2010.01.18 月曜日
----------
[WARNING]
[32540] Apple iTunes/QuickTime Malformed '.mov' File Buffer Overflow Vulnerability
An attacker can exploit this issue to execute arbitrary code within the context of the affected application. Failed exploit attempts will result in a denial-of-service condition.
よくわからないですが、"MalFormed"された .mov ファイルによってクラッシュしたあとどうなるか?が微妙・・
PoCでは
iTunes 8.0.2.20 through 9.0.1.8
QuickTime 7.3.4 through QuickTime X
での成功となっていますが、Windows版最新の 7.6.5/Win7 でもクラッシュしたというレポートが出ています。
Buffer overflow in Quicktime
I just tested this on QuickTime 7.6.5, iTunes 9.0.2.25 (according to Apple Software Update these are the latest versions), and Windows Media Player-- all in Windows 7 Ultimate with UAC at it's default...
iTunes crashes and submits the information to Microsoft.
QuickTime closes without any errors or anything (I had to watch it in TaskManager to confirm that it even opened).
WMP shows a black screen (I'm assuming this is because there is no actual movie to be seen).
Have a great day:)
単純なバッファオーバーフローなら、UAC+DEP環境下ではなかなかシェルコード実行は難しいはず・・です・・たぶんネ
しかし、いつものように Appleの対応は数ヶ月放置が予想されますので、「出所不明の.mov」を開かないように注意しましょう。
Apple.QuickTime.Cinepak.Codec.MDAT.Parsing.Heap.Corruption -- Dec 17, 2009
CVE-2009-0006
あ・・あの・・もう 2010年なんですが・・(苦笑)
Cinepak とかいまどき使われてるんですかね?
----------
愚痴:だいたい、月曜の朝って何もないものなんですよ!
----------
都バス記念日
1924年1月18日に東京市営乗合バスが営業を開始したことに由来し、東京都交通局が制定。
振袖火事の日
明暦3年1月18日(旧暦。新暦では1657年3月2日)、江戸の大火の一つ「
明暦の大火」(振袖火事)が起こったことに由来。
第一次世界大戦後処理の
パリ講和会議がはじまる。(1919年)
----------
Hydraq
Trojan.Hydraq and
Trojan.Hydraq!gen1
Symantecが命名したこのシグネチャは、何なんでしょうね? ヒュドラー語源なのでしょうか?
Trojan.Hydraq detection and naming -- contagio
the trojan was in the wild since at least 2007 or maybe even 2006 and Symantec just added a better name for it. It was discovered not on January 11, 2010 but much earlier. I like Hydraq better than just Trojan Horse, really. Why Hydraq? What prompted the name, I wonder.
まぁ、Trojan Horseとか BloodHound!gen226 とかよりはマシですけど・・
It is not really a big deal(こまけぇこたぁいーんだよー)
続く
----------
Hydraq 2
で、その Hydraq (aka Aurora) ですが
IExplorer 0day CVE-2010-0249 – Exploit-Comele / Hydraq / Aurora -- extraexploit
203.69.41.0/26 as AS3462(HINET Chunghwa)
203.69.41.64/27 as AS3462(HINET Chunghwa)
203.69.66.0/27 as AS3462(HINET Chunghwa)
203.69.68.96/27 as AS3462(HINET Chunghwa)
203.69.68.128/25 as AS3462(HINET Chunghwa)
72.32.6.235 as AS33070(RACKSPACE TX)
360.homeunix.com and others (at this time are parked)
現在、360. は 有効Aレコード無し homelinux.com はレジストラ(DYNDNS)に放置状態
yahooo.8866.org AS4766 (KT-NET KORnet) : 3322系(
AS4134)の配下
sl1.homelinux.org 有効Aレコード無し(127.0.0.2)
ftp2.homeunix.com 有効Aレコード無し(127.0.0.2)
update.ourhobby.com 有効Aレコード無し(127.0.0.1)
ourhobby.com as AS19557(CHANGEIP) たぶんレジストラのDNS(nsx.changeip.org) DYNDNSのBlackListに前歴有
blog1.servebeer.com 有効Aレコード無し(127.0.0.1)
servebeer.com as AS14627(NOIP) こちらもレジストラのDNS(nfx.no-ip.com)
という感じでイマイチ尻尾が掴めません。
AS33070(RACKSPACE)はgumblar.cnがちらほら見え隠れしていたISPですが、こちらもあまり表には出てきませんね。
膠着状態?
Why not Yellow?
SANS的には
From an Internet perspective the issue is currently very very low impact.
ということで「騒ぎすぎなんだYO!」と怒られました。
参考:
Protect yourself against exploit targeting new IE 0-day vulnerability
If you are using Internet Explorer 6, 7, and 8, you are affected.
Went Looking for IE Exploits in “Haiti”, Found Something Else
McAfee、IE脆弱性を「サイバーセキュリティ史上最大の危機」だとして無料検査サービスを提供中
さすがにKurtzは「地球の回転がもう少しで止まるところだった」とまでは言っていないが、「サイバー・セキュリティーの歴史を塗り替える分水点ともいうべき瞬間」と相当に大げさな言葉を使っている。
解析:
Trojan.Hydraq - Part II
参考・・にしちゃだめ
Internet Explorer Aurora Exploit(CVE-2010-0249)
----------
Replaced Adobe
ゼロデイ状態が頻発する「Adobe Reader」の無償代替アプリを評価する
極端に言えば、PDFファイルを使用することをやめて、他のファイル・フォーマットを使用するという手段が存在します。具体的には、マイクロソフトの電子ペーパー用ソリューションであるXPS(XML Paper Specification)が挙げられます。このXPSはマイクロソフトのPDF対抗ソリューションとも考えられるもので、概要は「XML Paper Specification」に記載されています。
そ・・・そんな(苦笑)
Silverlightを広めるよりも無理があると思いますよ
やはりデフォルトで「Acrobat JavaScript」が有効になっています。忘れずに無効にしておきましょう。
Acrobat JavaScriptを無効にするなら、どっちでも同じだと思うんですけど・・(更新に不安のある3rd Party製のほうが怖い)
Do Own Risk なんですかね?
----------
蘇生禁止
Crimeware friendly ISP's: AS8206 JUNIK-RIGA-LV JUNIKNET Autonomous System JUNIK ISP Network Riga, Latvia
最近聞かなくなってせいせいほっとしていた JUNIK(Latvia)ですが、また何かが始まった様子・・・
完全なJUNIK配下の
AS49314(NEVAL) はともかく、
AS29106(VOLGAHOST) はノーマークでしたね
search: AS29106
search:91.213.174
IDSマエストロな人はちょっと頭の隅にでも・・・
AS8206
No, this network has not hosted any sites that have distributed malicious software over the past 90 days.
せっかく漂白したというのに(笑)
----------
ん~
職場でのプライベートなWeb閲覧、5割超の社長から見られている
見られても困らないよ!(たぶん・・・)
----------
むだむだむだ~(AA略)
Firefox 3.6RC2リリース ―
カテゴリー数「Firefox<セキュリティ」の阻止目的でw(焼け石に水、いたちごっこ、無駄な足掻き)
うちだって、最初はセキュのblogをはじめたつもりはなかったんですよ~~~
こんなかんじで手招きしておこう!
※それにしても3.6正式リリースはいつになるのやら・・
----------
8080
83.172.134.48 AS21155(PROSERVE)
83.172.134.48 AS16276(OVH Paris)
91.121.7.26 AS16276(OVH Paris)
91.121.142.111 AS16276(OVH Paris)
94.23.206.229 AS16276(OVH Paris)
OVHだけがちょこちょこ変わるパターンに移行中。ネタ(=IP)が尽きたか?
----------
Google Safe Browsing
| 1263758423 | B | [goog-black-hash 1.49027 update]
| 1263758405 | M | [goog-malware-hash 1.18706 update]
| 300355 | -725(301080) あと356で20万台まで減少!
| 1256699 |
EoF