2010.02.12 金曜日
リンカーン誕生日連邦の休日であるが、この日を制定しているのは南部諸州を除く30州。
ダーウィンの日 1809年誕生菜の花忌
司馬遼太郎 忌日(1996 満72歳)ペニシリンの日英・オックスフォード大学附属病院が、世界で初めてペニシリンの臨床実験に成功
オックスフォード大学附属病院が、世界で初めてペニシリンの臨床実験に成功ブラジャーの日黄ニラ記念日レトルトカレーの日----------
VTの検出が古いものだというお叱りをいただきました。
以後は気が付いたら同一ハッシュのものを再検索するようにしますが、日々変化する性質のものですので、古い記事のものに関しましては、個別で再検索されることをお奨めいたします。
----------
PAGE_FAULT_IN_NONPAGED_AREA
New Patches Cause BSoD for Some Windows XP UsersTurns out, a non-trivial number of XP users are reporting that their systems suffer from the dreaded Blue Screen of Death (BSoD) and fall into an interminable reboot loop after installing the latest batch of patches from Redmond.
Windows XP の一部のユーザに 先日の Patch(Feb)を充てた後、BSoSにより起動不能になるケースが出ているようです。
こうなると、パッチを前に差し戻すしかなく、一般のユーザには困難だと思われます。
CD/DVDから 
WindowsXP回復コンソールを起動する。
以下のコマンドを入力
WindowsXP回復コンソールを起動する。以下のコマンドを入力
CHDIR $NtUninstallKB977165 $\spuninst
BATCH spuninst.txt
systemroot
全てが完了したらBATCH spuninst.txt
systemroot
exit
問題を起こしているのは、
MS10 015: Windows カーネルの脆弱性の特権昇格が起こるですね。直前の BlackHat DC+ で指摘され今回のパッチに「間に合った」ものです。
ゼロデイを防ぐのか、こうしたテスト不足によるパッチ障害を重要視するのか?という命題は、天秤に図るのが難しいです。
Windows XP は既にメインストリームではなく、
延長フェーズでのサポートが行われているため、こうした問題は今後も起こる可能性があります。Microsoft Answers(Forum): (火災発生中)
BLUE SCREEN, UNABLE TO BOOT AFTER WINDOWS XP UPDATE TODAY
WinXP users: hold off on installing MS010–15 
Windows patch cripples XP with blue screen, users claim----------
誤検出
先日の Firefox Addonに2つのトロイが紛れ込んでいたという話ですが
Update on the AMO Security IssueWe’ve worked with security experts and add-on developers to determine that the suspected trojan in Version 4.0 of Sothink Video Downloader was a false positive and the extension does not include malware.
We apologize to our users and the developers of Sothink for any inconvenience this has caused.
Sothink Video Downloaderへのウィルス混入は誤検出だったということが判明しました。
Firefox用アドオンにトロイの木馬、1種類は誤検知と判明 
Mozilla admits to add-on malware false alarm 昨日のKasperskyの話も引き合いにされていますね。
----------
週間脆弱性 by HIRT
チェックしておきたいぜい弱性情報<2010.02.10>
BGM米シスコ Cisco Unified MeetingPlaceに複数のぜい弱性(2010/01/27)
VMware Virtual Center 2.5セキュリティ・アップデートのリリース(2010/01/29)
Wireshark 1.2.6 リリース(2010/01/27)
Sun Java System Web Server 7.0 Update 7に複数のぜい弱性(2010/01/20
Windows カーネルのぜい弱性(2010/01/21)
VMware Virtual Center 2.5セキュリティ・アップデートのリリース(2010/01/29)
Wireshark 1.2.6 リリース(2010/01/27)
Sun Java System Web Server 7.0 Update 7に複数のぜい弱性(2010/01/20
Windows カーネルのぜい弱性(2010/01/21)
いつもありがとうございます。
----------
バレンタイン・トラップ
Cupid StruckBackdoor:Win32/Bifroseかわいい絵柄とは裏腹に、やってることは剣呑この上ありません。
Manage running processes
Manipulate files or registry data
Obtain installed program details
Log keystrokes
Screen capturing
System shutdown or reboot
Command shell
Manipulate files or registry data
Obtain installed program details
Log keystrokes
Screen capturing
System shutdown or reboot
Command shell
検索結果も・・・
Valentine’s Day Searches Lead to Malware5, 4, 3, 2, 1…malware!
多すぎ・・・
Valentine’s Day Screensavers
Valentine’s Day Downloads
Valentine’s Day Wallpaper
Valentine’s Day Rolex
Valentine’s Day eCards
Animated Valentine’s Day
Valentine’s Day Greetings
Valentine’s Day Cupids
Valentine’s Day Gift Ideas
Valentine’s Day Downloads
Valentine’s Day Wallpaper
Valentine’s Day Rolex
Valentine’s Day eCards
Animated Valentine’s Day
Valentine’s Day Greetings
Valentine’s Day Cupids
Valentine’s Day Gift Ideas
日本では引っかかりにくそうですけど、そのうち
mo/po が飛び交うようになるんでしょうか?----------
Tax Season
米国のtax season真っ盛りですので・・
Dear taxpayer – don’t 
Tax Report Themed Zeus/Client-Side Exploits Serving Campaign in the Wild誘導先にはシンプルな iframeが記述されており、その先は Fast-Fluxです。
使用されている DbDはかなり古い FlashPlayerの脆弱性のようですので、いつもの対策を取り、あらかさまな spam mail を一般ユーザまで届けさせないことが重要です。
続く
----------
ZeuS taunts ..
New ZBOT/Zeus Binary Comes with a Hidden MessageZeuSの新しいマルウェアの中に いくつかのセキュベンダー宛て(と思われる)メッセージが・・
Thanks to KAV and to Avira for new quests, i like it! NOD32 and SAV is stupid!
・・・・
※KAV = Kaspersky Anti-Virus, SAV = Symantec Anti-Virus
----------
Firefox
Fixing security holes without introducing new bugs「先祖返り」を防ぐための Mozilla の取り組みの話
過去に発生した176回の"regressions "を公開することで、今後こうしたことが無くなるように日夜テストしている、Mozillaのその努力に感謝します。
余談ですが、
フォクすけの認知度が上がってきてるのかな~----------
Google Buzz
Google、『Gmail』にソーシャル メディア機能『Buzz』を追加
新ソーシャル系サービス Google Buzz発表、Gmail ・Googleマップに統合
「うちはもうやっている」――MicrosoftがGoogle Buzzにコメントそういえば、 Windows Live/Messenger ってまさにそうですからね・・・
Gmailといえば、
Iran Shutters Google's Gmail Service と、Iranが Gmailサービスそのものを拒絶しました。
----------
時間切れ:
----------
SWIFT refused US
European Parliament blocks US access to SWIFT data SWIFT----------
CVE-2010-0027
CVE-2010-0027 の実証コードを実行するkaito834様の検証: かなり [OK]をしないと実行できなさそう?
----------
JIT Spray解説
JIT Spraying in PDF----------
RMS
Critical Update for AD RMS----------
Twitpicで位置バレバレ
Twitpic, EXIF and GPS: I Know Where You Did it Last SummerEXIFの話
----------
新たな偽AVキャンペーン
Fake AV c/o PDF and Java exploits----------
Biglobe blocked FTP thru oversea
FTPアクセス制御の実施について
これってどういうブロックレンジなんでしょうね?
----------
8080
第一系統 (新IP 1個 : OVH)
91.121.112.227
AS16276(OVH Paris) 
80.69.74.73
AS20857(TRANSIP) 
91.121.112.227
AS16276(OVH Paris) 94.23.11.38
AS16276(OVH Paris) 94.23.199.154
AS16276(OVH Paris) 第二系統
77.68.44.169
AS15418(FASTHOSTS) 
78.31.107.49
AS24931(DEDIPOWER) 82.165.47.29
AS8560(SCHLUND) 
87.118.90.76
AS31103(KEYWEB-AS) 217.160.110.21
AS8560(ONEANDONE-AS) ----------
Google Safe Browsing
| 1265918435 | B | [goog-black-hash 1.50827 update]
| 1265918402 | M | [goog-malware-hash 1.19301 update]
| 323816 | +3822(319994) また増加中
| 1361052 |
EoF
2 月 12th, 2010 at 10:41 PM
一番シンプルな PoC を実行しただけなんで、他にやりようがあるかもしれません。
Lostmon Lords氏のアドバイザリを読む感じだと、リモートからローカル上の
ファイルを file ハンドラで開かせること(file:///)ができるだけ
という印象を受けました。
file ハンドラで開いた後は、ローカルで開くのと同じ挙動となりそうなので、
Vista, 7 で UAC が有効だと、さらに実行までの敷居があがるんじゃないかと。