アナログ
RSS  

ひさしぶり2010/07/10 21:16

先月、月数回程度の更新頻度になると言ってましたが、6月中はそれでもネタがあればボチボチ更新できてました。

ところが、今月は更新どころか自分のブログをチェックさえしてなくて、コメントやトラックバックがついたことさえ気が付かない始末。

巡回先も、セキュリティ関連を最優先に見てましたが、RSSの2/3くらいは未読で放棄。2ちゃんねるに至っては専ブラに読み込ませるだけ(dat落ちでとれなかったスレすらある)で読んでない有様。
困ったものだw

そうそう、ページランクもまた4→0に返り咲き。
一体何が悪いんだよw

以下記事にしようとしてた古い話ばかりです。


Adobe Reader/Acrobatのアップデート公開、ゼロデイ脆弱性を修正 -INTERNET Watch
Adobeではダウンロードページでのソフト配布方法を変更することを発表。現在のダウンロードページでは、提供されているAdobe Readerのバージョンは9.3で、インストール後にアップデート機能によりバージョン9.3.3にアップデートされる仕組みとなっているが、今後は常に最新版がダウンロードできるように変更する。変更は米国時間7月13日以降に行われる予定。

ようやく重い腰を上げたかと喜ぶ一方で

「Adobeのパッチは不完全」――PDF悪用問題でセキュリティ企業が指摘 - ITmedia News
ファイルを開こうとすると警告メッセージが表示されて問題のPDFファイルは開くことができず、一見、パッチが機能しているように見えたという。

 ところが悪用コードに少し手を加えると、警告メッセージは表示されたものの実行は阻止されず、「Open」をクリックするとファイルが実行されてしまったという。

 この検証結果を受けてBkisは、警告メッセージが改ざんされてしまう問題はAdobe Reader 9.3.3で解決したが、悪用コード実行の問題はまだ未解決だと結論付けている。

なんか不味いらしい。
つうか、どう設定していてこうなるのか前提が分からないので、「Open」をクリックするとファイルが実行されて何が悪い? としか思えないわけで……ソースへのリンクもないし。書くなら分かるように書けよマスゴミ。原文へのリンクもないし(あっても日本語以外読む余裕ないけどw)。
ということでlacでヤバさを確認。

YouTube - 「Adobe Reader、アップデートしても設定に注意すべし!」

「外部アプリケーションでPDF以外の添付ファイルを開くことを許可」はオフにしましょう。
つうか、そこは脆弱性云々抜きでオフにしておいた方が無難。


Microsoft、7月の月例更新は3件の「緊急」の脆弱性に対応
今週初めに匿名のハッカーグループが公表したもう1つのゼロデイ脆弱性に今回対応しない予定だ。

ひょっとしてWindows 2000とXPに新たな脆弱性か? MicrosoftがTwitterで速報の件か?

LOOX SにはWindows 2000がピッタリなんだがなぁ……いきなり終了か。既にXPに戻してるけどさ。
Gumblar.8080系感染してみた 7月9日版 - smilebanana

毎度検証ご苦労様です。
「セキュリティ」とか言えるようなブログじゃないのに・・・
G`nome様が向こう岸でおいでおいでをしているかとw
それにしても、感染まで何日もかかってトライしないといけないようなウイルスにどうしてこんなにも多くの人が感染してしまうのか……

FC2ホームページ利用サイト100件が改ざんされ乗っ取られる (ガンブラー) - 無題なブログ
FC2ホームページでレンタルされてるサイト100件以上がガンブラー改ざんで乗っ取られた上に、攻撃者が用意した不正なサイト(インチキなカナダ薬局や時計屋)に導くための踏み台になっとります。

一応、ガンブラー(Gumblar)対策のリンク先もちまちま修正してるのですが、更新がままならなくなってきたことを考えると、記事自体削除した方がいいのかもしれません。そのうち状況をみて検討しないと。

またおまえか!2010/07/15 23:29

Mozilla Japan ブログ - アドオンのセキュリティ脆弱性に関するお知らせ

「CoolPreviews」の脆弱性発覚はこれで2回目
リンクにマウスカーソルを当てると、プレビュー機能がリモートの JavaScript コードをローカルのクローム特権で実行し、その結果ホストコンピュータを通じて管理された攻撃スクリプトが起動されるおそれがあるというもの。

「Mozilla Sniffer」の方は悪意以外の何者でもないあらゆる Web サイトへ送信されるログインデータを傍受し、そのデータをリモートサーバへ送信するコードが含まれているということ。

もう怖くってうかつにアドオンが入れられない。orz

Mozillaのサイトにログイン情報を盗む悪質なアドオンが登録 -INTERNET Watch
 Mozilla Snifferは、約1800回ダウンロードされており、情報公表時点では334人の利用者がいることが確認されている。Mozillaでは、このアドオンをインストールしようとしたユーザーには、Mozillaによるレビューが行われていない「実験的」な段階であるという警告が表示される状態となっており、レビュー前のアプリケーションについてはウイルス検査などを行っているが、今後はこうした事態を防ぐために新たなセキュリティモデルを導入するとしている。

新たなセキュリティモデルとやらが導入されるまでアドオンの追加はひかえようと思う。


ネタはあるんですが……なかなか書き出せないです。
このネタだって1日寝かせてたし……orz

Windowsに0-day発生2010/07/17 13:13

MS10-046 (2286198)で対応済みです。(10/08/03)

昨日の時点ではさっぱりわけが分からなかったのでスルーしていたのですが、Windowsのショートカットファイルの処理に脆弱性があって細工された LNK ファイルを Windows Explorer 上などで表示した場合に、任意のコードを自動的に実行してしまう可能性があり、この脆弱性を利用した攻撃も確認されているとのこと。

対策方法はありませんがUSBストレージを介しているということですので、AutoRun を無効にすることで、わずかですが軽減されるとのこと(エクスプローラーで見てしまったら意味ないよね)

エフセキュアブログ : スパイ攻撃がLNKショートカットファイルを使用
エフセキュアブログ : LNKエクスプロイトに関するその後の分析
 我々は同ショートカットLNKエクスプロイトの検出を「Exploit:W32/WormLink.A」として追加した。このケースで使用されるショートカットファイルは4.1KBだ。Trojan-Dropper、バックドア、ルートキットと結びついたファイルは、Stuxnetファミリとして検出される。

(中略)

 標的にされているSCADAシステムに関して、Siemens SIMATIC WinCCデータベースは、エンドユーザが変更しないように言われるハードコードされた管理ユーザー名とパスワードの組合せを使用しているようだ。

ターゲットが一般ユーザでないので、現時点ではそれほど心配しなくともよいでしょうが、こういうのはすぐ他でも利用されますので注意するにこしたことはないと思います。
たとえば、USBストレージはエクスプローラーで見ないとか……アイコン表示などしないテキストベースのファイラを使えばとりあえず回避できそうな気がします

もっと詳しい情報は
2010.07.17 土曜日 - Underforge of Lack
[EMERGENCY] Windows ZERO-DAY - Underforge of Lack
2010.07.20 火曜日 - Underforge of Lack
をご覧ください。


-追記-

マイクロソフト セキュリティ アドバイザリ (2286198): Windows シェルの脆弱性により、リモートでコードが実行される
回避策のHKEY_CLASSES_ROOT\lnkfile\shellex\IconHandlerが見つからない(多分カスタマイズ中に間違って消したのだろう)……orz
Fixitを待つかな。↓でた!
Fix itMicrosoft Security Advisory: Vulnerability in Windows Shell could allow remote code execution
MicrosoftFixit50486.msiでレジストリも治った。^^;

Fixit適用後のタスクバー

でもタスクバーがこれじゃ使い物にならねぇ。orz


未解決のWindowsの脆弱性を突く攻撃コード出現、SANSが警戒レベルを引き上げ
 脆弱性は、Microsoftがサポートを打ち切ったWindows 2000とWindows XP SP2も含め、Windowsの全バージョンに影響が及ぶとされる。Microsoftは「調査を完了した時点で顧客を守るための措置を取る」と説明しているが、Windows 2000とWindows XP SP2向けのパッチが公開される見通しはない。

Windows Shellのゼロデイ脆弱性の概念実証コードが公開 - Computerworld.jp
 スティーブンス氏はブログで、.lnkファイルなどの実行可能ファイルがUSBまたはCDドライブから実行されるのを防げるように、Ariadを設定する方法を説明している。さらに、Ariadのオンライン・ドキュメントを読むようユーザーに呼びかけ、Ariadの実行には危険が伴う可能性があるとも警告している。「Ariadはミニフィルタ・ドライブであり、Windowsカーネルの内部で動作する。だが、カーネル・ソフトウェアのバグは重大な結果を招きうる。すなわち、死のブルースクリーンだ。したがって、このソフトウェアは、まずテスト・マシンで試していただきたい」

つづき:Windowsの0-day、.lnkファイルの脆弱性対策Fixitがでたけれど