム入りで35円で販売された。
キッズ向けゲームと食育の「チキラー島」 (Full Flash注意)

ウルグアイ 独立記念日

----------
Delphiワーム更に拡大

「Delphi」を狙ったウイルスの弊社公開ソフトへの感染について（追記2）
いずれも、6/16～8/5までの公開分に嫌疑が出ています
ということは、６月中旬頃から既に侵蝕が始まっていたと・・・

BitDefender Finds Win32.Induc.A Puts Delphi Compilers at Risk and Compromises Legitimate Applications
BitDefenderの解析によれば、このWormはペイロードを投下したり、悪意のある行動をとったりといった要素は確認できず、単に拡散しているだけという感触のようです。

Interesting malware...affecting the Delphi Compiler?
そういえば SANSのRick Wanner 氏が、２５年前のチューリング賞を受賞したベル研究所のKen Thompson氏(受賞は「オペレーティングシステム、特にUNIXオペレーティングシステムの開発手法の確立に対する貢献」)の記した謝辞論文、"Reflections on Trusting Trust"で、Computers Under Attack: Intruders, Worms, and Viruses として脅威の問題提起がなされていることを取り上げています。

つまり２５年前のセキュリティアドバイザリが、今頃・・・ということですね（たぶん）

しかしコレ、他のコンパイラでも起きかねない問題ですので、PDS(今もあるのかな？)/CC/GPL/Sharewareの作者にとっては致命的な話につながりかねません。
もっとも、Delphi7は７年近く前のプロダクツなので、セキュリティリスクが高いと言われてもショウガナイ部分もあるかもしれませんが・・・
＃でもアップデートは個人には高いんですよね

６月中旬頃から出回っていたのなら、何故検出が遅れたのか？というアナリスト・レポートをセキュ各社にはお願いしたいものですね。
作ったソフトが全てウイルスに～密かに拡大していた開発ツール「Delphi」汚染

----------
Linux Kernelのsock_sendpage関数の脆弱性

8/15頃に取り上げた問題の続報

Linux Kernel 2.4/2.6 sock_sendpage() ring0 Root Exploit (simple ver)

Linux Kernelのsock_sendpage関数の脆弱性（CVE-2009-2692）に関する検証レポート

CVE-2009-2692
keyword=cve-2009-2692

影響を受けるKernel：

エンタープライズで停止が難しいとは思いますが、何かのタイミングでカーネルのアップデートをプランに入れましょう。

----------
Apache HTTP Server 2.2.13 Released (2009-08-08)

そういえば、APR(Apache Portable Runtime)のcore library 1.3.x と APR-util library 1.3.x の脆弱性の解決でそれぞれのライブラリが配布されていたのですが、それにあわせて Apache のバージョンも 2.2.13 にあがっていました。

普段はなかなか httpd なんか停止できませんが、一応バージョンチェックしてみてください。

Apache HTTP Server 2.2.13 Released
Fixed in Apache httpd 2.2.12

----------
Kaspersky 2010 and AVAST! 4.8

Kaspersky AV/IS 2010 (avp.exe) Denial-of-Service

こないだβ公開されたばかりの Kaspersky 2010 ですが、DoSにつながるExploitsが発見され、PoCが出ています。

Avast!のほうにも・・
Avast! 4.8.1335 Professional Local Kernel Buffer Overflow Exploit
The File System Filter driver is prone to a local kernel buffer overflow. This vulnerability allows an intruder to gain SYSTEM privileges on a Windows system from a limited user account.

----------
WindowsXP SP2/3 でのDEPの拡張適応

ITProで連載されている HIRT(日立グループのCSIRT連絡窓口)の脆弱性レポートに
Windows XP SP2/SP3におけるDEP（データ実行防止）機能のカスタマイズについて
の特集が掲載されていました。

XP SP2/3 のユーザは、DEPを他のアプリケーションにも適用することによって、Drive by download攻撃を緩和することが期待されます。

----------
SugarCRM SQLインジェクション

「SugarCRM」におけるセキュリティ上の弱点（脆弱性）の注意喚起
SugarCRM における SQL インジェクションの脆弱性

SugarCRMは、SugarCRM Inc.が提供する顧客管理ソフトウェアです。
使用中の方は JVNのリンクからたどって適切なパッチを充ててください。

----------
ハードディスクを完全に破壊するための 10 の方法

アルミのプラッタを取り出して重曹につけおき・・・かな？（笑）

EoF

大噴火の日・ポンペイ最後の日

ラグビーの日
ラグビーの起源は、「1823年、イングランドの有名なパブリックスクールであるラグビー校でのフットボールの試合中、ウィリアム・ウェッブ・エリス (William Webb Ellis) がボールを抱えたまま相手のゴール目指して走り出した」ことだとされている。
とされてますが、諸説もあるらしいです。

ちなみに、2019年のワールドカップは日本で開催されることが決定しています。

----------
[CAUTION]
最初に報告したのはいつのことだったか忘れましたが
Up to 55k Compromised by Potent Backdoor/Data Theft Cocktail
hXXp://a0v.org/x.jsのインジェクション活動が活発化していると ScanSafeが警告しています。

Googleの検索結果で 53,300となってますが、実際のトコは 236 Uniqueですね（苦笑）
それでも感染が蔓延していることだけは事実ですので注意しましょう。

注意といっても、

という脆弱性攻撃ですので、がいしゅつ（なぜか変換できない）じゃない、既出すぎですね。
ここを見ている方にはあまり関係ないような気もします。
そろそろ Windows2000/XP の窓から投棄を考えないといけない気もしますが・・・

Trojan.Win32.Agent2.chmt, Trojan.Dropper, Mal/Behav-112..
qirueixzz.3322.org
　相変わらず・・・
74.52.164.210 (ThePlanet)
　マタオマエカ
ahthja.info AS4837 (CNC). CNC Group
car741.info AS4837 (CNC). CNC Group
htsrh.info AS4837 (CNC). CNC Group

----------
サイトカレンダ mycaljp におけるクロスサイトスクリプティングの脆弱性

サイトカレンダ mycaljp におけるクロスサイトスクリプティングの脆弱性
サイトカレンダ mycaljp は、オープンソースのコンテンツ管理システムである Geeklog のカレンダープラグインです。サイトカレンダ mycaljp には、クロスサイトスクリプティングの脆弱性が存在します。

mycaljpプラグインにXSSの脆弱性が発見されました
mycaljpプラグインを使用されているサイト管理者の方は速やかにバージョンアップ(Ver.2.0.7)を行ってください。

----------
窓の杜に収録していた「Glary Utilities」および「Glary Undelete」旧バージョンのウイルス感染について
窓の杜では下記のページで告知していますように、ライブラリにソフトを収録する際、「ウイルスバスター2009」「Symantec AntiVirus Corporate Edition」「ESET Smart Security」という3つのセキュリティ対策ソフトでウイルス等をチェックしたのち、収録作業を行っております。

窓の杜 - 窓の杜でのウイルスチェックについて
http://www.forest.impress.co.jp/info/about/viruscheck.html

そのため「Glary Utilities」v2.15.0.728は8月6日に、「Glary Undelete」v1.4.0.211は7月22日に、その時点で最新の定義ファイルを利用してチェックを行いました。しかしながら、この時点では各社ともに最新の定義ファイルでも、“W32.Induc.A”の検出に対応しておりませんでした。

TrendMicro, Symantec, ESETって、よくわからない組み合わせだなぁ・・とか思ったのは内緒です（笑）
VTに１回投げたほうがいいんじゃないでしょうかネ？

----------
Norton 謹製レッテル

Norton先生が危険サイトを「もっともキチャナイ」サイトとしてリストを公表しました（笑）
Dirtiest websites of Summer 2009

有名なものから初見のものまでいろいろありますね

こういう取り組みはいいですね～
SUMMERといわず、毎月やってくれませんか？（笑）

----------
Keep Your Identity Safe
個人情報を盗むマルウェア、Pandaの対策7カ条個人情報盗難の被害に遭うのを防ぐため、同社は以下の対策を奨励している。

1. 銀行や決済サービスを装って個人情報を聞き出そうとするメールに注意する
2. 銀行などのサイトにアクセスする際は、ブラウザにURLを直接入力する
3. クリックした後に不審なURLに切り替わっていないことを確認する
4. サイトのセキュリティ証明書を確認する（通常はブラウザに鍵のマークのアイコンが表示される）
5. コンピュータにセキュリティソフトを導入する
6. 銀行や通販サイトなどで不審を感じたら個人情報を入力しない
7. 銀行や通販などのネットサービスを頻繁に使うユーザーは、詐欺に遭った場合に備えて保険に加入する

こうした、「当たり前のこと」を継続して行えるかどうか？なんですよね。
恐怖を感じる人は、そもそもクレジットカードなんか持っちゃいけません（笑）

----------
相変わらず流出経路不明

［続報］アリコ、顧客情報の流出時期が判明
社内で調査しても埒あかなそう・・

----------
どっちが逆行なのか？

神戸電子専門学校、学生への情報発信に「Twitter」を本格導入

SNSやTwitterの利用、多くの企業で制限/禁止に…理由は「サボるから」

もっとも、その前に「マルウェア感染の危険」というファクターもあるわけですが・・

参考：
Twitter Filter Aimed at Killing Malicious Links

----------

EoF

白虎隊の日

奴隷貿易とその廃止を記念する国際デー
International Day for the Remembrance of the Slave Trade and its Abolition

----------
さて・・３日間オヤスミしてどう変わったかな？と期待（笑）したのですが、大きなニュースはありませんでした。

日本では選挙戦の話ばっかりですねぇ

----------
Port42 Huge traffic, it seems FUD?

先に SANSが出した Port42 (Windows Internet Naming Service)のトラフィックが急増している

というグラフですが、それを使って更に危機感をあおる記事がいくつか打たれています。

ところが・・？
MS09-039 WINS の脆弱性により、リモートでコードが実行される
残念ながら（語弊がある？）うちでは、SANSのような状況は見えないですね。

SANSのその後を見てみても
Port Details - Port 42

となっており、「危機的状況」ではなさそうです。

ともあれ、SANSが最初に警報を出してくれたので、その危険性が周知されたことは事実ですので、今後も要警戒ということにしておきましょう。

----------
Thunderbird 2.0.0.23

UPDATE NOW(というか自動更新をOFFにしないで下さい・笑）
Thunderbird 2.0.0.23 で修正済み

重要度:最高 -- SSL で保護された通信の情報漏えい

----------
Adium 1.3.6 regarding libpurple

libpurpleの問題の修正として、Adium 1.3.6が公開されました。

一方、Pidgin 2.6.1 for Windows と OpenFire 3.6.4 で通信ができなくなるバグも確認されており、ちょっと混乱しています。

----------
VMware uncover'd pit

[Security-announce] VMSA-2009-0010 VMware Hosted products update libpng and Apache HTTP Server
Several flaws were discovered in the way third party library libpng handled uninitialized pointers. An attacker could create a PNG image file in such a way, that when loaded by an application linked to libpng, it could cause the application to crash or execute arbitrary code at the privilege level of the user that runs the application.

VMware Product	Product Version	Running on	Replace with/ Apply Patch
Workstation	6.5.x	any	6.5.3 build 185404 or later
Player	2.5.x	any	2.5.3 build 185404 or later
ACE	2.5.x	any	2.5.3 build 185404 or later

尚、Server 2.0/1.0 は影響なし(not affected)ではなく、未パッチ(patch pending)であることに注意してください。
VMwareの最大の問題は、エンタープライズで稼動していることが多いので止め難いんですよね・・

----------
Delphi ウィルスの感染拡大

Does the W32/Induc-A Delphi virus infection only happen to other people?
W32/Induc-A virus being spread by Delphi software houses
Magazine ships Induc Delphi virus on cover CD ROM
という感じで、延々と感染拡大を伝えているSophos（と、そのアナリストGraham Cluley氏）ですが、具体的な施策が無いのが難しいところです。既に感染した所が今後もマルウェア込みのプロダクツを撒き散らす恐れがあり、マルウェアそのものも少しづつ亜種を取り込んでいるため、（コノ前のKoobfaceのように）Delphi製マルウェアの中にこのコードが含まれているものも発見されています（苦笑）

関連：
Delphi Falls Prey
Interesting malware...affecting the Delphi Compiler?

----------
MSがYouTube経由でのマルウェア誘導（偽セキュ）の詳細を公表

Winwebsec on YouTube

すごく詳細に書かれていますが、結局のトコ、Post者のリンクを踏ませられる（踏んでしまう）事が悪いだけですねぇ（苦笑）
YouTube的に、こうしたリンク埋め込みを許可しない方向に動くべきなのかどうかは難しいところです。
踏んだ先が GSBによってブロックされているケースも多いわけですが、IE8がそうならないことが問題？という自爆的な話のような気もしないでもありません（苦笑）

----------
Namazu 2.0.18(2008.03.12)

「Namazu」の古いバージョンを利用しているウェブサイトへの注意喚起
Namazuには、2004年12月に公表されたクロスサイト・スクリプティングの脆弱性の他、別の箇所にもクロスサイト・スクリプティングの脆弱性が発見されています。
これらの脆弱性を悪用されると、図2に示すように、ユーザのウェブブラウザ上で任意のスクリプトを実行されてしまいます。このため、偽ページの表示や、偽情報の流布による混乱、フィッシング詐欺による情報の漏えいなどの可能性があります。

アナクロバージョンで放置運用してるようなとこは何を言ってもダメな気もしますけど・・・
こういう、脆弱性放置やらウィルスを撒き散らしているようなサイトに対して強権発動して切断するような仕組みが将来的に必要になってくるかもしれません。

尤も、検閲だの何だのという問題もつきまとうわけですが・・

----------
Linuxカーネルの貢献度

Linux Foundation、カーネル開発の現状をまとめた報告書を公開

意外だったのは RedHatの比率(12.3%)よりも、どの組織にも属さずFreeの立場のコミットが 18.2% を占めていることでした。もっとも、立場上なかなか公にできない人が匿名に近い立場でpatchをコミットしているひともいるでしょうから一概には言えませんが・・

Linuxカーネルの大部分は企業が開発している

----------
とりあえずはこんなもので～

EoF

はい・・今日は8/20ですね・・ 8/22ではありません

交通信号の日／三色信号設置の日
1931年8月20日に銀座の尾張町交差点や京橋交差点など34ヶ所に日本初の3色灯の交通信号機が設置されたことに由来
信号機の色はどうして「赤・黄・青」になったんですか？(広報けいしちょう)

Yahoo!（ヤフー）の日
8を「ヤ」20を「フー」と読む語呂合せ。Yahoo

ハンガリー建国記念日 : 聖イシュトヴァーンの祝日

----------
今日からお出かけ・・の予定なのですが、眠れないのでちょっと書き（笑）

8/23頃までお休みします

----------
[EMERGENCY]

インスタントメッセージの統合クライアント Pidgin ですが、緊急のセキュリティパッチが報告されています。
Pidgin
Yahoo issues and important security vulnerabilities are fixed in 2.6.1.

先般、Ver 2.5.9で、MSN overflow parsing SLP messages (CVE-2009-2694 *Reserved*)の修正を行ったばかりですが、2.6で大きな機能追加があったことで、アップデートに慎重な方もいらっしゃるかもしれません
詳細：
Pidgin 2.6.0--It's About Time

尚、同様のアプリケーションである Adium (MacOS用) にも同じ脆弱性が指摘されています。

Pidgin "msn_slplink_process_msg()" Memory Corruption Vulnerability
Red Hat update for pidgin
# yum update pidgin

Adium "msn_slplink_process_msg()" Memory Corruption Vulnerability
Modify privacy settings to allow incoming messages from trusted sources only.

----------
[WARNING]

Adobeのオープンソース、統合開発環境（Adobe的にはリッチコンテント・フレームワーク）の Flex SDK 3 でセキュリティアップデートが発表されました。
Adobe Flex 3

Security update available for Flex SDK
CVE-2009-1879 *reserved*
使用中の方はアップデートしましょ～

----------
拡大する被害

SQLインジェクションによって始まった顧客情報流出ですが
アミューズ、通販サイトから顧客情報流出～最大で14万8680名分

委託を受けていた 株式会社テイパーズ が請け負っていた他のコンテンツにも飛び火している模様

弊社受託通販サイト顧客情報への不正アクセスに伴う個人情報流出についてのご報告とお詫び
㈱アミューズ様通販サイト「アスマート」に関するご報告
㈱テレビ朝日ミュージック様、「湘南乃風」様各種グッズ通販サイトに関するご報告
㈱ヴィジョンファクトリー様通販サイト「VISION FACTORY OFFICIAL SHOP」に関するご報告
㈱エイトデイズ様通販サイト「Alfred Online Shop」に関するご報告

同じCMSを使いまわしていたために起きたのかどうかは判りませんが、阿鼻叫喚の状況を呈しつつあります。

Web上で公開されることを前提にしたシステムを売ってる会社は、今一度、OSを含む使用中の全てのプロダクツ・コンポネンツ脆弱性のチェックを行ったほうがいいと思います。

ちょっと冗長気味ですが、
安全なウェブサイトの作り方 改定第３版
あたりを一度よく読んでみることもお勧めです。

SQLインジェクション攻撃が急増中～サイト管理者は急ぎ脆弱性対策を（IPA）
SQLインジェクション検出ツール iLogScanner V2.0
は、JRE 6 update16 でも動作確認できました
解析結果
# 終了ステータス：完了
# 解析日時：2009/08/20 04:39
# 解析対象ファイル：test_access_log
# 検出数　　： 計 0 件
そりゃ・・誰にも見られてないシステムだとこんなもんでしょうね（笑）

----------
Virut亜種の拡大？

Win32/Virutウイルスに関する注意喚起
韓国時刻7月期　Win32/Virutウイルス亜種の拡散が確認されているためここに注意喚起いたします。

Virut/Viruxのようなポリモルフ型の場合、単独ファイルのHashを追いかけてもショウガナイんですよね
例：
File tr-348__10_.exe received on 2009.08.18 17:45:41 (UTC)Result: 19/41 (46.34%)
AhnLab-V3: 未検出（苦笑）

McAfeeのほうに 2009.08.18の追加とやらが出てますが、ArtemisによるGeneric検出なので、シグネチャとして定義されるかどうかは不明です。
W32/Virut.n.gen!41658814ce55

が、なにやらあちこちで感染報告が出ていますので注意しましょう。
Anybody knows how to remove this virus? Win32.Virut Virus

Virus.Win32.Virut.ce, W32.Virut.CF, BackDoor-DVB, W32/Scribble-B -- 2009.08.18, 14:28:19

基本的には Windows Updateをきちんと適用していれば感染することは無いはずです。
USB Autorunの処置を確認しましょう。
出所不明の実行型(PE .exe, .dll, .scrなど)に注意しましょう。

----------
どこまでがGumblar(GENO)？

相次ぐサイト改ざん攻撃、「Genoウイルス」感染PCが関与か

元はコレ：
Website compromises - what's happening?

なんですが・・ここで紹介されている
Inside the Massive Gumblar Attack
って、本当に Zlkon/Gumblar/Martuz で使用されていたものと一緒なのかどうか確証がありません。
どっちかというと、ZbotやLuckysploit系のような気がしないでもないんですが、それも確証がありません。

もちろん、Gumblarによって窃取されたFTP情報が、RBNのような組織に売却された可能性も否定できないわけですが・・・

ちなみに、巷では

Google/Yahoo 解析の偽者っぽいインジェクション
yahoo-analytics.net
google-analyze.org

３文字+.ru:8080
3e0.ruとか・・・

microsoft.cnの後継
updatedate.cnの後継
delzzerro.cnの後継
zenitchampion.cn

あたりが暴れている様子・・

----------
ああ・・夜が明けた（苦笑）

EoF

俳句の日
8月19日の「819」が「はいく」と読めることから。

バイクの日
8月19日の「819」が「バイク」と読めることから。
総務省交通安全対策室が、バイクの安全の啓蒙のため1989年に制定。

----------
Credit Card Crisis

最悪といわれたクレジットカード流出事故
TJXのデータ流出事件に関する考察 -- 2007.03.29
の後に起きたもう一つの流出事件の話

SQL Injection Cause of Heartland Breach
Heartland Payment Systemsで支払いシステムの陥落が発生したとき、SQLインジェクションか、それに類する何らかのWebを媒介としたメカニズムがあるものと推測していました。Wired Newsによって明らかにされたソレは、やはり SQL インジェクションによるものでした。これらの手段を拡散させたのは、以前財務省検索局のタレコミ屋だった Albert "Segvec" Gonzalez で、既に TJMaxxやDave & Bustersのレストランチェーンで発生したクレジットカードの窃盗の容疑で検挙されています。

また、Wiredは「カード窃取に特化したトロイの木馬」によって、ネットワークトラフィックが監視(sniff)され、カード情報のやりとりがリアルタイムで監視され、窃取されていたと報じています。そのマルウェアは前Morgan Stanleyの従業員によってコーディングされたものです。その開発者は攻撃ツールを作成したことによる報酬を受け取ってはいないと主張していますが、そのツールが何の意図で使用されていたかを知らなかったはずはありません。

過去にこのblog上でも繰り返されていますが、３つの主要な要素があります。

1. （公開された）Webは常に攻撃を受けています。SQLインジェクションはその中でも最も普遍的なものです。
2. 昨今のデータ窃取型トロイはトラフィック監視（パケット監視）の機能を持ち、MitM(中間者)攻撃を可能としています。
3. 故意か研究の一部かはわかりませんが、攻撃ツールを犯罪者に提供するプログラマが存在し、それがわれわれ全てに脅威を増大させています。

これらが結合した結果、Heartland と Hannafordで起きた陥落事件により、「約１億３千万のクレジットカードの番号およびそのデータの窃盗」が発生したのです。

Wiredの記事
TJX Hacker Charged With Heartland, Hannaford Breaches
Department of Justice:
Alleged International Hacker Indicted for Massive Attack on U.S. Retail and Banking Networks
Data Related to More Than 130 Million Credit and Debit Cards Allegedly Stolen

関連：
How much does a credit card cost?
Kasperskyのblogにはパーマリンクが無い・・・
そして日本でも
カード情報流出続報～アリコジャパンは4228件に拡大、アミューズは891件増

----------
WINS攻撃の開始？

MS09-039 exploit in the wild?
TCP port 42 is used for WINS replication. It's also interesting that the number of sources isn't that high as well.

とりあえず、現状で攻撃が確認できているわけではありませんが、不審なPort42トラフィックが急増しているようです。

MS09-039 : WINS の脆弱性により、リモートでコードが実行される
MS09-039: More information about the WINS security bulletin
Any potential attacks against the vulnerabilities addressed by security update MS09-039 will arrive on TCP or UDP port 42. Block those ports at your perimeter firewall to prevent Internet-based attacks. Most enterprise networks require WINS internally so you’ll need to allow access from legitimate network workstations needing to resolve internal names.

Hopefully this information helps you assess the risk of potential attacks against the vulnerabilities addressed by MS09-039.

ここを見ている方は既に８月の定例パッチが充たっているでしょうから、問題ありません！

----------
Delphiコンパイラに潜むWorm

0wn1ng Delphi
0wn1ng Delphi
同マルウェアは始めに、Delphiのバージョンが4から7までの間であるかどうかをチェックし、次に$DELPHI_DIR$¥source¥rtl¥sys¥SysConsts.pasを入れ替え、悪意あるコードを書き込む。その後に SysConsts.pasは削除される。
このマルウェアは、SysConsts.dcuのクリーンなコピーをSysConst.bakとして保存し、SysConsts.dcuライブラリのエントリーポイントで、それ自身のイニット・ファンクションにコールを追加する。
プログラムが感染したバージョンのSysConsts.dcuでコンパイルされると、悪意あるコードの断片のようなものが混入する。
その後は、コンパイル済みのプログラムが実行されると、SysConst.bakが見あたらなければ、プログラム中の悪意あるコードがDelphiを再感染させようとする。

あれこれ
コンパイラに仕込むとは悪質な。
*nod*

Compile-a-virus - W32/Induc-A

----------
Linux Karnel にまた何かが・・・


Linux Kernel 2.x sock_sendpage() Local Root Exploit (Android Edition)

CVE-2009-2692: Linux kernel proto_ops NULL Pointer Dereference


Linux Kernel < 2.6.30.5 cfg80211 Remote Denial of Service Exploit

Linux kernel CFG 802.11 Remote NULL Pointer Dereference

現状コミュニティ系の動きがありませんので、様子見です。

あと、同期ツール rsync にもBugの報告

CVE-2008-1720: rsync “xattr” Integer Overflow

----------
Luigi Auriemma氏はGame Exploitsを見つけ出すのが得意のようで・・

Source Engine Format String Vulnerability
Source Engine
Versions: <= build 3698 (the current version)

Half-Life 2 Format String Vulnerability
Counter-Strike: Source Format String Vulnerability

Secunia指標は 4:Highly critical ですので注意が必要です。
この辺のゲームをPlay中の方は、怪しげなサーバに接続しないようにしましょう。

----------
Procdump Updated to 1.4

ProcDump 1.4

----------
Will Yahoo Cent Mail Stop Spam

昨日、Spammer対策で Yahooの 1cent Mail の取り組みの話をチラっと振っておいたのですが

So will it work?
The theory is sound, up to a point, but then unfortunately it falls down badly.
にべもなく・・・

そのアイデアはシンプルかつ上品なものですが、実際には糊工場への小道のようなものです。 emailは自由で、「フリー」であるものとして考案され、頑丈なボルトで打ち据えられたドアによって閉じ込められている馬だけではなく、数年間駆け回ってる暴れ馬も存在するのですから

----------
Winnyで情報漏えい、ネットに流出したらもう手遅れ？
なんか宣伝めいててアレゲですね・・

Winny情報漏洩に拡散防止サービス -- 2007.02.13
消えるわけじゃないし
一人でも拾う奴がいれば、再配布されるのは目に見えてる。
賭け金を上げるだけだよ
↓
弊社著作物を侵害した容疑者の逮捕について
この辺まで書かないとネ～

関連：
Winnyユーザーに注意喚起メール、権利者団体とISP連携で
(笑)

----------
明日から３日間（程）お休みします

EoF