UnderForge of Lack

ナミビアの日
国連が制定した国際デーの一つ。(EN)
1990年3月に独立した、アフリカ南西部にあるナミビアの自立を援助する日。

ユースホステルの日
1909年にリヒャルト・シルマンが計画した遠足（８泊徒歩旅行）中、大雨に遭って小学校に避難宿泊した際に、若者が安全に宿泊できる施設の重要性を痛感、ユースホステルの運動を展開するきっかけとなった日。
今年は100周年に当たる

----------
Adobe's Security descent upon ground

Flash attack vectors (and worms)
Now, before digging into what this worm does, I'd like to point out how dangerous embedding SWF files can be. It is very common that authors put basic XSS protection into their programs (for example, preventing users from entering the tag), however, Flash files can also be dangerous – I've successfully used them during various penetration tests to evade web application firewalls (which are not the solution to bad coding!).

Back to the worm – the playswf() function creates the following object:

<embed src=”"+o.filename+”” type=”application/x-shockwave-flash”
“+”width=”"+(o.width||”320″)+”” height=”"+(o.height||”240″)+”” allowFullScreen=”true”
wmode=”"+(o.wmode||”transparent”)+”” allowScriptAccess=”always” ></embed>

The allowScriptAccess parameter controls the level of access to the local HTML page by the Flash object. By default, this parameter is set to "sameDomain", which means that a Flash object can only access the HTML page if it was retrieved from the same domain. In other words, by omitting this parameter the Flash attack vector would be effectively disabled since the attacker wasn't able to put the Flash file in the same domain as the main site.

However, by setting this parameter to "always", the Flash file can directly access any element of the local HTML page, including (you guess) cookies.

この allowScriptAccess が Always(Flash 7までは Alwaysがデフォルトだった）に設定されていると、ブラウザやWebアプリのファイアウィールを貫通して直接XSSができる、実にステキな機能です。
で、中国で有名（らしい・・学校系）なSNSが、自動で alwaysを設定する embedタグを生成していたので、この脆弱性によりCross Site Flashing (XSF)を仕掛けられ、あるいは CSRFが成功している模様です。

攻撃に使用された evil.js のホスティングに使用されている
o.99081.comは、つい先日、Small but important update -- DNS-BHのブラックリストに追加されています。
※日本国内の掲示板スパムにも使用されていますね。

218.28.188.240 as AS4837 China-Network(CNC Group)
収容ドメイン：Results for IP 218.28.188.240
Displaying items 1 to 100, out of a total of 184 多いよ・・

えーっと、回避はどうすればいいんでしょう・・（苦笑）
it didn't matter what version of Flash you were running since the code on the web site was vulnerable.

参照：
インジェクション -- FFXI(仮)

XSS worm targeting Chinese website
/ I’m not a malicious worm.^^;
いや・・十分Maliciousです・・

----------
TEH Botnets
知らないBotnetも出てきていますね

Ilomo:
All Your Info Are Belong to Us

Waledac:
Spammers broadcast it for FREE!
Waledac, Part 3: A Spammer, Downloader, and Infostealer—Among Other Things

ZeuS(Zbot):
Zeus, King of the Underground Crimeware Toolkits

Zeus系は最近おさまってたようにも思っていたのですが、そうでもなかったようです・・・

----------
その価値は500円ですか？

アミューズ、情報流出の恐れがある14万人に500円の商品券
芸能プロダクションのアミューズは8月25日、通信販売サイト「アスマート」に対する不正アクセス攻撃に関する経過について説明した。情報流出の可能性がある14万8680人を対象に、お詫びとして500円分のQUOカードを9月上旬から発送することを決めた。

クレカ情報の変更って大変なんだけどなぁ・・
しかし、運用してたテイパーズに損害賠償が跳ぶんでしょうね・・きっと

----------
Snow Leopard has Malware Protection

8/28発売の決まった 新MacOS X : Snow Leopard ですが、評判のほうはどうなんでしょう？
MacOS X 10.6 Snow Leopardの発売日、8/28に決定

でも、使われてるユキヒョウはちょっと目つきが悪い（笑）
かわいい仔はこんなかんじです

本題：
Apple - Mac OS X - Security - Keeps safe from viruses and malware
マルウェアプロテクション機能が装備された模様です。

Snow Leopard Contains an Antivirus
"install.pkg" will damage your computer, You should move it to the Trash
という感じで、既知のMalware(偽iWork)を検出した実証もレポートされています。

3300円のアップグレードが安いか高いかは難しいところですが、セキュリティパッチの遅いAppleは今後、10.5のサポートも遅延する可能性があることは念頭に入れなければならないでしょう（苦笑）

----------
Chrome Update (automatically as well)

Stable Update: Security fixes
Google Chrome 2.0.172.43 has been released to the Stable channel to fix the security issues.
２つの重要なセキュリティfixがはいりました。
もっとも、自動アップデートで既にパッチが当たっているとは思いますが

----------
WordPress WP-Syntax Plugin Code Execution Vulnerability

WordPress で ソースコードなどを参照表記する際、PREタグを GeSHi(Generic Syntax Highlighter)の表記規則に従って、表示してくれるプラグイン WP-Syntax にリモートコード実行可能な脆弱性が確認されました。

Wordpress Plugin WP-Syntax <= 0.9.1 Remote Command Execution PoC

インストールされている Plugin フォルダ内の "wp-syntax/test" directory を削除してください。

----------
IBM Lotus Notes Client

Potential security issue with Lotus Notes file viewer for Microsoft Excel
iDefense Labs contacted IBM Lotus to report a potential keyview buffer overflow vulnerability in Lotus Notes. In specific situations it was found that there is the possibility to execute arbitrary code.

Lotus Notesってまだあるのか！？　なんて思った方、意外とあったりするんですよ（笑）

Notes 8.5.x, 8.0x, and 7.x はアップデートが出されますが、6以下はライフサイクルが終わっていますので、Viewerを切るしかなさそうです。

----------
Massive Injection via China 続報

Potent Trojan Cocktail / SQL Injection May be Regionally Targeted
だいたい、ScanSafeが連続で報じるときはホントに激しいことになっていることが多いので気をつけましょう。

もっとも、
インジェクション　61.232.154.43のリファラーチェック -- 2009/08/08
にもあるように、リージョンチェックを行っており、いまのところ中国国内のみ（ゲームパスワード窃取？）ターゲットにしているようです。

----------
ゆだんしてると
休暇中にTwitter（ツイッター）を利用していたイスラエル・ハイマン氏が空き巣の被害に遭ってしまったようだ。ハイマン氏および夫人の居場所が絶え間なくアップデートされ、泥棒が余裕で犯行におよぶことが出来たため、ツイッターが非難されている。

苦笑
まぁ、訴訟に発展してないだけマシなのかな？（笑）
Twitterの特許訴訟来たる。TechRadiumが先陣を切って提訴 -- 2009.08.06

Twitterがまたダウン、8月だけで4回目
ダウンネタはもういいかな・・

何かと話題の多いTwitterですが、実際みなさん使ってますか？（笑）

----------
来週ひょっとしたらいなくなるかもしれません。

EoF