2010.01.10 日曜日
110番の日 全国の警察で、ダイヤル110番の有効・適切な利用を呼びかける モラルの低下にサイレンを。
明太子の日 福岡の食品会社
ふくやが制定。
かんぴょうの日 かんぴょう(干瓢)の「干」が「一」と「十」の組み合わせ
十日戎 「商売繁盛、笹持ってこい!」
カエサルが、
元老院の命令を無視して
ルビコン川を渡りイタリアに侵入。(紀元前49年)
----------
CVE-2008-5353
kaito834様がかなり詳細に解析されていたので紹介します。
CVE-2008-5353 の Exploit コードで脆弱な JRE が悪用されるのか確認する
脆弱な JRE を指定して Exploit コードが実行されるとどうなるか
<param name="java_version" value="1.6.0_07">
この警告ダイアログで [実行] を選択すると、JRE 1.6.0_07 で Exploit コードが実行され、calc.exe が起動してしまいました。
スキルも環境も時間もなくなった私にとっては拝みたくるようなMalCode分析です。
--
さて、ここで何が問題なのか?もう一度考えてみると、最近は Vista / Windows7 ユーザが多くなり、UAC, DEP(あるいはASLR)によって保護されている環境が増えてきました。
一般的なエンドユーザは2つの傾向にわかれます。
一方は、こういった警告が表示されるとパニックに陥って、ひたすら [x] を押して消してしまう派 です。このタイプの方は、まぁこの際は良しとしましょう・・・
問題は ベンダ名だけを見てOKを押してしまう派 です。
このタイプは、時と場合によって OK を押してしまう危険性があります。
--
UACとは何なのか?、なぜ時と場合によって管理者の許可を必要とするのか?という部分はまだまだ Windowsユーザには浸透しているとは言い難い状況です。
Vista環境下で、自分は大丈夫とタカを括っている層は、今回の CVE-2008-5353 攻撃によって足をすくわれかねません。
こうした、プリインストールされた脆弱性のあるコンポネンツをきちんとアップデートする仕組みの浸透は IPA や JPCert/CCの啓蒙活動にかかっているのではないでしょうか?
※PCを初期状態に戻す(ベンダー配布のリカバリーCD/DVD使用)と、しっかり脆弱性のある JRE が戻ってきます・・・・
微妙に続く
----------
曽根崎・・・
「Yahoo!占い」の一部ページが改ざん被害 (Gumblar.x)
これらは今騒ぎになってる”ガンブラーウイルス”とは別物です。
世間一般では
8080/security tool = "ガンブラー"
そういえば、ディズニーの感染例も Gumblar.x でしたね
Gumblar.x の Injectorは現時点では動作停止していますので、「Infectorによって感染されるだけされて放置」というなんともかわいそうな状況になっています。
正確に言えば、複雑なヒエラルキーを持っているGumblar.xシステムの中間リングが機能中止しているだけで、感染ノードに対して別のInjectorからの指令ネットワークが再構成されれば、明日にでも復活する性質のものでもあります。
さすがに、こんなのに感染するような環境の人は根本的に問題がありますね・・
KAI君のとこ(笑)は心中相手にはちょっと・・・
ただ、SoftBankを擁護するわけではありませんが、コンテンツ囲い込みのためにサイトそのものが肥大化し、自社のセキュリティ・ポリシーに則っているかどうか?確認することさえ困難になっているのでしょう。
うちの会社に「今回のガンプラの件は大丈夫ですか?」と問い合わせてきたのはわずか1社だけでした(笑)
----------
Virus/Malwareの名称
via
前からいってる話ですが、なぜウィルス・マルウェアの名称統一をしないのか?
答えは簡単~
他社との連携が取れて無いから、取るつもりもないからです。
引き合いに出されている(DHLを装ったspam添付のzip)マルウェアはこんな感じ
これはまだ良い方です。少なくともシグネチャは BredolabとWin32/Kryptikしか見かけませんので・・
一番有名な名称不統一は Conficker, Downadup, Kidoでしょう。
こうした問題の解決の一助として、IE3内に
というわけで、今後も乱立・混乱したウィルス・マルウェア名称が飛び交う事態が続いていくのでしょう。
GENO、Gumblar、ガンブラーなどはそうした混乱のメビウスの輪から派生したものです。
参照:
だから、この時期にPDFでレポートを出すのは KY! って言われますよ・・・
----------
SMBは先送り
そういえば、今月のPATCH BLACK TUESDAYは、
I also want to proactively point out that we will not be addressing
まぁ、
このへんの匙加減は、運にもよるのかもしれません(
----------
炉
fast-flux, zeus, other trojan and malicious domains. Sources include www.malwaredomainlist.com, malwareurl.com, atlas.arbor.net and others:
----------
Domino
Apply Cumulative Hotfix Pack 229.261 for Domino 8.0.2FP3:
----------
ロボ!
各所既報だが、Firefox 3.6 RC1がリリースされた。本記事執筆時点で、オフィシャルなアナウンスはまだ出ていないようだ。Firefox 3.6の最初のリリース候補版にあたる本バージョンは、Mozillaの慣例に従い、目立った問題がなければそのまま正式版となる。問題があるようなら、 RC2、RC3……と定期的にアップデートされていく。
このロボの名前が知りたいのは私だけ?(笑)
----------
Nexus One
というか当然でしょうに(笑)
まぁ、なんでもかんでも無料でやってきた Google の印象が強かったのかな?
ていうか・・
----------
IT業界の勤労モラル水準は低い?
低いですね(自己診断)
こんなこと毎日(3-4時間も)やってて、勤務時間内は、ぼーっと仕様書を眺めていることが多いかな~
繰り返し作業をやってるわけではないので、見た目のモラルが低いといわれれば「へへ~どうもすみません」と平身低頭するしかない今日この頃。
上司が見ていませんように!
----------
| 1263067216 | B | [goog-black-hash 1.48455 update]
| 1263067202 | M | [goog-malware-hash 1.18518 update]
| 310470 | +3861(306609)
| 1222926 |
orz...
Googleセンセへの通報先はコチラ:
その他:「Malware」 でどうぞ
EoF
1 月 12th, 2010 at 10:31 PM
Gnome様
紹介ありがとうございます。CVE-2008-5353 の脆弱性はバージョン指定
されたとしても、ひとまずワンクッションあるので、ほっと一安心です。ただ、
Gnome様も書いているように、クリックするユーザもいるので悩ましいです。
1 月 12th, 2010 at 11:43 PM
こちらこそ、詳細な検証、解説に頭が下がります。
何でもかんでもクリックしちゃうユーザは実は結構多く、それが原因で Comodo Defence+ の導入を断念したことも多々あります(笑)
明日は大変でしょうけど頑張ってくださいませ(via Twitter)
今後とも宜しくお願い致します m(_ _)m