2009.07.24 FRI
Posted in security on 7 月 24th, 2009 by gnome
河童忌 
芥川龍之介の命日
----------
[WARNING]
昨日の Adobe Flash/PDF 脆弱性対応として、authplay.dll を消したりリネームした方へ:
お手数ですが元に戻して別の緩和策を使用してください。
authplay.dllが無い状態で、脆弱性攻撃を受けるとクラッシュし、別の脆弱性攻撃の要因になる可能性があります。
----------
Adobe Flash/PDF 関連追記
YA0D (Yet Another 0-Day) in Adobe Flash player
UPDATE 3
まず、Adobeから(最初に)提示された緩和策において、「マルチメディアの信頼性(従来形式)」などの、Adobe Reader上のいずれのオプションの変更もこの問題を緩和できません(いくつかの Blog がこのオプションのやりかたをインストラクションしていますが、これらは古い(Legacy)プレイヤーに関するものであり、この脆弱性攻撃をとめられないでしょう)
我がSANSのPDFの専門家であるDidier Stevensは、fileを取り除く以外に "AcroRd32.dll" をHexEditorを用いて素早くラフ(dirty hack)に解析し、RichMedia インスタンス(例: into Richmedia)をリプレスしていることを見つけました。すでに出回っているExploitが /RichMedia annotations(注釈)を悪用しており、これを停止することが有効だと考えられます。
また、
hereEvil.pdf (:Result: 10/41 (24.39%)) に関する沢山の報告をいただきましたが、このファイルは危険なことに変わりはありませんが、この SWF-0-Day攻撃ではありませんでした(そう、RichMedia annotations が含まれていません)。また、このファイルのテストをを行いましたが、すでにいくつかのメーリングリストでも言及されているように Adobe Reader 9.1.0 でのExploits が成功しません (Adobe Reader 9.1.2 でも確かに動作しません)
(現時点での)最後に、良いニュースです。 この Flash 脆弱性攻撃はそれほど広範囲に拡散しているものではなく、ほんの2・3サイトがこれに加担しているに過ぎません。
残念なことに Adobeは、FlashPlayerが 完全自動で drive-by-download 攻撃を許してしまう問題が発生しているにも関わらず、そのアドバイザリに「使える緩和策」を出してくれません(実用的でない!)。
上述の NoScript のほかに、FirefoxにはFlashblock という FlashMovieをブラウザに読み込むことをブロックするアドオンがあります。これらは来週の木曜日(日本では July 31 金曜日あたり)にAdobe がパッチをリリースするまでのバンドエイドとして助けになることでしょう。
FireEyeのJulia Wolfが、ActionScript(Flashの言語環境)がどうやってJavaScriptに代わって pray the heapの悪用を実行可能か?という記事を書いています。これは JavaScript を OFFにすることが役に立たないことを意味しています。また、我々が発見したものとは異なる2種類の ShellCodeも記載されています。
----
その FireEye の記事
Who is Exploiting the Adobe Flash 0-day?
One easy step and you are safe ..:)
LOL
(爆笑)
CnC IP:
59.175.238.82
webswan.33iqst.com
webswan.zurge.org
そういえば、ScanSafeも手厳しい記事を書いていましたね
Adobe's Name is Mud
Before software came along, the word adobe was better known as the mud and straw bricks used to build structures popular in warm dry climates. And right now, the software vendor Adobe may just signify mud for computer users as well.
Softwareとしての Adobeが確立する以前、この Adobe という言葉は温かい乾燥した土地にもっとも良く建てられた建造物に使用する、泥と高品質のレンガのことでした。そして今は、ソフトウェア・ベンダーである Adobe は、コンピュータユーザから単に「泥」と呼ばれる存在になってしまったのかもしれません。
(苦笑)
現状、パッチが適用されるまで、Flashを見ないしか手が無いようです。
authplay.dll を消したり、一時的にリネームしても良いですが、もし RichMedia annotations が含まれた PDF を開いた瞬間クラッシュしますので、逆にクラッシュ時のリモートコード攻撃に使われかねません。
----------
無線Router のオープンソースファームウェアに脆弱性
DD-WRT Vulnerability
Paul wrote in to let us know about a new vulnerability in DD-WRT that was being reported in the Register at:
Open-source firmware vuln exposes wireless routers
DD-WRT runs on routers by Linksys, D-Link Buffalo, ASUS and well as other routers.
ん? どっかで見たメーカーが・・・・
DD-WRT: Supported Devices: Buffalo
この脆弱性は、攻撃者が root 権限で脆弱なルータ上で任意コードを実行可能です。
既に Milw0rm に攻撃コードが出回っています(そういえば、おととい見た気もする・・・)
一応、Firmwareのアップデートが存在するようですが、どの機種にドレを入れれば良いのかはわかりません。
Buffaloの対応待ちかな?
----------
Vulnerability in dhclient - Check Your Vendor For Patches
以前に紹介した
Which ISS products are affected by ISC dhclient DHCP Client vulnerability (CVE-2009-0692)?
CVE-2009-0692
tack-based buffer overflow in the script_write_params method in client/dhclient.c in ISC DHCP dhclient 4.1 before 4.1.0p1, 4.0 before 4.0.1p1, 3.1 before 3.1.2p1, 3.0, and 2.0 allows remote DHCP servers to execute arbitrary code via a crafted subnet-mask option.
この脆弱性ですが、影響範囲が
DHCP 4.0 (all versions)
DHCP 3.1 (all versions)
DHCP 3.0 (all versions)
DHCP 2.0 (all versions)"
Red Hat (no version specified) and Ubuntu are known vulnerable.
Don’t read this post----------
情報流出が相次ぐ、りそな銀行とアリコで発生またか™;
----------
Another Inj3cti0n
Goscanpark: 13 Facts About Malicious Server-Wide Meta Redirects.I’ve discovered a new emerging malware attack today. Actually two attacks, but in this post I’ll review only one of them – server-wide goscanpark .com/goscansoon .com meta redirects.
どうやら、例の
Beladen の亡霊がうごめいているのかもしれません。| goscanpark.com | THROUGH |  goscanpark.com | 3 |
| goscansoon.com | BLOCKED | goscansoon.com | 1344 |
| scan6atom.com | THROUGH | scan6atom.com | NOT YET |
| scan6lux.com | THROUGH | scan6lux.com | NOT YET |
| scan4work.info | THROUGH | scan4work.info | NOT YET |
| highscan4.info | THROUGH | highscan4.info | NOT YET |
| slimscan4.info | THROUGH | slimscan4.info | NOT YET |
| scan4bay.info | THROUGH | scan4bay.info | 2 |
| scanmore4.info | BLOCKED | scanmore4.info | 91 |
| inb4sk.com | THROUGH | inb4sk.com | NOT YET |
| inb4co.com | THROUGH | inb4co.com | NOT YET |
| top4scan.info | THROUGH | top4scan.info | 15 |
| scan4note.info | THROUGH | scan4note.info | NOT YET |
| 204.27.57.227 | AS19969 |  WINSTAR | |
----------
時間切れ
EoF
インジェクション FireFox3.5 Heap Spray Vulnerabilty
『Metasploit』、最新版で『Windows』をフルサポート
CHINA-TELECOM
3.5.1
Windows/Microsoft Update
NEVAL.
JUNIK
ROOT-AS
False positive detection of Win32/Amalum
CAのアンチウイルスソフト,「Windows XP」のシステムファイルをウイルスと誤判定 
Koobface malware attack
Guy Kawasaki's Twitter account hijacked, pushes Windows and Mac malware
Preview a TinyURL
インジェクション
milw0rm
inj3ct0r
This Month in the Threat Webscape
wslabsutube さんのチャンネル
Analysis report for hXXp://fastbrakes.com/shop/index.php -- 2009-05-29 16:09:12
[Security-announce] VMSA-2009-0009 ESX Service Console updates for udev, sudo, and curl
Trojan.Dozer - Kicking You While Your Website is Down
またスッピンからやり直し
その後の正規サイト改ざん〔後篇〕(1):多数ドメインを使うサイト改ざんが継続
エフセキュア、2009年第2四半期セキュリティ総括を発表 
To *** or Not to Mask: Usability Versus Security in Password Masking
Why it's a **** idea not to mask passwords -- Graham Cluley’s blog
Flash Player 10.0.45.2
KILL Acrobat JavaScript
Java 6 update 19
Apple QuickTime 7.5.6
Firefox 3.6.3
Chrome 4.1.249.1045
Opera 10.51
Thunderbird 3.0.4
O
OOo 3.2
RealPlayer SP1.1.2(12.0.0.641) 
Skype 4.2.0.155
Pidgin 2.6.6
Wordpress 2.9.2
WireShark 1.2.7
Secunia PSI
MyJVN VerChk
2010.05.31
2010.06.30
BEFORE BURNER
焼却炉