UnderForge of Lack

--
はい・・今日が水曜日です
ミステリー記念日
1849年10月7日に推理小説の先駆者といわれるエドガー・アラン・ポーが亡くなったことに由来
スーツの日
1666年10月7日にイギリス国王チャールズ2世が衣服改革を宣言したことに由来か。
盗難防止の日
とう(10)なん(7) 日本損害保険協会

----------
週刊脆弱性 2009.10.06 by Hitachi

チェックしておきたいぜい弱性情報＜2009.10.06＞

米シスコ製品群に複数のぜい弱性（2009/09/23）
　→ シスコ：セキュリティ・アドバイザリ
マイクロソフトSMB 2.0のぜい弱性（2009/09/18）
　→ マイクロソフト：回避策を有効にするMicrosoft Fix it 50304
米アップルiTunesのぜい弱性（2009/09/23）
　→ 米アップル：iTunes 9.0.1のセキュリティコンテンツについて
　
[IN ZERO DAY]
Cyber Security Bulletin SB09-264（2009/09/21）
Adobe ShockWave PlayerのActiveXコントロールにバッファ・オーバーフローのぜい弱性（2009/09/18）
え”？
Adobe ShockWave Player 11.5.1.601 ActiveX Buffer Overflow PoC
現在の最新版：Adobe Shockwave Playerのバージョン 11.5.1.601
※Flashでは無い点に注意してください。
AIR(Adobe Insecure Responds)認定書発行
BGM:この脆弱性～何の脆弱性～気になる脆弱性～Ver 1991

----------
Apache 2.2.14 Released

Fixed in Apache httpd 2.2.14

low: mod_proxy_ftp DoS CVE-2009-3094
low: mod_proxy_ftp FTP command injection CVE-2009-3095
moderate: Solaris pollset DoS CVE-2009-2699

あまり致命的な脆弱性ではないようですが、CVEが公開されたので後追い攻撃の可能性もあります。
アップデートを視野に入れたサーバ運用計画を建てましょう。

----------
FFSearcher

ユーザーに全く気付かれない新型クリック詐欺が登場！
この攻撃自体では，その影響が直接的にユーザーに及ぶことはない。ユーザーにとって本当の脅威なのは，既に改ざんされているWebサイトに自分がアクセスすることによって攻撃が始まり，自分がサイバー犯罪に加担することになるという事実だろう。

コレ、Nine-Ball トロイの機能っぽいんですけど、本当に単機能なんでしょうか？
New Click-Fraud Attack Is Stealthiest Yet -- 2009.06.30
FFSearcher Click Fraud Trojan -- 2009.06.26

最近のウィルス(マルウェア)は、感染すると複合的な被害が及ぶので手が付けられないものが多いのですが、Nine-BallとBeladen に関しては、実際のところよくわからないまま終焉してしまった印象があるので、今頃こんなこと言われてもナァというのが正直なトコ（笑）

FFSearcher

----------
20k Credentials spread over TEH world

先日の Windows Liveアカウント流出ですが、Microsoftが認めました。
Phishing scheme affecting some Hotmail customers
We want to provide a quick update, that as a result of our investigation we are taking measures to block access to all of the accounts that were exposed and have resources in place to help those users reclaim their accounts.
とりあえず、流出したアカウントはブロックした模様。

Microsoft recommends customers use the following protective security measures:
Renew their passwords for Windows Live IDs every 90 days
マテ・・・・・MS社員は全員やってるんですか？ソレ！？

Time to change your hotmail/gmail/yahoo password
Hotmailの数千のアカウント情報が流出、フィッシング詐欺が原因か
Windows Live Hotmailのアカウント情報が流出--フィッシング詐欺が原因か 2009/10/6 (CNET Japan)

拡大：
Email phishing attack spreads to Gmail and Yahoo
Neowin can today reveal that more lists are circulating with genuine account information and that over 20,000 accounts have now been compromised. Non-Hotmail passport accounts have been affected too. A new list contains email accounts for Gmail, Yahoo, Comcast, Earthlink and other third party popular web mail services. It's not clear if this is login information for the service itself or the Microsoft Passport passwords.
というわけで、Gmail/Yahoo あたりも、パスワード変更を行ったほうがいいかもしれません。

----------
Warn to paypal user

Null-Prefix Cert の問題が一向に解決されないような感触がありますが・・
Forged PayPal certificate fools IE, Chrome and Safari
The posting of a trick SSL certificate for www.paypal.com and its pertaining private key on the Full Disclosure security mailing list should finally force Microsoft, Google and Apple into releasing updates to fix the NULL prefix vulnerability. Phishers, for example, could use the certificate to disguise their servers as legitimate banking servers – which would only be detected by subjecting the certificate to closer scrutiny. The certificate could also be used for man-in-the-middle attacks in local networks.

paypalを利用中の方は、IE（は当然として・笑）、Chrome、および Safari でのSSL決済をしばらく中止するか、証明書を常に開いて確認するようにしましょう（酷）

----------
Day 6 -- Port 67&68

BOOTP と DHCP
Cyber Security Awareness Month - Day 6 ports 67&68 udp - bootp and dhcp

いまどき BOOTP なんて使ってる人いるんでしょうか？
※だから危険なポートなんでしょうけど

----------
MalwareもSkype経由で

Rogueware distributors use Skype
偽ウイルス対策ソフトの配布、今度はSkypeで

そもそも怪しい人からのコンタクトリスト受付を止めましょうネ

----------
JavaScriptライブラリそのものへのインジェクション

Ajax/Javascriptライブラリにインジェクションされている例

むぅ・・これは検査がいよいよ難しいことに・・・

あと、中国系のインジェクションは .css への注入が多数報告されていますが、具体的な解析は行ってない（会社では出来ない・笑）のでよくわかってません。
※誰かインジェクションの具体例あったら（出来れば日本語か英語で）教えてください。
そろそろ個人環境が欲しいナ

----------
Botnet Threats

何かまた剣呑なモノの流行の兆しがあるようです。

W32/Xpaj Botnet Growing Rapidly
W32/Xpaj
2009.09.24 8/40 (20.00%)
tooratios.com
abdulahuy.com
ATOM86 (82.98.235.0/24) : Netherlands

Inside Trojan.Clampi: Network Communication
参考：(10/01紹介)
Killing the beast...Part 3

----------
最近、記事がだらだらと多いですね・・
ちょっと絞ったほうがいいような気がしてきました。

Google Safe Browsing STATUS:
[goog-malware-hash 1.16256 update]
[goog-black-hash 1.41622 update]
Results: 343147 (-2346)

EoF

This entry was posted on 水曜日, 10 月 7th, 2009 at 8:54 AM and is filed under security. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.