2010.02.20 土曜日
Posted in security on 2 月 20th, 2010 by gnome
旅券の日愛媛県政発足記念日石鉄県と神山県が合併して愛媛県が誕生した。。1973 年に最初の記念行事が行われ、「愛媛県章」「
愛媛の歌(注:予備1,2有)」が制定された。(歌(*1), 歌(*2))
※歌(*1)が耳に残ってしまっても当方は一切責任を負いません(笑)
交通事故死ゼロを目指す日愛媛の歌(注:予備1,2有)」が制定された。(歌(*1), 歌(*2))※歌(*1)が耳に残ってしまっても当方は一切責任を負いません(笑)
交通死亡事故がこの一日だけは一件も起きない事を願い、全国的に死亡事故防止を呼びかける。Unfortunately...
歌舞伎の日普通選挙の日アレルギーの日----------
Firefox 3.6 built on cemetery
さて・・・
Zero day exploit for Firefox 3.6昨日、注意喚起した話ですが、どうやらかなりややこしい事態になっているようです。
Exploit for zero-day vuln in Firefox is for sale The Intevydis site says: “Exploitation frameworks are not new on the market, but only we may offer you hundreds of CANVAS modules for unpatched and unknown vulnerabilities in highly popular software products.”
という感じで、脆弱性情報を得たければ、プロダクツ(CANVAS modules)を買えと、半ば脅迫ともとれる行動に出ているようです。
なんだかなぁ・・
Firefox 3.6 "0day" - trying to find more info (and more "0day") -- extraexploitによれば、2/12-2/13に、これによるのではないか?と推測されるクラッシュレポートが出ているそうです。
現状まだ、「ゼロデイ・アタック」が開始されているわけではなく、あくまでも Possible(可能性)の段階ですが、ヒープクラッシュがどのようにして引き起こされるのか不明ですので、要注意です。
FUDっぽい気もしないでもないんですが、どう転ぶかはわかりません。
特定のサイトで、Firefoxがクラッシュする場合、そのサイトには近寄らず、Mozilla Foundation にその状況をレポートしてみてください。
----------
Knebor the Alternative ZeuS
これも、昨日の "Hilary Kneber"の続報ですが
NetWitness Discovers Massive ZeuS Compromise Its analysts have discovered a dangerous new ZeuS botnet affecting 75,000 systems in 2,500 organizations around the world. The newly-discovered infestation, dubbed the "Kneber botnet" after the username linking the infected systems worldwide, gathers login credentials to online financial systems, social networking sites and email systems from infested computers and reports the information to miscreants who can use it to break into accounts, steal corporate and government information, and replicate personal, online and financial identities.
潜伏しすぎだろ!と思ったりするんですが、そんなにルートキットが流行してるんでしょうか?
The Kneber botnet - FAQResearchers from NetWitness found just 1972 digital certificates, and over 68,000 stolen credentials over a period of 4 days.
どうやって集計してるんでしょうね・・・
陥落しているPCのOSは圧倒的に XP が多いですが、一部に Vista も含まれています。
Scansafeから、Malicious IP/Domainリストが出ています(復活感謝!)
Zeus "Kneber" Botnet Cache Discovered
Googleセンセイに尋ねた結果あまり芳しくないですね・・
とりあえず現時点でできることは、DbD攻撃に対する防護を整え、できる限り最新のOS/Browserを使用することです。
※Firefox 3.6 は現在アレなんですが・・・
Kneber: Another bot yet?
Just what is this botnet called Kneber?
ZeuS: ‘A Virus Known as Botnet’From where I sit, security stories that lack appropriate context tend to ring hollow, and squander important opportunities to raise awareness on the size, scope and real-world impact of these threats.
総合的な視点とか言われても、話が大きすぎるのでなんとも・・・
----------
Adobeのダウンロードマネージャー
Adobe Download Manager issue Adobe is aware of the recently posted report of a remote code execution vulnerability in the Adobe Download Manager.
まず穴を掘る、その穴を埋めるために、別の穴を掘る(*repeated)
Skeletons in Adobe's security closet -- Aviv Raff On .NET
And yes, you do get a big dialog box when you are forced to download the software. Like this will really matter to the attacker, when all he wants is to get his malicious software on your machine.
Skeletons in Adobe's security closet0day vuln in Adobe Download Manager disclosed yEr PwNeD!!!!
*shrug*
続く
----------
Adobeの穴は本当に塞がれたのか?
Adobe Reader and The Unspecified Vulnerability今回の Reader 9.3.1 の
穴は 
CVE-2010-0188 として非公開処理されており、その詳細は公開されていません。
Adobe Acrobat and Reader CVE-2010-0188 Unspecified Remote Code Execution VulnerabilitySecuniaで独自に解析した結果、その"AcroForm.api"の修正にかかわるコーディングは、オープンソースのlibtiffライブラリに関連するものとされ、TIFFイメージのパーシング処理の際に呼び出されるものとされています。
この libtiff の修正が行われたのは、
Secunia Advisory SA21304 の際で、それは 2006年の話です。尚、TIFFベースのスタックオーバーフローは、
CVE-2006-3459として、Reader 9.3.0でもコード実行可能だったと指摘しており、その因果関係を示唆しています。Soon after the finding, a TIFF file exploiting the stack-based buffer overflow registered under CVE-2006-3459 was internally developed and confirmed to allow code execution in Adobe Reader version 9.3.0.※
[APSB10-02] Security updates available for Adobe Reader and Acrobatには該当CVEは無し。「こまかいことはいいんだよ~」・・かなぁ?
----------
Deep Insight
恒例、FireEyeのシリーズです
Man in the Browser ブラウザーの「中の人」ってイヤな存在ですよね・・
----------
8080 Deep Research
インジェクション 8080のアクセス制御? 2初回アクセスから117時間は0byte応答
その後252時間スクリプトがダウンロード可能に。
お・・お疲れ様ですっ
しかしこれ、ここまでアクセス制御しても引っかかる人が多発してるって何なんでしょうね・・・
ad72・net as 68.178.254.1via
AS26496(PAH-GoDaddy) 
gazrossii・ru as 195.208.0.4via
AS25535(RUCENTER) 
wam.co・id as 67.215.237.42via
AS22298(SPNW) なんですかこの co.id(
) って(笑)----------
Pidgin
version 2.6.6 (02/18/2010)----------
WordPress DOWN
WordPress.com 停止で、本誌および1019万9999ヶ所のブログがダウンデータセンター業者の一社が主要ルーターに予定外の変更を加えた結果、ネットワークに当社がこれまで経験したことのない問題が起こり、サイトが破壊された
あ~あ~
----------
Flash Cooooookie
Adobe Flash Player 10.1、クッキーを残さない「プライベートブラウジングモード」をサポート関連・・?
Jobs曰く「FlashはiPadを殺す」…もっと現実的になったほうがよいのでは?(笑)
----------
8080
現在改良中:
| count | ASN | 登録 | 更新 | |
| 94.23.11.38 | 4453 | AS16276  | 02/17 10:35:20 | 02/20 09:10:44 |
| 80.69.74.73 | 4363 | AS20857  | 02/17 10:35:20 | 02/20 09:10:44 |
| 91.121.24.139 | 4270 | AS16276 | 02/17 10:35:20 | 02/20 09:10:44 |
| 91.121.172.32 | 3078 | AS16276 | 02/17 10:35:20 | 02/20 09:10:44 |
| 91.121.108.53 | 2849 | AS16276 | 02/17 10:35:20 | 02/20 09:10:44 |
| 188.72.211.253 | 2548 | AS28753  | 02/17 10:35:20 | 02/20 09:10:44 |
| 87.233.139.100 | 1031 | AS15703 | 02/17 10:35:20 | 02/20 09:10:44 |
| 213.251.164.84 | 847 | AS16276 | 02/17 10:35:20 | 02/20 09:10:44 |
| 188.40.118.68 | 847 | AS24940 | 02/17 10:35:20 | 02/20 09:10:44 |
| 94.23.199.154 | 847 | AS16276 | 02/17 10:35:20 | 02/20 09:10:44 |
| 78.31.107.49 | 847 | AS24931  | 02/17 10:35:20 | 02/20 09:10:44 |
| 77.68.44.169 | 847 | AS15418 | 02/17 10:35:20 | 02/20 09:10:44 |
| 91.121.180.112 | 426 | AS16276 | 02/20 00:30:36 | 02/20 09:10:44 |
| 91.121.221.181 | 380 | AS16276 | 02/19 23:30:35 | 02/20 09:10:44 |
| 91.121.7.26 | 165 | AS16276 | 02/20 05:50:34 | 02/20 09:10:44 |
| 89.149.244.211 | 17 | AS28753 | 02/20 08:30:31 | 02/20 08:40:41 |
| 85.17.58.10 | 49 | AS16265 | 02/20 06:50:47 | 02/20 08:30:31 |
| 91.121.78.185 | 144 | AS16276 | 02/20 00:40:38 | 02/20 06:30:57 |
| 88.80.221.41 | 314 | AS39023 | 02/18 06:40:49 | 02/20 06:00:37 |
| 213.186.60.175 | 60 | AS16276 | 02/20 00:30:36 | 02/20 05:20:33 |
| 78.41.156.236 | 46 | AS6908  | 02/18 20:00:43 | 02/20 05:20:33 |
| 87.106.247.193 | 25 | AS8560 | 02/17 19:40:50 | 02/20 04:50:59 |
| 62.75.218.192 | 257 | AS8972 | 02/17 12:30:27 | 02/20 04:40:46 |
| 78.46.46.3 | 16 | AS24940 | 02/20 04:30:27 | 02/20 04:40:46 |
| 95.168.170.89 | 50 | AS28753 | 02/19 22:40:46 | 02/20 04:20:39 |
| 89.110.147.181 | 534 | AS24989 | 02/17 13:30:59 | 02/20 02:40:53 |
| 84.200.227.144 | 269 | AS31400 | 02/17 12:30:27 | 02/19 23:20:44 |
| 91.121.1.99 | 101 | AS16276 | 02/17 21:00:39 | 02/19 08:20:32 |
| 213.251.133.159 | 76 | AS16276 | 02/17 18:00:50 | 02/19 06:20:46 |
| 91.204.116.79 | 7 | AS44976  | 02/20 04:50:59 | --- |
| 88.191.63.28 | 7 | AS12322 | 02/20 04:50:59 | --- |
| 85.14.202.210 | 7 | AS13301 | 02/20 04:50:59 | --- |
| 82.192.88.35 | 5 | AS16265 | 02/19 21:20:43 | --- |
| 91.121.74.84 | 5 | AS16276 | 02/19 21:20:43 | --- |
| 217.23.5.27 | 5 | AS49981 | 02/19 21:20:43 | --- |
| 91.121.142.111 | 5 | AS16276 | 02/19 21:20:43 | --- |
| 91.121.93.220 | 5 | AS16276 | 02/19 21:20:43 | --- |
毎日コレが載るの、ウットオシクないですか?
----------
Google Safe Browsing
| 1266609629 | B | [goog-black-hash 1.51403 update]
| 1266609602 | M | [goog-malware-hash 1.19493 update]
| 324363 | -2399(326762) ちょっと減りました
| 1390933 |
※メールの匿名希望の方へのお返事
この部分は Google Safe Browsing のレポートで、3行目が「現在」悪意ドメインとしてブラックリストされているドメインの総数、4行目は現在までに1回でも登録されたことのあるドメインの数です。
EoF
KILL Acrobat JavaScript
Java 6 update 19
Apple QuickTime 7.5.6
Firefox 3.6.3
Chrome 4.1.249.1045
Opera 10.51
Thunderbird 3.0.4
O
OOo 3.2
RealPlayer SP1.1.2(12.0.0.641) 
Skype 4.2.0.155
Wordpress 2.9.2
WireShark 1.2.7
MyJVN VerChk
2010.05.31
2010.06.30
BEFORE BURNER
焼却炉