出たばかりのOpera 10.52には、JavaScriptまわりでけっこう手ひどいバグ (Opera Asynchronous Content Modification Uninitialised Memory Vulnerability) があったので、さっそく 10.53 RC1 が出ています。
Opera Desktop Team - Opera 10.53 RC1 for Windows and Mac
http://my.opera.com/desktopteam/blog/2010/04/28/opera-10-53-rc1-for-windows-and-mac
早いというか、なんというか…
2010/04/30
2010/04/25
CactiにSQL Injection
CactiにSQL Injectionが見つかっています。
Full Disclosure: Bonsai Information Security - SQL Injection in Cacti <= 0.8.7e
http://seclists.org/fulldisclosure/2010/Apr/272
Debian GNU/LinuxではDSAが出ています。
DSA-2039-1 cacti
http://www.debian.org/security/2010/dsa-2039
Full Disclosure: Bonsai Information Security - SQL Injection in Cacti <= 0.8.7e
http://seclists.org/fulldisclosure/2010/Apr/272
Debian GNU/LinuxではDSAが出ています。
DSA-2039-1 cacti
http://www.debian.org/security/2010/dsa-2039
2010/04/20
Google Chrome extension に偽装したトロイの木馬
Trojan poses as Google Chrome extension • The Register
http://www.theregister.co.uk/2010/04/19/google_chrome_trojan/
より:
Google Chrome の extension に偽装したトロイの木馬が発見されたそうです。
「メールで受け取った文書の管理をもっと便利に!」とかかれたSPAM経由で、Google Chrome extension のページそっくりに偽装されたサイトに誘導され、そこからマルウェアの実行イメージに導かれます。
ファイルの拡張子は、Google Chrome extension の .crx ではなく .exe なのですが、まあ気付かない人も多いでしょう…
http://www.theregister.co.uk/2010/04/19/google_chrome_trojan/
より:
Google Chrome の extension に偽装したトロイの木馬が発見されたそうです。
「メールで受け取った文書の管理をもっと便利に!」とかかれたSPAM経由で、Google Chrome extension のページそっくりに偽装されたサイトに誘導され、そこからマルウェアの実行イメージに導かれます。
ファイルの拡張子は、Google Chrome extension の .crx ではなく .exe なのですが、まあ気付かない人も多いでしょう…
2010/04/18
phpmyadmin脆弱性
phpmyadminの脆弱性は、つぶしてもつぶしても、いくらでも出てくる印象がありますが、今回はDebian -- Security Information -- DSA-2034-1 phpmyadminから:
CVE - CVE-2008-7251 (under review)
phpMyAdmin may create a temporary directory, if the configured directory does not exist yet, with insecure filesystem permissions.
CVE - CVE-2008-7252 (under review)
phpMyAdmin uses predictable filenames for temporary files, which may lead to a local denial of service attack or privilege escalation.
CVE - CVE-2009-4605 (under review)
The setup.php script shipped with phpMyAdmin may unserialize untrusted data, allowing for cross site request forgery.
CVE - CVE-2008-7251 (under review)
phpMyAdmin may create a temporary directory, if the configured directory does not exist yet, with insecure filesystem permissions.
CVE - CVE-2008-7252 (under review)
phpMyAdmin uses predictable filenames for temporary files, which may lead to a local denial of service attack or privilege escalation.
CVE - CVE-2009-4605 (under review)
The setup.php script shipped with phpMyAdmin may unserialize untrusted data, allowing for cross site request forgery.
2010/04/17
Google検索結果トップをクリックしてウイルスに感染する実例ビデオ
百聞は一見に如かず。
2010/4/14に(英語での)Google検索ホットにあがっていた "tax day freebies" を検索し、(ニュースとかTwitterフィード以外の) 普通の検索結果の一個めをクリックし、偽装されたアンチウイルスサイトに誘導されてしまうさまが映し出されています。
Zscaler Research: Video: first link on Google leads to a malware site
2010/4/14に(英語での)Google検索ホットにあがっていた "tax day freebies" を検索し、(ニュースとかTwitterフィード以外の) 普通の検索結果の一個めをクリックし、偽装されたアンチウイルスサイトに誘導されてしまうさまが映し出されています。
Zscaler Research: Video: first link on Google leads to a malware site
元フランス軍の暗号専門家、Microsoft Officeの暗号の脆弱性について語る
Microsoft Office文書の暗号メカニズムには実装上の問題があり、攻撃者はそこをついて暗号を回避できます。これは特に目新しい話ではなく、2005年にすでに表に出ている話ですが、この脆弱性をつくツールや攻撃例が(公式に認められている限り)はありません。マイクロソフトが昔のバージョンのOfficeに対して、この問題を修正してこなかった理由は、ここかもしれません。
フランスの暗号専門家である Eric Filiol は、Black Hat セキュリティ・カン
ファレンスにて、こんな状況はもはや変わってしまった、とプレゼンテーショ
ンにて強調しています。彼の開発したツールを使えば、数分でOffice文書の暗号は解読できると。彼は1994年以来Officeで使われているRC4アルゴリズムを統計的に解析しはじめているそうです。いわく「当時私はフランス軍に雇用されており、当時のことはすべて機密だった。やっとこの問題について自由に語れるときがきたのだ」
くわしくはこちらへ:
Tool for cracking Office encryption in minutes
http://www.h-online.com/security/news/item/Tool-for-cracking-Office-encryption-in-minutes-979786.html
フランスの暗号専門家である Eric Filiol は、Black Hat セキュリティ・カン
ファレンスにて、こんな状況はもはや変わってしまった、とプレゼンテーショ
ンにて強調しています。彼の開発したツールを使えば、数分でOffice文書の暗号は解読できると。彼は1994年以来Officeで使われているRC4アルゴリズムを統計的に解析しはじめているそうです。いわく「当時私はフランス軍に雇用されており、当時のことはすべて機密だった。やっとこの問題について自由に語れるときがきたのだ」
くわしくはこちらへ:
Tool for cracking Office encryption in minutes
http://www.h-online.com/security/news/item/Tool-for-cracking-Office-encryption-in-minutes-979786.html
2010/04/16
一太郎に0-day脆弱性
かの国産ワープロソフト「一太郎」に、0-day脆弱性が発見されています。
セキュリティ通信|セキュリティ関連ニュース 【ゼロデイ攻撃】一太郎に脆弱性、すでに悪用も~早急に更新モジュール適用を
いまさら一太郎? とも思いますが、公的機関に文書を提出するケースでは、いまだに一太郎フォーマットが要求されることもあるようです。思い当たるかたはぜひアップデートを。
セキュリティ通信|セキュリティ関連ニュース 【ゼロデイ攻撃】一太郎に脆弱性、すでに悪用も~早急に更新モジュール適用を
いまさら一太郎? とも思いますが、公的機関に文書を提出するケースでは、いまだに一太郎フォーマットが要求されることもあるようです。思い当たるかたはぜひアップデートを。
Firefox, CSS経由での訪問履歴検出に対抗
CSS の :visited に行われるプライバシー対策 « Mozilla Developer Street (modest) にあるとおり、Mozilla Foundationは、CSSを用いたユーザのサイト訪問履歴の想定外な検出手法に対策を取るようです。
CSSの :visited セレクタを使うと、特定のURLリンクの色がわかります。つまり、この仕組みを仕込んだページを訪問しただけで、そのユーザが特定のサイトを過去に訪問したことがあるかどうかが判ります。その検出結果をJavaScriptで任意のところに送信することもできるでしょう。端的に言えば「あなたはこのアダルトサイトを訪問したことがありますね」ということが、おそらくあなたが全くそれを意図しないうちに、勝手に検出されてしまいます。
この手法を使うと、たとえばWebサイトに出す広告のターゲッティングをさらに絞り込むことができます。具体的には、Drecomで開発され、楽天でビジネス展開されている「ad4U:ドリコムの次世代行動ターゲティング広告技術サービス」がこの手法を用いています。この手法に対する考え方には、ユーザが意図しないうちに行動履歴を察知されてしまうことについて、批判的なものもありうるでしょう。さらにこの手法をもっと悪用することもできるでしょう。
この手法自体を無効化させる取り組みをMozillaがはじめたことは、ユーザが安心してWebを利用できるために、非常に興味深いものです。
CSSの :visited セレクタを使うと、特定のURLリンクの色がわかります。つまり、この仕組みを仕込んだページを訪問しただけで、そのユーザが特定のサイトを過去に訪問したことがあるかどうかが判ります。その検出結果をJavaScriptで任意のところに送信することもできるでしょう。端的に言えば「あなたはこのアダルトサイトを訪問したことがありますね」ということが、おそらくあなたが全くそれを意図しないうちに、勝手に検出されてしまいます。
この手法を使うと、たとえばWebサイトに出す広告のターゲッティングをさらに絞り込むことができます。具体的には、Drecomで開発され、楽天でビジネス展開されている「ad4U:ドリコムの次世代行動ターゲティング広告技術サービス」がこの手法を用いています。この手法に対する考え方には、ユーザが意図しないうちに行動履歴を察知されてしまうことについて、批判的なものもありうるでしょう。さらにこの手法をもっと悪用することもできるでしょう。
この手法自体を無効化させる取り組みをMozillaがはじめたことは、ユーザが安心してWebを利用できるために、非常に興味深いものです。
JRE 6 Update 20
JRE 6 Update 20が出ています。前回 JRE 6 Update 19が出てから二週間ぐらいしか経っていません。
Java SE 6 Update 20 Release Notes
今回も重要な脆弱性への修正が含まれています。速やかにアップデートしましょう。Windowsの場合はコントロールパネルのJavaセクションからアップデートできますが、自動アップデートは月に一回の頻度に設定されていることが多いので、こちらもあわせてチェックの頻度を高めておきましょう。
Java SE 6 Update 20 Release Notes
今回も重要な脆弱性への修正が含まれています。速やかにアップデートしましょう。Windowsの場合はコントロールパネルのJavaセクションからアップデートできますが、自動アップデートは月に一回の頻度に設定されていることが多いので、こちらもあわせてチェックの頻度を高めておきましょう。
WindowsマシンのDNS設定を改ざんし通信を乗っ取る「iPhoneアンロック・ユーティリティー」
WindowsマシンのDNS設定を改ざんし、通信を乗っ取ろうとする「iPhoneアンロック・ユーティリティー」が報告されています。
DNS Trojan poses as iPhone unlocking utility • The Register
iPhoneをunlockできます、とうたうスパムメール経由で、ユーザを iphone-iphone.info というサイトに誘導し、blackra1n.exe という Windows実行ファイルをダウンロードさせます。これは iPhone アンロック・ユーティリティーという見かけの裏で、DNS設定を改ざんし、インターネット接続をハイジャックしてしまいます。
2010/4/16 01:30 JST 現在、iphone-iphone.info には、Google Chrome や Firefox でもアクセスできてしまいます。まだphishing siteデータベースには登録されていないのでしょう。お気をつけください。
DNS Trojan poses as iPhone unlocking utility • The Register
iPhoneをunlockできます、とうたうスパムメール経由で、ユーザを iphone-iphone.info というサイトに誘導し、blackra1n.exe という Windows実行ファイルをダウンロードさせます。これは iPhone アンロック・ユーティリティーという見かけの裏で、DNS設定を改ざんし、インターネット接続をハイジャックしてしまいます。
2010/4/16 01:30 JST 現在、iphone-iphone.info には、Google Chrome や Firefox でもアクセスできてしまいます。まだphishing siteデータベースには登録されていないのでしょう。お気をつけください。
Mac OS X Security Update 2010-003
Mac OS X の Security Update 2010-003 が出ました。
このアップデートで、先日「「iPhone」「Safari」「IE8」「Firefox」がハッキングされる-Pwn2Ownコンテスト:ニュース - CNET Japan」で報道された、遠隔でSafariのloopholeを突いてOS Xホストをクラックできるセキュリティホールを塞ぐことができた、としています。
セキュリティアップデート 2010-003 のセキュリティコンテンツについて
http://support.apple.com/kb/HT4131?viewlocale=ja_JP
Apple patch closes Pwn2Own hole in Mac OS X - The H Security: News and Features
このアップデートで、先日「「iPhone」「Safari」「IE8」「Firefox」がハッキングされる-Pwn2Ownコンテスト:ニュース - CNET Japan」で報道された、遠隔でSafariのloopholeを突いてOS Xホストをクラックできるセキュリティホールを塞ぐことができた、としています。
セキュリティアップデート 2010-003 のセキュリティコンテンツについて
http://support.apple.com/kb/HT4131?viewlocale=ja_JP
Apple patch closes Pwn2Own hole in Mac OS X - The H Security: News and Features
2010/04/13
Apache's Atlassian JIRA system compromised
Apache Software Foundation (ASF) いわく、Atlassian 社製のバグ・トラッキングシステムである JIRA, エンタープライズ用のwiki である Confluence, そして Bugzilla のバスワードがクラックされたようです。
JIRAとConfluenceはランダムなsaltなしでSHA-512でパスワード・ハッシュを生成しており、この弱さを4/6〜4/9の間に突かれたようです。関係者はパスワードを(複雑なものに)変更すべし、とのことです。
Apache's Atlassian JIRA system compromised - The H Security: News and Features
http://www.h-online.com/security/news/item/Apache-s-Atlassian-JIRA-system-compromised-976465.html
JIRAとConfluenceはランダムなsaltなしでSHA-512でパスワード・ハッシュを生成しており、この弱さを4/6〜4/9の間に突かれたようです。関係者はパスワードを(複雑なものに)変更すべし、とのことです。
Apache's Atlassian JIRA system compromised - The H Security: News and Features
http://www.h-online.com/security/news/item/Apache-s-Atlassian-JIRA-system-compromised-976465.html
2010/04/07
CVE-2010-0806の実証コード
CVE-2010-0806の実証コードがZscaler Researchで公開されています。
Zscaler Research: CVE-2010-0806 Exploit in the Wild
http://research.zscaler.com/2010/04/cve-2010-0806-exploit-in-wild.html
難読化されたJavaScriptが興味深いです。
Zscaler Research: CVE-2010-0806 Exploit in the Wild
http://research.zscaler.com/2010/04/cve-2010-0806-exploit-in-wild.html
難読化されたJavaScriptが興味深いです。
2010/04/02
Firefox 3.6.3
このあいだ 3.6.2 が出たとおもったら、もう3.6.3です。
次世代ブラウザ Firefox – Firefox 3.6.3 リリースノート
http://mozilla.jp/firefox/3.6.3/releasenotes/
以下の脆弱性が修正されています。
MFSA 2010-25: スコープの混同による解放済みオブジェクトの再使用
http://www.mozilla-japan.org/security/announce/2010/mfsa2010-25.html
次世代ブラウザ Firefox – Firefox 3.6.3 リリースノート
http://mozilla.jp/firefox/3.6.3/releasenotes/
以下の脆弱性が修正されています。
MFSA 2010-25: スコープの混同による解放済みオブジェクトの再使用
http://www.mozilla-japan.org/security/announce/2010/mfsa2010-25.html
2010/03/31
GmailでIMAP/SMTP認証にOAuthが利用可能に
サードパーティーのアプリケーションやWebサービスから、何かサービス・サーバを使う際に、ユーザ名とパスワードといった認証情報を預けて利用することは多く使われていますが、認証情報を預けずに認証ができればさらに安心です。
そのための仕組みとしてOAuthがありますが、GmailではIMAPやSMTPの認証にOAuthが使えるよう、プロトコル拡張を実地に提案していて、サンプル実装もでています。
Google Code Blog: OAuth access to IMAP/SMTP in Gmail
http://googlecode.blogspot.com/2010/03/oauth-access-to-imapsmtp-in-gmail.html
これはなかなかよさそうですね。
ちなみに、GmailではAPOPでのアクセスに対応していないことに気付きました(再確認しました)。APOPは、ユーザの生パスワードをサービス側で保持していないかぎりサポートできないプロトコル拡張なので、これのサポートを放棄しているのは評価できるポリシといえます。
そのための仕組みとしてOAuthがありますが、GmailではIMAPやSMTPの認証にOAuthが使えるよう、プロトコル拡張を実地に提案していて、サンプル実装もでています。
Google Code Blog: OAuth access to IMAP/SMTP in Gmail
http://googlecode.blogspot.com/2010/03/oauth-access-to-imapsmtp-in-gmail.html
これはなかなかよさそうですね。
ちなみに、GmailではAPOPでのアクセスに対応していないことに気付きました(再確認しました)。APOPは、ユーザの生パスワードをサービス側で保持していないかぎりサポートできないプロトコル拡張なので、これのサポートを放棄しているのは評価できるポリシといえます。
QuickTime 7.6.6
QuickTime 7.6.6が出ています。
QuickTime:QuickTime 7.6.6 について
http://support.apple.com/kb/HT4008?viewlocale=ja_JP
とのことです。Mac OS Xではインストール後の再起動が必要です。
QuickTime:QuickTime 7.6.6 について
http://support.apple.com/kb/HT4008?viewlocale=ja_JP
対象製品: QuickTime 7 (Windows), QuickTime 7 (OS X), Mac OS X 10.5, Windows OS
Mac OS X: iMovie の全般的な信頼性が向上しました。
Windows: マルチコアシステムにおける H.264 再生問題に対処しています。
とのことです。Mac OS Xではインストール後の再起動が必要です。
2010/03/30
Internet Explorerのセキュリティ更新の事前告知 (定例外)
あした2010/3/31にIEの臨時アップデートがあるようです。
IE 6, 7 が対象となっていますが、IE 8も適用を推奨とのことです。
日本のセキュリティチーム : Internet Explorerのセキュリティ更新の事前告知 (定例外)
http://blogs.technet.com/jpsecurity/archive/2010/03/30/3321898.aspx
IE 6, 7 が対象となっていますが、IE 8も適用を推奨とのことです。
日本のセキュリティチーム : Internet Explorerのセキュリティ更新の事前告知 (定例外)
http://blogs.technet.com/jpsecurity/archive/2010/03/30/3321898.aspx
OpenSSL 1.0.0 released!
ついにOpenSSLが1.0.0になりました!
OpenSSL V 1.0.0 released!
http://isc.sans.org/diary.html?storyid=8527
OpenSSL: The Open Source toolkit for SSL/TLS
http://www.openssl.org/
OpenSSL V 1.0.0 released!
http://isc.sans.org/diary.html?storyid=8527
OpenSSL: The Open Source toolkit for SSL/TLS
http://www.openssl.org/
2010/03/29
加工されたTLSパケットでOpenSSLがクラッシュ
悪意をもって加工された TLS パケットにより OpenSSL サーバおよびクライアントをクラッシュさせられることがわかりました。SSL通信を処理する ssl3_get_record() 関数が問題となっています。問題となるデータはエンドポイント同士でやり取りされるものです。
このバグはビルドに用いられるCコンパイラに依存しますが、理論的には OpenSSLの 0.9.8f から 0.9.8m のバージョンに脆弱性があります。Cのshortが16ビット整数と解釈される環境(ほとんどの場合がそうでしょう)では OpenSSL 0.9.8m のみが対象となります。
OpenSSL 0.9.8n にアップグレードすることで問題を解決できます。
'Record of Death' takes out OpenSSL servers - The H Security: News and Features
このバグはビルドに用いられるCコンパイラに依存しますが、理論的には OpenSSLの 0.9.8f から 0.9.8m のバージョンに脆弱性があります。Cのshortが16ビット整数と解釈される環境(ほとんどの場合がそうでしょう)では OpenSSL 0.9.8m のみが対象となります。
OpenSSL 0.9.8n にアップグレードすることで問題を解決できます。
'Record of Death' takes out OpenSSL servers - The H Security: News and Features
2010/03/28
curlにbuffer overflow
Debian GNU/Linuxで、curlのDSAが出ています。
Debian -- Security Information -- DSA-2023-1 curl
圧縮されたデータを展開するところで固定長のバッファを使っていたため、バッファオーバーフローを引き起こす可能性あり、という脆弱性のようです。
Debian -- Security Information -- DSA-2023-1 curl
圧縮されたデータを展開するところで固定長のバッファを使っていたため、バッファオーバーフローを引き起こす可能性あり、という脆弱性のようです。
2010/03/24
.ruドメインの運用に証明書提出を義務づけ
ロシアの .ru トップレベルドメインに関して、4月から公的書類による証明が必要になるようです。
.ru が TLDのドメインはphishingサイトやspam発射台など、不正利用が横行していることから、正常化に向けて動き出した模様。
Russia to crack down on abuse of .ru addresses • The Register
http://www.theregister.co.uk/2010/03/22/russian_domain_crackdown/
.ru が TLDのドメインはphishingサイトやspam発射台など、不正利用が横行していることから、正常化に向けて動き出した模様。
Russia to crack down on abuse of .ru addresses • The Register
http://www.theregister.co.uk/2010/03/22/russian_domain_crackdown/
2010/03/23
Firefox 3.6.2出ました
Tokyo Security: 2010/3/30にFirefoxバッチ公開予定と書いたばかりですが、zero dayということもあり、3/30を待たず3.6.2が出ました。
Webフォントまわりのinteger overflowを悪用した穴をつつけるので、悪意のページを表示しただけでexploitされる可能性があります。なのでみなさんすぐに3.6.2にupgradeしましょう。
MFSA 2010-08: WOFF heap corruption due to integer overflow
http://www.mozilla.org/security/announce/2010/mfsa2010-08.html
Webフォントまわりのinteger overflowを悪用した穴をつつけるので、悪意のページを表示しただけでexploitされる可能性があります。なのでみなさんすぐに3.6.2にupgradeしましょう。
MFSA 2010-08: WOFF heap corruption due to integer overflow
http://www.mozilla.org/security/announce/2010/mfsa2010-08.html
2010/3/30にFirefoxバッチ公開予定
深刻なremote exploitを修正したFirefox 3.6.2を2010/3/30にリリース予定のようです。
Firefoxに深刻な脆弱性、3月30日にパッチ公開へ - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1003/23/news021.html
追記: 3/30を待たず3.6.2リリースされました。
Tokyo Security: Firefox 3.6.2出ました
http://tokyosecurity.blogspot.com/2010/03/firefox-362.html
Firefoxに深刻な脆弱性、3月30日にパッチ公開へ - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1003/23/news021.html
追記: 3/30を待たず3.6.2リリースされました。
Tokyo Security: Firefox 3.6.2出ました
http://tokyosecurity.blogspot.com/2010/03/firefox-362.html
Webサイト脆弱性調査ツール skipfish
skipfishというWebサイト脆弱性調査ツールが、Googleのlcamtuf氏によって公開されています。(この人は、Webトランザクションを見張って脆弱性を拾いだしてくれる特殊なWeb proxyであるratproxyの作者です)
http://code.google.com/p/skipfish/
内部に辞書を持っていて、クラッカーが狙いそうなアクセスパターンの組み合わせを試みます。高速に動作し、自動学習やフォームの自動入力などにも対応。
Cで書かれていて、LinuxやFreeBSD 7.0以降, Cygwin, Mac OS Xで動作するようです。ぜひおためしください。
http://code.google.com/p/skipfish/
内部に辞書を持っていて、クラッカーが狙いそうなアクセスパターンの組み合わせを試みます。高速に動作し、自動学習やフォームの自動入力などにも対応。
Cで書かれていて、LinuxやFreeBSD 7.0以降, Cygwin, Mac OS Xで動作するようです。ぜひおためしください。
Flashゲームでフィッシングを学ぼう
フィッシング対策協議会のサイトに、Flashゲームでフィッシングを学ぶコーナーができています。
フィッシングフィル : フィッシング対策協議会
http://www.antiphishing.jp/phil/
まっとうそうなURLや、うさんくさいURLが海のなかを流れてきますので、魚のフィルと一緒に、クリックして選んでいきます。
話のきっかけに、ちょっと遊んでみるのもいいかもしれませんね。
フィッシングフィル : フィッシング対策協議会
http://www.antiphishing.jp/phil/
まっとうそうなURLや、うさんくさいURLが海のなかを流れてきますので、魚のフィルと一緒に、クリックして選んでいきます。
話のきっかけに、ちょっと遊んでみるのもいいかもしれませんね。
2010/03/19
ダメなISPの晒しリスト
Krebs on Securityで、botやmalwareの巣窟だったり、Googleのウイルス検知機構にひっかかったりの数が多いようなISPのワーストリストが作られて掲載されています。日本国内のISPはないですけど、どういう観点で調べているのかという点でもおもしろい記事です。
Krebs on Security: Naming and Shaming 'Bad' ISPs
http://www.krebsonsecurity.com/2010/03/naming-and-shaming-bad-isps/
Krebs on Security: Naming and Shaming 'Bad' ISPs
http://www.krebsonsecurity.com/2010/03/naming-and-shaming-bad-isps/
php 5.3.1にxmlrpc関係のDoS
php 5.3.1では、xmlrpc関係関数のパラメータの扱いに脆弱性があり、phpアプリケーションをクラッシュさせるDoS攻撃が可能とのことです。
CVE - CVE-2010-0397 (under review)
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0397
Debian GNU/Linuxではパッケージにsecurity fixがなされています。
Debian -- Security Information -- DSA-2018-1 php5
http://www.debian.org/security/2010/dsa-2018
CVE - CVE-2010-0397 (under review)
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0397
Debian GNU/Linuxではパッケージにsecurity fixがなされています。
Debian -- Security Information -- DSA-2018-1 php5
http://www.debian.org/security/2010/dsa-2018
2010/03/13
アダルト用TLD .xxx の認可が夏まで先送りに
ケニアで行われたICANN総会にて、アダルト用TLD .xxx の認可が夏まで先送りになったそうです。
ICANN delays decision on pornography domain • The Register
http://www.theregister.co.uk/2010/03/12/icann_delays_xxx_decision/
ICANN delays decision on pornography domain • The Register
http://www.theregister.co.uk/2010/03/12/icann_delays_xxx_decision/
2010/03/12
Zeusのbotnetはtakedownしても48時間以内に1/3が復活する
トロイの木馬作成ツールZeusに操られているbotnetをtakedownしても、実に1/3が48時間以内に自動的に復活してしまうとのことです。なんてrobustな。
One-third of orphaned Zeus botnets find way home • The Register
http://www.theregister.co.uk/2010/03/11/zeus_botnets_resurrected/
One-third of orphaned Zeus botnets find way home • The Register
http://www.theregister.co.uk/2010/03/11/zeus_botnets_resurrected/
2010/03/11
SEOポイズニング ベスト10
検索結果に、SEOをがんばった囮サイトが出てくるようにして誘導するSEOポイズニングという手法がありますが、これのトップ10が発表されています。
最もリスクの高いキーワードは「アバター」 - マカフィー、検索リスクの高いアカデミー賞作品を発表::SEM R
http://www.sem-r.com/news-2010/20100311143231.html
最もリスクの高いキーワードは「アバター」 - マカフィー、検索リスクの高いアカデミー賞作品を発表::SEM R
http://www.sem-r.com/news-2010/20100311143231.html
twitterのphishing防止短縮URLサービス
twitterは、DMに含まれるURLでphishingを起こされるのを防ぐために、文中のURLに新たなURL短縮サービス twt.tl をかませることにしたようです。twt.tl はphishing URLのデータベースを持っていて、その手のURLは展開・リダイレクトをせず、警告画面を表示するそうです。
Twitter adds filter to cut phishing lines • The Register
http://www.theregister.co.uk/2010/03/10/twitter_anti_phishing_tech/
Twitter adds filter to cut phishing lines • The Register
http://www.theregister.co.uk/2010/03/10/twitter_anti_phishing_tech/
Debian GNU/Linuxのdpkgにパストラバーサル
Debian GNU/Linuxのdpkgにパストラバーサル脆弱性が発見され、修正されています。
cruftされたパッケージをインストールすると、管轄外のファイルにアタックできてしまうとのこと。
悪意をもって作られたdebを、ローカルでrootで使うdpkgでインストールする時点で、なんかしょうがない気もします。
Debian -- Security Information -- DSA-2011-1 dpkg
http://www.debian.org/security/2010/dsa-2011
cruftされたパッケージをインストールすると、管轄外のファイルにアタックできてしまうとのこと。
悪意をもって作られたdebを、ローカルでrootで使うdpkgでインストールする時点で、なんかしょうがない気もします。
Debian -- Security Information -- DSA-2011-1 dpkg
http://www.debian.org/security/2010/dsa-2011
Debian GNU/Linuxのdpkgにパストラバーさる
Debian -- Security Information -- DSA-2011-1 dpkg
http://www.debian.org/security/2010/dsa-2011
http://www.debian.org/security/2010/dsa-2011
Debian GNU/Linuxのdpkgにパス虎バーサル
Debian -- Security Information -- DSA-2011-1 dpkg
http://www.debian.org/security/2010/dsa-2011
http://www.debian.org/security/2010/dsa-2011
Debian GNU/Linuxのdpkgにパスとラバー去る
Debian -- Security Information -- DSA-2011-1 dpkg
http://www.debian.org/security/2010/dsa-2011
http://www.debian.org/security/2010/dsa-2011
YouTubeモバイルにバナー広告
USと日本で、YouTubeモバイルでバナー広告展開が開始されたそうです。
Google flips switch on mobile YouTube banner ads • The Register
http://www.theregister.co.uk/2010/03/10/mobile_youtube_banner_ads/
Google flips switch on mobile YouTube banner ads • The Register
http://www.theregister.co.uk/2010/03/10/mobile_youtube_banner_ads/
三井情報、10万件の個人情報を含むノートPCを紛失
三井情報、10万件の個人情報を含むノートPCを紛失 - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1003/10/news042.html
盗難対策が施されていたとのことで、実害が発生する可能性は低そうですが、社会的なダメージが痛いですね。
むしろこちらのほうが、棚卸し的にまずそうです。
三井生命が顧客情報を保存したPC11台を紛失、外部漏えいは未確認 - ITmedia エンタープライズhttp://www.itmedia.co.jp/enterprise/articles/1001/15/news070.html
http://www.itmedia.co.jp/enterprise/articles/1003/10/news042.html
盗難対策が施されていたとのことで、実害が発生する可能性は低そうですが、社会的なダメージが痛いですね。
むしろこちらのほうが、棚卸し的にまずそうです。
三井生命が顧客情報を保存したPC11台を紛失、外部漏えいは未確認 - ITmedia エンタープライズhttp://www.itmedia.co.jp/enterprise/articles/1001/15/news070.html
in-addr.arpa. の逆引きゾーンにDNSSEC署名
ついに in-addr.arpa. の逆引きゾーンにDNSSEC署名がはじまるそうです。
くわしくはこちらを。
yebo blog: ARPAゾーンがDNSSEC署名
http://yebo-blog.blogspot.com/2010/03/arpadnssec.html
くわしくはこちらを。
yebo blog: ARPAゾーンがDNSSEC署名
http://yebo-blog.blogspot.com/2010/03/arpadnssec.html
2010/03/10
tDiary 2.2.3にアップグレードしましょう
tDiary 2.2.2 およびそれ以前の2.x系にXSSが見つかっています。
tDiary.org - tDiaryの脆弱性に関する報告(2010-02-25)
http://www.tdiary.org/20100225.html
2.x 系は tDiary 2.2.3にアップグレードしましょう。
CVE - CVE-2010-0726 (under review)
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0726
Debian - Security Information - DSA-2009-1 tdiary
http://www.debian.org/security/2010/dsa-2009
tDiary.org - tDiaryの脆弱性に関する報告(2010-02-25)
http://www.tdiary.org/20100225.html
2.x 系は tDiary 2.2.3にアップグレードしましょう。
CVE - CVE-2010-0726 (under review)
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0726
Debian - Security Information - DSA-2009-1 tdiary
http://www.debian.org/security/2010/dsa-2009
IE6, 7に新たなリモート脆弱性
IE6, 7にまた新たな脆弱性が見つかったそうです。IE 8は対象外。
リモートから、ローカルユーザと同じ権限を奪取可能。
New Internet Explorer code-execution attacks go wild • The Register
http://www.theregister.co.uk/2010/03/09/internet_explorer_attacks/
Microsoft Warns of Internet Explorer 0day — Krebs on Security
http://www.krebsonsecurity.com/2010/03/microsoft-warns-of-internet-explorer-0day/
リモートから、ローカルユーザと同じ権限を奪取可能。
New Internet Explorer code-execution attacks go wild • The Register
http://www.theregister.co.uk/2010/03/09/internet_explorer_attacks/
Microsoft Warns of Internet Explorer 0day — Krebs on Security
http://www.krebsonsecurity.com/2010/03/microsoft-warns-of-internet-explorer-0day/
ITmedia: 新品のAndroid携帯にマルウェア、USB経由でPCに感染
新品のAndroid携帯にマルウェア、USB経由でPCに感染 - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1003/10/news026.html
これは厳しいですね。感染経路を知りたいです。キャリアが追加した出荷時添付ソフトウェアの出荷工程とかあたりでしょうかね?
http://www.itmedia.co.jp/enterprise/articles/1003/10/news026.html
これは厳しいですね。感染経路を知りたいです。キャリアが追加した出荷時添付ソフトウェアの出荷工程とかあたりでしょうかね?
2010/03/09
docomo ID認証 (OpenID) 技術情報公開開始
NTTドコモのdocomo idを使ったOpenIDサービスの技術資料が公開されました。
サイト運営者様向け | NTTドコモ
https://i.mydocomo.com/docomoid/utility/o-3.html
他キャリアも同様にサービス提供していってくれると良いのですが、なかなかそうはいかないでしょうね。
追記: このサービス、imode IDそのものを提供してしまうようです。通常OpenIDでは、RP (OpenIDによる認証を享受する側)には、ユーザごとにユニークな、ただしRPごとには異なった識別子が渡されるので、RPどうしでその識別子を比較しても意味はなく、RPどうしでの「名寄せ」はできないようになっているのですが、imode IDそのものが渡されてくる仕様だと、名寄せができてしまうように思えます。
また、あるRPが、あるユーザのimode IDを入手できたとして、そのimode IDを使ってそのユーザを偽装して他のimode IDを認証キーとして使っているサービスにログインを試みる、ということも可能なように考察できてしまいます。
いいかえれば「Aさんがケータイ向けサービスに全て共通のパスワードを設定している、そのパスワード文字列を入手できてしまう」のに似た構図に見えます。
もしこうだとしたらまずいのではないでしょうか。
サイト運営者様向け | NTTドコモ
https://i.mydocomo.com/docomoid/utility/o-3.html
他キャリアも同様にサービス提供していってくれると良いのですが、なかなかそうはいかないでしょうね。
追記: このサービス、imode IDそのものを提供してしまうようです。通常OpenIDでは、RP (OpenIDによる認証を享受する側)には、ユーザごとにユニークな、ただしRPごとには異なった識別子が渡されるので、RPどうしでその識別子を比較しても意味はなく、RPどうしでの「名寄せ」はできないようになっているのですが、imode IDそのものが渡されてくる仕様だと、名寄せができてしまうように思えます。
また、あるRPが、あるユーザのimode IDを入手できたとして、そのimode IDを使ってそのユーザを偽装して他のimode IDを認証キーとして使っているサービスにログインを試みる、ということも可能なように考察できてしまいます。
いいかえれば「Aさんがケータイ向けサービスに全て共通のパスワードを設定している、そのパスワード文字列を入手できてしまう」のに似た構図に見えます。
もしこうだとしたらまずいのではないでしょうか。
OpenSSH 5.4 has just been released
http://www.openssh.com/txt/release-5.4 から。
移行期間十年、ついにssh protocol 1がデフォルトではなしになりました。
ほかにもPKCS#11トークンのサポートなどいろいろ。詳しくは上記ページをみてください。
移行期間十年、ついにssh protocol 1がデフォルトではなしになりました。
ほかにもPKCS#11トークンのサポートなどいろいろ。詳しくは上記ページをみてください。
チリ地震とmalware
そして、大災害となったチリ地震も、クラッカーにとっては格好のチャンスです。ニュースバリューがあり鮮度も高い「チリ地震」というトピックは、SEO的にはスコアが高くなります。つまりチリ地震について述べたようなサイトはGoogleなどで上位に出てくるチャンスがあります。
Chile earthquake tragedy used to spread malware
http://knoxhop.org/?q=hawai-tsunami-2010 というサイトは、'Chile tsunami 2010' でGoogle検索すると、そこそこの順位に出てくるサイトで、Safe Searchをonにしていても出てきます。
このサイトに単にアクセスしても、趣味が悪く目に痛いページが出てくるだけで、実害はないようです。このサイトが巧妙なのは、Google検索結果からこのページに飛んだときだけmalwareサイトに誘導されることです。
Chile earthquake tragedy used to spread malware
http://knoxhop.org/?q=hawai-tsunami-2010 というサイトは、'Chile tsunami 2010' でGoogle検索すると、そこそこの順位に出てくるサイトで、Safe Searchをonにしていても出てきます。
このサイトに単にアクセスしても、趣味が悪く目に痛いページが出てくるだけで、実害はないようです。このサイトが巧妙なのは、Google検索結果からこのページに飛んだときだけmalwareサイトに誘導されることです。
オリンピックとmalware
バンクーバー冬季オリンピックは無事終わりましたが、malwareをばらまくクラッカーにとってもチャンスであったようです。Fake Vancouver Winter Olympic Videos Spreading Malware によると、http://twitter.com/gamesvancouverというtwitterアカウント (現在はもうアカウント閉鎖されています)が「オリンピックの開幕式を見よう!」と、URLをばらまいていました。
bit.lyで短縮されたそのURLは、たしかに一見 http://vancouver2010.com/video.html と、それっぽく見えるのですが、よくみると、わざとドメイン名の一部がタイプミスしてあり、つまり vancouver2010 とそっくりのスペルの偽サイトでした。
で、そのサイトに行くと、さあ動画を見ましょう、flashのプラグインをダウンロードしましょう! と誘導がでてきますが、ご想像のとおり、これはトロイの木馬です。
exeですが、いまだにまだこれをウイルスと検知できないantivirusも多いようです。
bit.lyで短縮されたそのURLは、たしかに一見 http://vancouver2010.com/video.html と、それっぽく見えるのですが、よくみると、わざとドメイン名の一部がタイプミスしてあり、つまり vancouver2010 とそっくりのスペルの偽サイトでした。
で、そのサイトに行くと、さあ動画を見ましょう、flashのプラグインをダウンロードしましょう! と誘導がでてきますが、ご想像のとおり、これはトロイの木馬です。
exeですが、いまだにまだこれをウイルスと検知できないantivirusも多いようです。
2010/03/08
米国の赤十字系サイトがクラックされる
米国の赤十字系サイトがクラックされていたようです。Adobe Viewer系の脆弱性経由で、おかしなiframeを流し込まれていたそう。ただ誘導先のサイトはすでに落ちているようで、実被害は(いまは)ないとのことです。
Zscaler Research: Redcross Site Hacked
http://research.zscaler.com/2010/03/redcross-site-hacked.html
Zscaler Research: Redcross Site Hacked
http://research.zscaler.com/2010/03/redcross-site-hacked.html
2010/03/07
twitterのCheck out this diet I tried, it works!にご注意
ログイン画面偽装のphishingみたいです。詳しくは以下参照。
【緊急速報】ダイエット系のSPAMツイート大量発生。数百アカウントがハイジャックされた模様!:in the looop:ITmedia オルタナティブ・ブログ
http://blogs.itmedia.co.jp/saito/2010/03/spam-25e9.html
【緊急速報】ダイエット系のSPAMツイート大量発生。数百アカウントがハイジャックされた模様!:in the looop:ITmedia オルタナティブ・ブログ
http://blogs.itmedia.co.jp/saito/2010/03/spam-25e9.html
マイクロソフトからIE6に献花
先日、Internet Explorer 6の葬儀がネタイベントとして執り行われたそうですが、マイクロソフトからも献花が届いていたそうです。なかなかシャレっ気がありますね。
IE6、安らかに眠れ。ブログには葬儀の写真や動画。マイクロソフトからは献花もあり
http://jp.techcrunch.com/archives/20100305ie6-funeral/
ちなみにこちらは、Steve Jobsが 2002年のApple World Wide Developers ConferenceでMac OS 9の葬儀を行ったときのビデオです。
Jobs: Mac OS 9, rest in peace - CNET News
http://news.cnet.com/2100-1040-899914.html
IE6、安らかに眠れ。ブログには葬儀の写真や動画。マイクロソフトからは献花もあり
http://jp.techcrunch.com/archives/20100305ie6-funeral/
ちなみにこちらは、Steve Jobsが 2002年のApple World Wide Developers ConferenceでMac OS 9の葬儀を行ったときのビデオです。
Jobs: Mac OS 9, rest in peace - CNET News
http://news.cnet.com/2100-1040-899914.html
Adobe、長く続いたFlashのクラッシュバグに関して謝罪
Adobe Flash PlayerプロダクトマネージャであるEmmy Huang氏は、ブラウザのクラッシュを引き起こすあるFlashのバグが17ヶ月も前に報告されているにも関わらず、Flash Playerの製品版に対するパッチがいまだにリリースされていないことを公に謝罪した。
こちらにまとめがあります。ぜひどうぞ。
InfoQ: Adobe、長く続いたFlashのクラッシュバグに関して謝罪
http://www.infoq.com/jp/news/2010/02/adobe-flash-crash-bug
blogger → friendfeed → twitter連携
SE奮闘記: BloggerとTwitterの連携。記事を自動でつぶやくように設定
http://se-suganuma.blogspot.com/2009/12/bloggertwitter.html
を参考にして、blogger → friendfeed → twitter で連携するようにしてみました。そのテストです。
http://se-suganuma.blogspot.com/2009/12/bloggertwitter.html
を参考にして、blogger → friendfeed → twitter で連携するようにしてみました。そのテストです。
デマメール「北朝鮮のミサイルで沖縄に被害」
「北朝鮮のミサイルで沖縄に被害」――デマで恐怖をあおるメールが流通 - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1003/06/news008.html
土日のあいだに会社のメールアドレスに着弾していて、月曜の出勤後に営業さんたちがわらわらとメールを開けて被害拡大、みたいなパターンが嫌ですね…
http://www.itmedia.co.jp/enterprise/articles/1003/06/news008.html
土日のあいだに会社のメールアドレスに着弾していて、月曜の出勤後に営業さんたちがわらわらとメールを開けて被害拡大、みたいなパターンが嫌ですね…
2010/03/06
OpenPNEアップデート
phpで書かれた、オープンソースのmixiライクなSNSであるOpenPNEで、日本の携帯端末(いわゆるガラケー)から端末固有IDを利用してログインさせる「かんたんログイン」機能に脆弱性があることが昨日指摘されていましたが、さっそくアップデートが出ています。
【緊急リリース】携帯版かんたんログインの不備によりなりすましがおこなわれてしまう問題について|OpenPNE
http://www.openpne.jp/archives/4612/
携帯端末から送出される端末固有IDは、しょせんhttp headerに載せる情報にすぎないので、そのID文字列を知っていれば偽装は比較的容易です。
ただ、本物の端末固有IDは、携帯キャリア各社のインターネット中継ゲートウェイのsource ip addressからしか送出されないはずです。かつ、携帯キャリアのインターネット中継ゲートウェイからくるアクセスには、http headerを偽装できるようなクライアントからのアクセスは含まれていないはずでした。昔は。
でも近年はソフトバンクのスマートフォン(iPhoneではなく)など、いろいろできちゃうクライアントも実はあったりしますから、こういった神話も徐々に崩れつつあります。
で、今回の問題は、その携帯キャリアからのアクセスかどうかを判定するところが甘かったということです。
さらに、携帯キャリアからのアクセスかどうかの判定は、キャリアのsource ip addressのリストを持って、かつこのリストをしっかり保守していないとなりませんから、ここを崩さずに運用するのはコストがちょっと高いですね。
また、携帯キャリア各社は、source ip addressのリストを、httpsなど信頼できる方法で提供していないじゃないか、というのもひろみちゅ先生が以前から指摘しているところです。
【緊急リリース】携帯版かんたんログインの不備によりなりすましがおこなわれてしまう問題について|OpenPNE
http://www.openpne.jp/archives/4612/
携帯端末から送出される端末固有IDは、しょせんhttp headerに載せる情報にすぎないので、そのID文字列を知っていれば偽装は比較的容易です。
ただ、本物の端末固有IDは、携帯キャリア各社のインターネット中継ゲートウェイのsource ip addressからしか送出されないはずです。かつ、携帯キャリアのインターネット中継ゲートウェイからくるアクセスには、http headerを偽装できるようなクライアントからのアクセスは含まれていないはずでした。昔は。
でも近年はソフトバンクのスマートフォン(iPhoneではなく)など、いろいろできちゃうクライアントも実はあったりしますから、こういった神話も徐々に崩れつつあります。
で、今回の問題は、その携帯キャリアからのアクセスかどうかを判定するところが甘かったということです。
さらに、携帯キャリアからのアクセスかどうかの判定は、キャリアのsource ip addressのリストを持って、かつこのリストをしっかり保守していないとなりませんから、ここを崩さずに運用するのはコストがちょっと高いですね。
また、携帯キャリア各社は、source ip addressのリストを、httpsなど信頼できる方法で提供していないじゃないか、というのもひろみちゅ先生が以前から指摘しているところです。
2010/03/05
Drupalのセキュリティfix
phpで書かれたblog software (CMS) であるDrupalのsecurity upgradeです。
SA-CORE-2010-001 - Drupal core - Multiple vulnerabilities
http://drupal.org/node/731710
XSS, 任意のURLへの誘導(フィッシングに悪用される) などなどの脆弱性が修正されたバージョンが出ています。6.x系には6.16, 5.x系には5.22です。
SA-CORE-2010-001 - Drupal core - Multiple vulnerabilities
http://drupal.org/node/731710
XSS, 任意のURLへの誘導(フィッシングに悪用される) などなどの脆弱性が修正されたバージョンが出ています。6.x系には6.16, 5.x系には5.22です。
twitter.co.jpは係争申立中
TWITTER.CO.JPドメインに関して、係争申立中のようです。
http://www.nic.ad.jp/ja/drp/list/2010/ から
whois.jpを見ると
こちら、テラインターナショナル株式会社さんではなくて、合同会社テラ・インターナショナルさんですね。
調べてみると、apache.org方面で若干お騒がせな、あの人の名前が…
http://www.nic.ad.jp/ja/drp/list/2010/ から
手続開始日 2010/02/02
ドメイン名 TWITTER.CO.JP
手続番号 JIPAC JP2010-0001
whois.jpを見ると
Domain Information: [ドメイン情報]
a. [ドメイン名] TWITTER.CO.JP
e. [そしきめい] ごうどうかいしゃてらいんたーなしょなる
f. [組織名] 合同会社テラ・インターナショナル
g. [Organization] Terra-International. Inc.
k. [組織種別] 合同会社
l. [Organization Type] Limited Liability Company
m. [登録担当者] TK25387JP
n. [技術連絡担当者] TW40653JP
p. [ネームサーバ] ns1.terra-intl.com
p. [ネームサーバ] ns2.terra-intl.com
p. [ネームサーバ] google-public-dns-a.google.com
p. [ネームサーバ] google-public-dns-b.google.com
[状態] Connected (2010/11/30)
[登録年月日] 2009/11/25
[接続年月日] 2009/11/25
[最終更新] 2010/01/14 15:09:25 (JST)
こちら、テラインターナショナル株式会社さんではなくて、合同会社テラ・インターナショナルさんですね。
調べてみると、apache.org方面で若干お騒がせな、あの人の名前が…
'Severe' OpenSSL vuln busts public key crypto, says The Register
これは…
'Severe' OpenSSL vuln busts public key crypto • The Register
http://www.theregister.co.uk/2010/03/04/severe_openssl_vulnerability/
通信にわざとエラーを発生させて、その結果の(暗号化されているところの)通信結果を大量に素材として入手しておく。
通信エラーのそのリカバーに用いられるfixed window exponentiation algorithmに脆弱性があるようです。
その大量の素材を、Linux稼働のSPARCマシンで104時間ナンバークランチすれば、1024bitのprivate keyを解読できるとのことです。論文のpdfもリンク先にあります。
'Severe' OpenSSL vuln busts public key crypto • The Register
http://www.theregister.co.uk/2010/03/04/severe_openssl_vulnerability/
通信にわざとエラーを発生させて、その結果の(暗号化されているところの)通信結果を大量に素材として入手しておく。
通信エラーのそのリカバーに用いられるfixed window exponentiation algorithmに脆弱性があるようです。
その大量の素材を、Linux稼働のSPARCマシンで104時間ナンバークランチすれば、1024bitのprivate keyを解読できるとのことです。論文のpdfもリンク先にあります。
@def_jp
twitterの @def_jp は「JPドメイン Web改竄速報 bot」です。
http://twitter.com/def_jp
JPドメイン Web改竄速報
http://izumino.jp/Security/def_jp.html
なまなましいし、面白い(^^)ので、ぜひmust followでしょう。
http://twitter.com/def_jp
JPドメイン Web改竄速報
http://izumino.jp/Security/def_jp.html
なまなましいし、面白い(^^)ので、ぜひmust followでしょう。
こんどのMicrosoft月例パッチは3/10予定
更新されるのは2点で、それぞれWindowsとOffice Suiteのもの。
両方ともcruftedなファイルを開くとまずい、というケースのようです。
3月のMS月例パッチは「重要」レベルが2件 - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1003/05/news013.html
会社組織だと、ネットワーク経由でどこかを叩くと… というパターンよりも、悪意で加工されたファイルで発火するタイプのほうが、対策がややこしいケースがありますよね…
両方ともcruftedなファイルを開くとまずい、というケースのようです。
3月のMS月例パッチは「重要」レベルが2件 - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1003/05/news013.html
会社組織だと、ネットワーク経由でどこかを叩くと… というパターンよりも、悪意で加工されたファイルで発火するタイプのほうが、対策がややこしいケースがありますよね…
libpng 1.4.0 以前にDoSの可能性
libpng 1.4.0 以前では、cruftedなpngを処理しようとするとメモリとCPUを食い尽くしてしまうケースがあるようです。DoSが可能ですね。
JVNVU#576029: libpng における圧縮された補助チャンクの処理に脆弱性
http://jvn.jp/cert/JVNVU576029/
Defending Libpng Applications Against Decompression Bombs
http://libpng.sourceforge.net/decompression_bombs.html
libpng 1.4.1にupgradeが推奨されています。
また、古い運用バージョンへのbackportもあるようです。(1.2.43, 1.0.53)
JVNVU#576029: libpng における圧縮された補助チャンクの処理に脆弱性
http://jvn.jp/cert/JVNVU576029/
Defending Libpng Applications Against Decompression Bombs
http://libpng.sourceforge.net/decompression_bombs.html
libpng 1.4.1にupgradeが推奨されています。
また、古い運用バージョンへのbackportもあるようです。(1.2.43, 1.0.53)
100億tweet
GigaTweet
http://popacular.com/gigatweet/
をみると、今日のお昼ごろ(日本時間で)、累計tweetが100億を超えたようですね。
いま現在 10,006,700,226 という数字が出ています。
もっともこれは厳密な数値ではなく、傾向からの分析想定値といったレベルのもののようです。
http://popacular.com/gigatweet/
をみると、今日のお昼ごろ(日本時間で)、累計tweetが100億を超えたようですね。
いま現在 10,006,700,226 という数字が出ています。
もっともこれは厳密な数値ではなく、傾向からの分析想定値といったレベルのもののようです。
OperaでContent-Lengthを偽るとBuffer Overflow
Operaブラウザに深刻な脆弱性、パッチは未公開 - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1003/05/news014.html
Content-Length: 指定をうそついて、cruftedなデータをどばどば送り込むとbuffer overflowという話のようですが
(かなり基本的なところのような気がしますが…)
10.50だけの話と思っていたら、他のバージョンにも影響ある可能性というのが、どきどきします…
http://www.itmedia.co.jp/enterprise/articles/1003/05/news014.html
Content-Length: 指定をうそついて、cruftedなデータをどばどば送り込むとbuffer overflowという話のようですが
(かなり基本的なところのような気がしますが…)
10.50だけの話と思っていたら、他のバージョンにも影響ある可能性というのが、どきどきします…
イスラエル軍のFacebook利用
こんなニュースが。
イスラエル兵がSNSで対過激派作戦ばらす、計画中止に(ロイター) - Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20100304-00000806-reu-int
過激派側がこの投稿をみて「いいね!」をクリックしていたらかなり面白いですね(^^)
というわけで、一般兵士に対しては「facebookにあれこれ書いちゃだめ!」ということになりそうですが、反面、イスラエル当局のほうも、以前からいろいろとfacebookは活用しているようです。
Variety News | Israel uses Facebook to spy on Arabs & Muslims
http://www.alarabiya.net/articles/2009/11/09/90711.html
Israel warns citizens to beware Facebook spy requests - CNN.com
http://www.cnn.com/2009/WORLD/meast/05/18/israel.facebook.spies/index.html
イスラエル兵がSNSで対過激派作戦ばらす、計画中止に(ロイター) - Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20100304-00000806-reu-int
過激派側がこの投稿をみて「いいね!」をクリックしていたらかなり面白いですね(^^)
というわけで、一般兵士に対しては「facebookにあれこれ書いちゃだめ!」ということになりそうですが、反面、イスラエル当局のほうも、以前からいろいろとfacebookは活用しているようです。
Variety News | Israel uses Facebook to spy on Arabs & Muslims
http://www.alarabiya.net/articles/2009/11/09/90711.html
Israel warns citizens to beware Facebook spy requests - CNN.com
http://www.cnn.com/2009/WORLD/meast/05/18/israel.facebook.spies/index.html
.htaccessを勝手にアップロードするGumblar新種
GumblarはWebサイト管理者の管理操作まわりの環境を乗っ取って悪さをしてしまうものですから、悪者の立場で考えれば、こういう手法もありですね。
「スクリプトを無効にしても防げない」、新たな「ガンブラー」出現 - ニュース:ITpro
http://itpro.nikkeibp.co.jp/article/NEWS/20100304/345314/
しかし、.htaccess が有効な状態で運用されている apache web server も、やはり結構な数、あるんでしょうね。
個人的には、.htaccess を有効にしておいても、デザイナーやコーダーのかたが判らず設置したものが有効になってしまったり、あるいは外注デザイン業者の設定がまぎれこんだり、要するにサイト管理者の意図しない設定が知らぬ間に有効になってしまうだけで、良いところはないと思います。こういう設定が必要であれば、/etc/apache 以下などのサイト設定ファイルでしっかり設定すべきと思います。
性能の面でも、.htaccess を有効にしていると、ファイルシステムを探索するトラバース・コストが発生するので、よくありませんね。
「スクリプトを無効にしても防げない」、新たな「ガンブラー」出現 - ニュース:ITpro
http://itpro.nikkeibp.co.jp/article/NEWS/20100304/345314/
しかし、.htaccess が有効な状態で運用されている apache web server も、やはり結構な数、あるんでしょうね。
個人的には、.htaccess を有効にしておいても、デザイナーやコーダーのかたが判らず設置したものが有効になってしまったり、あるいは外注デザイン業者の設定がまぎれこんだり、要するにサイト管理者の意図しない設定が知らぬ間に有効になってしまうだけで、良いところはないと思います。こういう設定が必要であれば、/etc/apache 以下などのサイト設定ファイルでしっかり設定すべきと思います。
性能の面でも、.htaccess を有効にしていると、ファイルシステムを探索するトラバース・コストが発生するので、よくありませんね。
「IEでF1」問題のProof of Conceptコード公開
先日、Internet Explorerでwebページを表示させて、さらに「F1キーを押してください」とユーザを誘導させることで、任意のコードを実行させてしまえるという話題が出ていましたが、そのPoC (Proof of Concept)コードが公開されたようです。
VBScriptの未修正の脆弱性を突くPoCが公開、MSが回避策を呼び掛け - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1003/03/news028.html
なるほど、これってVBScriptとWindows Helpをからめた脆弱性だったんですね。
しかし「F1を押してください」とユーザを誘導させるのはうまいですね。
いかにもそうさせる文言は、いくらでも作れそうです。
詳しくは以下参照。
マイクロソフト セキュリティ アドバイザリ (981169)
VBScript の脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/981169.mspx
VBScriptの未修正の脆弱性を突くPoCが公開、MSが回避策を呼び掛け - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1003/03/news028.html
なるほど、これってVBScriptとWindows Helpをからめた脆弱性だったんですね。
しかし「F1を押してください」とユーザを誘導させるのはうまいですね。
いかにもそうさせる文言は、いくらでも作れそうです。
詳しくは以下参照。
マイクロソフト セキュリティ アドバイザリ (981169)
VBScript の脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/981169.mspx
SANS Internet Storm Center: IE 0-day using .hlp files
http://isc.sans.org/diary.html?storyid=8332
2010/03/04
DSA-2006-1 sudo
Debian GNU/Linux の DSA (Debian Security Advisory) に、sudo が出ています。
当然ながら local exploit です。
DSA-2006-1 sudo
http://www.debian.org/security/2010/dsa-2006
具体的には以下の問題があるようです。
CVE-2010-0426
when a pseudo-command is enabled, permits a match between the name of the pseudo-command and the name of an executable file in an arbitrary directory, which allows local users to gain privileges via a crafted executable file.
CVE-2010-0427
when the runas_default option is used, does not properly set group memberships, which allows local users to gain privileges via a sudo command.
pseudo-command とか runas_default を設定していたりとか sudo を追い込んで設定しているとまずそうですね。
当然ながら local exploit です。
DSA-2006-1 sudo
http://www.debian.org/security/2010/dsa-2006
具体的には以下の問題があるようです。
CVE-2010-0426
when a pseudo-command is enabled, permits a match between the name of the pseudo-command and the name of an executable file in an arbitrary directory, which allows local users to gain privileges via a crafted executable file.
CVE-2010-0427
when the runas_default option is used, does not properly set group memberships, which allows local users to gain privileges via a sudo command.
pseudo-command とか runas_default を設定していたりとか sudo を追い込んで設定しているとまずそうですね。
近鉄百貨店, 全従業員の個人情報紛失
全社員のデータが入ったハードディスクが、ロッカーからなくなっちゃった、ということらしいです。
<近鉄百貨店>全従業員の個人情報紛失(毎日新聞) - Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20100304-00000045-mai-soci
まだ身内への迷惑で済んだ、のはよかったかもしれません。
でも「こういうことが起きてしまうところなんだ」という信頼性の低下と、あと何よりも「個人情報紛失!」というラベリングがされてしまう事件の発生と報道によるダメージが厳しいところですね。
(で、こういうブログもバイラルの片棒を担いでいるといえましょう)
<近鉄百貨店>全従業員の個人情報紛失(毎日新聞) - Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20100304-00000045-mai-soci
まだ身内への迷惑で済んだ、のはよかったかもしれません。
でも「こういうことが起きてしまうところなんだ」という信頼性の低下と、あと何よりも「個人情報紛失!」というラベリングがされてしまう事件の発生と報道によるダメージが厳しいところですね。
(で、こういうブログもバイラルの片棒を担いでいるといえましょう)
「SECURITY SHOW 2010」3月9日から東京ビッグサイトで開催
http://www.shopbiz.jp/ss/
事前登録も受け付けているので、行くかどうかどうしよう、と迷ったら登録してしまうと良いと思います。この手のイベントで、事前登録もせず現場に行って、実際に入場料払ってる人なんて少ないですし、ちょっと恥ずかしかったりしますからね(^^)
「SECURITY SHOW 2010」は、映像監視や入退管理をはじめ、犯罪・災害などの外的リスクや、情報漏洩・不正行為などの内部リスクからオフィス、店舗、公共施設、一般家庭を守り、「安全・安心」を実現するための情報を発信する国内最大級のセキュリティ・安全管理総合展です。普段はみれない、裏方のセキュリティ機器などもいろいろ観察できそうで、面白いですね。
事前登録も受け付けているので、行くかどうかどうしよう、と迷ったら登録してしまうと良いと思います。この手のイベントで、事前登録もせず現場に行って、実際に入場料払ってる人なんて少ないですし、ちょっと恥ずかしかったりしますからね(^^)
Microsoft: クラウド時代のプライバシーポリシー
米Microsoftの最高プライバシー責任者が語る、クラウド時代のプライバシーポリシー - Enterprise Watch
http://enterprise.watch.impress.co.jp/docs/news/20100301_352053.html
Trustworthy Computingってすごい懐かしいですね(^^)
PII := Personally Identifiable Informationですか…
http://enterprise.watch.impress.co.jp/docs/news/20100301_352053.html
Trustworthy Computingってすごい懐かしいですね(^^)
PII := Personally Identifiable Informationですか…
2010/03/02
ファイル共有ソフト「Cabos」の悪用で国内初の逮捕者
ファイル共有ソフト「Cabos」の悪用で国内初の逮捕者:ニュース - CNET Japan
http://japan.cnet.com/news/biz/story/0,2000056020,20409465,00.htm
特にJASRACの味方というわけでもありませんが、
一個人ならまだしも、「自身が経営する飲食店内において」、つまりもともとどちらかといえばJASRACに対する支払者というのが、さらにフラグかも。
「…の多くは」という記述は注意深いと思います。
http://japan.cnet.com/news/biz/story/0,2000056020,20409465,00.htm
特にJASRACの味方というわけでもありませんが、
この男性は2009年12年12日から12月15日までの間、自身が経営する飲食店内において、社団法人日本音楽著作権協会(JASRAC)が著作権を持つ楽曲データをCabos経由で権利者に無断でネット上に公開し
一個人ならまだしも、「自身が経営する飲食店内において」、つまりもともとどちらかといえばJASRACに対する支払者というのが、さらにフラグかも。
JASRACでは、Cabosを含むファイル共有ソフトの多くはファイルをネット上に公開する機能があるため、利用した時点で違法となるとして注意を呼びかけている。
「…の多くは」という記述は注意深いと思います。
Perfumeの違法配信に関しての経過報告
iTunes Storeで、Perfumeのアルバム「GAME」が、どうみても怪しい雰囲気で有料販売されていたことの顛末。
徳間ジャパンから発表がでています。
Perfumeの違法配信に関しての経過報告
http://www.tkma.co.jp/tjc/j_pop/perfume/itunes.html
まあそうでしょうね。
(日本の) iTunes Store がらみは、怪しい第三者からの不正購入の件など、最近いろいろネガティブなトピックがありますね。
徳間ジャパンから発表がでています。
Perfumeの違法配信に関しての経過報告
http://www.tkma.co.jp/tjc/j_pop/perfume/itunes.html
まあそうでしょうね。
(日本の) iTunes Store がらみは、怪しい第三者からの不正購入の件など、最近いろいろネガティブなトピックがありますね。
Winnyの違法利用にISPから警告メール、3月1日からスタート
ひろみちゅ先生もおっしゃっていましたが、いわく「日本のp2pファイル流通ソフトウェアは、自分が何を発信状態にしているかの明示が意識されていない」
そういう意味でも「あなたはこういうことを実際にしてるんですよ」と告知するのは有効かもしれませんね。
また、ISPにとっても、いちおうやることはやってます。と言えるメリットもあるでしょう。
しかし、かえすがえすも、p2pという技術や発想自体は、無色透明ですばらしい技術なのに、こうも良くないイメージの色がついてしまって残念ですね。
そういう意味でも「あなたはこういうことを実際にしてるんですよ」と告知するのは有効かもしれませんね。
また、ISPにとっても、いちおうやることはやってます。と言えるメリットもあるでしょう。
しかし、かえすがえすも、p2pという技術や発想自体は、無色透明ですばらしい技術なのに、こうも良くないイメージの色がついてしまって残念ですね。
2010/03/01
高木浩光@自宅の日記 - 著名優良サイトでもiモード2.0の脆弱性に対応していなかった。なぜか。
高木浩光@自宅の日記 - 著名優良サイトでもiモード2.0の脆弱性に対応していなかった。なぜか。
http://takagi-hiromitsu.jp/diary/20100228.html#p01
勝手にUID取っちゃってパーソナライズされちゃうのは、いろんな意味でなかなか。
PC向けサイトでも、勝手にCookieでいろいろ覚えて、次回来訪時にまた勝手にパラメータ再現してくれるサイトもよくある。
それは、勝手に覚える前に「記憶しましょうか?」「公共で他人も使うコンピュータですか?」とか問いかけるべき。というのもある。
また、PC向けWebブラウザでは、サイトごとにCookie送出をon/offもできる。とはいってもエンドユーザにここを意識して活用しましょうと言っても無理な話ですが。
しかし、ケータイの場合は、これらの設定はさらに奥に隠されていたり、知らされていなかったり、個別設定もできなかったり。
http://takagi-hiromitsu.jp/diary/20100228.html#p01
勝手にUID取っちゃってパーソナライズされちゃうのは、いろんな意味でなかなか。
PC向けサイトでも、勝手にCookieでいろいろ覚えて、次回来訪時にまた勝手にパラメータ再現してくれるサイトもよくある。
それは、勝手に覚える前に「記憶しましょうか?」「公共で他人も使うコンピュータですか?」とか問いかけるべき。というのもある。
また、PC向けWebブラウザでは、サイトごとにCookie送出をon/offもできる。とはいってもエンドユーザにここを意識して活用しましょうと言っても無理な話ですが。
しかし、ケータイの場合は、これらの設定はさらに奥に隠されていたり、知らされていなかったり、個別設定もできなかったり。
登録:
投稿 (Atom)
