トップスペース
[PR]E*トレード証券 
| [PR]E*トレード証券 |
|
| << March 2010 >> | |||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
|||||||||||||||||||||||||||||||||||||||||
| |||||||||||||||||||||||||||||||||||||||||
マイクロソフトは10日、Internet Explorer(IE)6と7に新たな脆弱性が見つかり、これを悪用する攻撃がすでに始まっているとして、アドバイザリを公開した。
マイクロソフトやセキュリティベンダーの情報によると、iepeers.dll(Internet Explorer Peer Objects)に欠陥がある模様。この脆弱性を悪用するように細工された悪質なWebサイトをIE 6/7で表示すると、リモートでコードを実行されるおそれがあり、すでに標的型攻撃も確認されている。デンマークのSecuniaは、この脆弱性の危険度を5段階中最も危険な「Extremely critical」と評価。仏VUPENも、4段階中最も危険な「Critical」としている。
IE 8はこの脆弱性の影響を受けない。また、Windows 2000上のIE 5.01も影響を受けない。IE 6/7を使用中でIE 8にアップデート可能な方は、この機会にIE 8に移行することをおすすめする。何らかの事情でIE 6/7を使い続けなければいけない方は、インターネットオプションのセキュリティ設定で、インターネットゾーンのセキュリティレベルを「高」にし、アクティブスクリプトを無効にすると、この問題を回避できる。
また、マイクロソフトは、IEのデータ実行防止(DEP)機能も有効な回避策になるとし、下記「サポート技術資料981374」で、DEPを有効/無効にする自動修正ツール「Fix it」を提供している。
この度、内閣官房が定める「情報セキュリティ月間」を機に株式会社シマンテック、トレンドマイクロ株式会社、マカフィー株式会社、独立行政法人情報処理推進機構と経済産業省は、官民の壁、企業間の壁を越えて連携し、「セキュリティ普及促進委員会」を設立しました。本委員会では、「企業の情報セキュリティの課題と在り方」をテーマに緊急セミナーを開催させていただく運びとなりましたので、ご案内申し上げます。
グーグル、「Google Apps」に続き「YouTube」でもIE 6のサポートを終了
3月13日以降、IE 6では新機能を使えない可能性が
(2010年02月24日)
YouTubeサイト内のサポート・ページには現在、次のような説明が書かれている。「(古いブラウザの)サポートは3月13日で終了する。これらの古いブラウザでは、今後、YouTubeに追加される新機能を利用できない可能性がある」。
Web動向調査会社のNetApplicationsが発表した今年1月のブラウザ・シェア調査によると、IE 6のシェアはいまだに20%あり、IE 7とIE 8のシェアがそれぞれ15%、25%となっている。ただし、IE 6の利用者の大半は中国のユーザーとみられている。中国ではIE 6のシェアが50%を占めている。米国ではIE 6のシェアは10%以下だ。
Re: Segmentation fault during shutdown
I have the same problem, with the same arch (X86_64). I had to downgrade to previous kernel (2.6.31.8). Now all works fine...
Kaspersky Labs Japan(カスペルスキー)は2月16日、「Gumblar」の亜種に代わって「Pegel(ピーゲル)」による日本国内の大手企業ウェブサイト感染を確認したと発表した。感染後の対策が十分に取られていないケースも見られるという。
Gumblar亜種と同様にウェブ誘導型のマルウェアであるPegelは、改ざんされた正規のウェブサイトを閲覧したユーザーをru:8080などの不正サイトに誘導する。改ざんで正規のウェブページが感染源になってしまう点、そのウェブサイトにアクセスしたPCが不正プログラムに感染させられ、新たな感染源となって2次、3次の被害が拡大し続ける点が特徴としている。
FTPソフトに加えIE6では「オートコンプリート」のアカウント情報も流出
JPCERT/CCは2月3日、いわゆる「Gumblar(8080系)」ウイルスへの感染によって、コンピュータ内に保存されているアカウント情報が盗み取られる危険性について、改めて注意を促した。Gumblarに感染すると、FTPクライアントソフトが保存する情報に加え、Internet Explorer 6のアカウント管理機能を用いて保存されているID/パスワード情報も、盗み取られる危険にさらされる。つまり、GmailやTwitterなど、さまざまなWebサービスを利用するためのアカウント情報が盗み取られる恐れがあるということだ。
* Gumblar Checker 2
* Gumblar により改ざんされたウェブページを検出します.
*
* クリエイティブ・コモンズ 表示-継承ライセンスの下で利用可能です。
* http://creativecommons.org/licenses/by/2.1/jp/
*
* このソフトウェアは下記の環境で動作します
* PHP 5.2 以降
*
*/
■埋め込みコードは無印に
今回の変更では、「/*LGPL*/」や「/*Exception*/」といった記述がなくなり、 scriptタグの後から「try{window.onload=…」という感じで、いきなりスクリプトが記述されている。これまでのマークをキーワードに改ざんチェックをしていると、あっさり見過ごしてしまう。
誘導先のドメインは相変わらずロシア(.ru)だが、ドメイン名には新たなものを導入。単純な文字置換で「.ru:8080」という文字列が出てこないように、難読化の手法も変更されている。おまけに、攻撃サイトを構成していたサーバーの構成も、5基のサーバー2系統での運用に変更と、あらゆる手を尽くして検出を逃れようとしているようだ。
誘導先での攻撃自体には大きな変化はないが、改ざんページから攻撃用のJavaScriptまでは、28日朝現在、検出できるウイルス対策ソフトがなく、Adobe Readerの攻撃に使われる細工されたPDFファイルも検出できるソフトはまばら。
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
各位
JPCERT-AT-2010-0004
JPCERT/CC
2009-01-18(初版)
2010-01-22(更新)
<<< JPCERT/CC Alert 2010-01-18 >>>
Microsoft Internet Explorer の未修正の脆弱性に関する注意喚起
Zero-day Vulnerability in Microsoft Internet Explorer
https://www.jpcert.or.jp/at/2010/at100004.txt
I. 概要
Microsoft Internet Explorer には未修正の脆弱性があります。この脆弱性
を使用された場合、結果として遠隔の第三者によって任意のコードを実行され
る可能性があります。
また、Microsoft 社では 2010年01月14日現在(米国時間)本脆弱性を使用する
限定的な攻撃を確認しており、JPCERT/CC でも本脆弱性を使用する実証コード
を確認しています。
マイクロソフト セキュリティ アドバイザリ (979352)
Internet Explorer の脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/979352.mspx
II. 対象
対象となる製品とバージョンは以下の通りです。
- Microsoft Windows 2000 SP4 上の Internet Explorer 6 SP1
- Windows XP SP2/SP3 上の Internet Explorer 6,7,8
- Windows Server 2003 SP2 上の Internet Explorer 6,7,8
- Windows Vista、Windows Vista SP1,SP2 上の Internet Explorer 7,8
- Windows Server 2008、Windows Server 2008 SP2 上の Internet Explorer 7,8
- Windows 7 上の Internet Explorer 8
詳細は、マイクロソフト セキュリティ アドバイザリ (979352)を参照して
ください。
*** 更新: 2010年01月22日追記 *************************************
Microsoft 社によると Microsoft Outlook、Microsoft Outlook Express お
よび Windows メールなどのメールソフトで安全でないセキュリティ設定をして
いる場合に、HTML 形式の電子メールを閲覧すると、本脆弱性の影響を受ける可
能性があります。
******************************************************************
III. JPCERT/CCによる検証結果
JPCERT/CC では、公開されている実証コードを検証し、以下を確認していま
す。
【検証環境】
Windows XP SP3 (2010年1月セキュリティ更新プログラム適用済み)
Internet Explorer 6.0.2900.5512
【検証結果】
上記環境にて実証コードを実行し、任意のプログラムが起動されることを
確認しました。また、DEP 機能を有効にすることで、任意のプログラムが
起動されないことを確認しました。
*** 更新: 2010年01月22日追記 *************************************
2010年01月22日に Microsoft 社よりセキュリティ更新プログラムが公開さ
れました。JPCERT/CC では本プログラムを適用後、実証コードが動作しな
くなることを確認しています。
【検証環境】
Windows XP SP3 (2010年1月セキュリティ更新プログラム および
KB978207 適用済み)
Internet Explorer 6.0.2900.5512
******************************************************************
IV. 対策
2010年01月18日現在、Microsoft 社より本件に関するセキュリティ更新プロ
グラムは公開されておりません。
*** 更新: 2010年01月22日追記 *************************************
Microsoft 社よりセキュリティ更新プログラムが公開されました。
Microsoft Update、Windows Update などを用いて、セキュリティ更新プログ
ラムを早急に適用してください。
Microsoft Update
https://update.microsoft.com/
Windows Update
https://windowsupdate.microsoft.com/
******************************************************************
V. 軽減策
本脆弱性に対して、Microsoft 社より以下の軽減策が公開されています。シ
ステムへの影響などを考慮の上、軽減策の適用を検討してください。(各軽減策
についての詳細は、マイクロソフト セキュリティ アドバイザリ (979352)を参
照してください。)
・Internet Explorer 6 SP2 または Internet Explorer 7 で DEP 機能を有
効にする。
※なお、古いパソコンを利用している場合 DEP が有効に出来ない場合が
あります。
・アクティブ スクリプトを無効にする
・Windows Vista およびそれ以降の Windows の Internet Explorer 7,8 の
保護モードを使用する。
*** 更新: 2010年01月22日追記 *************************************
セキュリティ更新プログラムをインストールすることで、以上の軽減策は不
要となります。
******************************************************************
VI. 参考情報
*** 更新: 2010年01月22日追記 *************************************
MS10-002
Internet Explorer 用の累積的なセキュリティ更新プログラム (978207)
http://www.microsoft.com/japan/technet/security/bulletin/ms10-002.mspx
******************************************************************
マイクロソフト セキュリティ アドバイザリ (979352)
Internet Explorer の脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/979352.mspx
JVNVU#492515
Microsoft Internet Explorer において任意のコードが実行される脆弱性
https://jvn.jp/cert/JVNVU492515/index.html
IPA
修正プログラム提供前のぜい弱性を悪用したゼロデイ攻撃について
http://www.ipa.go.jp/security/virus/zda.html
今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。
________
改訂履歴
2010-01-18 初版
2010-01-22 更新プログラムのリリースと再検証結果について追記
======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
-----BEGIN PGP SIGNATURE-----
iQEcBAEBCAAGBQJLWRBLAAoJEDF9l6Rp7OBIJygH/iz2X24VOMtYklnzXnoByyGs
hTTg7rLXEH9xXzRi8JgOD1zZR9tU6jQgG/8vRsZNIPo8XSFJ68SfhYr7n6l+YAJ0
X4CnbP6K5fcjMYfhuHBPe/frakiO7gHUaf2s4tD57/xUOc7AA6dHIayr5UB2dEmZ
qqUpQEpl0nMhdovARD8YvRbm0i7dtdKuD8LHkZjiw+r1imcGzNSj5e49Hdg2VsEf
UV1Ub0j1dPne+CFfU75osOg7vmlz1b18yEurlNjHIkQLyRfYE+O5J6H9ZhQMfs9X
ZB6n1y2sqJhD0siiY+dwn8Ey9DwJYKkycBgaU1l+AdP7qvblXjcvnGfFYLACmWw=
=xs6w
-----END PGP SIGNATURE-----
MicrosoftとMcAfeeは米国時間1月15日、Googleなどの企業を対象とする中国発の攻撃で悪用された「Internet Explorer(IE)」のゼロデイホールについて、それを突くエクスプロイトコードがインターネット上に出回っている、と警告した。
一方、ドイツの連邦安全保障局は15日、声明を発表し、パッチが公開されるまではIE以外のブラウザを使うよう国民に勧めた
相次ぐサイト改ざん(1) 注意が必要なのは「ガンブラー」ではなく「8080」
■「Gumblar亜種」と「ガンブラー」が招く困った事態
上記のヤフーのリリースとリユースプロデュースのリリースを見ると、両方でウイルス名として「Gumblar(ガンブラー)亜種」という名称が使われている。そのため、両サイトが同じ攻撃により改ざんされたように見えてしまう。ところが実際は、Yahoo!占いのサイトを改ざんした攻撃と、リユースプロデュースのサイトへの攻撃は別物だ。
Yahoo!占いの改ざんは2009年10月に攻撃が始まった「Gumblar.x」によるもので、リユースプロデュースの改ざんは、2009年12月から急速に拡大し、現在猛威をふるっている新手の改ざん攻撃によるものである。
改ざんページに挿入されるコードに見る「Gumblar」「Gumblar.x」「8080」
何だか不正なコードが変わり始めてますなぁ。インラインフレームのonload属性にJavaScriptタグを用意して飛ばすスタイル。
年末年始にかけて多数のWebサイトが改ざんの被害を受けている「Gumblar(ガンブラー)」ウイルスだが、ヤフーでも9日、同社運営の「Yahoo!占い」内のコンテンツで不正アクセスによる改ざんを確認したと発表した。
シマンテックは1月12日、報道関係者に対し、企業のWebサイトを改竄しているのは「ガンブラー」という攻撃だとするここ数日の報道について、昨年5月に騒がれた「ガンブラー」との関係性は低いとする見解を明らかにした。
Gumblarウイルス(別名:GENOウイルス)が年末年始にかけて猛威を振るっている。JR東日本、ローソン、ハウス食品、本田技研工業、モロゾフなどがそれぞれ、サイトが改ざんされユーザーがGumblarウイルス亜種に感染した恐れがあると発表。JPCERT/CCやIPAも、ユーザーやサイト管理者に改めて注意を呼び掛けている。
JPCERT/CCや米US-CERT、各セキュリティソフトベンダーなどが、「Webサイトに悪意のJavaScriptが埋め込まれる攻撃が4月半ばから多発している」と警告している。
この攻撃は、活動の拠点となっているサイトのURLから「Gumblar」と名付けられている。日本のユーザーの間では、被害に遭った通販サイトの名称から「GENOウイルス」といった名称でも呼ばれている。特徴としては、感染サイトの広がりが非常に速く、英Sophosでは「これまでに最も流行した攻撃の6倍ものペースで感染サイトを増やす猛威を振るっている」と報告している。
LACのセキュリティ監視センターJSOCでは、お客様の内部ネットワークからの「Critical」(お客様環境において重大なセキュリティ上の脅威が発生している状態)検知が急増しており、Gumblar(別名: JSRedir-R)およびその亜種に関する大量の感染事例が確認されたため、本日、注意喚起を公表します。
Gumblarが大流行し、大手メディアでも取り上げられるようになりましたが、情報が錯綜しているようです。そこで、実際に検体を解析しましたので、よくある間違いをQ&A形式にてお伝えします。
Gumblar(ガンブラー)は、日本では別名GENOと呼ばれ、Webサイトに対して不正に挿入された難読化スクリプトやそれによって次々にダウンロードされるマルウェアからなる一連の脅威の総称です。
Gumblar(ガンブラー)の感染は、ユーザが不正にiframeを埋め込まれたWebサイトを閲覧することから始まります。次にIframeにより難読化されたJavaScriptが実行され、『Internet Explorer』 『Adobe Acrobat』 『Adobe Reader』 『Adobe Flash Player』の脆弱点を悪用され、その脆弱性によりパスワードスティーラーをはじめとしたマルウェアが最終的にインストールされます。
Webサイトを改ざんし、閲覧者をウイルスに感染させるための悪質なコードを仕掛ける、通称「Gumblar」。春に猛威をふるい、その後しばらく静かにしていたGumblarが10月に攻撃活動を再開したことや、春の攻撃と10月以降の攻撃での相違点については、本通信でも何度かお伝えしてきたところだ。Gumblarによる被害は、現在も拡大し続けている。被害にあわないために、後に挙げる予防策をしっかり実行していただきたい。
セキュアブレインによると、GumblarによるWeb改ざんは2009年5月から多発しているが、10月から12月にかけて増大したという。同社先端技術研究所の調査では、7〜9月は299件だったが、10〜12月は1427件と、4倍以上に増加した。
図2●Gumblarによるウイルス感染のしくみ。図はトレンドマイクロが作成。セキュリティ・ベンダーによっては,正規サイトに埋め込んだ不正なコード自体をGumblar(図内はJS_GUNBURL)と呼ぶ。本文の説明では,一連の流れをGumblarとした。
W3C File APIは特にXMLHttpRequestと組み合わせての利用を想定して策定されているファイルアクセス用のインタフェースとAPI。非同期でのファイルの読み込みやイベント処理を規程している。現在のところワーキングドラフトの段階で、インタフェース、API、イベントモデルなどが定義されている。ファイル選択ダイアログ内で、複数のファイルを選択することが出来る。
既知の問題 (open issues)
* アップグレード後に再起動時にグラフィカル・ログイン(kdm/gdm)でマウスやキーボードが反応しない問題があります。
o /etc/X11/xorg.conf の Section "ServerLayout" に Option "AllowEmptyInput" "off" を追加してください。参考:はとちゃんの足跡 / Keyboard & Mouse not responding 11.2 - openSUSE Forums
Section "ServerLayout"
...中略...
Option "AllowEmptyInput" "off"
...中略...
EndSection
この機能を有効にするには、ロケーションバーに[about:config]と入力してから[browser.ctrlTab.preview]を表示させ、「値」のfalseをクリックしてtrueに変えればOKです。Ctrl+Tabでタブのプレビューを見ることができるようになりますよ。
ちなみに最後に見たページをCtrl+Tabで開くようにするには、[browser.ctrlTab.mostRecentlyUsed]で「値」を trueに変えましょう。
このようにUnicodeのRLOを使って拡張子を偽装したファイルは,見た目での判断がつきにくく,Windowsに慣れているユーザであっても騙されてしまうかも知れません。
Windows XP ProfessionalやVista Bussines以上のエディションであれば,ソフトウェア制限ポリシーを利用して,パス名にRLOを含むファイルの実行を禁止することで,RLOを使って拡張子を偽装されたファイルをうっかり実行してしまうことを防ぐことができますが,ポリシーの利用できないWindows XP HomeやVista Home Basic/Premiumでは簡単に設定する方法はありません。
セーフ ブラウジング
51th.net の診断ページ
51th.net の現在のステータス
疑わしいサイトとして認識されています。このウェブサイトにアクセスするとコンピュータに損害を与える可能性があります。
過去 90 日間に、このサイトの一部で不審な動きが 2 回報告されています。
Google による巡回テスト状況
このサイトで過去 90 日間に Google がテストした 5 ページのうち 2 ページで、ユーザーの同意なしに不正なソフトウェアがダウンロードされ、インストールされていたことが判明しました。Google が最後にこのサイトを巡回したのは2009-12-03で、このサイトで不審なコンテンツが最後に検出されたのは2009-12-03です。
Malicious software includes 1282 scripting exploit(s), 3 trojan(s), 3 exploit(s). Successful infection resulted in an average of 2 new process(es) on the target machine.
不正なソフトウェアは tcvicogne.be/ を含む 1 個のドメインでホストされています。
This site was hosted on 1 network(s) including AS17506 (UCOM).
有害な不正ソフトの感染を広げる媒介をしていたかどうか
過去 90 日間に 51th.net が感染の媒体として機能した形跡はありません。
不正なソフトウェアをホストしていたかどうか
はい、このサイトでは不正なソフトウェアのホスティングが過去 90 日の間に検知されています。hanasakam.com/, oga2.com/, www.kmitl.ac.th/dolsos/ を含む 131 個のドメインを感染させています。
疑わしいサイトとして挙げられた原因
第三者が不正なコードを合法的なサイトに追加したことにより、この警告メッセージが表示されている可能性があります。
次のステップ:
* 前のページに戻ってください。
* このサイトの所有者であれば、Google ウェブマスター ツールを使ってサイトの審査を依頼することができます。審査プロセスの詳細については ウェブマスター ヘルプをご覧ください。
グーグルは2009年12月3日、かな漢字変換ソフト(IME)の「Google 日本語入力」ベータ版を公開した。米Googleのクラウド・データベースを基に自動生成した辞書の搭載と、同社検索エンジンと同等の予測入力機能が特徴(写真)。同社のページからダウンロードできる。
[41381] New Re2:受信時エラーが発生し、強制終了する。 返信 削除
▽ 2009/10/30 (金) 06:58:29 ▽ lunasys
nttkyo516008.tkyo.nt.ftth.ppp.infoweb.ne.jp / Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.1)
XP+ウイルスセキュリティ+Becky2.5 の環境で同じ状態になります。
ウィルスセキュリティがメール受信時にウィルス除去できずに素通ししていて、受信ボックス内に取り込まれてからリアルタイムモニターがディスク上にウィルスがあることを感知して削除するためにこのようなトラブルが発生しているようです。
念のため、データフォルダを検査させるとウィルスやワームがボロボロ見つかります。
ウィルスセキュリティがメール受信時にウィルスを除去できていないために発生している問題と思います。
他のウィルス対策ソフトに変更して、受信フォルダやゴミ箱などをすべて修復を掛けることで解決しました。
