べつになんでもないこと

また0-dayか！
2009.12.15 火曜日 - UnderForge of Lack

[IN ZERO DAY]
New Adobe Reader and Acrobat Vulnerability
Adobe received reports of a vulnerability in Adobe Reader and Acrobat 9.2 and earlier versions being exploited in the wild.

National Vulnerability Database (NVD) National Vulnerability Database (CVE-2009-4324)

Unspecified vulnerability in Adobe Reader and Acrobat 9.2 and earlier has unknown impact and attack vectors, as exploited in the wild in December 2009.

具体的な話が分かりませんので、可能な限り他のPDFviewerに一時退避しましょう。

窓の杜 - PDF
ビューアー
窓の杜 - PDF-XChange Viewer
窓の杜 - Foxit Reader


追記
Adobe 0-day in the wild - again

The bug requires JavaScript. Turning off JavaScript support appears to be your best defense.

JavaScriptを切ればいいらしい。参考：AcrobatのJavaScriptを無効 - INTERNET Watch

エフセキュアブログ : Adobe Acrobatゼロデイ分析

AcrobatのJavaScriptオプションを無効にすれば、問題は若干軽減されるかもしれない。

【ゼロデイ攻撃】Adobe Readerの脆弱性狙うトロイの木馬、添付PDFに注意 - So-net

脆弱性はJavaScript周辺にあるとみられ、Adobe ReaderのJavaScript（Acrobat JavaScript）を無効にすることが推奨される。信頼できるPDFファイル以外、開かないことはもちろんである。

Adobe ReaderとAcrobatを悪用する攻撃発生、未修正の新たな脆弱性が見つかる - ITmedia News

脆弱性を突いた悪質なPDFが電子メールの添付ファイルとして出回っているという。
（中略）
　当面の回避策としてセキュリティ各社は、AcrobatとReaderのJavaScriptを無効にし、不審なPDFファイルを開かないなどの対策を促している。

Adobe Reader/Acrobatにゼロデイ脆弱性、最新版にも影響 -INTERNET Watch

　US-CERTでは、脆弱性が修正されるまでの対策として、Windowsのデータ実行防止（DEP）機能を有効にすることや、Adobe Reader/AcrobatのJavaScript機能を無効にすること、Webブラウザ上でPDFファイルを自動的に開かないように設定することなどを推奨している。

メールに添付されたPDFを開く際も差し出し人をよく確認してねと。

Security Advisory APSA09-07 update - Adobe Product Security Incident Response Team (PSIRT)

Adobe plans to make available an update to Adobe Reader and Acrobat by January 12, 2010 to resolve the issue.

0-dayは最低でも2010/01/12まで続くと

緩和策
JavaScript のブラックリストフレームワークについて（Acrobat/Adobe Reader 8-9）

1. レジストリエディタを起動します。
2. 以下のキーに移動します。
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Adobe\＜Adobe Acrobat または Acrobat Reader＞\＜バージョン＞\FeatureLockDown\cJavaScriptPerms
   ※　サブキーに「cJavaScriptPerms」が存在しない場合は作成します。
3. 「cJavaScriptPerms」キーを右クリックし、[新規] － [文字列値] を選択します。
4. 値の名前に「tBlackList」と入力します。
5. 「tBlackList」値を右クリックして [修正] を選択します。
6. [値のデータ] テキストボックスにブロックする API を入力します。複数入力する場合はパイプ（|）で区切ります。
   例 ： ＜オブジェクト名＞.＜API 名＞
   Util.CharToByte|App.alert|Collab.getIcon
7. レジストリエディタを終了し、Acrobat/Adobe Reader を再起動します。

JavaScript ブラックリストフレームワークを利用したセキュリティリスク軽減（Acrobat/Adobe Reader）

……やってられるかよ(ノ-_-)ノ~┻━┻

---

MSがIndeoコーデックの攻撃防止策、脆弱性は修正せず - ITmedia News

Microsoftは脆弱性自体を修正するのではなく、同コーデックをブロックして攻撃経路をふさぐ措置を取っている。
（中略）
影響を受けるのはWindows 2000、Windows XP、Windows Server 2003で、自動更新を有効にしている場合、更新プログラムが自動的にインストールされる。

---

セキュリティホール memoや UnderForge of Lack（2009.12.12 土曜日）を 読まれている方には今更なのですが、Gumblarは相変わらず……というよりウイルス関連は年末年始にかけて活発になりますので、より一層の注意が必要になります。

エフセキュアブログ : SQLインジェクション攻撃のニューウェーブ
FFXI(仮)　 インジェクション
トロイの木馬『Buzus』、感染サイトは12万5000以上に - japan.internet.com
ZeuS/zbot - VISAカードの不正利用警告を騙って - cNotes: Current Status Notes
Amazon Web Serviceを利用した攻撃 - cNotes: Current Status Notes
MyDoom、Bagle対NetSky --作者同士がウイルスコードで「罵り合い」 - CNET Japan

Gumblarも頑張りすぎで困ります……
GENOウイルススレ　★23

131 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2009/12/11(金) 17:39:09

Gumblarご乱心？
tp://www●malatyabirlikgazetesi●com/
＜script src=ｈttp://orientdesigns●co●in/images/favicon●php ＞</script>
↑
色々な場所に沢山入ってるんだが･･･

133 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2009/12/11(金) 17:49:17

www●senbaskasin●net/ms_word●asp?haber=246

「ファイルタイプ: Microsoft Word」
こんなのも引っ掛かるようになってきた

135 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2009/12/12(土) 02:50:48

旅行関係(代理店？)のHP陥落を複数確認。

webtravel●co●jp　※問い合わせページのみ？
http://www.google.com/safebrowsing/diagnostic?site=webtravel.co.jp/&hl=ja

usa-sports●net
http://www.google.com/safebrowsing/diagnostic?site=usa-sports.net/&hl=ja

某空港の巻き込みを喰らったと思われる。

※上記以外にもあるような気がするが、調べる時間が無～ orz

147 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2009/12/14(月) 01:43:09

>>138
＜div class="pic_content"＞
＜img src="/XXXXX/XXXX/XXXXX/XX/XXXXX●＜script src=http://7o8●net＞＜/script＞

a href、imgとかにも寄生してるから

148 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2009/12/14(月) 18:54:20

相談させて欲しい。

カスペさんが、とあるサイトで反応したのでソースを確認したら
<scipt sc=htt//apiwachara●com/images/gifimg．php ><／script><body>
というものが入っていた。
ほぼ黒だと思ったので管理人に連絡。
旧GENOの対処だとだめなこと、ウィルスソフトもダメなこと、
カスペインストかニフティのオンラインスキャン等の手段があること、
レジストリ確認（http://xx2zz.blog77.fc2.com/blog-entry-131.html）法があることをメールに記載。

インデックスのみのこしてサイトを削除してくれたが、
・覚えのないタグが入っていた
・削除した
・PCに感染はみとめられない
・感染したわけではないが、念のため
との記載。
その告知ページに上記タグが埋め込まれてるあたりもうどうしたら。

GENOウィルスチェッカーみたいなものが反応してくれたら、信じてもらえるかもと思って
http://6130.web.fc2.com/xxx/
で確認してみたんだけど、「安全です」との結果が出てくる。

新しく作ったHTMLに寄生されている以上、黒で間違いないと思うんだけど、
簡単にわかってもらえる方法はないだろうか？

私なら、サーバの管理会社に連絡するとかhttp://www.google.com/safebrowsing/report_badware/にお知らせｗするとかして直接関わらないようにしたいなぁ。

Gumblar攻撃再開（要注意）の対策はGumblar以外にも効果があります。インストールしたソフトはきちんと管理しましょう。


えっと、勘違いないように改めて言っておきますが、うちはセキュリティ関連ブログではありません。見かけた情報を貼ってるだけのただの素人です。

このブログを情報源にとか考えるのは危険ですからやめてねと。
（セキュリティホールmemoなどを情報源にしてくださいな）

---

アメーバあしあとちょう - セキュリティホール memo
「アメーバなう」どころか（あとついでに｜ぼくはまちちゃん！）Amebaブログにもありましたよとｗ

どこかでみたような「アメーバなう」、即CSRFの餌食に - スラッシュドット・ジャパン

追記
ぼくの名前をかたったウイルス？｜ぼくはまちちゃん！(アメーバ)

ぼくの名前をかたったウイルスがアメブロに広まっていたみたいなので、
ちょっとだけ調べてみたよ。
（中略）
さて、この犯人なんだけど、ぼくの名前を真似るにあたって
どうやらぼくのアメブロも見に来てくれていたみたい。

なんでって、ちょっと前にぼくが自分のブログに設置しておいた
「アメーバあしあとちょう」で、しっかりとペタを残してくれていたから…。

活用してたのかｗｗｗ

---

[memo:9718] セブン&アイの通販サイトの脆弱性 - セキュリティホール memo

セブン＆アイの通販サイトで価格の誤表示、原因は入力作業ミスか - ITpro
↓
カジ速 | セブンネットショッピング、会員の個人情報がダダ漏れ。さらにネラーに注文番号の規則性を解析される
↓
カジ速 | セブンアンドワイ、XSS脆弱性が見つかる。また社員が2chを覗いていたことが判明

ニュース速報にスレたったのは知ってたけれど、追いかける元気がなかった。

959 名前： 下敷き(catv?)[] 投稿日：2009/12/13(日) 19:36:22.06 ID:nsN61RWH

801 名前： パステル(徳島県) 投稿日： 2009/12/13(日) 16:49:16.77 ID:1Cux5Dx4
ちなみにこないだのセブン

８日にお詫び(2000円為替します宣言)掲載後、１１日までの流れ

・今回に関する対応の続報を４日経っても発表しない

・メールを送るとセブン側は言ったがメールが一向に来ない

・問い合わせのメールを送っても返信来ない

・商品のキャンセルができない

・デビッド決済で口座から代金が引き落とされた人が続出

・カスタマーに電話しても全然つながらない

・サイトに記載されていた問合せフリーダイヤルは有料回線だった

・まだ残っている誤表記の商品URLがスレに書き込まれると
　商品ページががすぐに修正される

・株式会社セブンネットショッピングのスタッフページから
　社員の顔写真が一斉に消える

・注文履歴が消されていく

･個人情報漏れる　← NEW！（そして今ここ

またノーガード戦法だろと思ったらスルー戦法だったとは恐ろしやｗ

こういう事がある度、ネット上にも現実社会のように、ルールや法律が必要だという考えも示したとか寝言を言ってる暇があるなら、企業のサイトに改竄および漏洩が発生した場合は速やかにサイトを閉鎖しなければならないっていうルールを現実社会の方に作れよボケ！と思ってしまうのです。

　　　　　　　　　 　 __ /{　　＿_
　　　　　 　 　 ／⌒Ｙ　Ｖ´　∠_　 　 　 　 げ 　 お
　　　　　　　 / ／⌒＼　　／⌒ヽ.　　　　 ん 　 ち
　　　　　　_ノ　′　　＿Ｙ/_　　　　＼_　　 き　　こ
. 　 　 　 ｀ｱ　V　 ,∠ ニ＝=ミ　 }ﾉ＜´　　 と 　 ん
. 　 　 　 /　　 ／　　　　 　 　 ｀ヽ 　 ヽ　　も　　だ
　　　 　 {　　/ 　 　 　 　 　 　 　 ヽ 　 } 　 い 　 り
　　　 ､_ﾉ　 ,′// /{　　 ハ 　 ﾊ ハ　｛　　い　　も
　　 　 ｀Ｔ　l　 |／ ハ　 ｛　}／　|　｜}｀ 　 が　　し
.　　　 　 ヽ.|　 |　二.._＼{　_..二｜　l/　 　 た　　な
　　　　 　 八 `T弋_フ　　弋_フ ｊ　/{　　　 い　　い
　　　　 ＿／ヽ{｀　　　　　　　 ノイ＞―- ､　°　し
　　 ／　　 ,二｀＞-へ二､　-＜´　　 　 　 ヽ
　　 ヽ、　く／_　＼　＼>Ｊ）　　 　 　 　 　 ノ
二二二二二,二二二二二二二二二二二二二二二
　　　　　　 /　　　　　,.へ　　　　　 ヽ
|￣| |￣| |￣| |￣| |￣| |￣| |￣| |￣| |￣| |￣| |￣| |