UnderForge of Lack

洋服記念日
皮膚の日 イイヒフ（1112）

----------
Adobe Photoshop

Workaround available for potential Photoshop Elements privilege escalation issue
影響下にあるソフトウェア：Photoshop Elementsのバージョン8.0/7.0
ログイン可能なローカルユーザないし、物理的なアクセスが可能な第三者による任意コード実行の可能性がある
ということで、対処したほうが望ましいという "moderate"の警告を発しました。

コマンドプロンプト上で
PSE7
sc sdset AdobeActiveFileMonitor7.0 D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)
PSE8
sc sdset AdobeActiveFileMonitor8.0 D:(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPLOCRRC;;;PU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWRPWPDTLOCRRC;;;SY)
使用中の方は実行しましょう（笑）

Photoshop Elementsに権限昇格の脆弱性、Adobeが回避策を公開
アドビがPhotoshop Elementsのセキュリティホールを修正

余談：
確定：Adobe、従業員の9%を削減へ

----------
暗黒の火曜日（日本は水曜）続報

忘れていましたが、昨日のMicrosoft Monthly Update には Officeが含まれており、（当然） MacOSにも影響があるのでした。

November’s Patch-Tuesday roundup…
自動アップデートになっていない方用：
Microsoft Office 2004 for Mac 11.5.6 Update
Microsoft Office 2008 for Mac 12.2.3 Update
Open XML File Format Converter for Mac 1.1.3

また MS09-064のライセンス ログ サービスは、Windows 2000 ServerにおいてデフォルトでONになっており、注意が必要です。

Windows 2K Server Patch Update
Windows サーバー オペレーティング システムのライセンス ログ サービスについて
Details on the License Logging Service vulnerability
Microsoft fixes kernel, Office flaws

Windows 2000の寿命は 2010年6月30日までです。

----------
Firefox is not Invulnerability?

修正：
昨日書いた gitは JITエンジンでした。（gitはSubversionなどのようなソースコード管理システムですね）
JITのコードが修正されたのは Firefox 3.5.1です（影響があったのは 3.5.0)
訂正してお詫びします。（結城様、感謝です）

で・・その「Firefoxは脆弱性最多」という記事に対して、正論での反論が出ています。
Webブラウザのセキュリティ問題を考える上での鉄則 - Mozilla Flux
脆弱性の数に危険度を掛け合わせた総合評価をなぜ発表しなかったのか。セキュリティ問題を考える上での鉄則を踏まえないようでは、報告の信憑性にもかかわるというべきだ。
概ね賛成ですが、それでもやっぱり脆弱性が多いなぁとも思いますね。
このへんはプラグイン絡みもありますので、一概に言えないのですが、アップデート！というウィンドウが開いただけでパニックに陥るユーザもいて、バージョンアップを頻繁に繰り返すことに対する一部ユーザの不信感もあるのも事実です。一般のユーザは個々の脆弱性の重要度とかは気にしないでしょうから・・・・
（※Chromeのようにまったく気がつかずにアップデートさせてしまったほうが幸せなのかもしれませんね・・笑）

----------
それでもGumblarは続いている

しつこいですか、そうですか（笑）
KasperskyがGumblarのヒエラルキー構造を図にするとこんな感じになりました。
The Gumblar system
ちょっと解説に手を加えるなら
ちょっと修正 : うまやど様ありがとうございます。

Redirector:
末端の HTMLインジェクションを受けているサイト
＜script src=hXXp://redirector.domain/hoge/hoge.php ＞＜/script＞＜body＞
を埋め込まれている

Infectors:(A)
phpが駆動可能なサイト
eval()関数を使用して、難読化されたコードが挿入されている
例：

Infectors:(B)
phpが駆動可能なサイト
id=nn (12 13が多用されている）の末尾番号により異なるExploitsを仕掛ける、いわばダウンロード先
上記の例で言うと articles. koraja. comがそれに当たると思われる。

Injectors:
完全に制御下に堕ちたと思われるサイト、おそらくSSHも使用可能
InfectorやRedirectorにインジェクションコードを埋め込むサイト
These websites host a generic php backdoor which lets the owner execute any php code on the webserver.
俗に言う「踏み台」

Dispatcher:
完全に制御下に堕ちたと思われるサイト、あるいは防弾ホスト
盗んだFTP Credentialの収集先

そして、この図内には居ないのですが、自分のサイトを持っていない「感染者 Victim」がこの数倍(40000 × n)は居るのではないか？と推測されています。またC&Cを潰すには、Injectorのアクセスログが入手できないと根っこのDispatcherにはたどり着けない（C&Cの根元に到達できない）でしょうが、なかなか難しそうです。
There isn't a lot of information about them yet and it's unclear if they're compromised as well.
もし、Dispatcherも感染サイトだとしたら・・・

jyake様のレポートでは、攻撃が一時中断されているようですが、Injectorがテイクダウンされるまでその下部組織も動き続けますので、犠牲者が自動的に膨れ上がっていく計算になります。

Why is Gumblar so widespread? The answer is quite simple: it's a fully automated system. It's a new generation of self-building botnets. This system is actively attacking visitors of a website and once these visitors have been infected with the Windows executable, it grabs FTP credentials from the victim machines. The FTP accounts are then used to infect every webpage on new webservers. This way the system extends the number of infected pages, thus attacking more and more computers. The entire process is automated and the owner of the system just needs to adjust the system and update the Trojan executable which steals passwords and the exploits used to attack the browser.
まさにbotねずみ講ですね、これじゃ・・

そういえば、一部感染サイトのお知らせに
「このウィルスは HTMLをターゲットにしているため、HTMLを使用しないより安全なシステムに変えました」のような記述があったのですが・・・
コメントは避けよう・・・

----------
微妙に時間切れ気味

今日はよく読まないとマズソウなニュースが多いんです。

--
New Injection
Hackers Use Twitter API To Trigger Malicious Scripts
Twitter APIの"callback"を悪用した新しい形のインジェクションです。
これは見つけにくい・・・

--
Apple today shipped Safari 4.0.4
Apple Safari exposes Windows to drive-by download attacks
Safari Windows を使っている方、また付近で PCにあまり詳しくなく、iPodを持っている方がいたら（勝手に）Safariが入っている可能性がありますので注意喚起をしておきましょう（苦笑）

--
ARPキャッシュ汚染による中間者攻撃？
Layer 2 Network Protections against Man in the Middle Attacks
データリンク層（layer2)によるスプーフィング（成りすまし）が成功してしまうと、そのセグメント内のすべてのパケット盗聴の恐れがある・・・という話かな？
すみません、よく読んでないです・・・

--
Seven keyholders for the DNS root zone
いよいよ、１２月から換装作業が開始される DNSSECですが、キーホルダーが７つになり、Zone Signing Keys (ZSK)の交換タイミングなどの取り決めが発表されています。
参考:
DNSSEC Key Timing Considerations -- Draft
難しい・・・・
そういえば、現在 IETF 76 - Hiroshima, Japan が開催中なのですね

--
Another iPhone Attack
Truly malicious iPhone malware now out in the wild
If you do activate SSH on your jailbroken iPhone, be sure to take the warning to change the default passwords for both the "root" and "mobile" users seriously.
というか、
It’s obvious that users of jailbroken iPhones are leaving themselves open to malicious attacks. What was originally theoretical has been realized and should make iPhone users stop and think before jailbreaking their phone.
のほうが重要そうですが・・
iPhone欲しいよ～

--
Panda Cloud Antivirus
Panda Cloud Antivirus、ベータ版から正規版へ。世界同時リリース
（パーソナル用途）無料アンチウィルスに新しい選択肢が！（といってもかなり前からβテストしていましたが）

MSE
Avira
Avast! (小規模企業むけも有)
AVG
・・・あと何かあったかな？

--
Block List DNS-BH
198 new domains to blacklist -- 2009.11.09
New domains for your dns redirection:

botnet, phishing domains -- 2009.11.06
Sources include blog.fireeye.com, ww.rbl.jp, malwaredomainlist.com, and others:

--
MalwareURL 復旧おめでとうございます（DDoSだったのかも？）

--
Windows 7 ユーティリティ、GPL プロジェクトのコードを一部「拝借」している？
MS、「Windows 7」移行支援ツールの配布を中止
GPL汚染っと・・

----------
GSB:
| 1257883248 | B | [goog-black-hash 1.44143 update]
| 1257883201 | M | [goog-malware-hash 1.17092 update]
| 345923 | Affected
| 943794 | Logged
EoF