2010.01.17 日曜日
阪神・淡路大震災記念日 1995年1月17日午前5時46分
防災とボランティアの日
おむすびの日 ごはんを食べよう国民運動
阪神大震災ではボランティアの炊き出しで被災者が励まされたことから、いつまでもこの善意を忘れない為、1月17日を記念日とした。
湾岸戦争開戦記念日
1991年、多国籍軍の
イラク空爆開始により湾岸戦争勃発。
----------
Operation Aurora still continued?
Assessing risk of IE 0day vulnerability
意訳:
| Windows 2000 | Windows XP | Windows Vista | Windows 7 | |
| Internet Explorer 6 | 即死 | 即死(死亡確認) | ないよ (VistaはIE7だし) |
ないよ (Win7はIE8だし) |
| Internet Explorer 7 | ないよ (だってIE7は2kじゃ動作しないもん) |
たぶん危険 (いま巷に出回ってる攻撃ではメモリマップの違いで動作しないよ) | IE保護モード有効なら、現在の攻撃コードは実行できません | ないよ (Win7はIE8だし) |
| Internet Explorer 8 | ないよ (だってIE8は2kじゃ動作しないもん) |
XP SP3はDEPがデフォルトでONなんです | IE7保護モードとDEPはデフォルトでONなんです | IE8保護モードとDEPはデフォルトでONなんです |
※Windows Vistaにおいて、保護モードはデフォルトでONのはずです。
が!
最近の社内開発のイントラ向けシステムがWebフロントエンドのものが増えており、かつ古いデバイスを使わなければならないため、イロイロな
こういう環境下において、各システム管理者が個別にDEPの有無、保護モードの確定を行っている・・・・と信じたいのですが現実はそう簡単ではないでしょう。
だいたい、緩和措置に JavaScriptの無効化と謳っておきながら、「but we understand that this workaround significantly impacts usability of many Web sites.」とか言って逃げるのはどうかと思いますよ?
IEは保護モードはデフォルトでONですが、実はIE7のDEPはOFFで、IE8でも環境によってはOFFだったりします(笑)
Microsoftフォーラムで、DEPの解除を幇助するケース:
往々にして、こういう環境化のマシンが陥落してしまいインシデントの拡大を手助けしています。
スピア(ターゲット)型攻撃の場合、実際の相手の環境を熟知した上で攻撃をかけてくる可能性もありますので、防御が働いていましたというのは空想の産物に過ぎません。
システムの環境構成なども、
Fix it:
参考:
セキュリティアドバイサリの追加報
続く
----------
IE禁止!
The German Federal Office for Information Security (Bundesamt für Sicherheit in der Informationstechnik, BSI) recommended that Internet Explorer users should switch to an alternative browser until a patch for IE has been made available.
The BSI says (German language link) that while running Internet Explorer in "protected mode" and disabling the Active Scripting feature makes attacks less likely to succeed, it doesn't prevent them completely.
IE7/IE8においても、保護モードでかつ ActiveXを無効にしていても、完全に脅威を避けられるわけではないとしています。
うは~ やるな~
Operaへの乗り換えを暗喩しているのでしょうか?
Microsoftの反証を期待しておきましょう。
もちょっと続く
----------
余計なことを・・・
誰か H.D.Moore氏を止めてください(苦笑)
ちなみにソース元はコレになっています。
不安な方のチェック方法:
簡単なのは
HKEY_LOCAL_MACHINE\Software\Sun\1.1.2
に
IsoTpとか AppleTlk とかが無いかどうか
というか、先に環境のチェックを行いましょう。
|
Windows XP SP2 を使用中の方: DEPがうまく動作しない恐れがありますのでSP3へのアップデートしてください。 Windows XP を使用中の方: そろそろ OSの更新を考えましょう。 Windows 2000 を使用中の方: そろそろ廃棄を考えましょう。 Windows Vista を使用中の方 過去に互換性の問題で DEP を切ったり保護モードを無効化したりしていないかどうか確認しましょう。 Windows 7 を使用中の方 今のところは(たぶん)問題ないかな? XPモード上でインターネットに接続したりしないようにしましょう。 IE6 にしがみついている方 もうWAN側に出てこないでください(笑) IE7をご使用中の方 基本的に IE7を使い続けるメリットは無いはずです。 IE8をご使用中の方 保護モードを切ったりしないようにしましょう。 |
参考:
Updated Fri Jan 15 21:30:52 2010 GMT: The threat level has been elevated to AlertCon 2 in order to draw increased awareness to the active exploitation of the 0-day Microsoft Internet Explorer vulnerability (CVE-2010-0249).
蛇足
----------
34社が攻撃をうけたと主張
It added that 20 other companies suffered similar assaults, a number that independent researchers soon raised to 34. So far, only Google and Adobe have been identified as victims.
Yahoo, Symantec, Northrop Grumman and Dow Chemical have also been penetrated
あんまり名誉なことじゃ無い気もするんですが・・・
----------
Java JRE
結論
JRE 1.6.0_u10 以降で初期設定のままインストールして最新版にアップデートすると、古いバージョンの JRE は残りませんでした。
お~
そういえば、「プログラムと機能」に出てこない Java JRE という問題にも直面しておりますが、現時点では状況が不明なので宿題(放置)中
ただし、古いバージョンのインストーラは %AppData%\Sun\Java 配下に放置していきますね。
こいつらは手動削除しない限り溜まり続けることも書いておいた方がいいと思います。
メモリにロードさればければ問題ない・・はず・・たぶん
ですが、気持ち悪いのできっちり消しておきましょう。
必須参照:
結論として、脆弱な JRE を指定して Exploit コードを実行できるようですね。ただし、警告ダイアログがポップアップされるため、ユーザの操作が必要となります。この操作の必要性からか、今のところ JRE のバージョンを指定して Exploit コードを実行させる手法は悪用されていないようです。なんにせよ、JRE の古いバージョンはアンインストールしておくのが無難でしょう。
----------
CN vs IR 技術解説
引っ張られたアドレスはアメリカのホスティングサービスですね。
NETBLK-THEPLANET-BLK-16
(苦笑)
----------
言霊
脆弱性を利用した標的型攻撃や、最近話題になっている「Gumblar」などのウェブ経由の攻撃に対しても、検知率100%を実現しているという。
そういうことは言わないほうがいいとおもうんですけどね。
というか win2kの延命のソリューションを公で謳うとかマジヤメテ
----------
炉 update
We’ve removed approximately 1400 domains which were originally listed more than a year ago. The list of removed domains is available in the
DNS-BHのリストのイイトコは、定期的に DE-LISTを行っているとこでしょうか。
リスト除外って結構大変ですよね。
----------
引っかかりそうな人
き を つ け ま し ょ う (棒読み)
日本のインシデント報告の半数以上が、このテの架空請求でしょうね
----------
Adobe Reader 8.2 + InDesign/Illustrator CS/CS2
ということで、Reader/Acrobat 9.3 の問題ではなかったようです。
問題が発生してしまった方は、インストラクションに従って・・・
(それ以前に)9.3 入れたほうが良いのではないでしょうか?
(Acrobat 8はしょうがないですが・・)
----------
あなぼっこ(怪ソース)
'clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B'
'clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8'
手動 Killbitの例:
----------
JRE違い
出た!JRA史上3位の1457万馬券
3連単(10)-(3)-(2)は3360通り中2652番人気で、的中馬券は7票だった。
う・・うらやましいっ!
Lさん: 地道がいちばんだよ
ゆ・・夢が無い・・ orz
----------
8080
83.172.134.48
91.121.4.99
91.121.88.218 AS16276(OVH Paris)
91.121.142.111 AS16276(OVH Paris)
91.121.211.226 AS16276(OVH Paris)
OVHは2時間おきくらいのペースで変わっているので、トラッキングに意味が無いかもしれません。
----------
Google Safe Browsing
| 1263690018 | B | [goog-black-hash 1.48970 update]
| 1263690005 | M | [goog-malware-hash 1.18687 update]
| 301080 | -1056(302136) 夢の30万切りまであと僅か
| 1254608 |
EoF
1 月 19th, 2010 at 2:27 PM
[...] UnderForge of Lack » Blog Archive » 2010.01.17 日曜日 www3.atword.jp/gnome/2010/01/17/jan-17-2010-su – view page – cached (だってIE7は2kじゃ動作しないもん) たぶん危険 (いま巷に出回ってる攻撃ではメモ [...]