このページは、以下のサイトの和訳を中心として、セキュリティ関連のニュースを発信していくことにします。
Archive
2007まで
2008年
2009年
セキュリティ・メーカー関連
- ・ Bikis : Blog
- ・ Kaspersky Analyst's Diary
- ・ McAfee Blog Central
- ・ Latest Alert From Websense Security Labs
- ・ The H : Security
- ・ Latest Secunia Blog Entries
- ・ Sophos : Naked Secuirty
- ・ TrendLabs | Malware Blog
マスメディア
- ・ The Gurdian : Ask Jack
情報サイト等
- ・ Krebs on Security
- ・ The PC Informant : Blog
Gizmoが選んだ2010年度フリーウェア ベスト20
Gizmo : Freeware (2010/12/30)
我々は過去六年間、恒例のその年のフリーウェアを選んできた。これまでは、我々自身で選んできた。今年、我々は2010年最高のフリーウェア選択のノミネートを我々の読者に委ねた。
投票の結果として勝者がある。
ベスト フリーウェア 2010
(Winner) Microsoft Security Essentials
Gizmo's Freewareのユーザによるジャッジで、2010年最高のフリーウェアは、Microsoft Security Essentials(MSE)となった。
価値ある勝者である。MSEは、本当に際立ったフリーウェアである。リアルタイムにマルウェアを検出し、最高の商用セキュリティ製品と同等のファイルスキャン能力を持つアンチ マルウェア プログロラムである。さらに、ユーザのPCを顕著な緩慢を来さずに動作する。実際に、多くのユーザはMSEをインストールした後、明瞭なパフォーマンスの影響を与えられていないことを確認している。
同様に重要なこととして、MSEはでしゃばらない。幾つかのセキュリティ製品には警告と質問でユーザを悩ますものがある。対照的にMSEは、MSEが問題を検出したとき、もちろん、ユーザには実際に不可視である。そのメッセージは警告と曖昧に代わって地味で情報的である。
有効性と使い易さのコンビネーションは、MSEが平均的ユーザにとって感染からPCを保護するための最初の選択物であることを意味している。より高い危険性を持つユーザは、更なる防御レイヤーを追加することを考慮したがるが、安全なコンピューティングを実行している大多数のユーザにっとて、Windows Firewallを統合しているMSEは、彼らが必要とする全てのセキュリティ防御になっている。
MSEは優れた製品であるだけでなく大変珍しい製品でもある。誰が、消費者のセキュリティ製品の製造に関し相対的に未経験であるMicrosoftが、この様な高品質の製品を製造できると考えただろうか? 奇妙でさえあるのは、誰が、この製品をフリーで提供しようと考えたのだろうか?
しかし、Microsoftは実行し、我々は便益を受けた。この素晴らしい製品に関し。我々はMicrosoftに称賛を送る。
(2) Opera Browser
投票期間でのOperaへの投票は、この期間中にOpera 11がリリースされたことで一気に前進し、二位に押し上げた。
Opera 11は、巨大な前進をしている。今、エクステンション、オンデマンドのプラグイン、高速のパフォーマンス、タブスタッキングのような洗練された新機能同様に改善されたセキュリティ機能を提供している。
私は凡そ一週間、Opera 11を使用し、素晴らしい印象を受けた。Opera 11は、Firefox 3.6より高速、Google Chromeより更に完璧であり、使用していて楽しい。そして、Opera 11は、ボーナス(競争関係にあるブラウザでは使用できない機能)として素敵なビルトインのメールクライアントを提供している。
それでも、個人的には、私の幾つかの特化したFirefox拡張を諦めがたいことを見出すだろうし、Google Chromeの追加セキュリティ機能とスピードを無で済ませることはより困難でさえあることを見出すだろう。私が言えることは、Opera 11は、ブラウザ戦争において勝つ見込みの高い競争者であり、全てのユーザが少なくとも試してみるべきブラウザであるということである。一旦、Opera 11を試したなら、あなたは決して再び他のブラウザを使用する気になれない可能性があることを警告しておく。
(3) CCleaner
ずっと、最も人気のあるフリーウェアの一つなので驚くに当たらないし、私が全てのPCにインストールされるべきと勧める数少ない製品の一つである。フリーのディスクスペースを広げるために、PCから不要なファイルを削除したいのであれば、CCleanerを使用するに限る。
2010年では、今までより多くの一時ファイルとディスクスペースをフリーにするために安全に削除できるファイルの場所を追加した通常のアップデートを除いて、CCleanerの開発に大きな進歩はない。
私はCCleanerにチョッとした文句が一つある。CCleanerはDefaultのインストレーションでAskツールバーを含めることを継続している。現在、Askツールバーはアドウェアではないし、それに類する物でもないが、大多数のユーザにとって実際に不必要な製品である。この様な表現を好むのであれば、不必要ウェア(unnecessaryware)である。CCleanerの開発者が単純にDefaultインストレーション オプションで"Yes”を"No"にするだけで、この問題はあっさり解決されるだろう。この文句を除けば、CCleanerは素晴らしく効力のある製品であり、個人的にはお気に入りである。
(4) Secunia PSI
Secunia PSIは、あなたのPC中にインストールされているプログラムをモニタするプログラムである。そして、あるプログラムにセキュリティ上の抜け穴が認識されたり、アップデートする必要性が認識されたなら、それをあなたに知らせてくれる。Secunia PSIは、あなたのPCのセキュリティを改善するために必須の製品である。
(5) Firefox 3.6
Firefoxは、2009年のFreeware of the Yearを勝ち取ったが、今年、Firefox 4.0のリリースが大幅に延期されたことを主な原因として、他のWebブラウザ競争者に少し遅れをとった。バージョン4は、Google ChromeやOpera 11に接近するスピードの改善を約束している。他に、稍時代遅れの感のあるユーザインターフェイスのアップデートが約束されている。
(6) Google Chrome Browser
稲妻のごときスピード、必要最低限のインターフェイス、ブラウザにおいてトップを走るセキュリティで、Chromeは多くの経験豊かなユーザが選択するブラウザになった。
(7) VLC Media Player
殆ど外部コーデックの必要無しに稼働するマルチ プラットフォーム メディア プレーヤである。多くの経験豊かなユーザは、VLC Media Playerを選択するが、初心者にはチョッと厄介。
(8) Revo Uninstaller
アンインストールされた製品のあらゆる痕跡を根刮ぎ削除したいのであれば、Revoが最高である。
(9) Malwarebytes
このファイルスキャナは、大変優れたスパイウェアの検出と、強力なマルウェア削除機能を結合した他の機能を提供している。無料版はリアルタイム検出機能が無効にされている。
(10) LastPass
自動ログインを含め、大多数のユーザが必要とするパスワード管理の問題を完全に解決する大変優れた製品である。パスワードの問題がWebベースであるという事実が、パスワード データのオンラインセキュリティに関して心配しているユーザを遠ざけているが、LastPassによって使用された暗号化システムは、大変強力で効果的なので、そのような心配は殆ど不必要である。
(11) Open Office Suite
最高のMicrosoft Office代替製品。あなたが実際に必要とする機能を完全に提供しているが、ロードに多少時間がかかる。この問題は現在のPCではまず問題にならないが、古いマシンでは悩まされる。
(12) Sandboxie
この長期に渡る人気者は、仮想化された“sandboxed”環境で、実際のPCに感染の脅威無に、ユーザがブラウズしたりソフトウェアをインストールすることを可能にする。
(13) Everything Search
バックグラウンドでインデックス化している間にあなたのPCを泥沼に落とし込むこと無に、即座にあなたのハードドライブ上のあらゆるファイルを検索する。名前検索だけでなく内容によっても検索できる。私は毎日使用しており、今や必須であることを発見している。
(14) IrfanView
素敵な基本的画像編集機能が付属する高速で強力な画像ビューア。バッチ プロセスとファイル コンバージョンも実行できる。機能はプラグインを使用することで拡張できる。
(15) NotePad ++
Windowsのメモ帳代替の強力なプログラミング エディタ。最新バージョンは、平均的ユーザにとっては多分過剰である。
(16) 7-Zip
何故WinZipや他の商用の解凍ソフトはは有料なのか? 同じことが7-Zipで可能なのに、こちらはどうして無料?
(17) Superantispyware
機能は多少異なるがMalwareBytesの完全な代替製品。多くのユーザは、最高の検出率を確保するためにオンデマンド スキャンに両方の製品を利用している
(18) PDF-Xchange Viewer
小さく、高速で安全。そして、セキュリティに多大な問題を抱えるAdobe Reader以上の機能を有する代替物。基本的なPDFの編集機能も提供されている。
(19) FastStone Image Viewer
IrfanVewの代替物。恐ろしく高速で直感的なインターフェイスから私のお気に入りのソフト。
(20) Microsoft ICE
一つもしくは二つの画像を集めてパノラマにする本当に素晴らしい製品。黒魔術のように簡単で高速。全てのデジタル写真家にとって持っておくべき製品。
Winnerはどのように決定されたか
2010年12月、我々のWebサイトのユーザに Freeware Product of the Yearの価値があると考える製品のノミネートを依頼した。その結果、200以上の製品がノミネートされることになった。
次に我々は、20の最もノミネートの多かった製品を選択した。そして、我々のWebユーザに彼らが良いと思うソフトに投票を依頼した。投票期間は7日間、一人一票。投票は2010/12/28に締め切られた。
クラウド中のマルウェア
Kaspersky Secure List : Blog (2010/12/23)
クラウド ベースでの凡る種類のサービスの使用は、生産性の拡大と複雑な基本設定のセットアップの必要性の減少から日毎に人気を得ている。このアプローチは、IT業界によって徐々に採用されてきている。しかしながら、マルウェアは、逸早くこの恩恵のための仮想基本設定を悪用している。
我々は過去に多くの事例を見てきた。例えば、ボットネット用コミュニケーションチャンネルとしてのTwitterの使用、C&CをホストするためにAmazon EC2 の使用、あるいは、マルウェアを配布するための広告チャンネルの悪用である。今日、サンプルを通じて、マルウェアが犠牲者のコンピュータ上に最小の影響しか与えずに、この種のサービスを使用して収益を最大化するための方法を確認した。
Trojan-Dropper.Win32.Drooptroopファミリーに属する我々のサンプルは、7000種以上である。このサンプルは、Trojan-Dropper.Win32.Drooptroop.jpa として Kaspersky Internet Security で検出される。活動のピークは12月06日であり、殆どがアメリカを本拠としていた。
これはRapidshareファイルへのリンクを含むE-Mailメッセージを通じて拡散中である。
hxxp://rapidshare.com/files/4XXXXXXX0/gift.exe
クリスマス キャンペーンを悪用して、そしてバイナリの名前は gift.exe である。疑わしいにも拘らず、大多数のマルウェア スキャン フィルタは二つの理由から、これを悪意として検出することに失敗する(このバイナリはメールのBody中に存在しない。そして、URLのドメインは正当な物である)。我々は、このサンプルの配布に使用されるテクニックが存在する1000以上の感染を検出した。
これは、このサンプルによって実行された外部基本設定の使用だけではない。コンピュータが一旦感染したなら、Drooptroop.jpaは、spoolsv.exe中にコードを注入する。そして、ブラウザのネットワーク機能を横取りするので、ユーザのリクエストはハイジャックされることとなる。
こうして、Drooptroopは正当な要求をクリック詐欺にリダイレクトして実行する
GET /click.php?c=eNXXXXXSA HTTP/1.1
Host: 64.111.xxx.xxx
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; es-ES; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3
Accept: text/html,applicationxhtml+xml,applicationxml;q=0.9,*/*;q=0.8
Accept-Language: es-es,es;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 115
Connection: keep-alive
Referer: hxxp://wwwxxx.com/go/beXXXX4
この報酬プログラムは、マルウェアによって定期的に悪用されている。それとは別に、このマルウェアは、ユーザをインチキ アンチウィルスのサイトにリダイレクトする。
どのように全てのことがこのブラウザ中で表示されるのかには興味がある。全てはjavascriptがexplorerの真似をして難読化したことにあり、更にバイナリは脅しフェーズでコンピュータにダウンロードされる。
現時点で、あなたはシステムをクリーンにするためにKaspersky Internet Securityを稼働したいだろう。
要約すると、この配布はリモートファイル共有サービスを使用していた。マルウェアは収益化するためにクリック詐欺を使用する。そして、インチキ アンチウィルスはブラウザ中で発生する。しかしながら、このマルウェアは未だあなたのコンピュータに感染する必要があるので、あなた自身を守ることを忘れないように。
更に、Windowsのセキュリティ問題発生
The PC Informant : Blog (2010/12/23)
Windowsで再びActiveXでの問題が発生した。以下は
eWeeksのレポートの引用である。
Microsoftは、今年最後の定例アップデート(通称、Patch Tuesday)をリリースした時点で、2010年の一年間に106のセキュリティ ブレチンを数えた。しかし2010年の今、塞がなければならない追加のバグが発生した。今回はActiveXコントロールである。
Secuniaの研究者によると、”緊急 高”の脆弱性は、Microsoft WMI Administrative Tools WMI Object Viewer ActiveX Controlに影響を与えることが発見された。
新たなIEのフローへの公開された攻撃
Krebs on Security : Blog (2010/12/23)
【訳注】直下の The H の和訳の続報です。
ハッカーが、IEの全バージョン中に存在する未知のセキュリティフローを通してWindows PCを改竄するために使用することのできる攻撃コードをリリースしたと、Microsoftが本日警告した。
Microsoftで信頼のおけるコンピューティングのディレクター、Dave Forstromは、Windowsユーザに対し、このフローに及ぼす如何なる攻撃もMicrosoftは認識していないが、”この脆弱性の一般公開が行われたことは、我々の顧客に対し活発にこの情報を使用する犯罪者の数は増加するだろう”と発言している。
Microsoftのセキュリティ アドバイザリは、この問題はIEがCSSスタイルシートを取り扱う方法に関係があるとしている。Microsoft’s Security Research & Defense blog上での投稿は、Metasploit Projectが最近、Windows Vista と Windows 7に組み込まれている二つの主たるセキュリティ ディフェンス(Address Space Layout Randomization (ASLR) と Data Execution Prevention (DEP))を巧みに回避するこのフローへの攻撃を公開したことに注意している。
SophosのPaul Ducklinは、このシチュエーションに関する
注意(ASLRとDEPに関する速習講座を含む)とIEが最新のバージョンでさえ脆弱性が存在する理由を公開した。
”DEPはコードを含むデータパケットの送信からあなたを守るためにデザインされている。そして、それを処理しているアプリケーションが思いがけずクラッシュしたなら、そのコードは起動できるとする仮定から、あなたを守るためにデザインされている。そのアプリケーションがランタイム データを記録しているメモリの領域(スタック領域とヒープ領域を含む)は、実行不可能とマークされている。そこで、たとえあなたが、マルウェア全体をこのメモリ領域に押し込み、攻撃コードにジャンプするためにコンピュータを欺いたとしても、このOSはマルウェアの起動を妨げるだろう。”
”DEPが原因で、あなた自身のコードを単純に供給できなかたっり、稼働できなかったなら、あなたのコンピュータ上の脆弱性は、既にメモリ中にロードされ実行可能とマークされているコードを使用する必要がある。これは、あなたがメモリ中の何処にそれが存在しているのか明らかに予期している必要がある。”
”そして、ASLRは、あなたにそうさせないようにすることを目的としている。毎回違ったランダムな場所にプログラムとDLLをロードするので、あなたはメモリ中の何処に役に立つ物があるのか予測できない。このことはあなたが最初にそれが配置されている場所を必要とする。しかし、あなたはどちらも実行することができない。何故なら、あなたが検索を実行する必要のあるコードは、DEPによってブロックされるから。”
”残念なことに、MicrosftはASLRをサポートするのか、しないのかの決定を各DLLに任せている。IEは莫大な量のDLLを実装している(それらの幾つかは、IEがダウンロードしたコンテンツを表示する必要があるので、ランタイム時にロードされる)。他の潔白なファイルをIEに送信することによって、それを操って既知のDLLをロードさせる。この様なDLLのどれかが、ASLRをサポートしていなければ、それらのDLLはメモリ中の既知の場所にロードされる。”
Microsoftは、このフローを修正すためのセキュリティ アップデートを熟慮中であると発言している。しかし、現時点で、Windows Vista と Windows 7ユーザは、Microsoftがフリーで提供している
Mitigation Experience Toolkit(EMET)を使用することでこの種の大多数の攻撃をブロックできるとも発言している。
私は以降の投稿でEMETを詳述するだろうが、このツールは、Windowsユーザに汎用的に使用されているアプリケーション(Microsoft製、サードパーティー製を問わず)のセキュリティの増強することを支援する大変簡便なツールである。EMETをインストールしているのであれば、個別のアプリケーションがロードする時は常にASLRの実行を強制できる(DLL自身が望もうが望むまいが)。
EMETに関する一つのチップ : 全体に渡ってシステムのDefaultを変更することは(“configure system”タブを使用してASLRとDEPを変更するような)、安定性とブートアップの問題を発生させる可能性がある。私は64ビットWindows 7上でEMETを使用している。そして、セキュリティの追加でこのプログラムがクラッシュしないことを確かめながら、私が最もよく使用する幾つかのアプリケーションを一つ一つ“configure apps”ボタンを使用して段階的に導入した(以下のスクリーンショットを参照)。今迄、私が遭遇した問題はSkypeである。Skypeは、手動でアプリケーションを追加したとき、EMETがDefaultで採用している6つの異なる防御メカニズムを好まないかのようである。これは単純に起動を妨げるだろう。
私がEMETに関して注意したもう一つのことは、このツールがMicrosoftの .NET プラットフォームのインストールを要求することである。技術的にはWindows XP(SP 3だけ)上で動作しているが、XPユーザはASLRの強制的な使用と、このツールに含まれる他の顕著な防御を利用することができない。
未パッチのInternet Explorerの脆弱性への攻撃
The H : Security (2010/12/22)
ここ二週間に渡り知られていたInternet Explorer中の緊急の脆弱性への攻撃が出回っている。IEのユーザが、攻撃者が特別に細工したWebページを訪問した場合に、この攻撃は発生する。攻撃が成功すると犠牲者のシステム上で、任意の悪意あるコードが実行される。この脆弱性はCSS用の@ import(外部スタイルシートの指定方法)ルールの評価中に存在する。VUPENによれば、Windows XP, Windows 7, Windows Server上でのInternet Explorerのバージョン6から8に、この脆弱性は存在する。Microsoftは未だ応答していないので、パッチがリリースされるか否か、リリースされるとすれば何時なのかは、不明である。
【UPDATE】Microsoftが、12/22 3:27 PM(現地時間)、セキュリティ アドバイザリを公開しました。下のリンク参照してください(英文)。
Microsoft Releases Security Advisory 2488013
Secunia : Personal Software Inspector (PSI)バージョン2をリリース
The H : Security (2010/12/20)
長期に渡るベータ テストの後、
Secuniaは、Personal Software Inspector (PSI)のバージョン 2 をリリースした。そのようにする設定をしたなら、PSI 2.0は、インストールされているプログラムの大多数を自動的にアップデートする。PSI 2.0(無料のツール)は、PSI 2.0が検出した脆弱性を強調するだけでなく、ユーザへのプロンプト無に、検出した脆弱性を改善する。
Secuniaによれば、攻撃に最も汎用されている三つのアプリケーション(Adobe Flash, Java runtime, Adobe Reader)は、極めて素早く重要なパッチを受信する。PSIはまた、FirefoxとInternet Explorer用のFlashプラグインもまたアップデートする。実際には、二つのプラグインのうち一つだけがアップデートされる。
PSIが自動アップデートできるアプリケーションには、スキャンの概要に AU が記される。残念ながら、攻撃者のもう一つの攻撃対象であるApple QuickTimeは、自動アップデートのリスト中には存在しない。しかし、手動アップデートは可能である。Secuniaは、PSIユーザ インターフェイスを完全に改訂しているが、ナビゲートが簡単とは言い難い。Defaultで、PSIはサービスとしてシステム中にインストールされ、変更がなされたり、問題が発見されたりしたときには、状況報告のレポートを表示する。
さらに、PSI 2.0は、開発者が彼ら自身のセキュリティ アプリケーションのためにSecuniaスキャン サーバを使用することを可能にするAPIを含んでいる。しかしながら、このAPIは、Secuniaの商用製品と直接競合する製品には使用しない方がよいだろう。
インチキソフトは今、反マルコード アプリケーションに代わってユーティリティのイミテーションに
Sunbelt : GFI Labs Blog (2010/12/14)
先週以来、我々がGFI-Sunbelt Rogue Blogにポストしたインチキ セキュリティ製品(スケアウェアと呼ばれる。【訳注】脅し目的で作られたソフトウェア)は、新しい様相を呈してきた。アンチウィルス 製品の物真似に代わって、新しいスケアウェアは犠牲者のマシンのディスクエラーを修復するアプリケーション(HDDDiagnostic, HDDRepair, HDDRescue, HDDPlus)であると主張している。これは基本的に模造品であり、同時にFakeAV-Defragのようなインチキ ソフト ファミリーの新しいメンバーである。
もちろん、インチキ ユーティリティは、インチキ警告を投げてくることを除いて実際には何もしない。そして、インチキ ユーティリティが警告しているウソのトラブルを「修正」する前に犠牲者が、このインチキ ユーティリティを購入することを要求する。
インチキ ユーティリティ FakeAV-Defrag:
インチキ ソフトが7年くらい前から広まり初めて以来、このようなソフトは常にアンチスパイウェアやアンチウィルス製品を装ってきた。多くの正当なアンチウィルス製品の外観のみならず、その製品名の構造さえ真似してきた。しかしながら、最近二ヶ月 インチキソフト作成者が将来犠牲者になり得る人達を混乱させるために、何らかの新しいことをしようとしていることは明らかである。
12月初め、我々は、PCoptomizer, PCprotection Center, Privacy Correctorを発見した。これらはアンチウィルスのソックリさんではなく、一般的なある種のセキュリティ製品に見せかけていた。
一般的ユーティリティに見せかけたインチキ ツール:
最初の ”defraggers”
先月我々はディスク ユーティリティであると主張する ”defragger”のクローン(UltraDefragger, ScanDisk, WinHDD)を見始めた。この様なソフトは、「HDDのリード/ライト エラー」を発見したと偽る。
Defragは、断片化したファイルをハードドライブの連続した領域に置くことによって、一度でPCのパフォーマンスを実質的にスピードアップさせるWindowsのユーティリティである。ファイルの各部分は、アプリケーションが開いたり追加したりするに連れて撒き散らされる。そしてオペレーティング システムは、断片化されたファイルの各部分をドライブ上の空白部分であった場所に置く。デフラグ ユーティリティは、ディスク全体をデフラグする(OSがファイルにアクセスしたとき、ファイルを再構築するプロセスによって緩慢にならないように、断片化されたファイルを連続したセクションに纏めること)。
デフラグすることはPCが高速化され、巨大な容量のハードドライブが付属することが一般的になり、(より良いファイルの処理能力のある)Windowsの新しいバージョンが古いバージョンに置き換わって以来、大きな問題にならなくなってきている。しかしながら、多くのホームPCユーザはデフラグ ユーティリティに気づいてしまっていた。
物真似のデフラグやディスク ユーティリティのインチキ ツール
FakeAV-Defragファミリーの歴史:
11/15/2010 Ultra Defragger
11/16/2010 ScanDisk-Defragger
11/30/2010 WinHDD
12/9/2010 HDDPlus
12/12/2010 HDDRescue
12/12/2010 HDDRepair
12/13/2010 HDDDiagnostic
この様なインチキ ツールを配布して金銭を稼いでいるインターネット犯罪者は、アンチウィルス スキャナを逃れるために、彼らの作成物を常に変更(少なくとも数時間、もしくは数日で)し続け、将来犠牲になり得る者を当惑させている。
残念ながら、彼らが物真似のアンチ マルコード製品からディスクユーティリティのイミテーションに変更して以来、インターネット ユーザが頼れた支援のためのあるソース(正当なアンチマルウェア製品をリストしているサイト、
Virus-Total や
ICSA Labsのような)を使いものにならなくした。
多くの正当なアンチマルコード製品は、この様なリストの中に表示されているはずである。
「最新型」のインチキで欺かれることを回避するには、インターネットユーザは、以下のようなアプリケーションを疑いなさい。
--- スパムメールで広告しているアプリケーション
--- (取り分け、あなたがWebページのビデオを閲覧するためにクリックした後即座に)your machine is affected my numerous problems という緊急警告をポップアップするアプリケーション
--- ブラウザをアップデートする必要があるとあなたに告げるアプリケーション(屡々、あなたが稼働しているものより以前のバージョンがリストされている)
--- あなたのマシン中の問題をクリーンにしたり修正したりする前に購入を要求するアプリケーション
多くのことと同様に、あなたがWeb検索エンジンで調査したなら、多分目の前にあるアプリケーションのメリット(あるいは悪意)に関するある種の論議を見つけるだろう。
あなたが使用しているアンチウィルス アプリケーションは、インチキ ソフトのダウンロードとインストールを妨げるが、インチキ ソフトの作者は、アンチウィルス メーカーがアップデート用のシグネチャにそれらを追加する前の数時間、もしくは数日の間に、頻繁に彼らの作成物を変更し検出を回避しようとする。もちろん、攻撃者はオン-アクセス プロテクションや彼らのスキャナをアップデートしていないインターネットユーザを捕獲する。
あなたは
GFI-Sunbelt Rogue Blogの左上隅にある検索ボックスにアプリケーション名をタイプすることによってインチキ ソフトに関し検索も出来る。
f のトリック : GoogleとMicrosoftサイトがマルウェアを配布
The H : Security (2010/12/14)
先週GoogleのDoubleClick広告プラットフォームとMicrosftの rad.msn.com オンライン広告ネットワークは、チョットの間、広告バナーのフォーム中の他のWebサイトへマルウェアを配布していた。MSNBC.com(【訳注】NBCとマイクロソフトが共同で設立したアメリカ向けニュース専門の放送局)や他のWebサイトは次に、スケアウェアを受けとる。けれども、Googleのスポークスマンによれば、"DoubleClick Ad Exchange"システム中のマルウェア フィルタが、幾つかの悪意ある広告を自動的にブロックしたと発言している。
DoubleClickとrad.msn.com経由で配布されたサードパーティーの広告バナーは 、マルウェアのソースであった。明らかに、犯罪者達は、 AdShufffle.com ( f が三つ)のアドレスの彼ら自身のサーバを使用することで、それらがAdShuffleからもたらされたものであるかのように取り扱っていた。このバナーは、このサーバからダウンロードされていた。
ユーザのブラウザで、このバナーは、iframeを開く。この場所は、EleonoreツールキットがPCに感染するためにJavaやAdobe中の脆弱性を攻撃することを企てる場所である。この感染はHDDPlusと呼ばれるハードディスクリカバリツールとして表れる。このツールはユーザにハードドライブに問題があると告げ、インチキ ツールの完全版を購入するよう説得する。
RealPlayer、過剰のパッチをあててアップデート
The H : Security (2010/12/12)
RealNetworksは、Windows用RealPlayer 11.1の目立った27のセキュリティホールを塞ぐモンスター アップデートをリリースした。RealPlayer SP, RealPlayer Enterprise, Mac / Linuxバージョンはもまた部分的影響を受ける。明らかに、現在のRealPlayer 14は、一つも脆弱性を持っていない。
RealNetworksは、
アナウンスの中で、このフローの重大性にコメントしていない。大多数のセキュリティホールは、あるマルチメディア フォーマットのハンドリング中のフローに関連している。このフローはバッファオーバーフローと別のメモリ管理問題を引き起こす。この様なエラーは屡々、悪意あるコードの挿入と実行の脆弱性攻撃に使用される。極端な場合、コンピュータはスパイ ソフトウェアに感染させられる。
iDefence(ベリサイン)は、同様の結論[
1,
2]に到達している。そのアドバイザリに注目すると、何故RealPlayer 14には脆弱性がないのか説明してある。RealNetworksは、6ヶ月前幾つかのセキュリティ ホールの存在を警告されたが、パッチされたバージョン 14が、10月末にリリースされた後、古いバージョンにパッチをあてた現在まで、明らかに待っていた。
脆弱性あるRealPlayerを未だ使用している人々は、即座にアップデート版をインストールすべきである。もはや、RealPlayerを使用していないのであれば、このプログラムをアンインストールするチャンスである。もしも、未パッチのまま残すのであれば、深刻なセキュリティ リスクが存在することになる。
リリースされた、WordPress 3.0.3 セキュリティ アップデート
The H : Security (2010/12/09)
WordPress開発チームは、人気あるオープンソースのブログ、出版プラットフォームであるWordPressのバージョン3.0.3(3.0.xブランチのセキュリティアップデート)をリリースした。開発者によれば、このアップデートは、ある環境下に於けるリモート パブリッシング インターフェース中の権限昇格問題(著者やコントリビューターが不正な編集や出版、もしくは投稿の削除ができたかもしれない)を解決している。
報告によると、この問題はリモート パブリッシングを有効にしているサイトだけに影響がある。リモート パブリッシングは、Defaultでは無効だが、WordPressモバイル アプリケーションのようなモバイル クライアントからのパブリッシングがあったとき有効になるかもしれない。全てのユーザは可能な限り早急に最新版にアップグレードするよう忠告されている。
このセキュリティ アップデートに関する詳細情報は
WordPress New Blog上の投稿と、
バージョン3.0.3のCodexで発見できる。WordPress 3.0.3は、このプロジェクトの
Webサイトからダウンロード可能である。既存のユーザは、サイトの管理画面領域の下にあるダッシュボード アップデートから自動的にアップデートできる。WordPressはGNU General Public License (GPL)の元で認可されている。
Firefox: 緊急とされるセキュリティ フローを修正
SOPHOS : Naked Security Blog (2010/12/10)
Mozillaは、人気あるWebブラウザFirefoxのバージョン3.6.13をリリースした。
この新バージョンは、11のセキュリティホール(「緊急」深刻と最悪の評価をされたフローが9つある)を修正している。そして、これらの脆弱性は悪意ある攻撃コードの稼動とソフトウェアのインストールに使用される(ユーザはこの方法で攻撃されても、ただ手をこまねいていなければならない。ブラウジングは何ら変わりないので)。
幸いにして、Firefoxは、統合されたアップデートメカニズムを含んでいる(ヘルプ>ソフトウェアの更新を確認)。この機能で、大多数のユーザは最新バージョンへの素早いアップグレードが支援される。
しかし、ダラダラするな。悪意あるハッカーは、マルウェアであなたのコンピュータを感染させるために、これらの脆弱性を攻撃しようとしている(
Mozilla Webサイトの説明を参照)
QuickTime 7.6.9 : 15の脆弱性を解決してアップデート
SOPHOS : Naked Security Blog (2010/12/08)
本日、AppleはOS X 10.5 と Windows用のQuickTime 7.6.9が利用可能になったことをアナウンスした。このバージョンは、OS X Leopard用では13の、Windows用では15の脆弱性を修正してリリースされた。あなたがQuickTimeのインストールを要求するiTuneを使用しているのなら、アップデートを必ずチェックしなさい。
AppleはIT諸君のために
ダイレクト ダウンロード リンクを提供している。OS X用の脆弱性の13全ては、予期しないアプリケーションの終了を発生させることができる(通常クラッシュと呼ぶもの。ただ、Macではクラッシュと呼ぶことはできない)。あるいは、任意のコードの実行を発生させることができる(QuickTimeにプログラムを稼動せしめる...悪)。
Appleダウンロードページに行き、上の画像を見たなら、iTuneバンドルはQuickTimeの未だ古いバージョンをインストールするだろう。OS X Leopard(10.5)コンピュータ用のQuickTimeアップデートの最善の方法は、左上隅にある果物のロゴをクリックし、ソフトウェア アップデートを選択することである。Windowsユーザはスタート メニューからApple Software Updateを選択するか、QuickTimeを起動し、ヘルプ メニューの下にあるアップデートをチェックする。
以下、Apple OS X Snow Leopardに関する記述なので省略します。
Internet Explorerのプロテクトモードはバイパス可能
The H : Security (2010/12/04)
Internet Explorer 7とWindows Vistaで、Microsoftはプロテクトモードを導入した。この機能は、IEの拡張もしくはブラウザ自身の脆弱性に対する攻撃に対しコンピュータを保護するために、そして、悪意あるソフトウェアの注入を阻止するために設計されている。
Verizon Businessの研究者は、ユーザアカウントへのアクセスを取得するために
IE7と8中のプロテクトモードをバイパスするための方法を説明(【訳注】このリンクはPDFファイルです)した。このテクニックは、ブラウザ中もしくはブラウザの拡張中に悪意あるコードの実行を可能にする脆弱性を要求する。このマルウェアは、当初ブラウザのLow Integrity Modeでのみ稼働するが、ループバック インターフェースのどのポートのリクエストにも応答するコンピュータ上のWebサーバを開始できる。IELaunchURL()関数を呼び出すことで、攻撃者はIEに、このWebサーバから、あるURL(例えば、"http://localhost/exploit.html")をロードするよう指示できる。Localhostは、一般的にIEのローカル イントラネット ゾーンの一部であり、Defaultで、このゾーンからのコンテンツに関しては、プロテクトモードは無効にされている。
IE8では、Defaultで全てのローカル イントラネット サイトのプロテクトモードは無効である。
この状況で二回目の脆弱性攻撃は、"Medium Integrity"レベルで任意のコードを実行することを可能にする。攻撃者は次に、ユーザアカウントにアクセス可能になり、そのコンピュータ上に永続的に任意のソフトウェアをインストールできるようになる。
説明されている攻撃を防止するには、ユーザはIEのローカル イントラネット ゾーン中のサイトの数を最小に維持し、全てのブラウザのゾーンでプロテクトモードを有効にするよう、研究者は推奨している。
Kaspersky 2011 に関するCritical Fix 2
The H : Security (2010/12/03)
Kasperskyは、Kaspersky Anti-Virus (KAV)とKaspersky Internet Security (KIS) 2011のCritical Fix 2を最終的にリリースした。Critical Fix 2は、10月初めに一旦リリースされたが、数日後何の説明もなしにサーバから削除された。
再リリースされたビルド11.0.2.556 (a.b) は、新しい機能を含んでいない。しかし、幾つかのバグと互換の問題を修正している。The Bat!(【訳注】S/MIME, GnuPG, PGPが全て使える高機能のE-Mailクライアント)とThunderbird E-Mailクライアントの間でのファイアーウォールとスパムフィルターの問題は、KIS 2011で修正された。Kaspersky Anti-Virus (KAV)とKaspersky Internet Security (KIS) 2011に関するリリースノートはまた、ルートキットに対処する方法の改善にも言及している。
Kaspersky Anti-Virus (KAV)とKaspersky Internet Security (KIS) 2011は、Critical Fix 2を自動的にアップデートしない。110MBのインストレーション パッケージを手動でダウンロードする必要がある。The Hの姉妹紙heiseSecurityのテストでは、単純にアップグレードできなかった。新しいCritical Fix 2をインストールする前に、現在インストールされているBuilt 400をアンインストールしなければならなかった。しかしながら、ユーザは今迄のバージョンをアンインストールするとき、既存の設定を保存するオプションを提供されている。
CF1をアンインストールせずに、CF2をインストールしようとした場合に発生する警告メッセージ
Critical Fix 2は、短期間で終わった10月のバージョンには存在しなかった二つの追加改訂が含まれている。このオンライン インストレーション パッケージは、28th Novemberのシグネチャを含んでいる。10月のbuild 556をインストールしたユーザは、自動アップデート機能で改訂(a)と改訂(b)を受け取っているので、このソフトウェアをインストールすべきではない。
【訳注】この問題に関する
リリースノートはこちら(英文)。
MBR ランサムウェア(身代金要求ウェア)を発見
Kaspersky : Secure List Blog (2010/11/29)
本日、私の同僚Vitaly Kamlukは、RSA-1024 と AES-256暗号化アルゴリズムでユーザのファイルを暗号化する新たなランサムウェアに似たGpCodeについて述べた。我々は、このマルウェアの調査を継続している。そして、我々の発見について諸君に忠告するだろう。
しかしながら、我々が今日発見したランサムウェアはGpCode.axだけではない。我々はマスターブート レコード(MBR)を上書きし、パスワードを取得するために身代金を要求し、その後、オリジナルのMBRに戻すマルウェアを発見した。このマルウェアは、Trojan-Ransom.Win32.Seftad.a と Trojan-Ransom.Boot.Seftad.a として検出される。
このランサムウェアは、Trojan.Win32.Oficla.cwによってダウンロードされる。
Seftad.aがOficla.cwによってダウンロードされ、起動される場合、犠牲者のPCは再起動され、次に画面上に以下のメッセージが表示される。
犠牲者は身代金パスワードを認識していない。そのため、三つの不正な襲撃の後、この感染PCは再起動され、同じメッセージが画面上に表示されるだろう。
入力されたシンボルは、int 16hで読まれるだろう。次に、以下のプロシージャが価値を計算し、それを2バイトのハッシュと比較する。
幸いなことに、ハードドライブやファイルは、マルウェアの作者が主張しているように暗号化されない。このランサムウェアは、悪意あるものでオリジナルのMBRを上書きするだけである。
オリジナルのMBRは、ハードドライブの四つのセクタに保存される(マルウェア感染マーカーを0x9FEの記録付きで)。
犠牲者がマルウェアの作者のWebサイトをブラウズしたなら、Paysafecard’もしくは‘Ukash’の使用に$100の支払いを要求される。
あなたがこのマルウェアに感染しているなら、作者のWebサイトを訪問するな。オリジナルのMBRに修復するためにパスワード‘aaaaaaciip’(引用符は除く)を使用しなさい。このパスワードが動作しない場合は、
Kaspersky Rescue Disk 10でMBRを修復しなさい。
[UPDATE] 我々は、Trojan-Ransom.Win32.Seftad の新しい変種を発見した。検出物は可能な限り早急に追加されるだろう。オリジナルMBRに修復するパスワードは、'aaaaadabia' (引用符は除く)である。
ランサムウェア(身代金要求ウェア)類似のGpCode復活
Kaspersky : Secure List Blog (2010/11/29)
我々が2008年に検出したGpCodeトロイ類似に感染したことで、支援を依頼する世界中の人々からの幾つかのレポートを受け取った。
GpCodeは2004年に発見された。そして、2008年まで殆ど毎年出現していた。それ以来、この製作者は沈黙を守っていた。数人の模倣者が幾つかのGpCodeのイミテーションを作成した。このイミテーションは殆どクズであり、強力な暗号化アルゴリズムを使用していなかったため実際の脅威はなかった。
我々が以前説明したように、この種のマルウェアは、あなたのデータを復元する機会が非常に少ないので非常に危険である。これはあなたのハードドライブからデータを永久に削除することと同じである。2006年と2008年に戻る、我々は修復する幾つかの方法と、我々の復号化ツールでデータを復号化することさえ提供した。
今、GpCodeは復活し、以前より強力になっている。以前の変種と違い、暗号化した後ファイルを削除しない。代わりに、ファイル中のデータを上書きする。このことはPhotoRec(我々が最後の攻撃中に提案した製品)のようなデータリカバリツールを使用できなくする。
予備解析では、使用されている暗号化アルゴリズムがRSA-1024 と AES-256であることが判明した。このマルウェアは、ファイルの最初のバイトから始まる一部分だけを暗号化する。
このマルウェアの検出は本日、Trojan-Ransom.Win32.GpCode.ax として追加された。Kaspersky Labのエキスパートは、この最新のトロイの深部の解析を実行中である。そして、データの修復を支援する可能性のあるあらゆる発見は更新されるだろう。
あなたが感染していると考えているなら。もし我々が解決策を発見した場合に、将来的なデータの修復を妨げる可能性があるので、あなたのシステム上の一切を変更しないことを勧める。ファイルはN日後に削除されると、マルウェア作者は主張しているが、コンピュータのシャットダウンと再起動は安全である。我々は時間を元にしたファイル削除システムの証拠を何も発見していない。それにもかかわらず、ファイルシステムに作成される可能性(例えば、コンピュータを再起動することによって発生するかもしれない)があるので、如何なる変更も回避することが賢明である。
感染していない人々は、この問題を認識すべきである。そして、警告が画面上に表示された時、間髪入れずGpCodeを疑うべきである。デスクトップ上のリセット/パワー ボタンを押すことは、あなたの重要な多くの価値あるデータを確保するかもしれない。どうか、あなたがこの様なテキストが書かれたメモ帳が突然ポップアップしたなら、これを思い出してほしい。そして、あなたの友人に伝えて欲しい。
躊躇せず、PCをシャットダウンしなさい。この手法が最速であるなら、パワーケーブルを引き抜きなさい。
感染のもう一つの兆候は、このようなものにデスクトップの背景が即座に変更されることである。
我々は調査の進行に合わせ、更に情報とスクリーンショットをポストし続けるだろう
UACをバイパスする新たなWindows 0-Day
Sophos : Nacked Security Blog (2010/11/25)
Microsoft Windowsの新たな0-Day攻撃が本日発見された。この脆弱性攻撃は、アプリケーションにシステムの権限の昇格とVista、Windows 7 におけるUser Account Control (UAC、ユーザアカウント制御)のバイパスを可能にする。このフローは、プログラミング教育サイトに簡潔にポストされ、その後削除された。
この脆弱性攻撃は、Windowsカーネルの一部であるwin32.sys中のバグを利用する。このフローは、あるレジストリキーが解釈される方法に関連し、攻撃者がシステムアカウントに成り済ますこと(これはWindowsシステムの全てのコンポーネントへのアクセスに殆ど際限がない)を可能にする。問題になっているレジストリキーは、特権のないユーザの完全な制御下にある。
このフローは少なくともWindows XP以降の全てのWindowsバージョン(最新の、Windows 2008 R2とWindows 7を含む)に影響を与える。そのままでは、このバグはリモートコード実行(RCE)を許可しないが、非管理者アカウントで、恰も管理者であるかのようにコードを実行することを可能にする。
この脆弱性攻撃を研究している間に、私が発見した一つの軽減策がある。残念ながら、幾分複雑である。脆弱性攻撃からこのフローを防御するには、以下のアクションを実行することである。
- 1/ 管理者としてRegedit(レジストリエディタ)を開き、HKEY_USERS\各ユーザアカウントのユーザー識別番号\EUDC に進む
- 2/ EUDCを右クリックし アクセス許可 を選択
- 3/ グループ名またはユーザ名 で修正したいアカウントのユーザを選択し、詳細設定をクリック
- 4/ 追加 ボタンをクリック、次に、このユーザの名前を入力し、OKをクリック
- 5/ EUDCのアクセス許可エントリで、削除、サブキーの作成 の両方で拒否をクリック(下図参照)
- 6/ OKボタンをクリックし、最後に適用ボタンをクリックする
【訳注】ユーザー識別番号の同定に関しては以下のサイトを参照してください。
http://www.higaitaisaku.com/hkeyusers.html
この軽減策で変更されたレジストリキーは、このシステムを使用するユーザの能力に影響しないはずであるが、パーミッションの変更は、多言語インストレーションで問題を発生するかもしれないWindowsコードページ設定に関連する。私のテストでは、問題を発生しなかった。しかし、私は一、二時間しかテストしていない。あなたの裁量で使用されたい。
良いニュース? この脆弱性攻撃に関し、攻撃に使用される悪意あるコードは、導入される必要がある。このことは、あなたのE-Mail、Web、アンチウィルスフィルタが悪意ある悪意の総体のダウンロードを防御できることを意味している。我々は、このフローについて学習しているので更なる情報に関しては、Naked Security blogを注目してほしい。
[UPDATE] Sophosは、これをTroj/EUDPoC-Aの脆弱性の証明を見つけている。利用可能になったら詳細を楽しんでほしい。
私はまた、それがどのように動作するか、そして、あなたが実行できることを示すビデオを作成した。
http://www.youtube.com/v/LKCKKYjm1Nw?version=3&rel=0&fs=1&showsearch=0&showinfo=1&iv_load_policy=1
Flash Playerを嫌うなら、DivX HIQを試せ
TechBite Technology : Steve Bass's Weekly Newsletter (2010/11/23)
最近リリースされた
DivX Playerのバージョンは、様々なブラウザで動作するプラグイン Div HIQ を同梱している。これはYouTubeや他のサイト上のビデオを再生するために使用されているFlash Playerの代替である。そして何と、パフォーマンスを高める。
YouTubeのスタート/停止ボタンの真下にDiv HIQオプションを見ることができる(下の画像参照)。
取り分け、DivX HIQでは:
- Flashがストリーミングビデオをダウンロードしている最中に、しばしば見かけるローテーティング サークルによるドロップアウトを減少する。
- CPUの使用を減少する。ノートブックやネットブックユーザにとっては、バッテリー寿命を節約するため望ましい。
- 最大化表示ウィンドウの視聴が良い。更に、画面上の何処にでも移動可能な格好良く小さなポップアップウィンドウ。
- 任意であるが、YouTubeのビデオを自動的にハードドライブに保存する。
試していないことの一つは、YouTubeのDefaultプレーヤーとしてDivXを永続的にFlash Playerの代替品にするというDivXの申出である。少なくとも、DivX HIQは未だベータ版にもなっていない。現時点で、私はDivX HIQが稼働する前に時々YouTubeのプレーヤーが起動し数秒間稼働することに気がついている。DivX HIQプロダクトマネージャを参照しなさい。そこには若干の機能の
紹介とデモがある。
【訳注】矢印のボタンをクリックすると、DivX HIQでの再生になります。
sandboxing 付きのAdobe Reader X、今、利用可能に
Sophos : NackedSecurity (2010/11/20)
多くの人が待ち望んでいたOS XとWindows用のAdobe Reader Xが、
http://get.adobe.com/jp/reader/ で今日利用可能になった。
Paul Ducklinは数日前Adobe Acrobat Xのリリースについて記述し、AdobeがReader/Acrobatをリリースした背後にある彼の当惑と、現在のコードベースの大変巨大なサイズについての彼の懸念を表明した。Windows版は35MB(ディスク上では105MB)であるが、Mac版は70MB(ディスク上では415MB)にも及ぶ。
【訳注】英文の記述では、 Windows version is 35 megabytes (105MB on disk) となっているのですが、日本語版のダウンロード サイトでは、44.69MBになっています。
コーディングの行数が増えることは、より多くのエラーと同居することになるが、Reader Xは、write-blocking sandboxの使用を通して攻撃者を妨害するAdobeの最新の効果を含んでいる。これは、あなたがReader X 中の脆弱性を攻撃しようとするPDFファイルを開いたとき、ハードディスクに如何なるファイルの書き込みも不可能にし、マルウェアをあなたのコンピュータ上にインストールすることを妨げることを意味している。
Reader Xは、OS X上で利用可能であるが、sandboxテクノロジはWindows上でのみ実装される。これは、Macユーザが最新のリリースにアップデートすることを考えるべきでないことを意味している。そして、Macユーザは、sandboxによって提供される安全性の拡張の便益を享受しない。
Sandboxingは部分的な業績を持っている。Oracle Javaは、Sandbox化されたアプリケーション環境の最も良く知られた実装であり、セキュリティフローまでも塞いでいる。Microsoft Office 2010は、Adobeの導入を共有し、他方、Google Chromeは、sandobox化ではないが同等の物でセキュリティを改善することを実行した。
結論? あなたがAdobe Readerのユーザであり、アドミニストレータであるなら、予防策としてReader Xを導入することを推奨する。Readerに対する次の攻撃は、直ぐにやってくるかもしれない。そして、Reader Xの導入は、悪意あるPDFファイルに対する最高の防御になるだろう。
MicrosoftのセキュリティツールがChromeとAdobeのアップデートを妨害
The Register : Security (2010/11/19)
Microsoftは、Google Chrome と Adobe Readerを含むサードパーティー製アプリケーションの適切なアップデートを妨害するという誤作動を続けていたセキュリティ プロテクション ツールをアップデートした。
Enhanced Mitigation Experience Toolkit (EMET) (【訳注】脆弱性緩和ツール)は、システムへの感染のためにマルウェア作成者によって使用されるトリックの範囲を妨害するために設計されている。しかしながら、このツールの最新のアップデートは失敗した。この失敗は、ユーザがAdobeソフトウェアの最新のパッチを適用した後、彼らのシステムを再起動しなければならないことを意味していた(取り分け、会社等の共同環境においては潜在的に迷惑)。
更に悪いことには、不発に終わったMicrosoftのツールはGoogle Chromeのアップデートをインストールすることを妨げる。少なくとも、このブラウザをインストールした同一のマシン上の複数のユーザと、そのアドミニストレータ アカウントは、未だセキュリティパッチを適用されていない。
Microsoftは、
ここにあるアドバイザリ中で詳細に説明しているように、この競合を認識していた。そして、このツールをアップデートした。
それ自身のアドバイザリにおいて、Googleは、EMETがChromeに既にバンドルされているセキュリティ機能をカバーしており、これを議論することは従来の技術を使用し続けているアプリケーションに対する脆弱性攻撃に対する防御にのみ利益を提供すると発言している。
Safari 5.0.3/4.1.3: 27の脆弱性を修正
Sophos : Nacked Security (2010/11/19)
Appleは、OS X 10.4, 10.5, 10.6 と Windows用のSafari Webブラウザのアップデートをリリースした。これらの脆弱性の二つだけはAppleによって発見され、それら以外の多くの物はGoogleとGoogle Chromeブラウザ チームによってAppleに通知されたことが明らかになっている。
これはある意味、Google Chrome, Nokia's Symbian S60ブラウザ, Amazon Kindle, Android, Adobe Airによって使用されているオープンソースWebKitエンジンを使用することの利点の一つである。多くの目がコードに向けられているので、フローは、非公開型ソース ソリューションよりかなり速く発見され修正されることが可能である。
しかしながら心に残る疑問が二つある。一つは、iPad/iPhone/iPodタッチ用Safariのどのバージョンにフローが存在していたのか? もう一つは、何故一回のリリースで、Appleは27もの脆弱性を修正したのか? AppleがSafariに関する以前のアップデートは、9月初旬であった(OracleのJavaを搭載して)。このことが、AppleがAppleユーザを安全に保つために、より頻繁にアップデートしているのではないかと考えている。
あなたがSafariのユーザであるなら、可能な限り早急に、このアップデートを適用しなさい。犯罪者が公開された情報を我々に対して使用することを企てるまでに、そんなに時間はかからないだろうから。あなたが個人でMacを使用しているのであれば、OS X用のSophos Anti-Virus(無償)を使用してみてはどうだろう?
Safari 5.0.3を直接ダウンロードするには、
http://www.apple.com/jp/safari/download/ を訪問しなさい。個人では、Apple Software Updateアプリケーションを使用できる。そして、OS X上のAppleメニューで"Software Update..."を選択することで最新のアップデートを適用できる。
Adobe Reader 19のセキュリティホールの修正版をアップデート
The H : Security (2010/11/17)
Adobe ReaderとAcrobat 9.4.1の定例外アップデートはFlash Playerを埋め込まれたバージョン中の18のセキュリティホールを本質的に取り除いている。これらのセキュリティホールの一つは既にユーザを攻撃するために使用され、PCに感染している。
更に、このアップデートは、緊急に分類されている悪意あるJavaScript機能 (Doc.printSeps)に起因するReader中のセキュリティホールを閉じている。この脆弱性に対する公開された攻撃は、Readerにクラッシュを発生させるものであるが、これは多分このセキュリティホールがコードの挿入に使われるているからである。報告されているところによれば、このセキュリティホールはAdobe AcrobatとReaderのAndroidバージョン中には存在していない。
バージョン9.4.1へのアップデートは、Adobe ReaderとAcrobatのWindows版とMac OS X版をダウンロードすることが可能である。Linuxユーザは、11月30日まで待たねばならないだろう。代替方法として、現在のWindows版のReaderとAcrobatのユーザは、最新版にアップグレードするためのビルトインの自動アップデート機能を使用できる。
Javaアップデートに本腰を入れよう
Sunbelt : Blog (2010/11/11)
結論: 多くのJavaへの攻撃は、パッチされた脆弱性を追い求めている。Javaは広汎なプラットフォーム上で稼働しているので、これは大変深刻な方向性である。あなたは自動Javaアップデート警告を維持すべきである。そして、Javaのサイトもまたチェックしなさい。
Java脆弱性を使用するマルウェアの増加に関するニュースの背景にあるブンブンという小煩い音は、今やライオンの咆哮になっている。
今日、Daniel Wesemannは、Javaの脆弱性についてSANS上に大変分かりやすいブログをポストした。
Wesemannは、MicrosoftのMalware Protection CenterでHolly Stewartが記した10月の一部に注目している。「我々の脆弱性を攻撃するマルウェア ファミリーの幾つかが恐ろしい話(先例のないJava脆弱性攻撃の波)をしていることを見出した。」
Wesemannは、”bpac”ファミリーの最近の脆弱性攻撃で使用された方法を説明している。”bpac”ファミリーが使用しているJavaの脆弱性は6月にパッチされたものだと彼は指摘している。
感染は通常以下の手順で発生する。
(1)ユーザが脆弱性攻撃を挿入されたサイトを訪れる
(2)攻撃パックのトリガー。これはJavaアップレットやPDFをダウンロードする難読化されたJavaScriptとして出現する
(3)このアップレットは攻撃を含んでいる。CVE-2010-0840に関してはこの形
(4)このアップレットは、特定の EXE を発見する場所をそのアップレットに告げるパラメータを呼び出す
(5)攻撃が成功したなら、この EXE はダウンロードされ稼働される
ダウンロードされた物は、銀行のログイン情報を盗むバックドアか、あなたのマシンをスパム送信ボットに変身させるもののような何かである。
初心者のための説明; Javaは、Sun Microsystems(現在、Oracleによって所有されている)によって、ブラウザ中や実際のOS上で稼働するアプリケーション作成用に作られたコンパイル型プログラミング言語である。Javaスクリプトは聞いたことがあるだろう。それとは違う。Javaスクリプトは、あなたのブラウザ中で稼働するためにWebページのHTMLコード中に埋め込まれたスクリプト言語である。
ここに、Oracleの二つの説明がある。
JavaScriptとは何か? そしてJavaテクノロジとどの様に異なるのか?
Netscape, Inc. によって開発されたJavaScriptプログラミング言語は、Javaプラットフォームの一部ではない。
JavaScriptはアップレットやスタンドアロンのアプリケーションを作成しない。JavaScriptが今日最も汎用されている形式は、JavaScriptをHTMLドキュメントの内部に存在させ、単純なHTMLでは達成できないWebページの双方向性を提供することである。
JavaとJavaScriptの主たる相違をリストする。
* JavaScriptは、オブジェクト指向スクリプト言語であるが、Javaは、オブジェクト指向プログラミング言語である
* JavaScriptコードはブラウザだけでしか稼働しないが、Javaは実際のマシンやブラウザで稼働するアプリケーションを作成できる
* JavaScriptコードは完全なテキストであるが、Javaコードはコンパイルされる必要がある
* それらは異なったプラグインを要求する
あなたのマシンをアップデートする必要があるかどうか、確認するための方法。
あなたのマシンにJavaの最新バージョンがインストールされているかどうか確認するには、ブラウザでこちらのサイトを訪問する。
http://www.java.com/ja/download/installed.jsp
Javaのインストレーションが古いバージョンであれば以下のような画像が表示される。
あなたが最新のバージョンをインストールしているのであれば、この様な画像が表示される。
Google: Chromeのセキュリティ アップデートをリリース
The H : Security (2010/11/05)
Googleは、Windows, Mac OS X, Linux用Chromeのバージョン7.0.517.44をリリースした。このアップデートは合計12の脆弱性を解決している。また、これら脆弱性の全ては、ある開発者達が「高い」優先性として評価していた。Chromium Security Rewardプログラムの一部としてGoogleは、このセキュリティ上の脆弱性を報告した人に対して、500から1000$の間で報奨した。この開発者達はまた、セキュリティフィックスの追加に加えて、最新のバージョンがFlash Playerのアップデートされたバージョンを含んでいることに気がついている。全てのChromeユーザは可能な限り早急に、最新のリリースにアップデートすることが推奨されている。
Googleはまた、新しい
PDFビューワ(Chromeの最新の
ベータ版でリリースしている)も同梱している。バージョンは、8.0.552.28。そこでユーザはもはやAdobe Readerに依存する必要はない。更に、このベータ アップデートは多くの同期サービスと改善されたプラグインのハンドリングを含んでいる。
安定版のセキュリティに関する詳細は、Google Chrome Releases Blog上の
投稿に見ることができる。Chrome 7.0.517.44は、
google.com/chrome からWindows, Mac OS X, Linux用のダウンロードが利用可能である。現在Chromeをインストールしているユーザは、メニューのTools(ツール)>About Google Chrome(Google Chromeについて)>アップデートボタンをクリック することで備え付けのアップデート機能を使用することができる。
Adobe: Flashの0-Dayの脆弱性にパッチ
Sophos : Nacked Security (2010/11/05)
Adobeは、悪意あるハッカーによって攻撃される可能性のあった幾つかの緊急の脆弱性を防ぐために、広汎に使用されているFlashのセキュリティアップデートをリリースした。
AdobeのWebサイトで公開された
セキュリティ ブレチンによれば、Adobeは、 Windows, Macintosh, Linux, Solaris上でAdobe Flash Player 10.1.85.3とそれ以前のバージョンを使用しているユーザは、Adobe Flash Player 10.1.102.64にアップデートするように推奨している。
さらに、Adobeは、2010年11月09日までにAndroidモバイル オペレーティング システム用のFlash Player 10.xのアップデートを利用可能にすると発言した。
Flashのアップデートされたバージョンによって修正された脆弱性の一つは、CVE-2010-3654である。先週Adobeは、この脆弱性がFlash, Acrobat, Adobe Readerのユーザをターゲットにして、悪意あるユーザによって使用されていたと警告した。ReaderとAcrobatの修正は11月15日の週に計画されている。
インストールされているFlash Playerのバージョンが分からないのであれば、
Flash Playerについて のページを訪問しなさい。あなたのコンピュータ上で複数のブラウザを使用しているのであれば、あなたは夫々のブラウザでFlashのバージョンをチェックしなければならない。
ところで、Flashの新しいバージョンをインストールするにあたっては、チョッとした注意が必要である。McAfee Security Scan Plusをインストールするかどうか注意深く考えて欲しい。
どう考えても、AdobeがDefaultでこのソフトのインストールにチェックを入れていることは、どちらかというと生意気(言わせてもらえれば)である。あなたがFlashをアップデートしたいだけなら、このソフトウェアのインストールは必要ない。
可能な限り早急に脆弱性あるコンピュータをアップデートすることは全ての者にとって良い考えである。
Internet Explorerに新しい0-Dayの脆弱性(CVE 2010-3962)
Bkis : Bkis Global Task Force Blog (2010/11/05)
11月03日、MicrosoftはInternet Explorerの全てのバージョン中の新しい未パッチの脆弱性について
警告を発した。この脆弱性は、ウィルスを拡散するために食い物にされている。
IEがCSSタグを上手く処理しないため、IEは解放されたオブジェクトにアクセスし、メモリ損壊(解放後使用)を発生させるようである。これはプログラムのポインタを不適切に動作させ、クラッシュを発生させ、リモートコード実行さえ発生させる。
脆弱性攻撃のデモ コード
0×0D7DC9C9をコール
上図に見られるように、このプログラムは0×0D7DC9C9をコールする。これはヒープメモリのアドレスである。そして、通常、このプログラムは、それまでに、このメモリをイニシエートしていないのでクラッシュする。しかしながら、攻撃者は今迄に用意していたデータで、巨大なヒープ(上述のアドレスを含む)を作成するためにヒープスプレー技法(【訳注】攻撃の成功確率を高めるために、ヒープ上にシェルコードを大量にロードする技法。ブラウザの攻略に用いられる)を使用している。これは任意のコード実行を可能にする。
この攻撃ベクトルは、Windows XP SP3以降の全てのバージョンのOS上のIE8ではDefaultで有効に設定されているData Execution Prevention (DEP、データ実行防止)によってブロックされる。
Microsoftは定例外のパッチを発行するかどうか決定するために現在この脅威を監視中である。この脆弱性は多分Microsoftの月例パッチで修正されるだろう。
Microsoftがパッチを発行するまで、ユーザは未知のソースのリンクをクリックしないように注意することが推奨されている。
【UPDATE】The Registerによると、11月の月例パッチにIEのフローの修正パッチは含まれていないということです(2010/11/06 11:00現在)。
二年間放置されているInternet Explorer情報リーク脆弱性
The Register : Security (2010/11/01)
ほぼ二年間、MicrosoftのInternet Explorerは、デジタル セキュリティ トークンと他の重要なデータを盗むことを攻撃者に許していたと、セキュリティ研究者は最近発言した。
セキュリティ研究者Chris Evansは、2008年12月にIE中に情報を露にする脆弱性があることをMicrosoftに警告したと発言している。10月21日時点で、この脆弱性は修正されないまま残っている。「私は600日間情報開示した」と、彼は皮肉っている。
このバグはJavascriptとランタイムエラーのハンドリングのためのIEメカニズム中に残存している。幾つかの場合において、クロスオリジン コンテンツは、攻撃者にエコーバックするので、攻撃者が重要なJavascript変数を取得することが可能になる。以前、このコンセプトの証明は、Google ReaderがXSRF(cross-site request forgery)攻撃を妨げるために使用していたセキュリティ トークンを盗むためにこの脆弱性を攻撃した。それ以降は、Googleが作成した変更によって中和された。しかし、この脆弱性が動作したとき、許可を求めることなしに、生贄飼育用フィードへの登録をユーザに強制する。
「このトリックで盗まれる(必要なら繰り返し)様々なテキスト構造物がある」とEvansは警告している。
Firefoxはかって同様の攻撃に対する脆弱性を持っていたが、このオープンソースブラウザの維持管理者は、2008年12月にこのフローを修正した。同じ月に、Microsoftはこの脆弱性を説明したが、未だに残存している。
Microsoftのスポークスマン(MicrosoftのスポークスマンJerry Bryantの部下)は月曜日、以下のステートメントをリリースした。
MicrosoftはInternet Explorer中に軽度の情報露見を公に送信する問題を認識している。攻撃が成功するには、大多数のサイトにとって非標準的な特別な方法で設定された犠牲者用のWebサイトが要求される。我々は、この脆弱性が何らかの攻撃を受けたということを認識していない。状況が変化すれば、我々は顧客をアップデートするだろう。
Adobe: Shockwave Player中の11のセキュリティホールにパッチ
The H : Security (2010/10/29)
Adobeは11のセキュリティホールを閉じるためのShockwave Playerのセキュリティ アップデートをリリースした。1つは一週間前に発見された脆弱性であり、残りの10は今迄未知である。このアップデートは昨日リポートされた別製品のFlash Player と Readerの脆弱性との関連性はない。
既知のShockwaveセキュリティホールに関する攻撃のデモンストレーションは既に存在している。このセキュリティホールは巧みに細工されたページを訪問したときWindowsの計算機を起動する。しかしながら現時点で、犯罪者がWindows PCをマルウェアで感染させようとしている兆候は存在しない。この脆弱性は現在Windows XP SP3の下でのみ攻撃される。
Shockwave Playerのユーザは即座に、アップデートをインストールすべきである。Windows と Mac OS X用のバージョン11.5.8.612は、この会社のサイトから
ダウンロード可能である。Shockwaveがシステム上にインストールされているかどうかオンラインで確認したいのであれば、
Adobe Shockwave Playerのページを訪問しなさい。
CCleaner3.0、ドライブを安全に削除するツールを搭載
The H : Security (2010/10/29)
PiriformはWindows PC用のメンテナンス ツール
CCleanerのバージョン3.0をリリースした。CCleanerアプリケーションは、ユーザが容易に削除することが可能な(例えば、インターネット一時ファイル、クッキー、様様なWebブラウザの履歴、同様に、システム Recycle Binや他の一時ファイル)人気あるWindows用クリーニングとメンテナンス ツールである。
最新のリリースCCleaner 3.0は、メジャーアップグレードであり、そして、64ビットシステムをネイティブ サポートしている。更に、指定されたドライブ上のフリースペースのコンテンツを安全に削除するために使用できる新たなDrive Wiperツールを搭載している。この機能は、ツール セクションから利用できる。ユーザは一つもしくは複数のドライブを選択できる。そして、このツールはデータが記録されているドライブ上の領域を上書きする(1回以上、
特別なアルゴリズムを使用して、一回だけの上書きから3、7、35パスまで)ので重要な情報を削除する。
CCleanerのDrive Wiperのスクリーンショット
他の改善点は、Internet ExplorerとGoogle Chrome Webブラウザの手厚いサポート、HTML5データベース記憶領域の追加クリーニング サポート オプションと、新たなインテリジェントクッキー保持機能を含んでいる。
このリリースに関する詳細情報は、Priformブログ上の
投稿とバージョン履歴に見出すことができる。CCleaner 3.0は、フリーウェアとして
ダウンロード可能である。オプションの優先サポートは19.95ポンドで利用できる。
Adobe Flash, Reader, Acrobat中に発見された緊急の0-Day脆弱性
Sophos : Naked Security(2010/10/28)
Adobe製品のユーザにはまたも悪いニュース。AdobeはFlash Player, Reader, Acrobat中に緊急のセキュリティホールが発見されたことを公開した。
Adobeによって、公開されたアドバイザリによれば、この脆弱性は犠牲者のコンピュータ上で悪意あるコードを稼働させることで、悪意あるハッカーによって食い物にされている。
Adobeは、Windows, Macintosh, Linux, Solaris用Flash Playerの10.1.85.3とそれ以前のバージョンに脆弱性があると発言している。更に、Android用のFlash Player 10.1.95.2とそれ以前のバージョン、そして、Windows, Macintosh, Unix用Adobe Readerの9.4とそれ以前の9.xバージョンに同梱されていたauthplay.dllもリスクがある。
更に、WindowsとMacintosh用のAdobe Acrobat 9.4とそれ以前の9.xバージョンにも脆弱性がある。
Adobeは、この未パッチの脆弱性の修正を作成中であると発言している。そして、11月09日までにFlash Player10.x(Windows, Macintosh, Linux, Android用)のアップデートを提供することを希望するとも発言している。Adobe ReaderとAcrobat 9.4とその早期バージョンは、WindowsとMacintosh用に関して、11月15日の週中にアップデートが計画されている。
当然のことながら、パッチの当てられていない期間がある。一方、より多くの悪意あるハッカーがこの様な脆弱性を攻撃することの誘惑にかられているということを聞いても何ら驚くことではない。Adobeの顧客にとって悪いニュースは、当然、Adobeにとっても悪いニュースである
Firefoxは、0-Dayの緊急の脆弱性を攻撃されている
Sophos : Graham Cluley's Blog (2010/10/27)
Mozillaは、人気あるFirefoxブラウザが、サイバー犯罪者がマスウェア拡散するために実際に攻撃している深刻な脆弱性を含んでいるとする警告を発生した。
今迄未知のこの脆弱性は、Firefoxのバージョン3.5と3.6に影響があると言われている。
セキュリティ企業のNormanは、ノーベル平和賞のWebサイトが昨日この脆弱性経由でトロイを拡散させていると報告した。しかしながら、これは、他のWebサイトでも、訪問したユーザに感染を企てるためにこの脆弱性をアップしている可能性があることも明らかである。
Sophosは、このマルウェア Troj/Belmoo-A を防御する。
Mozillaはフィックスを作成中である。しかし、現時点でFirefoxのユーザはJavaScriptをOFFにするか、人気あるアドオンNoScriptを使用するのが賢明である。
NoScriptは素敵なアイデアである。私はこのアドオンなしでFirefoxを使うことはない。あなたも同様であるべきだ。
【Update】Mozillaは、Firefoxをアップデートしました。
Adobe Readerに代わってJavaが最多攻撃対象に
The H : Security (2010/10/25)
Microsoft Malware Protection Center (MMPC)モニタリングは、最近数ヶ月にJavaの脆弱性への攻撃を企てる数が劇的に増加していることを示している。MMPCのHolly Stewartによれば、今年の半ば以来、凡そ600万の攻撃が三つの古いJavaの脆弱性を食い物にしようと企てていた。これは、巨大な利益により、今迄の攻撃対象のトップであったAdobe Readerの攻撃の数を凌いででいる
Stewartは、Adobeのソフトウェアのように、Java Runtime Environment(JRE)はほとんど全てのコンピュータにインストールされているが、大多数のユーザはこのソフトに多くの注意を払わないため、Javaが今、より誘惑的なターゲットになったと仮定している。これらのユーザの大多数は頻繁なアップデートに注意を払っていない。伝えられるところによれば、攻撃されているセキュリティホールの一つは二年前のものである。
Readerをより安全にしようとするAdobeの努力は、効を奏しているようである。Readerの様々な改善の中で、Adobeは自動アップデート機能を搭載した。これは、犯罪者に攻撃対象をJavaにシフトするよう仕向けた。このことは
Brian Krebsによって予測されていた。Krebsは多くの有料の犯罪者用攻撃ツールが、現在Javaへの攻撃を含んでおり、そのような攻撃が屡々成功していることを究明していた。
つい最近、Oracleは10月のパッチ日の一部に、全てのサポートされるプラットフォーム用の、そのバージョン 6.0, 5.0, 1.42にまたがって広がっている29のセキュリティホールを塞いだJavaアップデートをリリースした。Oracleはこの脆弱性の内15のセキュリティホールを緊急に分類している。
Adobe Shockwaveに0-dayの脆弱性
The H : Security (2010/10/22)
Adobe Shockwave中の今迄露にされていなかったセキュリティホールがWindowsの攻撃対象になっていることが公開された。この攻撃をデモしたバージョンでは、特別に細工されたWebページにアクセスするとWindowsの電卓が開いた。攻撃者はマルウェアをPCに感染させるためにこのセキュリティホールを食い物にしている。この攻撃は、現時点では、XP SP3の下で動作し、The Hと姉妹紙のheise SecurityとによるWindows 7とInternet Explorerを組み合わせたテストでは、ブラウザクラッシュの引き金となった。
このセキュリティホールは、Directorファイル中に閉じ込められている特別に細工されたデータを処理するためのコード中のフローによって発生させられる。AdobeはWindowsとMacの下でShockwaveのバージョン11.5.8.612、及びそれ以前のバージョンでこのフローを確認している。未だアップデートは提供されていない。伝えられるところによれば、Adobeは問題を解決すべく行動中である。
大多数のユーザはShockwave Playerとそのブラウザプラグインをインストールすることを好まない。FirefoxとGoogle Chromeの下では、この攻撃の影響はうけない。他方、Internet Explorerでは、直ちに、この存在していないプラグインをダウンロードしインストールしようとするが、少なくともユーザの許可を必要とする。
ShockwaveはFlash Playerに比べ広範な機能を提供している。このような拡張された機能は、典型的には複雑なレンダリング、双方向のプレゼンテーション、ゲーム、他のアプリケーションに使用される。Shockwaveがシステムにインストールされているかどうかは
オンラインでチェック(Adobe Shockwave Playerのテストページを訪問。【訳注】このページを訪問したとき、アニメーションがラベル付きボックスの下で再生されたならば、Shockwave Playerはインストールされています)できる。
Stuxnet削除ツールを装いHDD中のデータを「削除」する
Bkis : Bkis Global Task Force Blog (2010/10/19)
Windowsショートカット脆弱性を最初に食い物にしたトロイであるStuxnetは、最近フィールド中に拡散し続けている。Stuxnetに関する多くのフォーラムトピック同様に一連のエキスパートの解析文書は、このワームによる危機的状況を示している。不安な心理状態は、ユーザにインターネット上でStuxnet削除ツールを検索させた。幾つかの適切なツールがMicrosoftや幾つかのアンチウィルス会社やITコミュニティから提供されているにもかかわらず、インターネット上には多くのインチキツールが存在する。そのようなインチキツールは、巨大なスケールで悪意あるコードを拡散するために作成されている。
最近、我々のHoneypotシステムは、特に危険なインチキのツールを検出した。このツールはStuxnetを削除する替わりに、Cドライブ中の全ての物を削除する。
図 1: Microsoftのツールを装っている
図 2: 悪意ある挙動を実行する .bat ファイルを発生する
Bkavは、このトロイをW32.FakeStuxer.Trojanとして検出する。
Windowsの再インストールと重要なデータの損失を回避するには、ユーザは使用しているアンチウィルスの最新バージョンへの恒常的なアップデートを実行すべきである。また、ユーザは様々なフォーラムで提供されているツールに迂闊に手を出してはならない。
メディアプレーヤー中のセキュリティ問題
The H : Security (2010/10/18)
WinampとRealPlayerメディアプレイヤー中の脆弱性は、特別に細工されたメディアファイル経由でWindows PC上に悪意あるコードを挿入し実行することを可能にする。特定の環境下で単純に改竄されたWebページにアクセスすると、攻撃の犠牲者になるに十分である。
RealPlayerは様々なバージョンに渡って合計7つのセキュリティホールを含んでいる。この問題を解決するには、SP 1.1.5, 4.0 Beta, RealPlayer Enterprise 2.1.3, Mac RealPlayer 11.0 - 12.0 及び Linux RealPlayer 11.0.2.174 にアップデートすることである。
.mkv と .mtmの処理に関するWinampのコードは、システムを改竄し繰り返し食い物にすることが可能な二つの脆弱性を含んでいる。影響あるバージョンはWinamp 5.581であるが、おそらく、それ以前のバージョンも脆弱性があるだろう。今のところ、アップデートはリリースされていない。Winampのセキュリティホールを発見したプログラマは、当初更に二つのセキュリティホールを報告していたが、これ等のセキュリティホールは再現できなかった。
Java アップデート: 29のセキュリティホールを上書き
Krebs on Security : Blog (2010/10/12)
【訳注】今月はMicrosoftが、49のセキュリティホールにパッチを当て、パッチの記録を更新しましたが、Javaも負けていませんでした。
Oracleは本日、広汎にインストールされているJavaソフトウェアの緊急アップデート(少なくとも、このプログラム中の29のセキュリティホールを修正している)をリリースした。
Microsoft Windows PCを使用している大多数の消費者は、Javaの何れかのバージョンをインストールしているだろう(Javaがインストールされているか否か、インストールされているバージョンは何か確認したいのであれば、
このリンクをクリックしなさい)。既存のユーザが最新バージョン(Java 6 Update 22)を入手するには、コントロールパネル>Javaのアイコンをクリック>アップデートタブにある、今すぐアップデートボタンを選択する。このソフトウェアを持っていないのであれば、インストールしない状態のまま継続することを推奨する。
Oracleのアドバイザリによれば、アップデートは、Windows、Solaris、LinuxバージョンのJavaが利用可能である。Appleは、OS Xシステム用のJavaの自身のバージョンを維持管理している。そして、公式のJavaがリリースされた数ヶ月後に、OS X用のバージョンに関する修正を行っている。
Javaのアップデートは、あなたが望まない無料ツール(Yahoo!ツールバーや、彼らが今回Javaに同梱することを決定した他の金儲けのうまい物なら何でも)をDefaultで含んでいることを忘れるな。あなたがアドオンを望まないのであれば、インストレーション中にあるチェックボックスをアンチェックしなさい。
6つのビッグネームがマルウェアの拡散になりすまされた
Bkis : Bkis Global Task Force Blog (2010/10/08)
Google, Facebook, Twitter, Hi5, Amazon, Hallmarkの6社は、今回のマルウェアキャンペーンでなりすまされた。これは
我々が解析したマルウェアの新たな変種である。
これ等の会社の評判は、ハッカーが悪意あるコードを付属させた偽のE-Mailの配布に利用された。多くの人々がこの種のフィッシングの犠牲者になった。なぜなら、実際にこの様な会社は、彼らのユーザに対して定期的にE-Mailを送信している。ここでは、Facebook,Twitter, Hi5のようなソーシャルネットワーク会社やAmazon, Hallmark, Googleのようなe-コマース会社は、彼らの志望者に対して屡々新規採用E-Mailを送信する、とだけ言っておく。そこで、ユーザはそのようなE-Mailを開くトリックに簡単に引っかかった
そう、これは悪い奴等にとってスパムE-Mailを使用してウィルスを拡散する「肥沃な大地」である。彼らは、実際にウィルスの存在する添付ファイルを開かせるようユーザを誘惑するために画像付きスパムメールの内容をコロコロ変えている。
Figure 1: ターゲットは、このウィルスソースコード中に全て含まれている
Figure 2: インチキのGoogle
Figure 3: インチキのFacebook
Figure 4: インチキのTwitter
Figure 5: インチキのHi5
Figure 6: インチキのAmazon
Figure 7: インチキのHallmark E-Card
このマルウェアは、添付ファイルに自分自身を隠し、ユーザに好奇心を持たせ開かせようとしている。
実行するとマルウェアは以下を行うだろう:
- ファイルを巧みに取り扱う
- %Windir%\MFPTKPAR.dll ファイルをダンプする
- %SystemDir%\HPWuSchedv.exe それ自身をファイルとしてコピーする
- Windowsのスタートアップにウィルスをロードするために、キーを巧みに取り扱う
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
- HP Software Updater v2.7 = “%SystemDir%\HPWuSchedv.exe”
- Pwulinubesida = “rundll32.exe “%Windir%\MFPTKPAR.dll”,Startup”
- エラーレポートとセキュリティセンターのサービスを終了する
- 破損したソフトウェアやプログラムのセットアップフォルダを装う名前で共有フォルダにそれ自身をコピーする
- Adobe Photoshop CS4 crack.exe
- Windows 7 Ultimate keygen.exe
- K-Lite Mega Codec v5.5.1.exe
- …
- 拡散するためにUSBドライブにautorun.infファイルとして、それ自身をコピーする
- キーとファイルを削除し、幾つかの人気あるアンチウィルスのプロセスを終了する
- 拡散するために、ウィルスの付属する添付ファイルの付いたインチキの内容のE-Mailを恒常的に送信する
- ポート1049を通してサーバ: 206.137.17.89 に接続する
ある日、受信ボックスに類似のE-Mailを見つけたなら、それを開くなら、注意しなさい。
Foxit製品のアップデート
The H : Security (2010/10/07)
Foxit Softwareは、彼らのPDF Reader(【訳注】Adobe Reader代替として著名なFoxit Readerのこと)のバージョン4.2のリリースをアナウンスした。このバージョンは、二つのセキュリティ上の脆弱性を閉じている。Foxit Reader 4.2は、512バイト以上の長さを持つタイトルのPDFドキュメントを処理するときに発生していたバッファオーバーフローの問題を解決している。この問題はアタッカーが生贄のシステム上で悪意あるコードを挿入し実行することに利用されていた。更に、このアップデートはデジタル署名に関連するセキュリティフローを修正している。
Foxitの最新バージョンは、Windows 7とVistaの防御メカニズムであるAddress Space Layout Randomisation (ASLR)とData Execution Prevention (DEP)のサポートを追加している。Foxitはまた、Phantom PDFスイート(【訳注】複数の関連プログラムを一つにまとめたパッケージソフトのこと)のアップデート(バージョン 2.2)をリリースしている。このバージョンは上述の問題を解決するとともに、特定のタイムゾーン中に誤った日付と時間を表示する問題を解決している。
詳細な情報は
セキュリティアドバイザリに見出すことができる。Foxit Reader 4.2は、この会社のサイトから
ダウンロード可能である。実際に利用しているユーザが、最新のリリースにアップデートするには、メニューのHelp>Check for Updates Now を選択することでアップデートできる。
Adobe ReaderとAcorbatの23のセキュリティホールにパッチ
Krebs on Security : Blog (2010/10/05)
Adobeの新たなセキュリティアップデートは、PDFのReaderとAcrobatの少なくとも23のセキュリティホール(攻撃者が実際にコンピュータに侵入し食い物にしている二つの脆弱性を含む)を塞いだ。
Adobeは、Windows, Mac, UNIX 用のバージョン9.3.4とそれ以前のバージョンを使用しているユーザに対し、バージョン9.4にアップグレードするように急かしている(Adobeは9.xバージョンにアップデートできないユーザはバージョン8.2.5アップデートを適用すべしと発言している)。
Adobeは、この新しいバージョンで修正された23のフローの一つは実際に攻撃されていたと発言している。今回のアップデートで修正された二つ目の0-Dayのフロー(スタンドアロンのFlash Playerに関し先月の別個のアップデートで修正したAdobe Flash player中の緊急の脆弱性)は、Adobe ReaderとAcrobat中にも存在する。けれども、Adobeは、これ等製品中のこのフローは如何なる攻撃も受けていないと認識していると未だに発言している。
数人の読者は、ReaderとAcrobatの将来のバージョンに導入されるとAdobeが約束したセキュリティ機能(sandoboxingテクノロジは、このソフトウェア中の今迄同定されていないセキュリティホールの利用をブロックするよう設計されている)について質問してきた。Adobeは、この機能は上記タイトルの次のメジャーリリース(本年末)で含まれるだろうと発言している。AdobeのBrad Arkinは、本日の
ブログでこの来るべき機能の詳細を公開した。
アドビが四半期のパッチサイクルへ移った今、この新たなメジャーバージョンは、2011年2月8日に計画されている次のセキュリティアップデートと同時に行われないだろう。しかしながら、継続的にAdobeはセキュリティアップデートをリリースしている(ReaderとAcrobatに関しては、ここ一年以内に二回の、Flashと他のソフトウェアに関してはもっと頻繁に緊急アップデートをリリースしている)。私は別の緊急のReaderのパッチを見るずっと前に、それがリリースされるのではないかと疑っている。
Adobeのsandbox化されたバージョンは他のPDFリーダーよりもっと安全になるだろうが、私はずいぶん前にReaderを拒絶した。そして
Foxitに切り替えた。しかし、
Nitro PDF Readerや
Sumatraのような他の選択もある。
Adobe ReaderやAcrobatを使用しているのであれば、このソフトウェアをアップデートすることに時間を割きなさい。現在のReaderのバージョンは、
ここで分かるし、他の製品とバージョンは、
このページから利用可能である。
Adobe: Reader中の緊急のセキュリティホールのパッチを前倒し
The H : Security (2010/10/01)
AdobeはReaderとAcrobatの現在のバージョン中の緊急のセキュリティホールを閉じるためのパッチのリリースを火曜日(10月05日)の前に前倒しすることを計画しているとアナウンスした。結果として、10月12日に予定されている定例のパッチ日に、追加のパッチはリリースされないだろう。このセキュリティホールは9月初旬から知られており、特別に細工されたPDFファイルを通してユーザのシステムの制御を攻撃者が取得することを可能にする。
数週間、この脆弱性はマルウェアを繁殖するために実際に脆弱性攻撃に晒されてきた。今Adobeに行動を促している。統合されたFlash Playerもまた脆弱性があり、この修正の一部分として最新バージョンにアップデートされるだろう。システムにインストールされるFlash Playerは既にアップデートされているが、Adobe ReaderとAcrobatは、Adobeが分離して取り扱っているために、未だ古いFlash Playerのバージョンにアクセスしている。
解決策として、MicrosoftのEMETツールが感染したPDFファイルに対する防御を提供している。EMETに関する詳細とオンライン上の脅威の防御に関するAdobeとMicrosoftの協調は、
Microsoftのニュース記事中に見られる。
繰り替えされる早期リリースの必要は、Adobeのスケジュール化された四半期毎のアップデートを短縮すべきか、増加するユーザセキュリティへのタイムリーな応答を諦めて別の物を選ぶかという問題の重きを増した。
Windowsからスパイウェアを削除するには
The Gurdian : Ask Jack Blog (2010/09/23)
読者のSenthil Kumarは、彼のDellラップトップからあらゆるスパイウェアを削除することを望んでいる。彼の質問は以下である。
良い、信頼あるスパイウェア削除ソフトを推薦できますか? できればフリーウェアが良い。私のコンピュータは、四年前に購入したDell D510ラップトップです。
アンチスパイウェアプログラムは、従来のアンチウィルスソフトウェアがスパイウェアの捕獲性能をウィルスと同様に向上させたため、今や流行遅れである。この移行は、スパイウェアが古いスタイルの広告のポップアップからクッキーを追跡しキーロガー、トロイ、他の深刻なタイプのマルウェアを包含し始めた頃に始まった。ターニングポイントは、AVGがEwido Anti-Spywareを買収しAVG8に組み込んだことによって印された。
しかしながら、未だ、あなたのPC中のスパイウェアをチェックするための幾つかのパワフルなプログラム(SuperAntiSpyware や MalwarebytesのAnti-Malware (MBAM)を含む)が存在する。
SuperAntiSpywareはインチキのアンチウィルスプログラムやワーム、ルートキットを含む広範なスパイウェアをターゲットにした無料のプログラムである。$29.95かかるがProffessional版も存在する。
MalwarebytesのAnti-Malware (MBAM)は、普通のアンチウィルスプログラムが検出し損なったスパイウェアを上手く検出する完全なアンチウィルスプログラムである。有料バージョンにアップグレードしない限り、このプログラムは手動で起動しなければならない。
MicrosoftのWindows Defenderは、もう一つの無料のアンチスパイウェア プログラムである。このソフトはGiant Anti-Spywareとして生を受けたが、Microsoftがこの会社を買収した。同時に一つ以上のアンチウィルスプログラムを稼働することは通常不可である。しかし、Windows DefenderとSuperAntiSpywareは共に、完全なアンチウィルスプログラム(
Microsoft Security Essentialsを含む)と幸運にも共存するようである。商用版の選択肢としては
WebrootのSpySweeperがある。
あなたのPCをクリーンにするためには、MalwarebytesのAnti-Malware起動する前にSuperAntiSpywareを起動しなさい。理由は、MBAMの稼働を停止させる感染を削除してくれるかもしれないから。MBAMを稼働したら、Perform Quick Scan(クイック スキャンを実行)を選択し、次にScan(スキャン)をクリックしなさい(Full Scan(完全スキャン)を稼働しないように)。終了したらOKをクリック。次にShow Result(結果の表示)を実行する。 検出された全てにチェックをいれ、次にRemove Selected(選択したものを削除)をクリックする。MBAMを終了したら、PC再起動。次にいつものアンチウィルスソフトを稼働する。もし何か見つかったら、そのマルウェアを削除する。このプロセス全体を繰り返す。
Spyware Info Forumでは、
How to run a scan with Malwarebytes' Anti-Malware(MalwarebytesのAnti-Malwareのスキャン方法)という更に詳細なアドバイスがある。
特定のマルウェアを拾ったと疑う余地があるのなら、それを削除する特別な方法を検索しなさい。人気ある支援フォーラムBleeping Computer, Major Geeks, Geeks To Go, Tech Support Forum, the Spyware Info Forum, その他多くの支援サイト全て、狙いを絞った簡便なユーティリティを使用するルーチンを持っており、そのプロセスを通してあなたを導いてくれるだろう。Malwarebytesのフォーラムはまた、
Malware Removal Guides and Self Help Guidesのセクションで多くの特定の脅威を処理する方法を支援している。
マルウェアの削除に努力することは価値あることである。マルウェアはもはや可視的でなく、子供の悪ふざけの産物ではない。今日、マルウェアは巨大で専門的な犯罪工業で開発されている。そして、マルウェアの成功の程度は隠蔽状態の維持に依存するのだから。
AdobeはFlash中の緊急のセキュリティフローを修正した
Krebs on Security : Blog (2010/09/20)
Adobe Systems Inc.は本日、ハッカーが脆弱性あるシステムに侵入し食い物にしていた広範に使用されているFlash Playerの危険なセキュリティホールを改善するソフトウェアアップデートを緊急リリースした。
Adobeは、Windows, Macintosh, Linux, SolarisでAdobe Flash Player 10.1.82.76とそれ以前のバージョンを使用しているユーザはAdobe Flash Player 10.1.85.3にアップデートするよう推奨している。Android用のAdobe Flash Player 10.1.92.10のユーザは、
このリンク(【訳注】Adobeの日本語サイトにジャンプするはずです)を使用して Adobe Flash Player 10.1.95.1.へのアップデートが利用可能である。
この件に関するAdobeのアドバイザリは
こちら。同じセキュリティ上の脆弱性はAdobe ReaderとAcrobatの最新版にも存在するが、Adobeは10月04日の週までこれ等製品中の脆弱性を修正する計画はないと発言している。
注意、あなたがInternet Explorerと非Internet Explorerの両方を使用しているのであれば、このアップデートを少なくとも二度適用する必要がある。IEでFlash Playerインストレーションのページを訪問しアップデートをインストールすることで一度、次に、Firefox, Opera, Safariで同じことをもう一度行う。Google Chromeユーザは、この最新のFlashアップデートを搭載した
Chrome 6.0.472.62にアップデートすることができる。あなたがインストールしているFlashのバージョンをチェックするには、
このリンクをクリックしなさい。
また、あなたが若干のフリーのソフトウェア(McAfee Security ScanやAdobeが今月Flash Playerに同梱しているブラウザツールバーのようなもの全て)を欲する場合を除いて、Adobeインストレーション中の、この様なソフトウェアのダウンロードに同意する前に、このオプションをアンチェックすることを思い出しなさい。
Bing(検索エンジン)の広告にはアドウェアHotbarつきのFirefoxがある
Sunbelt : Blog (2010/09/20)
Alert Sunbelt Blogの読者Jesse Cは、この件を我々に警告してきた。どんなことが行われているのか彼のE-Mailを引用する。
Windowsを新規インストールした後、私はIEを立ち上げ、Bingで"Firefox"を検索した。検索結果リストの最上層にあるスポンサー結果のトップは、'fire10fox.com'のものだった。このサイトは、既にフリーであるものを取得するために、他の怪しげなものと一緒に'hotbar'と呼ばれるソフトをインストールすることを意図しているようである。
なんと、これは未だ今朝の話である。
VIPREは、Trojan.HTML.FakeAlert.e (v)を検出した。
【アップデート】
Bingはこの問題を修正した。
Adobe: 新たなFlashのフローを警告
Krebs on Security : Blog (2010/09/13)
Adobe Systems Incは、攻撃者がFlashプレーヤ(殆どのコンピュータにインストールされているマルチメディア ソフトウェア)中の未知のセキュリティホールを食い物にしていると月曜日に警告を発した。
Adobeは、Windows, Mac, Linux, Solaris, UNIX, Android用のFlashプレーヤのバージョン10.1.82.76及びそれ以前のバージョン中に緊急の脆弱性が存在すると発言している。
セキュリティアドバイザリで、Adobeは、このフローがFlashにクラッシュを発生させることが可能であり、攻撃者が感染させたシステムのコントロールを完全に奪うことを潜在的に可能にすると警告している。
しかもなお悪いことに、Adobe Flashプレーヤーに対する実際の攻撃がフィールド中で実行されていることが報告されている。Adobeのアドバイザリは、Adobe AcrobatとReaderの最新バージョンが脆弱性あるFlashコンポーネントを含んでいると述べている。Adobeは今のところ、これらプログラム中のFlashフローに対する攻撃を認識していないとしている。
最新の具体例はAdobe AcrobatとReaderのユーザにはチットも慰めにはならないのだが、先週、Adobeは類似のアドバイザリをリリースし、これら二つのプログラムの未パッチの緊急のフローをハッカーが攻撃中であっるということを警告した。
このFlash問題の修正は最終段階のプロセスに入っており、9月27日から始まる週の内にはWindows, Mac, Android用のFlashプレーヤのアップデートの提供を予定していると、Adobeは発言している。Adobe AcrobatとReader中のFlashのフローに関するアップデートは10月04日の週までに準備されるだろうとAdobeは発言している。
Flashは全く使用せずにすることが困難なWebコンポーネントである。私はしばしばユーザにFirefoxをインストールし
Noscriptアドオンを使用するように促してきた。このアドオンはDefaultでFlashベースのコンテンツをブロックする。そして、ユーザがブロックされたFlashビデオを見るか否かを決定できるツールである。
Kenzero(日本製のトロイ)
Schneier on Security : Blog (2010/09/13)
Kenzeroは日本製トロイであり、ユーザのポルノサイトのサーフィンの習慣を公表する。そして次に、この情報を削除させんがためのブラックメールをユーザに送信する。
MicrosoftのツールがAdobe Readerのセキュリティホールをブロックする
The H : Security (2010/09/13)
金曜日、Microsoftは、Acrobat Reader中の0-Dayのセキュリティホールを
Enhanced Mitigation Experience Toolkit (EMET)でブロックする方法を公開した。Adobeは未だ彼ら自身のパッチを公開していないが、最近Adobeは彼らのWebサイト上にMicrosoftのブロック方法に関するリンクを追加した。時間がないことを理由に、AdobeはMicrosoftの手法を完全にテストできていないと、あなた自身の動作環境で更なるテストを推奨すると発言している。
Adobeはこの脆弱性を「緊急」(CVE-2010-2883)に分類している。この脆弱性はシステムクラッシュを発生させ、攻撃者が感染したシステムを制御することを可能にする。そして、このフローを実際に食い物にしているとする最初のレポートが公開された。例えば、火曜日にTrend Microは感染させられたファイルを発見したと記している。Windows, Mac,Unix用のAdobe Reader 9.3.4、Adobe Acrobat 9.3.4とそれ以前のバージョンが影響を受ける。
攻撃者は新たなAcrobat/Readerのフローを食い物にしている
Krebs On Security : blog (2010/09/08)
Adobeは本日、ハッカーがAdobe PDF ReaderとAcrobatの未知の脆弱性を食い物にしていることが明らかになったと警告した。
水曜日にリリースされたアドバイザリにおいて、AdobeはAcrobatとReaderのバージョン9.3.4とそれ以前のバージョン中に緊急の脆弱性が存在すると発言した。そして、この緊急の脆弱性は実際にフィールド中で食い物にされていると報告している。Adobeは、このセキュリティホールを塞ぐためのアップデートのスケジュールを見極めている段階であると発言している。
一方、新しい脆弱性を活用し徘徊している邪悪なPDFファイルは、現在世の中に存在するアンチウィルスプログラムの25%でしか検出されない(本日リリースされた
VirusTotalによるスキャン結果はこちら。PDFファイルであるが、このPDFファイルは安全である)。
Adobeのアドバイザリはこの脆弱性攻撃への可能な軽減策を論じていないが、Reader中のJavascriptを無効にすることは最初のステップとしては常に最善である。AcrobatのJavaScriptはメニューの環境設定から無効にする(編集 -> 環境設定 -> JavaScript。次に、「Acrobat JavaScriptを使用」のチェックを外す)。
更に良い方法としては、Adobe Readerのような激しい攻撃目標になっているものを使用するのではなく、代替のPDFリーダーを使用することである(例えば、Foxit, Sumatra, Nitro PDF)
QuickTime中の0-day脆弱性がフィールド中で実際に使用された
Websense : Security labs blog (2010/09/07)
【訳注】Websenseの宣伝みたいな記事ですが、二つ下の記事に関連しているので訳しました。
我々が最近ポストしたApple Quicktime 0-day脆弱性に関する記事の後、Websense Security Labs ThreatSeeker Networkは、フィールド中でこの脆弱性を食い物にしているものが発見された。我々は少なくとも一月前に、この脆弱性から顧客を保護した。そして、また、ACEを使用している顧客に対しリアルタイム プロテクションを提供している。
ここに脆弱性のあるQuickTimeの関数を呼び出しを示す攻撃ページのスクリーンショットを示しておく。
Secunia's PSI 2.0 beta: Windowsユーザのアップデートの悩みに対処
The H : Security (2010/09/01)
デンマークのセキュリティ企業Secuniaは、
Personal Software Inspector (PSI)アプリケーションのバージョン2をリリースした。このソフトウェアは以下のような攻撃者の攻撃目標にされているプログラム(Adobe Reader, Flash Player, Firefox, Java, Skype等)を自動的にアップデートすることが可能である。Windows用のフリーのベータ版は、インストールされているアプリケーションからセキュリティリスクを引き起こす可能性のある脆弱性あるバージョンを発見するためシステムをスキャンする。PSIは統計解析のため全てのスキャン結果をSecuniaに送信する。
Secuniaによれば、自動アップデートはSecuniaのアプリケーションデータベースに登録されている15%のアプリケーションに関して利用可能である。Secuniaはベータ段階の間に更なるプログラムを含むよう自動アップデート機能の継続的拡張を計画している。自動アップデート機能が提供されていない多くのアプリケーションに関して、PSIは手動でダウンロードできるように関連するアップデートのリンクを提供している。Software Inspectorがプログラムの認識に失敗した場合、ユーザは"Are you missing a program?"ボタンを押すことでSecuniaに考慮するようフィードバックできる。Secuniaのアプリケーションデータベースは完成したものではないが、heise SecurityとThe Hの共同で行ったテストにおいて、Secunia PSIはテストシステム上にインストールされている膨大なプログラムを認識した。
今回のベータ版は、PSIのユーザインターフェイスとスキャン結果の表示に関し改善されている。
ビジネス カスタマはSecuniaのビジネス用のプログラムCorporate Software Inspectorを使用できる。このプログラムは会社のネットワーク上の重要なデータにアクセスするために使用されている彼らのホームPC中のアプリケーションのパッチのレベルをリモートからモニタすることが可能である。
QuickTime中に発見されたバックドア
The H : Security (2010/08/30)
セキュリティエキスパートRuben SantamartaはQuickTimeのActiveXプラグイン中に、悪意あるコードを挿入する攻撃を可能にする公開されていないパラメータを発見した。犠牲者が特別に細工されたWebサイトを訪問するだけで攻撃は成功する。攻撃者は_Marshaled_pUnkパラメータに対してあるオブジェクトポインタを追加し、QuickTimeがサードパーティー製のDLL中の関数にアクセスを発生させるプラグインにそれを登録する。Santamartaの発見した脆弱性攻撃はWindows7やVistaのData Execution Prevention (DEP)とAddress Space Layout Randomisation (ASLR)メカニズムをバイパスすることが可能である。
_Marshaled_pUnkパラメータは、SantamartaがQuickTimeの2001年バージョン中に発見した脆弱性の存在した関数の名残りである。Appleはその後のバージョンでこの関数を削除したが、このパラメータに関しては見逃していたことは明らかである。このパラメータがプログラミングのエラーの結果としてよりむしろ故意に実装された場合、厳密に言えば、この問題はバックドアの問題になるとSantamartaは発言している。
脆弱性あるバージョンは、QuickTime 7.x, 6.xを含むとともに、Windows XPからWindows7までのOSと組み合わせされているそれ以前のバージョンを含む。利用可能なアップデートは存在しない。現時点での唯一の防御方法は、ActiveXコントロールの実行を妨げることである。例えば、Internet Explorer中のアドオン マネージメント機能を経由するプラグインを
kill bitを設定する(参照、Internet Explorer で ActiveX コントロールの動作を停止する方法)ことによって無効化する。もしくは別のブラウザを用いる。
Drive-By トロイが期限切れのJavaを餌食にしている
Sophos : Blog (2010/08/20)
MicrosoftのTechnet Blog上でMarian Raduは、マシンにJava Runtime Environment (JRE)のアップデートが正常に行われなかったユーザにはUnruyと呼ばれるトロイによるドライブーバイダウンロードの脆弱性があると警告している。このトロイはインチキのセキュリティ製品に関連付けられている。Raduは、この脆弱性(3月にパッチされた)は実際に食い物にされ続けていると発言している。
Version 6 Update 18を稼働しているブラウザは脆弱性を有する。現在のJREのバージョンは、Version 6 Update 21 である。
Microsoft Technet blogでの記述はこちら:
“Unruy downloader uses CVE-2010-0094 Java vulnerability”
現在使用中のJavaのバージョンをチェックし、必要なアップデートをダウンロードするのはこちら:
http://www.java.com/ja/download/installed.jsp
Adobe: AcrobatとReaderの定例外パッチをリリース
Krebs On Security : Security (2010/08/19)
Adobeは本日、広範に使用されているAcrobatとPDF Reader中の少なくとも二つの脆弱性を修正するためのソフトウェアアップデートをリリースした。このアップデートは、Windows, Mac, UNIXで利用可能である。
AcrobatとReaderのユーザは、備え付けのアップデート機能の使用(メニュー>ヘルプ>アップデートのチェック)で最新バージョン v. 9.3.4 にアップデートできる。
今回のアップデートは、最近行われた四半期毎の定例パッチに続く、定例外のリリースである。Adobeは、先月ラスベガスで行われたBlack Hatセキュリティ カンファレンスでデモされた脆弱性を解決するアップデートであると発言している。Adobeのリリースノートは、今年三月、研究者Didier Stevensによって詳らかにされたフローにも言及している。Adobeは、これ等の何れの脆弱性も未だ攻撃されていないと発言している。
これ等のパッチに関する詳細情報に関しては(AcrobatとReaderの以前のバージョンをアップデートするような)、
Adobeセキュリティアドバイザリを参照。
Apple: Windows用QuickTimeにパッチ
The H : Security (2010/08/13)
Appleは、Windows 7, Vista, XP用QuickTime 7.6.7をリリースし、凡そ二週間前に発見された緊急のセキュリティフローを閉じた。このフローはQuickTimeStreaming.qtxコンポーネントに含まれており、最大長を越えるURLを持つSMILファイルを処理するときにバッファオーバーフローを発生させるといわれている。この脆弱性は攻撃者がPCに任意のコードを挿入することを可能にし、そのコードをそのPC中で実行することを可能にする。ユーザは巧妙に細工されたWebサイトを単純に訪問することで、この攻撃の犠牲者になる。
Appleによれば、Mac OS Xは、この問題の影響を受けない。Appleは既にWindows用QuickTimeの新しいバージョン7.6.7の
ダウンロードを提供している。ユーザはiTuneに同梱されているQuickTimeのバージョンのダウンロードは回避すべきである(このバージョンは未だ脆弱性のあるQuickTime 7.6.6を含んでいることが明らかなので)。
Opera: 高いリスクの脆弱性を修正
The H : Security (2010/08/12)
Opera Softwareは、高リスクのセキュリティホールを修正したバージョン10.61をリリースした。この問題は、ある描画操作を実行したときHTML5中でヒープオーバーフローを発生させる。ある場合にはコードを実行するために使用できる。
二つのより軽度なセキュリティ問題もまた修正された。中度のセキュリティバグはタブフォーカス中で予期せぬ変更を可能にする(ダウンロードダイアログを曖昧にし、ダウンロードされたファイルを潜在的に実行することができた)。軽度のセキュリティ問題はユーザの承諾なしにこのフィードに登録するための埋め込まれたスクリプトでニュースフィードを可能にすることを発生させる。
Operaはユーザが新しいバージョンにアップグレードすることを強く推薦している。このバージョンは幾つかのバグフィックスも含んでいる。この件に関してはWindows, Mac, Unix用リリースノートに詳細に記されている。
アップデートされたOpera 10.61はダウンロード可能である。
Flash Playerに緊急のアップデート
Krebs On Security : Blog (2010/08/10)
Adobeは汎用されているFlash Player用のパッチをリリースした。
このパッチはFlash中の少なくとも6つのフローを修正する。提供されるFlashの最新バージョンは、10.1.82.76である。あなたが現在使用しているFlashのバージョンを認識していないのであれば、
このリンクのページを訪問すると表示される。
【注意】あなたがInternet Explorerと非IEブラウザの両方を使用しているのであれば、このアップデートを各ブラウザ毎に適用する必要がある。まず、IEでFlash Playerインストレーションのページを訪問し、次にあなたが使用している非IEブラウザ(Firefox, Opera, Chrome等)で、このページを訪問する必要がある。また、McAfee Security Scanや今月AdobeがFlash Playerに同梱しているフリーのソフトウェアを望まない場合は、Flash Playerのダウンロードに同意する前に、それらのオプションのチェックを外さなければならないことを記憶に止めておきなさい。
耳に胼胝ができる。Adobe Readerに緊急のセキュリティホール
The H : Security (2010/08/04)
あることが常態化すると誰も注意をしようとしなくなる。先週のBlack HatカンファレンスでAdobe Reader中の大きなセキュリティホールを示したセキュリティエキスパートCharlie Millerの場合がこれに当たる。彼のプレゼンテーションの後、Millerは以下のように発言している。「Adobeのセキュリティは非常に悪いのに誰一人としてそれを呟かない。悲しい。」
AdobeはWindows, Mac OS X, Unix用のAdobe Readerの現バージョンが影響を受けるセキュリティホールであり、ハッカーがシステム中に任意のコードを挿入し、そのシステム中でそのコードを実行し脆弱性を攻撃できることを確認している。以前のバージョンにこの脆弱性が残存しているか否か不明である。Adobeはパッチを作成中であり、Millerによって露にされた情報を定例外アップデートで保証するか次の定例パッチ日で修正するか現在検討中である。現在まで、インターネット上でこのセキュリティホールへの攻撃の兆候はない。
本年五月、Adobeの製品セキュリティ及び個人情報ディレクタBrad Arkinは、The Hの姉妹紙heise Securityに対し、AdobeはAdobe ReaderとAcrobatの四半期毎のアプデートサイクルを30日に短縮することを考慮中であると発言した。伝えられるところによれば、AdobeはまたMicrosoft Updateのように別チャンネルを通じてパッチを配布することに興味を示している。
最近の別のPDFに関するセキュリティホールは、ユーザがiPhone, iPod touch, iPadデバイスからJailbreakMe.comページにアクセスすることでiPhone, iPod touch, iPadデバイスを脱獄することを可能にしている(【訳注・Wikiより引用】通常のiPhoneまたはiPod touchにインストールできるアプリケーションは、基本的に App Store と呼ばれるAppleが認可したアプリケーションを販売している窓口で入手したアプリケーションのみであるが、Jailbreakツールは App Store では公開されていないサードパーティアプリをインストール可能にし、またアプリのインストーラを追加するようにファームウェアを書き換える。いわゆる Privilege escalation(特権昇格)の一種である。海外ではこのようにAppleの完全な管理下から自由な環境へ逃れることを「脱獄する」と表現したが、日本国内でもこの行為はそのまま「Jailbreakする」、または「脱獄する」と呼ばれることが多い。この行為により、Appleのサポートを受けられなくなるうえ、故障やウィルスの標的にされる危険性がある)。しかしながら、F-Secureによれば、Adobe Readerはこの脆弱性の影響を受けない。一方、Foxit Readerでは、このホールは少なくともクラッシュを引き起こす引き金にされる。
Windows XPのシステムの復元が動作しないとき
The Guardian : Ask Jack Blog (2010/07/29)
Arthur Whitemoreの質問から:
システムリストアは順調に動作していたが、今、最新のリストアポイントだけしか保存されなくなった。新しいリストアポイントは次の日に作成されたが、今までのリストアポイントは消えてなくなった。私のCドライブは12.3Gbのフリースペースがあり、システムの復元はディスクスペースの12%に設定されている。
システムの復元は、あなたのPCでなされた変更の追跡(レジストリを含む)を主として保存しているので、問題に遭遇したとき、以前の状態に戻すことが可能である。カレンダーの日付が太字になっているので、以前のリストアポイントを確認可能である。何も確認できないのであれば、セーフモードでPCを再起動してみなさい。セーフモードは必要最小限のWindowsをロードするので、システムの復元の動作を停止しているプログラムを含んでいないかもしれない。この様なプログラムはウィルスもしくはアンチウィルスプログラムの可能性がある。アンチウィルスプログラムがシステムファイルの変更を妨げるのはそんなに驚くようなことではない。
システムの復元がセーフモードで正しく動作していたなら、次の挑戦は何がシステムの復元を停止しているか見出すことである。
MBAM (Malwarebytes Anti-Malware)を稼働させることは良い初動である。もしそれがウィルスもアンチウィルスプログラムでもないのであれば、スタートアッププログラムを消去していくことになる。このためにWindowsの msconfig を使用できるのだが、
AnVir Task Manager Freeは試す価値がある。
もちろん、システムの復元が動作を停止する最も共通した理由は、ディスクスペースを使い果たしていることである。このためのMicrosoft サポートページがある;
システムの復元の "復元ポイント" が見つからないか削除される また、多くの有用なドキュメントもある。
Troubleshooting steps for issues when you try to use the System Restore tool in Windows XP(英文)
システムの復元はホームPC上で200Mbから400Mbを占有するので、十分なスペースを持っておくべきである(12.3GBの12%はおよそ1.5GB)。しかしながら、PCユーザはシステムの復元が如何程のスペースを占有しているか確認できる。これを行うには、隠しファイルとフォルダを表示しなければならない。隠し属性のファイルやフォルダを表示するには、Windows Explorerを開き、ツールメニューに進む。フォルダオプションを選択し、表示タブをクリックする。詳細設定オプションのファイルとフォルダの表示セクションの、すべてのファイルとフォルダを表示する にチェックを入れる。終了するためにOKボタンをクリックする。
Cドライブに進み、System Volume Informationフォルダをダブルクリックする。"_restore"ディレクトリを右クリック。システムの復元が如何程のスペースを使用しているか発見するためにはプロパティを選択する。"システムの復元を無効にする"は、占有スペースを0にすべきである。運が良ければスクラッチから再び開始できる。
私はシステムの復元と明らかに同じ仕事をするフリーのプログラムを知らない。しかしながら、
Erunt (Emergency Recovery Utility NT)は、Windows XPのレジストリをバックアップし復元する。また、ImageLANの
ConfigSafeもある。このツールはあなたのシステム設定のスナップショットを取得する。これはシステムの復元よりベターであるが、商用バージョンである。私は何年にも渡りこのプログラムを使用している。理由はIBM ThinkPadラップトップに同梱されているからだ。
QuickTime 7.6.6 に緊急の脆弱性
The H : Security (2010/07/27)
セキュリティサービスプロバイダSecuniaによれば、AppleのWindows用QuickTime 7の最新バージョンは攻撃者がユーザのシステムを改竄することで攻撃できる緊急の脆弱性を含んでいる。Secuniaは、この問題がQuickTimeによって使用されるストリーミングコンポーネント中のバウンダリエラーによって発生し、スタックベースのバッファオーバーフローを引き起こすために使用できると発言している。この攻撃が成功すると、犠牲者は最初に巧みに細工されたWebページを開かされることになる。
2010年3月末にリリースされたQuickTime 7.6.6 (build 1671)は、QuickTime 7.x シリーズの最新版である。このバージョンは16の緊急の脆弱性を塞いだバージョンとしてリリースされた。それら脆弱性の全ては、攻撃者がユーザの現在の権限で任意のコードを挿入し実行するが可能であった。
WindowsとMac OS X用のQuickTimeの以前のバージョンが影響を受けるかどうか現時点では不明である。Appleはこのアドバイザリに未だ応答していない。
LNK脆弱性を防御するフリーのツール
Sophos : Graham Cluley’s blog (2010/07/26)
Sophos技術陣は"LNK脆弱性"として知られる0-Dayの脆弱性を食い物にするマルウェアからユーザを保護するためのフリーのツールの開発を急ぎテストしてきた。
我々は多くのハッカーがこの脆弱性を攻撃に悪用しているのを、Microsoftのこの未パッチの脆弱性を悪用してマルウェアを拡散しているのを見てきた
Sophosはこの問題に対し顧客保護の最善の仕事を実行してきた。しかし、あなたがSophosユーザでないなら、攻撃を心配されているだろう。
我々は今、the Sophos Windows Shortcut Exploit Protection Toolを提供する。このツールの行動を確認するには
このリンクのビデオを参照。
ここに簡潔な説明をしておく。
1/ このツールは.LNK脆弱性への攻撃を含むLNKショートカットファイルをインターセプトする。それが稼働を企てている実行コードであることを、あなたに告げる。もし、それらが例えばUSBドライブのような非ローカルディスク上に存在する場合は、この脆弱性を使用する悪意ある脅威を停止することを意味している。
2/ このツールは、あなたが使用しているアンチウィルスツールと平行して稼働できる。大切なものを無用なものと一緒に捨てることはない。このツールは Windows XP, Vista and Windows 7をサポートしている。Windows 2000はサポートされない。
3/ Windowsの解決策と違い、あなたのWindowsスタートメニュー上のショートカットを全て消し去ってしまうようなことはない。(【訳注】Microsoftが提供した一時的解決策のFix-itは、スタートメニューをブランクにするトラブルが発生しています)
4/ フリーツールである。
もっと知りたい方のために、マニアックな説明をしておく。
ショートカット脆弱性として知られるこの脆弱性は、Microsoft Windowsが.LNKショートカットファイルを操作する方法中に存在する。Windowsが攻撃用のショートカットファイルのアイコンを表示しようとしたなら、如何なるユーザも認識することなく、このショートカットによって指示されている悪意あるコードが起動する。
我々がこの問題への攻撃を確認した方法の一つにUSBドライブに感染したマルウェア経由がある。これはAutoPlayとAutoRunを無効化してなおウィルスに起因するコードを稼働する能力を持っている。
フリーのSophosツールは新しいWindowsショートカットのハンドラをインストールする。WindowsがWindowsショートカットに対応するアイコンを表示しようとするときは常に、新しいアイコンハンドラがこの要求をインターセプトする。そして、ショートカットの正当性を立証する。このショートカットがこの脆弱性攻撃を含んでいない場合は、制御をWindowsに戻す。
しかし、ショートカットが攻撃を含んでいるのであれば、ユーザに対してメッセージが表示され、危険なアイコンの抽出はブロックされる。
Windowsショートカットがコントロールパネル ショートカットであり、既存の実行用ファイルを目指しており、ショートカットもショートカットのターゲットも共にコンピュータのローカルディスク上に存在しないのであれば、この脆弱性を含んでいるとみなされる。
本当に素晴らしいことは、このフリーツールはあなたが使用しているアンチウィルソフトと競合しないということである。あなたは未だSophosからこのフリーツールをインストールできる。そして、あなたのアンチウィルスと共に稼働するだろう。
もっと短い名前にすべきと思うがSophos Windows Shortcut Exploit Protection Toolのインストールは朝飯前である。このツールはインストールもアンインストールも簡単容易である。管理者はコンピュータ上にインストーラパッケージを稼働できる。ネットワーク管理者はグループポリシーを通じてインストーラパッケージを転送できる。
Microsoftは早急にこのショートカット脆弱性に対する防御用の適切なパッチをリリースするだろう。その時には、このツールを単純にアンインストールする。しかし、現時点では、このツールは必要である。とっても必要である。
このリンクに進みSophos Windows Shortcut Exploit Protection Toolを入手しなさい。
LNK脆弱性を悪用する全てのウィルスを検出するツール
Bkis : Bkis Global Task Force Blog (2010/07/21)
Download here(【訳注】直リンクにつき、このブログのページにリンクします。ダウンロードは各自の判断で行ってください)。
我々はLNK脆弱性を悪用するあらゆる種類のウィルスを検出するツールを開発した。コンピュータユーザはダウンロードでき、自身のコンピュータが感染しているか否かチェックするためにこのツールでスキャンできる。
Detect .lnk shortcut file virus tool(.lnk ショートカット ファイルのウィルス検出ツール)
我々のモニタリングシステムは、この脆弱性を悪用する幾つかのウィルスを検出した。Microsoft Windows .lnk脆弱性は緊急のフローである。多くの様々な種類のウィルスがユーザのコンピュータに感染しこのフローを食い物にしている。一方、このフローに対するパッチも解決策もMicrosoftはリリースしていない。
そこで、我々は .lnk 脆弱性を食い物にするウィルスにコンピュータが感染しているか否かユーザがチェックできるツールを提供することにした。
こちらの
“Detect .lnk shortcut file virus tool”(【訳注】直リンクにつき、このブログのページにリンクします。ダウンロードは各自の判断で行ってください)をダウンロード。
WindowsのLNK脆弱性に関する説明
Bkis : Bkis Global Task Force Blog (2010/07/21)
【訳注】この脆弱性に関する説明は
Websenseの解説の方が詳細なのですが、やや専門的過ぎるので、こちらを和訳しておきます。
.lnkファイルはWindowsショートカットのフォーマットである。このフォーマット中に最近発見された脆弱性は、コントロールパネルのショートカットのWindowsプロセス中に存在している。通常この様なショートカットは以下のように処理される。
コントロールパネル
各コントロールパネルのショートカットは実行ファイルにリンクされている。例えば、“Automatic Update(自動アップデート)”ショートカットは、Windows Updateユーティリティにリンクされている。Windows、取り分けWindows Shellは、このショートカットのアイコンを表示するために、そのリソースからアイコンを取得するために .cpl 拡張子のついたPEファイルをロードする。上例の場合では、ロードされるPEファイルは “C:\Windows\System32\wuaucpl.cpl”である。
Windows ShellのロードしたPEファイルを巧みに利用してショートカットアイコンを表示するので、ハッカーは悪意あるファイルへのパスの付いたコントロールパネル ショートカットファイルを作成することが可能である。Windows Shellがショートカットアイコンを表示するために上で述べたステップを実行したとき、悪意あるファイルがロードされるだろう。以下の図は巧みに細工されたコントロールパネル ショートカットが悪意あるファイルをロードするプロセスの解析し説明したものである。
コントロールパネル ショートカットが悪意あるファイルをロードするプロセスの解析
以下は、脆弱性を食い物にするために使用されたコントロールパネル ショートカット フォーマットの説明である。
巧みに細工されたショートカット ファイル フォーマット
任意の悪意あるファイルを実行するために(このケースにおいては、DLLファイル)、これはまるでAutorun機能のようにUSBドライブ中にロードされる。そこで、ハッカーは、悪意アルファいるにリンクする「インチキの cpl パス ファイル」中にそのパスを指定したlnkフォーマットを作成すればよいだけである。
トロイは新たなWindowsのセキュリティホール経由で拡散している
The H : Security (2010/07/15)
アンチウィルスのスペシャリスト達は、新たなトロイがUSBフラッシュドライブ経由で拡散していると報じている。これは明らかにWindowsの今迄未知のセキュリティホールを食い物にしている。ベラルーシのアンチウィルスベンダVirusBlokAdaによる解析によれば、このトロイが侵入しているフラッシュドライブが差し込まれたとき、autorun.inf のような汎用されている自動実行ツールに頼ること無に完全にパッチされたWindows 7(32ビット版)に感染した。自動実行機能を通じて拡散する代わりに、このマルウェアはショートカットプロセス(.lnkファイル)に関するコード中のフローを食い物にしている。一旦、これに関連するアイコンがWindows Explorer中に表示されると、悪意あるコードはユーザに全く認識されることなく起動される。
このトロイはシステム中で、それに続く行動を隠蔽するようデザインされたRootkit機能を持つ二つのドライバをインストールすることで犠牲者のコンピュータを食い物にする。面白いことに、二つのドライバは共に、RealTekによるCode Signing キーの付随する電子署名が存在するので、警告表示なしにシステムにインストールされることが可能である。つい最近、アンチウィルスベンダF-Secureは、Windows向けの署名付きマルウェアの数が増加していることを指摘している。幾つかのケースでは、ディジタルキーは開発者から盗まれていた。
マルウェア アナリストFrank Boldewinによる調査は、疑いを持たないユーザからパスワードを収穫するために設計された代わり映えのしないマルウェアではないことを示している。このマルウェアは特にプロセス制御システムと、それらの可視化コンポーネントをターゲットにしている。それゆえ、このトロイは大規模に拡散することはありそうにない。
この調査の間に、Boldewinは、このトロイがSiemensのWinCC SCADA システムに対して実行した幾つかのデータベース検索に遭遇した。The Hの姉妹紙heise Securityに対するBoldewinのE-Mailでの説明によると、「通常の」マルウェアは、そのようなことはしない。Boldewinは続けて、「このSiemens SCADAシステムは多くの産業界で広範に使用されているので、我々は攻撃者の狙いが産業スパイか、もしかすると政府関連機関へのスパイ行為でさえあるかもしれないと仮定しなければならない。」Frank Boldewinは我々の"CSI:Internet"シリーズ中の特集記事
"Episode 2: The image of death"の著者である。
Microsoftは、この脆弱性について通知されているが、再現性に問題があると表明している。AV-TestのAndreas Marxは、あらゆる.lnkファイルは、この新たに感染させられたUSBフラッシュドライブに関連付けられていると発言している。これは今迄に発見されたトロイのサンプルが任意のWindowsシステムで簡単に開始することができないことを意味している。このマルウェアは、このコードへの幾許かの修正の後OllyDbgデバッガ中でのみ開始するだろう。
Adobe: 完全にパッチされたバージョンのみを提供
The H : Security (2010/07/14)
先月末予め
アナウンスされた様に、AdobeはダウンロードセンターからReaderの完全にパッチされたバージョンのみを今提供している。過去において、Readerの最終のメジャーアップデート(このケースではバージョン9.3)のみが、get.adobe.com/reader/ ページからダウンロード可能であった。インストールすると直ちに、ユーザはアプリケーション自身を通じてその後のパッチを取得することを要求された。最新のアップデートの完全版は(バージョン9.3.3)
Adobe Downloadのサイト(英文サイト)から直接ダウンロード可能である。(【訳注】日本語版は、おそらく
こちらのサイトで良いと思います)
Adobeの対応は多くのセキュリティエキスパートが必要なパッチを適用される前のReaderのバージョンをダウンロードしインストールすることはDefaultで脆弱性が存在することであるという指摘に基づく批判の結果として出現した。エキスパートはAdobeのReaderとFlash Playerは攻撃者が使用する最大の二つの入り口として存在しており、Adobeは彼らのユーザを不必要なリスクの下に置いていると忠告した。
Adobeが彼らの製品のセキュリティを改善するために最近の数ヵ月幾つかのステップを踏んできたことは注目に値する。Secure Product Lifecycle SPLCの一部としてスケジュール化された定例パッチ(そして、必要に応じて予定外のもの)に加えて、2009年中頃には、Adobeは彼らのセキュリティパッチを四半期毎に(四半期毎のアップデートをMicrosoftのPatch Tuesdayに一致させて)リリースするとアナウンスした。
さらに、AdobeはReaderのバージョン9.3.2で自動アップデート機能を導入した。Defaultで、このアップデート機能はアップデートをダウンロードし、これをインストールする前にユーザ確認を要求する。Readerはまた、ユーザ確認なしにアップデートをインストールするサイレントアップデートも備えている。
Windows XP SP2を未だ利用している人々のセキュリティ リスク
Sophos : Graham Cluley's Blog (2010/07/12)
明日(2010/07/14 水曜日【訳注】日本時間に修正しています)、MicrosoftはWindows XP SP2用の最後のセキュリティパッチをリリースする。
2004/08に一回目がリリースされたこのサービスパックは、もはやMicrosoftによってサポートされなくなる。これは、様々な緊急の脆弱性が発見されているにもかかわらず、今月のパッチの火曜日以降、ユーザがXP SP2用の如何なるセキュリティパッチも受けとることがないことを意味している。
さらに、MicrosoftがサポートしなくなるのはWindows XP SP2だけでなく、あなたがWindows XP SP2の稼動を継続したなら、Internet Explorer, Windows Media Player, Outlook Express、他のWindows XP SP2のコンポーネントのセキュリティパッチも受けとることができなくなる。
何か不思議ですか?ー「何が問題なんだ? つまるところ、Windows XP SP3が2008年にリリースされ、SP2に置き換えられたじゃないか? そうだろ」
そうだ。しかし、
最近公開された統計 は、組織や団体の77%の警告は、彼らのPCの10%以上がWindows XP SP2を稼働していることを示唆している。
このことは、新しい脆弱性が発見されたとき、適切に防御されない恐ろしいほど膨大なコンピュータが存在することを意味しており、マルウェアの攻撃に対して潜在的脆弱性があることも意味している。
MicrosoftはおそらくあなたがコンピュータをWindows 7にアップデートすることを好むだろうが、幾多の以前のコンピュータにとっては無理難題であるかもしれない。Windows 7へのアップデートを考えていないのであれば、
Windows XP SP3へアップデート(無料)を適用しなさい。Windows XP SP3は、少なくとも2014年04月までMicrosoftによってサポートされる。
Microsoft: 未パッチのWindowsフローへの攻撃の増加を警告
Krebs On Security : Blog (2010/07/05)
Microsoftは、 Windows XPとServer 2003を搭載しているコンピュータ中に存在する未パッチで緊急のセキュリティホールに対する攻撃を、ハッカーが増加させていることを警告中である。Microsoftは、このフローを修正する公式のパッチを作成中であると発言しているが、現時点で、この脆弱性あるコンポーネントを無効化する暫定的解決策を適用するようユーザを急かしている。
Microsoftは当初、Googleの研究者が、感染したシステムをリモートから改竄することができるMicrosoft Help & Support Center中のフローの詳細を暴露した後、間もなくの六月中旬、この脆弱性に対する攻撃は限定的であると発言していた。先週、Microsoftは、Windowsユーザに対する攻撃のペースが勢いを増してきていると発言し、10,000以上の異なるコンピュータが少なくとも一度はこの攻撃に曝されていると
報告した。
あなたが、Windows XPかServer 2003のどちらかのユーザであるなら、私は脆弱性あるHelp Centerコンポーネントを無効化するために、Microsoftのその場しのぎの”FixIt”を適用するよう、あなたに奨める。これを実行するには、
このリンクをクリックしなさい。次に、表示されたページの中央部にある”この解決策をを有効にする”フレームの中にある”FixIt”ボタンをクリックしなさい。あなたが何らかの理由から、このコンポーネントを再度有効化する必要があるのなら、隣のフレーム(”この解決策を無効にする”)にある”FixIt”ボタンをクリックしなさい。このその場しのぎの修正を適用したユーザは、利用可能になった公式パッチを適用する前に、このパッチを無効化する必要はない。おそらく、7月13日のMicrosoftの月例パッチで(Patch Tuesday)適用されるだろうと思われている。
Adobe Readerは完全に修正されていない
Bkis : Bkis Global Task Force Blog (2010/07/01)
2010年6月29日、AdobeはAdobe ReaderとAdobe Acrobat (
APSB10-15) に関するセキュリティアップデートをリリースした。この時に修正された幾多の脆弱性のうち、重要な物の一つに /Launch 脆弱性(
CVE-2010-1240)がある。この脆弱性はDidier Stevensによって発見されたといわれている。しかしながら、このパッチ(【訳注】PDFの仕様に含まれる「/launch」機能によるソーシャルエンジニアリング攻撃を防ぐために追加された機能)が適切に動作していないことが残念である。
/Launch脆弱性は、Didierによって2010年3月9日に公開された。それ以来、インターネット上の多くのウィルスはこの脆弱性を巧みに利用してきた。
Adobeはこのパッチのリリースに三ヶ月間を要した。あまりにも遅いと私は思う。このブログのエントリで、DidierはAdobeがこのフローを完全に修正したことを確認している。そこで注意深くこのパッチをチェックした。その結果、このパッチが不完全であると結論することになった。
最初に、Adobe Readerの最新版で、食い物にされたPDFファイルをチェックした。
9.3.3以前のバージョンの場合、以下の図の様になる
9.3.3の場合、以下の図の様になる
このパッチは動作しているように見える。ところが、私が脆弱性を攻撃するコードをチョットだけ改竄すると何が発生したか?
厳密に言えば、私は /F に渡されるパラメータに引用符を追加した。
例えば、/F(cmd.exe) を /F(“cmd.exe”) にした。
引用符を追加するこで、Adobe Readerは、この実行をブロックしなかった。そして、警告は以下のようになる。
ここでOpen(開く)ボタンを押すと、cmd.exeが実行されるだろう!!!
Adobe Reader バージョン9.3.3はインチキの警告メッセージは修正したが、脆弱性を攻撃するコード実行の脅威は未だに残っている。
以下によって確認することが可能である:
1/ Adobe Readerを最新のバージョン9.3.3にアップデートする。
2/ PoCをダウンロードしAdobe Readerで開きます。(これで、電卓が起動します)
Adobe: AcrobatとReaderをアップデート
Krebs On Security : Blog (2010/06/29)
アドビシステムズは攻撃者が脆弱性あるシステムに侵入し食い物にしていた緊急のフローを修正したAcrobat ReaderとAcrobatのアップデートを行うようユーザを急かしている。
Acrobat ReaderとAcrobatのアップデートバージョンは9.3.3になる(より古い8.2系の両方の製品のアップデートの最新バージョンは8.2.3になる)。これらパッチは、Windows, Mac, Linux, Solaris用のバージョンが利用可能である。このアップデートに関するAdobeのアドバイザリは
こちら。Readerのアップデートは
このリンクから可能であるが、Readerを開始し、ヘルプ>アップデートの有無をチェック をクリックしてもアップデートを入手できる。
Adobe Readerのホームページからアップデートをダウンロードすると、多分望みもしない様々な物が同梱されてくるのが落ちである。
Adobe ReaderやAcrobatを使用しているのであれば、アップデートをちょっと考えてほしい。おそらく悪意あるハッカーのターゲットにあまりなっていない他のPDFリーダー(Foxit Reader, Nitro PDF Reader, Sumatra)に切り替えたほうが良いのかもしれないから。
Adobeの物より優れた他のPDFリーダーを推奨することは難しいことではない。まず、アップデートプロセスを効率化するというAdobeの約束にもかかわらず、この一年程の間にAdobe製品のアップデートはより複雑化してきているかのようである。例えば、AdobeのWebサイトからのアップデートは、アンチウィルス セキュリティスキャナやツールバーのように、常にサードパーティーのソフトウェアがインストールされているか事前チェックする。Readerのこのバージョンはまた“Acrobat.com”(オンラインPDFの作成と取扱いマネージャ)と呼ばれるプログラムをインストールする。ついでに言えば、Readerのアップデートがデスクトップ上に作成したアイコンからAcrobat.comを稼働すると、別の”強制アップデート”がこの製品のために要求される。
それに加えて、ユーザはAdobe Download Manage(過去に、これ自身にセキュリティに関する脆弱性が紹介されたプログラム)をダウンロードするよう要求される。
多くの読者はダウンロードマネージャの目的について尋ねてきた。それは今月のリリースで明かにされている。Adobeは、ダウンロード可能な幾つかの他のソフトウェアのタイトル、Adobe Airで動作するよう作成されたアプリケーション、さらに、毎回Readerのアップデートに同梱されている他のマルチメディア コンポーネントを売り込む目的でDownload Managerプログレス スクリーンを使用している。
しかし、このアップデートプロセスはまだ完成していない。実際に、今のところAdobe Readerではバージョン9.3.0の場合だけである。そして、まだユーザに最新バージョン(v. 9.3.3)をもたらすために追加アップデートを必要としている。アップデートを取得するにはReaderを起動する。Windowsタスクバー上にReaderのアップデートアイコンが現れるまで一、二分待つ。次に、インストールボタンをダブルクリックする。それからWindowsユーザはパッチを有効にするためにシステムを再起動する必要がある。
ところで、AdobeがReaderとAcrobatで修正した脆弱性はまた、Adobeの汎用されているFlash Player中にも存在する。しかし、Adobeは6月10日Flashのフローを修正するアップデートをリリースした。今月にアップデートされたFlashを未だアップデートしていないのであれば、
こちらの記事(英文)を参照しなさい。アップデートを実行する方法を丹念に示してある。
アンチウィルスソフトは常識の貧弱な代替物か?
Krebs On Security : Blog (2010/06/25)
最新のマルウェアの脅威の検出の分野でのアンチウィルスソフトの有効性/無効性に関する新たな研究は、安全なオンライン上に滞在するには、適切なセキュリティソフトウェアのブランドや組み合わせを発見するよりむしろ、よりあなたの頭を使用することである、ということが大変必要であるということを思い出させる。
先週、セキュリティソフトウェア テスト企業NSSは、メジャーのアンチウィルス製品が悪意あるWebサイトで押し付けられるマルウェアの最新の脅威の検出に平均45時間以上(およそ二日)かかるとする、最新の論争の的となるテスト結果をリリースした。
以下の二つのグラフはアンチウィルスソフトの商用バージョン トップ10 のパフォーマンスを示している。NSSは各製品のパフォーマンスの追跡結果の凡例の表示なしに、これらグラフをリリースしたことを認めた。この理由の一つは、NSSがこの情報を販売しているためであり、もう一つの理由は、NSSの社長Rick Moyによれば、NSSがアンチウィルス企業の広告になることを望まないためである、とされる。
【訳注】縦軸:ブロック率。横軸:日数(1d=一日、2d=二日)。グラフの色分け:テストに供された各アンチウィルス
これは私にはどうでもよいことだった。この様なテストで上位にランクされる製品は数週間で変更されるかもしれないので、基本的に取り上げるべきではないと言うことが私の感じていることだったからである。あなたが浅はかな決定(予期せぬE-Mail中の添付ファイルを開く、サードパーティーのサイトから任意にビデオコーデックをインストールする、P2Pファイル共有ネットワークを介して実行ファイルをダウンロードする)から救われるためにアンチウィルスに依存しているのであれば、あなたはコンピュータでロシアンルーレットをしている真っ最中と言うことになる。
【訳注】図のタイトル:悪意あるサイトをブロックするまでに要する平均時間。縦軸:時間。横軸:テストに供された各アンチウィルスと平均ブロック時間
アンチウィルス企業の中には、セキュリティ製品のテストが新しい業界標準に準拠しているかどうかを示すことをNSSが拒否しているため、NSSのテストを問題視している。The Anti-Malware Testing Standards Organization (AMTSO)(【訳注】
AMTSOの概要はこちら参照)は、セキュリティソフトの効果をランクする基本的な方法を設定するために設計された一連のベストプラクティスを暫定的に作成した。このガイドラインはテストに於ける偏向(アンチウィルスソフトの地域性、それらが検出したマルウェアの脅威の解析手法)をある程度除外することを意図している。
NSSがこのグループを離脱した昨秋まで、この会社はAMTSOのメンバーであった。NSSのMoyは、AMTSOの標準はアンチウィルス製品が現実世界のテストで実際にどのように良好に動作するかということを犠牲にしてアンチウィルス ベンダに公正たらんことに焦点を当てていると発言している。
「我々は0時にテストする。そして、我々は同時に同一の悪意あるURLに全てのアンチウィルスベンダを置く大きなファンネルを持っている」と「一般的に、他の会社のテストはマルウェアのサンプルがインターネット上に存在した後、数日、数週間から数ヶ月後にテストしている」とMoyは発言している。
David Harley(AMTOSのメンバー、NOD32のメーカーESETのマルウェア情報のディレクター)は、NSSのレポート中の中心的調査事項について難癖をつけていないが、むしろ彼がNSSのテスト方法の透明性の欠乏についてとやかく言っている。
「NSSとの私の論争は、NSSが不明確な手法を元に、製品Aが製品Bより優れているとする定量化を試みていることにある」と「私はセキュリティ業界が多くのマルウェアを見過ごしているという意見を論争のテーマにしていない。毎日我々は約100,000の新たなマルウェアのサンプルを処理しているのだから、このことに関しては疑う余地はない。NSSが話題にしているある種の検出レベル(50から60%がアンチウィルスのゲートを通過している)は、私には現実的数値に思える」とHarleyは発言している。
外部テスト企業からの結果に関する苦悩に関し、このアンチウィルステスト企業は、よりリアルタイム テストの方向に舵を切っているとAlfred Huger(後発のアンチウィルス企業Immunetの技術副部長)は発言している。
「人々は、アンチウィルスが車を武装するものではなく、シートベルトのようなものに近いものであることを理解する必要がある。シートベルトは事故の時にあなたを助けるかもしれないし、助けないかもしれない」と「あなた方は、最初の段階で確実に事故に遭遇しないようにする幾つかのことがある。そして、そのようなことに注意を払うことである。何故なら、今日のマルウェアは外部ディフェンスとデスクトップを通過すると、たちまち現実の危険となるのだから」とHugerは発言している。
Chrome: 幾つかの脆弱性の修正とFlashのサポートを有効にしてアップデート
The H : Security (2010/06/25)
GoogleはWindows, Mac, Linux用
Chrome Webブラウザのバージョン5.0.375.86をリリースした。このアップデートは五つの脆弱性を修正している(そのうちの三つは、開発者が緊急と位置づけているものである)。Chromium Security Rewardプログラムの一部として、X.509ユーザ認証を処理するとき、孤立化したポインタから発生する脆弱性を報告したことにより、イギリスのセキュリティ企業SECFORCEのRodrigo Marcosに500US$の懸賞金を渡した。これ以外のバグはWebサイト上のビデオを処理したときに発生するものである。
Chromeのこのバージョンにおいて、Googleはまた、ビルトインのFlash Playerを有効にした。この設定は先月リリースされたChrome 5には含まれていなかった。Googleはベータ期間
Flashサポートを統合していたが、Chrome 5の安定バージョンのために最新のFlash Player バージョン 10.1を待つことを決定した。統合されたFlash Playerにより、ユーザは、Chromeをダウンロードするとき、常にFlash Playerの最新バージョンを取得することになる。Chromeはユーザに何も表示せず、指示も求めず、自動的に最新バージョンをダウンロードする。
FirefoxとOperaがセキュリティアップデート
Krebs On Security : Blog (2010/06/23)
Mozillaは、Firefox中の幾つかの脆弱性を修正した新バージョンを出荷した。他方、少なくとも5つのフローを修正したOperaの新バージョンも利用可能である。
Firefoxのバージョン3.6.4は軽微なバグから緊急のフローまでの
7つのセキュリティホールを解決している。Mozillaは、このFirefoxの最新バージョンはプラグイン クラッシュのハンドリングを改善したので、ユーザがブラウズしているサイトにプラグインで問題が発生しても、Firefoxは完全にブラウザのプロセスを停止することなくプラグインのみをクラッシュするようにした。Firefoxは自動アップデートされる(通常、あなたがこのブラウザをリスタートしたとき)が、"ヘルプ>アップデートをチェック"をクリックすることでアップデートのチェックを強いることができる。
Mozillaはまた、Firefox 3.5.x系の少なくとも9つのセキュリティ上の脆弱性を修正したアップデート 3.5.10 を出荷した。Mozillaは数か月間Firefoxのこのバージョンのサポートを継続している。もし 3.5.x系を使用しているのであれば直ぐにアップデートすることを考慮しなさい。
Operaのアップデート バージョンは、10.54である。このバージョンは
幾つかの緊急の脆弱性を修正している。Operaは現在自動アップデート機能を含んでいるので、Operaユーザは既にこのアップデートに気づいているだろう。常に、Operaは最新バージョンにアップグレードするようユーザに求めている。
こちらから利用可能。
あなた方のPCは再び死に至る
Microsoft Malware Protection Center : Threat Research & Response Blog (2010/06/18)
最近発見されたバックドアのサンプル(Backdoor:Win32/Yonsole.Aとして検出される)は、リモートのサーバーからのコマンドを受信し実行することで、感染したマシンのMBR(マスターブートレコード)を改竄することが可能である。MBRの改竄は以前のDOS用ウィルス"Stoned"のようである。今回の場合、このMBR(Figure 1に示されたコード)はスクリーンの中央にバナーを表示し、PCをフリーズさせる(Figure 2)以外は何もしない。我々は、このMBRをTrojan:DOS/Yonsole.Aとして検出する。
Figure 1: このトロイのMBRコード.
Figure 2: ブートアップスクリーン.
Windows XPユーザへのセキュリティ警告
Krebs On Security : Blog (2010/06/14)
Microsoftは、Windows XPとServer 2003ユーザに対して、新たに発見されたセキュリティフロー経由でこの様なオペレーティングシステムにアタッカーが侵入する方法に関する脆弱性攻撃コードがオンラインにポストされたと警告した。
この脆弱性はWindows HelpとSupport Centerプロセスの処理をリンクする方法中の弱点に関連している。Windows XPとServer 2003はともに、Windowsによって維持されるホワイトリストを含む固定された一連のWebページからヘルプとサポート情報を取得する。しかし、Googleのセキュリティ研究者Tavis Ormandyは先週そのホワイトリストにURLを追加することが可能であることを
世界中に公開した。
Microsoftは、アタッカーが特別に細工されたリンクをクリックするようユーザを欺くことでこのフローを食い物にすることができると発言している。このリンクから連れてこられたあらゆるファイルは、影響を受けるシステムの現在のユーザと同じ権限を保証される。このことはOSのデフォルト設定(完全な管理者権限を使用する)でWebをブラウズしているXPユーザにとって重大な問題を意味している。
「この脆弱性の詳細の公への暴露とそれを攻撃する方法が与えられた。利用者は多分広範な攻撃があるだろうことを認識すべき」とMicrosoftは先週リリースしたステートメント中で発言している。
私は頻繁にXPユーザに毎日のコンピューティングに制限付きユーザアカウントを作成し使用するよう、そして、管理者権限アカウントは偶にあるアップデートと制限付きユーザアカウントでは実行できないことを実行するような時だけに使用するよう促してきた。今日の多くのマルウェアは制限付きユーザアカウントでさえ稼働するように設計されている(ZeuS と Clampi Trojans)が、制限付きユーザアカウントは多くの攻撃をブロックするだろうし、ユーザレベル感染をクリーンアップすることが更に難しくなっているシステムワイドな蔓延になることから妨げるだろう。
GoogleのOrmandy(数年に渡りMicrosoftの製品中で発見した多数のセキュリティフローをMicrosoftに個人的に警告してきた人物)は、このフローへのパッチを普段より素早く充てることをMicrosoftに強制するためにMicrosoftへの警告の5日後にこのバグの詳細を公にリリースする予定であったことを仄めかしている。
「私はアタッカーがこのコンポーネントを研究していたことは明らかであると、そして、この情報を素早くリリースすることがセキュリティにとって最上の利益であると結論した」と「多大なサポート契約を有するあなた方は、外部からのセキュリティレポートに対して高速に応答する開発プロセスにMicorosoftが投資することを好ましく思うということを、あなた方のサポート担当に告げることが奨励されている」とOrmandyは記している。
OrmandyはXPとServer 2003のユーザを支援するホットフィックスを含めている。このホットフィックスはMicrosoftがこの脆弱性用のパッチをリリースするまで、この脆弱性による脅威を軽減するものである。この点に関してMicrosoftは、Ormandyのホットフィックスはユーザを保護しないと主張している。
「残念ながら、このホットフィックスは攻撃から脆弱性あるコードを防御する効果はない。そして、容易にバイパスされる」と「我々はこの問題の防御にGoogleのホットフィックスを当てにしないよう推奨する」とMicrosoftは
Security Research & Defenseブログ中の投稿で発言している。
Microsoftはこのセキュリティホールを塞ぐパッチを開発中であると、そして、その間に影響を受けるユーザはこの脆弱性あるコンポーネントを無効化することを望むかもしれないと発言している。
このアドバイザリの解決策セクションで説明されているプロセスは、Windowsレジストリからエントリを「取り消す」もしくは削除することが必要である。これは未熟なユーザがレジストリをグチャグチャにする可能性があることを忠告する。なぜなら、一つの間違った移動が深刻な安定性とブートアップ問題を発生させるからである。アドバイザリは、レジストリを変更することはとても簡単であると発言している。
多くの場合、Microsoftは、この解決策がWindows HelpとSupport Centerフォーマット(hcp:// as opposed to http://)を使用する正当なリンクを壊すかもしれないと、例えばWindowsのコントロールパネルは機能することを停止するかもしれないと発言している。私はダミーのXPシステムでこの解決策を試してみた。いかなる問題も発生しなかったし、コントロールパネル関連はいかなる指示にも問題を発生しなかった。あなたの場合は違うかもしれない。
Adobe: Flash中の32のセキュリティホールを塞いだアップデートバージョンをリリース
Krebs On Security : Blog (2010/06/10)
約束通り、Adobeは、ハッカーが脆弱性あるシステムに侵入し食い物にしていた緊急のセキュリティフローを修正したFlash Playerの新バージョンをリリースした。このアップデートはまた広汎に使用されているFlash Player中の少なくとも31の別の脆弱性を修正している。
最新のバージョン(バージョン10.1)は、Adobe Flash Playerバージョン10.0.45.2とそれ以前のバージョン中に存在する緊急の幾つかのフローを修正している。あなたがインストールしているバージョンが不明ならば、
このページを訪問しなさい。 この新しいFlashのバージョンは、Windows, Mac, Linuxで利用可能であり、
以下のリンクからダウンロードできる。
あなたがIEと非IEブラウザを使用しているのなら、このアップデートを二回適用する必要がある(【訳注】使用しているブラウザ個々にアップデートする必要があります)。最初にIEでFlash Playerインストレーションンページを訪問してアップデートを適用し、次に Firefox, Operaあるいはあなたが使用している別のブラウザで再び訪問しアップデートを適用しなさい。
Flashをインストールしていたならチェックの手間をかけなさい。もしそうなら、Flashをアップデートする手間をかけなさい。この脆弱性を食い物にするために使用されたコードのワーキングコピーは
Metasploit(オープンソースの貫入テストフレームワーク。【訳注】Metasploitフレームワークとは、コンピュータシステムへの貫入試験を自動実行するために構築されたツール。このツールには、各種OSの特定のターゲットへの不正進入手段として知られている様々なコードが満載されている)に含まれていた。Adobeはセキュリティスキャナから様々なブラウザのツールバーまで、Flashにあらゆる種類のサードパーティー製ソフトウェアを同梱させたがることに注意しなさい。この様な拡張を好まないのであれば、それら拡張機能のダウンロードボタンをクリックする前に、追加されるソフトウェアの隣にあるチェックボックスのチェックを外す必要がある。
Adobeがこの暫定的アップデート(Adobeはこの様な、及び他のセキュリティアップデートを6月13日に予定していた)のリリースを促された脆弱性は、Adobe ReaderとAcrobat中にも存在しているが、これら製品に関するフローの修正は6月29日まで予定されていないとAdobeは発言している。
AdobeのフリーのReaderを長期に渡り使用しているユーザは、Rederを削除し他の代替のフリーのリーダ(
Foxitや
Sumatra)に切り替えることを考慮する好機である。
Flashは通常Adobeダウンロードマネージャを同梱してくることに注意しなさい。
今までのバージョンでこのパッケージは、ダウンロードマネージャ自身のセキュリティ上の脆弱性を保持していたことが発見されている。このダウンロードマネージャは再起動後マシンからそれ自身をアンインストールするように設計されている。そこで安全を期するために、Flashをアップデートした後システムを再起動しなさい。
YouTubeツールバー
Kaspersky : SecureList (2010/06/10)
昨日、始めてYouTubeに今までのHDムービーをアップロードした。終了すると、直ちにYouTubeから、様々なヒントとそれを最大限に利用するためのチップのついた“Congratulations on your first YouTube upload!”(YouTubeへの初回のアップロードを祝福します)というE-Mailが届いた。数時間後、私は“Hello, Have you tryed YouTube Toolbar?”(YouTubeツールバーを試しましたか?)と題されたもう一通のE-Mailを得た。
件名のミスタイプはYouTubeからのものではないことを示す良い印かもしれない。実際、このメッセージ(かなりいい加減なフォーマット)はBackdoor.IRC.Zapchastの変種へのリンクを含んでいる。
このE-Mail中のリンクが指摘している実行ファイルRAR SFXアーカイブである。このアーカイブは内部に幾つかのファイルを持っている。
殆ど全てのZapchastの変種はこの様である(ほんの少し違うが)。このバックドアの本家はどうか? そこにはルーマニアのマルウェア製作者の物であることを暗示する幾つかの手がかり(ルーマニア語のパスワードからルーマニアの特定のサイトへのリンクまで)がファイル中に存在する。
この様なバックドアが動作する方法は、mIRCスクリプトを通してである。これらはmIRC実行ファイルのコピーを持っている(バージョン6.01、UPXで圧縮されている)そして、バックドアコードそれ自身はmIRCスクリプトとして書かれている。上のスクリーンショットは’csrss.exe’ファイルを示している。一旦アクティベートされると、それらはUndernetネットワークに接続し、コマンドを受信するために特定のチャンネルに接続する。同様に、新規感染ユーザについてボットネットの所有者に通知する。コマンドの操作は‘script.ini’ファイルで実行される。
そのマスターから受け取るmIRCコマンドのハンドリングを除いて、犠牲者のコンピュータから秘密のデータやファイナンシャル情報を盗むために設計された更なるコードは存在しない。これは今日では稀である。Zapchastのようなものは、ゆっくりと死滅していき、ZbotやSinowalのような、より高度なトロイに道を譲りつつある。
オリンパス μTOUGH‐6010(ミュータフ6010)にウィルスが混入
オリンパス イメージング : 重要なお知らせ (2010/06/08)
オリンパスより以下のお知らせがリリースされています。該当機種を所持している方は、以下のサイトを参照してください。
μTOUGH‐6010(ミュータフ6010)をご使用のお客さまへの重要なお知らせ
ウイルス混入に関するおわびとお願い
山の如きSafariのセキュリティホール。MacとWindowsユーザはアップデートを
Sophos : Graham Cluley's Blog (2010/06/08)
WindowsもしくはMac OS Xのコンピュータを所有し、AppleのSafariをWebブラウザに使用しているのであれば、山の如き脆弱性を解消するためにアップデートしなさい。
大多数のApple信奉者の注意は今週オシャレな新しいiPhoneにそらされたので、中にはCupertinoを本拠とする会社(Apple)が、彼らのWebブラウザ(Safari)の新しいバージョンをリリースしたことが分からなかったかもしれない。
我々の気を最も惹いたのは、Safari 5.0が新しい機能を搭載しているだけでなく、パッチされずに放置されていたため、ハッカーが食い物にできる48もの異なる脆弱性を塞いだことである。
(Safari5.0がサポートされていなかった)Mac OS X バージョン10.4のユーザは、見殺しにされていない。Appleは、この様なユーザ用に一連のセキュリティ問題を解決したSafari version 4.1をリリースした。
コンピュータをアップデートするまでに時間を費やした場合、ハッカーはこのセキュリティバグを食い物にすることが可能である(あなたのコンピュータ上で自動的に起動し悪意あるコードでブービートラップを仕掛けたWebページに誘導し単純に訪問させるようなことを含む)。
あなたがMac や Windows PCを持っていることが重要なのではない。あなたがSafariを稼働しているかが重要である。
ブラウザをアップデートし、AppleのWebサイトの
アドバイザリで詳細に説明されているセキュリティホールがハッカーの攻撃から防御されていることを確実にしなさい。
Safariユーザは安全なコンピュータを実行すべきです。可能な限り早急にシステムをアップデートしなさい。
Adobe: Acrobat、Reader、Flash中の緊急のフローを警告
Krebs On Security : Blog (2010/06/05)
Adobeは、Adobe Reader, Acrobat, Flash Playerの現在のバージョンに存在する未知のセキュリティホールが悪意あるハッカーによって攻撃されている真っ最中であることを先週の金曜日に警告した。
「Adobe Flash Player, Reader, Acrobatに対してフィールド中で、この脆弱性は活発な攻撃を受けていると報告されている」とAdobeは、金曜日の夕方投稿された
簡潔なブログのポストにおいて発言し、「この脆弱性はクラッシュを発生させ、攻撃者が影響を受けたシステムを制御することを潜在的に可能にする」と発言している。
Adobeは、この脆弱性がFlash Player 10.0.45.2とWindows, Macintosh, Linux, Solaris用の早期バージョンと、Windows, Mac, UNIX用のAdobe ReaderとAcrobatのバージョン9.xのコンポーネント(authplay.dll)中に存在していると発言している。
AdobeはFlash Player 10.1 Release Candidate(こちらからダウンロードできる)には、この脆弱性が存在しないと強調している。更に、Adobe ReaderとAcrobatのユーザはReaderとAcrobatに同梱されている“authplay.dll”ファイルを削除、リネーム、あるいはアクセスを排除することで、このフローからの脅威を軽減できる(けれども、ユーザはFlashコンテンツを含むPDFファイルを開いたとき、脆弱性攻撃とは関わりのないクラッシュやエラーメッセージをもたらされるかもしれない)。
この脆弱性あるコンポーネントは、Windowsでは以下に存在しているはずである。
Adobe Reader: C:\Program Files\Adobe\Reader 9.0\Reader\authplay.dll
Acrobat: C:\Program Files\Adobe\Acrobat 9.0\Acrobat\authplay.dll
Adobeは、この問題に関する公式のパッチは現在開発中であると発言している。情報が入り次第アップデートする。
Google、Windowsを見捨てる
Kaspersky : SecureList (2010/06/02)
今週早く、Googleが彼らの企業ネットワーク内部でWindowsの使用が減少し、MacOSやLinuxに好意的であることに関する幾つかの話題が提供された。これは"Aurora"オペレーションとして知られる有名な(【訳注】Googleが)ターゲットにされた攻撃が引き金になったようである。もちろん、これはMicrosoft製品のセキュリティ イメージに大きな打撃を与えるように見えるが、何を意味しているか分かるだろうか。
まず第一に、Googleは侵入されなかった。この理由はGoogleがWindowsを稼働していたからである。Googleはハックされた。この理由はGoogleが9年前の製品であるIE6を使用していたからである。Googleは攻撃者によって生贄となった。これは、GoogleがKasperskyのユーザに推奨している最も基本的なセキュリティアドバイス(パッチをあてる。IE8やFirefoxのような最新のブラウザを使用する)に従わなかったからである。
更に、MacOSはもはや、Windows7程安全ではない。それどころか、Macが提供するセキュリティが錯角されているために、より悪いものになるかもしれない。
ここで実行すべきことは、Windows7の64ビット版に切り替え、WebブラウズにFirefoxやChromeを使用することであった。次に、ユーザがパッチとアンチウィルスを最新にするまで、ユーザが企業ネットワークにログインできない企業ポリシーを作成することであった。
与えられたフィールド中のMacOSマルウェアの最新のニュースで、私は、ターゲットにされた攻撃がMacOSやLinuxにゲップをさせるまでどのくらいかかるか分からない。なぜなら、最も基本的なセキュリティの実践なしでは、たちどころに生贄になるだろう。
Adobe: Photoshop CS4の脆弱性を修正
The H : Security (2010/05/31)
Adobeは、ASL, ABR, GRDファイルを処理する工程中のセキュリティホールを閉じたPhotoshop CS4の脆弱性修正バージョン11.0.2(WindowsとMac用)をリリースした。このセキュリティホールは、攻撃者が特別に細工したファイルを通じてコンピュータの制御を取得することが可能であった。攻撃の犠牲になると、ユーザはPhotoshop中でこのファイルを手動で開く(ブービートラップ)に引っかかる。Photoshop CS5は影響を受けない。
全てのこのセキュリティホールは、任意のコードの挿入と実行を可能にするバッファオーバーフローに関わっている。
一太郎に脆弱性
ジャストシステム : お知らせ (2010/06/01)
ジャストシステムの一太郎に脆弱性のあることが公開されました。
こちらのサイト参照してください。
ClamAV: DoS脆弱性を修正
The H : Security (2010/05/25)
無料のオープンソース ツールキット ClamAVは、巧みに細工されたPDFやPEファイルに直面したとき、クラッシュを発生していたバグを バージョン0.96.1で修正した。攻撃者はネットワーク オペレーションを崩壊させるために(例えば、Webプロクシやメール ゲートウェイを無効化することを可能にする)、この脆弱性を食い物にすることが可能であった。開発者たちは、7zip圧縮ファイルを処理するときのNULLポインタ逆参照の可能性にも対処した。
このバグはlibclamav/pdf.c, libclamav/pe_icons.c, libclamav/7z/Archive/7z/7zIn.c中に存在し、Gitリポジトリとソースコードで修正された。ソースコードのTAR圧縮ファイルはダウンロード可能である。Windowsユーザは、32ビットと64ビットバイナリをダウンロードできる。ただし、64ビット版は未だベータである。ClamAVはGPLの基でライセンスされている。また様々なLinuxやUnixのディストリビューションで利用可能である。
アクションキーを使用する新たなAutorunワーム
TrendLabs : Malware Blog (2010/05/18)
Autorun.infは自動スタートテクニックとしてワームによって広く使用されている。このファイルを通して、ワームは感染したドライブにアクセスがあったときは常に、自動的に実行することが可能になる。時間と共に、ユーザはその実行を妨げている間に、マルウェア ファイルを手動削除する解決策を考えることになった。その幾つかとして:
・ コマンドプロンプトを使用して、このファイルを手動削除する
・ AutoPlayを無効化する
・ Windows Explorerを使用する
同様に、ユーザのシステム上で自動稼働することを妨げるためにユーザは解決策を使用しているにもかかわらず、マルウェアの作成者は、彼らの悪意ある作成物を急速増殖させるための新たなテクニックを発見することを継続している。実行されている方法の一つは、autorun.infのアクションキーの使用である。
アクションキーは、autorun.infのパラメータの一つである。この機能は唯一リムーバブル ドライブとハードドライブをサポートする。主たる目的は、公開中の特定のプログラムのハンドラを表現しているAutoPlayダイアログ、もしくはメディアのautorun.infファイル中のshellexecuteエントリ中に現れたテキストの特定である。
AutoPlayを無効化したり、Windows Explorerを使用することのような解決策をバイパスするために、ワームはアクションキー中にテキストを宣言することでこのパラメータを使用している。これは、以下の何れかになるかもしれない:
・ ファイルを閲覧するためのフォルダを開く
・ Windows Explorerを使用してファイルを閲覧するためのフォルダを開く
この例が、 WORM_KOLAB.CQ(以下に示すAutoRunコードを含む)としてTrend Microが検出したUSBドライブワームである
アクション(=ファイルを閲覧するためにフォルダを開く)を使用することで、Windows Explorer経由で感染されたドライブを開くことをユーザが試みた場合は常に、このマルウェア ファイルは実行される。
サイバー犯罪者は、彼らのマルウェアをターゲットのシステムに確実に侵入させるための方法を継続しているので、ユーザのシステムにマルウェアの侵入を防ぐために大事を取ることもユーザに取って重要なことである。デジタルフォトフレーム、iPod、他のMP3プレーヤー、PDA(【訳注】Personal Digital Assistant。携帯情報端末)、USBドライブ、フラッシュドライブ、デジタルカメラのような外部デバイスはホームネットワークを麻痺させるマルウェアに隠れ場所を提供することができる。以前、Trend Microは脅威がこの様なデバイス経由で伝搬することを発見した以下の事件についてレポートしている:
先述したように、単純にAutoPlayを無効化することは、もはや適切ではない。外部デバイスが使用されている場所をモニタしたり、潜在的脅威と戦うために全てのセキュリティウェアアップデートするような特別なステップもまた取られるべきである。ビジネスユーザにとって、データアクセスに関するセキュリティポリシーと外部デバイスの使用には、時間を費やされるべきであり、組織全体で実施されるべきである。マルウェアを防御するリムーバルデバイスに関する追加情報は、
“How to Maximize the Malware Protection of Your Removable Drives.”に見出すことができる。
Trend Micro Smart Protection Networkは、File Reputation Service経由でシステム上のWORM_KOLAB.CQのようなAutoRunワームのダウンロードと実行を妨げることによって、この種の脅威からユーザを保護する。
アンチウィルスソフトをバイパスする新たな攻撃
The H : Security (2010/05/11)
新たな攻撃手法は、防御メカニズムを搭載しているにも拘らず、例えば感染したドライバをロードすることで、Windows用アンチウィルスソフトウェアをバイパスすることが可能であることが報告されている。Matousec.comによって開発されたこの攻撃は、多くのアンチウィルスプログラムが、プログラムの挙動を監視するためにカーネルのSystem Service Descriptor Table (SSDT)をフックするという事実を使用している。
ユーザが特別なシステム関数(例えば、ドライバをロードする)をコールしたなら、アンチウィルスソフトウェアは、そのコールが悪意ある意図を隠蔽しているかどうかを確認する。悪意が隠蔽されていなければ、アンチウィルスソフトは実際の関数にこのコールを渡す。Matousecによれば、アンチウィルスソフトウェア コンテキスト スイッチ(二つのプロセス間(【訳注】カーネルモードとユーザモード)の切り替え)の間に引数を切り替えることで、マルウェアがアンチウィルス祖父著によって実行されるチェックを回避することを可能にする。そして、次に感染しているドライバ、もしくはforbidden関数をコールする。
このトリックはアンチウィルスソフトのプロセスが、このコールのチェックを終了した時点を発見するタイミングを手際よく使用するように改善されている。しかし攻撃者は未だロードするドライバの名前、ポインタやカーネルのハンドルのような古典的変更が可能である。この技巧の完成に要求させれるスキルの度合いと手法の信頼性は論議の必要がある。Matousecは引数の切り替えに脆弱性が存在するとして著名な34のアンチウィルス製品をリストしている。これは、リストされているソフトがSSDTを使用しているか、他のカーネルをそれらの関数のためにフックするからである。Matousecはテスト用にKHOBE(Kernel HOok Bypassing Engine)と名付けられた内部的に開発されたフレームワークを使用していた。
問題のアンチウィルスソフトウェア ベンダは、数週間前Matousecによってこの問題を知らされた。そして、この脆弱性攻撃を購入する機会を提供された。大多数のアンチウィルスベンダからの応答は知られていない。しかしながら、彼らは原則的に問題を確認したものの、多分利用可能な情報を基にして、この脆弱性の再現に苦労しているのだろう。
McAfeeは、この攻撃は実際には成功しそうもないと考えると、The Hの姉妹紙heise Securityに話した。コンテキストスイッチの間に引数を効果的に操作することは非常に多くの行為が要求されるので、結果として死のブルースクリーンを発生させるだろう。更に、マルウェアがこの攻撃を実行可能にするためには予めシステム中に侵入していなければならない。引数の切り替え攻撃は、その権限を昇格させるにすぎない。これはアドミニストレータとしてログインする不幸なユーザ習慣に起因する管理者権限を既に持っていない場合である。
FーSecureはこの問題を余裕を持って見ている。F-Secureは、この問題がシグネチャを利用しないマルウェアによって
マルウェアをのために働くインチキのHiJackThisツールバー
Trend Micro : TrendLabs Malware Blog (2010/05/09)
HijackThisは、顧客であるか否かを問わず、エンドユーザへの優待としてのフリーのツールである。このツールはWindowsの操作されたシステムの徹底的なログレポートを発生させることによって、エンドユーザのマシンの感染の可能性を支援する。HijackThisは、感染したマシンからマルウェアの手動削除できる幾つかの有用なツールを併合している。
次第に、HijackThisは人気になってきており、マルウェア支持者が彼らの悪意ある作品を増殖させるためのツールを使用する機会を困難なものにしている。TrendLabsの技術陣は最近TROJ_DROPPER.QLCに遭遇した。これは製品名に“HijackThis”を、著作権保持者に“Trend Micro Inc.”を使用していた。
このよう詐欺プロパティは、トロイを実行するようにHijackThisユーザを欺き、次にTROJ_UNDEF.QIとして検出される他のマルウェアをドロップする。結局ユーザーのシステムがマルウェアによって乗っ取られることになる。
Smart Protection Networkが、ファイル属性サービス経由でユーザのシステム上のTROJ_DROPPER.QLC and TROJ_UNDEF.QIの実行を検出し防御することで、この脅威からユーザを保護するので、Trend Micro製品のユーザは心配しなくてよい。
Gumblar: 日本にさようなら
Kaspersky : SecureList (2010/05/04)
Gumblarマルウェアは2009年の春に現れた。それ以来、GumblarはFTP Credentials(【訳注】FTPサーバにアクセスする場合に必要なユーザー名とパスワードが設定されているWebClientオブジェクトのCredentialsプロパティ)を盗み、改竄したサーバにバックドアをアップロードするのと同様に正当なコンテンツに悪意あるリンクを挿入することから、多くの国々のISP(【訳注】インターネット サービス プロバイダの頭文字)に多くの注意を惹きつけてきた。
我々は、一般的なGumblarシステムのアーキテクチャに関しては既に
こちらに記述した。その時以来変更されたことといえば、改竄されたサーバの数と感染プロセスチェーン中におけるサーバの追加レイヤーである。感染プロセスは正当なWebページから始まる。このページは、あるサーバを参照する script タグを挿入されている(この様なページをhtml-リダイレクタと呼ぶ)。リダイレクトされたサーバにはブラウザを更にリダイレクトするための javascript を生成するphp(php-リダイレクタと呼ぶ)が存在する。この様に一つから四つのリダリレクタが存在する。そして最終的に、このブラウザは実際の感染物の存在するサーバからコンテンツを取得する。チェーン中の最終サーバはインターネットユーザを攻撃するために使用される悪意を同梱している。最近の数値は、如何に様々なタイプのURLがこのプロセス中にあるかということを示している。
画像中に表示してある数値は、我々が取得できた実像の一部である。このことは実数がもっと巨大だということを意味している。現時点で、Gumblarボットネット中に存在する改竄されたクライアント マシンの数に関する情報を誰も持っていない。しかし、サーバの数が、それらに属するWebサイトを所有し、感染させられたシステム上でFTPクライアントを使用している感染させられたユーザ数のみを表現していると言う理由から、我々は改竄されたサーバの数よりは多いと信じている。
我々はGumblarサーバ バックドアの総数を計測した。その数は現在凡そ4,460である。
Gumblarからの危険性は潜在的巨大クライアント ボットネットだけでなく、改竄されたサーバの集合力にもある。このことはセキュリティ研究者とISPによって明瞭に理解されている。多く行われたことはシステムがどれほど巨大であるかということと、その背後にいるものは誰かということの解析であった。
日本は以下の理由からGumbla問題に対する多くのリソースを捧げた国の一つである。
・ 日本のサーバは世界での感染数で第5位である。
・ 他国ほど日本にはローカル マルウェアは存在しないため、世界を股にかけるGumblarには多くの注意が惹きつけられた。
我々は日本の研究室開設当初からGumblarを追跡した。実際にサンプルをダウンロードし、シェルコードを復号化したり解凍したりした。そして、新しいURLを抽出することは、我々だけでなく日本における多くの研究者の日常業務になった。
Gumblar開発者は彼らのシステムがターゲットにしている多くの日本のISPからもたらされるノンストップの活動に気がついた。脅威を解析する激務と日本から集められたアクティブなオンラインデータは悪い奴等のリアクションを発生させた。程なく、我々はリモートクライアントが発生している場所を確認するためのGumblar開発者によって作成された感染スクリプトの新たな変種に遭遇した。このスクリプトはそのクライアントの国が位置するフリーのIPから国を割り出すデータベースを使用していた。この国が日本であることが判明すると、このスクリプトは休止し、攻撃しなくなる。以下はその機能を実装しているコードの一部である。
コードの強調表示されている部分で、この関数‘gC’ は現在のクライアントの国別コードを取得する。そして、これが 111(国別IPにおける日本を意味する)に等しければ、このコードは変数‘$zz’ にアプリケーションの休止を指示する 0 を設定する。
類似の行為がモニタリングしているFTPサーバで確認された。他国では未だ攻撃下にある(サーバ再感染の時間は11時間から33時間と異なる)が、日本のサーバはもはや再感染しない。
悪い奴等にとって不幸だったことは、我々が研究者の国際チームだったことだ。彼らが例え日本のIPを締め出したとしても(これは日本で集められた幾多のデータを制限するかもしれない)、我々は他の国からの我々の研究を継続するためのリソースを未だ持っている。
Opera: ”大変深刻”なセキュリティホールを閉じた
The H : Security (2010/04/30)
Operaは、 ”大変深刻”と自身が評価した脆弱性を閉じたWindowsとMac OS X用Opera Webブラウザのバージョン10.53をリリースした。このセキュリティホールは、巧妙に細工されたWebページがアクセスしたPC上にコードを挿入し実行することを可能にする。これは脆弱性を食い物にするWebページを訪問するだけで感染する。
スクリプトが、このドキュメントのコンテンツの改竄を何度かコールし、初期化されていない変数への参照をOperaに発生させた時に、このセキュリティホールは作成される。これはブラウザのクラッシュや追加テクニックの使用を導き、コードの挿入を可能にする。Operaは3日前に10.52をリリースしたところである。Opera10.53はベンダのWebサイトからダウンロードできる。
PDFファイルがWindowsワームを蔓延させている
The H : Security (2010/04/30)
アンチウィルス ソフトウェア ベンダは、犯罪者が巧みに細工したPDFファイルを使用して、Windowsシステムをマルウェアで感染させようと大変な努力をしていと
報告している。最近のZeuSボットを含むドキュメントの種蒔きに続き、今、スパムはワームを含むPDFを蔓延させている。
PDFファイル中に埋め込まれたスクリプトや実行ファイルは、Launch Actions/Launch File関数(【訳注】
こちら参照)によって実行される。Adobe Readerは、埋め込まれたファイルを稼働するか否かユーザに尋ねるが、このメッセージボックスは、何か不吉なことが発生しそうだということをユーザに疑わせないように構築できる。
セキュリティ情報筋(IBM X-Forceを含む)は現在、"Setting for your mailbox are changed"の件名のスパムを報告している。このE-Mailは、ユーザのE-Mailアカウントを再構築するための指示を含んだPDFを添付していると述べている。PDFファイルが開かれたとき、Adobe Readerは警告を表示するが、ユーザによっては、このドキュメントを閲覧するためボタンを単純にクリックしているようである。この行為は、このコンピュータに対して、PDFファイルにファイル game.exe に記されているVSCriptを発生させ、次にこれを実行する。
このファイルは、ワーム Win32/Auraax を含んでいる。おまけに、AuraaxはRootkitをインストールし、感染したシステム中に含まれる何らかのドライブ(例えば、USBドライブ)にそれ自身を書き込もうとする。多くのアンチウィルスソフトは、このマルウェアを検出するが、Adobe Readerの 編集>環境設定>信頼性管理マネージャ メニューの”外部アプリケーションでPDF以外の添付ファイルを開くことを許可”を無効化するよう忠告している。このオプションはDefaultで有効になっている。Foxit Readerも同様に、この様な攻撃に感染しやすく、警告も表示するが、この機能の稼働を無効化するオプションは持っていない。
警告を表示するという理由から、Adobeはこの問題を”緊急”に分類していない。Adobeは、不正に使用されれば問題を発生するこの機能を有用であると考えている。
Storm Botnetが激しく回帰してきた
McAfee Avert Labs : Blog (2010/04/28)
ここ数日にわたって言われていた噂は結局のところ真実であった。悪名高いStormボットネットは、以前のトロイの機能に非常に類似したマルウェアの新しい変種を使用して再構築されている。
以前、このStormボットネットは、巨大な数のスパムを配信する最大のボットネットの一つであった。スパム配信ボットネット市場のリーダーとして、セキュリティ業界や一般社会から多くの注意を惹き、予期されていた以上に早く消滅した。2009年早期より、このボットネットは沈黙していると信じられていたし、存在していない可能性さえ信じられていた。
この新たなマルウェアは、この数日間に渡り広範囲に配布され、既にスパムを送信している。Mark Schloesser(Tillmann Werner)とFelix Leder(オリジナルのStormの解析で多くの仕事をしたドイツの研究者)によって実行された
解析において、彼らは新しい機能の凡そ2/3が、最新のStormコードベースからのコピー アンド ペーストであることを発見した。削除されているものは、オリジナルのpeer-to-peer (P2P)機能である。P2P機能を切り捨てたことは、この新たなStormの変種は、彼らのコマンドサーバーとのHTTPコミニケーションに焦点を当てているということである。
この変更は基本的に、この新しいボットネットが悪名高い前作との関連性を除いて、今日存在する数千の他のボットネットと特に変わったことのないことを意味している。しかしながら、Stormを稼働しているグループは、過去において大変資金が潤沢であったことを証明している。明らかではないのだが、同じグループにしろ、別のグループが彼らのコードを再使用したにしろ、我々はこの脅威を注意深くモニタするだろう。
Google Chrome: 三つの緊急の脆弱性を修正
The H : Security (2010/04/28)
Gooleは、三つの緊急の脆弱性を修正した
Windows用Chromeブラウザのバージョン4.1.249をリリースした。Googleは丁度一週間前、WebキットベースのブラウザChrome中の七つの脆弱性を修正したところだった。
レポートによれば、この新たな問題は、攻撃者がSame Origin Policy(【訳注】Browser上で動くコード、JavaScript、Java、Flash等が、ダウンロード元のホストとのみ通信が可能というネットワークアクセス機能のセキュリティ制限)を巧みに回避することを可能にするGURLライブラリ中のバグに関連付けられている。これはまた、予め用意されたフォントを使用して、もしくは、HTML5メディアデータを処理するときに、メモリエラーを引き起こすことも可能である。この脆弱性は、コードを挿入し実行することを攻撃側に許すかもしれない。
Chromium Security Reward計画の一部として、GoogleはGURLライブラリ中の脆弱性の通知に1,000$支払った。新しいバージョンはWindows 7、Vista、XPで利用できる。自動アップデートメカニズムは、このアップデートをインストールする。代わりに、手動でインストールすることもできる。しかしながら、短い期間、ダウンロードサーバーによっては、古いバージョンが配布されるかもしれない。
インチキのアンチウィルス製品がタスクマネージャを利用して人々を脅かしている
Kaspersky : SecureList Blog (2010/04/14)
インチキのアンチウィルス製品は、ここ数年間存在し、インチキの製品を購入させるため人々を脅している。今回の、Desktop Security 2010 なるインチキのアンチウィルスは、ユーザに恐怖を与えるため興味ある目新しいトリックを引っさげて出現した。
メインのインチキコンポーネントが、そのdllコンポーネントのLoadLibraryをコールするためにtaskmgr.exe(【訳注】タスクマネージャ実行ファイル)中にリモートスレッドを作成する。
このdllは、脅し戦術の一環である。
以下のスクリーンショットで、"virus free" と "infected"の文字が各プロセス名の側に挿入されている。
このdllは専用パッカーによって圧縮されている。一旦、このdllを解凍すると、このdllが、どのように改竄を実行しているかを発見することは容易である。
下の画像は、タスクマネージャの取り扱い方法を理解するために解凍されたdllの断片である。
上図において、SetColorText API関数がテキストカラーを変更するために使用されている。コメントは、スクリーンショット上のcolor引数に追加されている。最後に、DrawTextA API関数がテキストを追加するために使用された。
これは単純ではあるが、マルウェアの検出と削除にタスクマネージャを使用している人々を脅すには効果的なトリックである。
アンチウィルス製品の予防型防御システムのテスト結果の比較
Sophos : Graham Cluley's Blog (2010/04/14)
昨日、私はVirus Bulletinによって公開された
アンチ-マルウェア製品の最新の比較テストについて話した。
The Registerの報告によれば、個別の抗体検査によってテストされた60のセキュリティ製品のうち20がVB100アワードを取得することに失敗した。
私はSophosが大成功の旗付きでVB100を勝ち取ったことを誇らしく思う。
しかし、このテストはまた、最新のマルウェアでセキュリティ製品のリアクティブとプロアクティブ検出能力(【訳注】プロアクティブディフェンス=予防型技術。 リアクティブディフェンス=プロアクティブディフェンスと結びついたマッチング形式の検出方法 。)も計測している。
下に示すチャートは、Virus BulletinのRAP (Reactive and Proactive)テストでの様々なアンチウィルス製品のパフォーマンスを示している。
確認できるように、Sophosはこのテストでトップのアンチウィルス製品の群に存在している。しかし、我々は数ヶ月後に栄誉を得るために休むことをしない。これは非常に新しいマルウェアを発見することによって我々の製品をより強固にするためである。
このチャートの使用を許可されたVirus Bulletinに感謝する。
**************** 訳注
チャートの見方。右側に進ほど予防技術の優れている製品であることを示しています。また、上に行くほど、通常の検出能力が高いことを意味しています。右上のグループが、検出能力・予防技術共に高いことになります。
Kingsoftは、最近日本でも、よく使用されるようになった中国のアンチウィルス製品です。
K7は、インドのK7コンピューティング。日本で販売されているウィルスセキュリティZEROはK7コンピューティングのOEMです。
TrendMicro ツールバー + 長い URL = 失敗
KrebsOnSecurity : Blog (2010/04/13)
多くのアンチウィルス製品(取り分け、インターネットセキュリティスイート)は現在、様々なWebブラウザツールバー(顧客の個人情報の保護を支援するためと、悪意あるWebサイトを検出するために設計されたプラグインやアドオン)を同梱して出荷している。残念なことに、設計が不十分であると、このブラウザ拡張は、安全性と安定性の問題を発生させることによってユーザのシステムの姿勢を減じてしまう。
前回、Alex Holdenと情報交換した時、彼はIE6をクラッシュさせる効果的方法と、酷く時代遅れで危険なバージョンのブラウザを二度と再開させない効果的な方法を私に示した。Holdenは、彼が発見したTrend Micro Internet Security(トレンドマイクロ インターネット セキュリティ)をインストールしているユーザに影響するクラッシュを私に確認するよう要請した。このソフトは、Microsoft Windows上のInternet ExplorerとMozillaベースのブラウザにセキュリティツールバーをインストールする。
【訳注】デモンストレーションのビデオがあります。
こちらのサイト参照してください。
上のビデオはWindows XP SP3のバージン インストール上で最新版のFirefoxとTrend Micro Internet Securityの新しいコピーで作成された。有効にしたTrend toolbar付属のアドレスバーに本当に長いURLをペーストしたところ、Firefoxは毎回クラッシュした。このツールバーを無効化して同じことを実行したところ、Firefoxは化け文字の前に置いたドメインネームが何であろうとも、Webブラウザがすべきこととしてインチキのリクエストを操作し、Webサイトを表示した。これはFirefoxだけのことではない。同じ長いURLで、Trend toolbarを有効にしたIE8もクラッシュした。それであるにも拘らず、何らかの奇妙な理由から、IE6をクラッシュさせることには失敗した。私はIE7ではテストしていない。
これは良性である。さもなければ、このブラウザを攻撃するためにこの手法を使用することが可能であっただろう。しかし、Holdenは発言したとき、この問題は広汎に使用されているセキュリティソフトウェア製品に存在してはならない非常に基本的(Programming Security 101-type)なバグであった。
「このブラウザのクラッシュの結果、悪意ある攻撃者が完全なユーザレベル権限でコンピュータを潜在的に開くことのできるバッファオーバーフロー状態をもたらす。」とHeron(Denverを本拠とするセキュリティ企業Cyopsis LLC.,の企業向けセキュリティのディレクタ)は発言していた。「この脆弱性攻撃のスコープと単純さは、リンクされているサイト、あるいはTwitterやFacebookが食い物にされているように人気あるソーシャルメディアサイトで使用されている短縮されたURLでさえリダイレクトされる可能性を開く。」
私は二週間程前に、このバグをトレンドマイクロに通知した。トレンドマイクロは、このフローを修正したホットフィックスを4月13日の火曜日リリースすることを予定している。
コンピュータがCD/DVDドライブを認識しないとき
The PC Informant : Blog (2010/04/08)
様々な理由から、Windowsや他のソフトウェアが、CD/DVDドライブを認識しない場合がある。私は以前、特定のRoxioにこの問題があることをポストした。しかし、壊れたレジストリエントリに起因した他の問題が発生している。Microsoftは、適切にレジストリエントリの編集を提供する、
マイクロソフト サポートオンラインをリリースした。このプロセスを簡単に行うには、あなたのレジストリの変更を実行する”Fix it”リンクをクリックする。この機能は、Windows XP, Vista, Windows 7でサポートされている。
実行可能なセキュリティホールを閉じたFoxitの新バージョンがリリースされた
The H : Security (2010/04/05)
PDFセキュリティのスペシャリストDidier Stevensによって開発された脆弱性攻撃に対する対応として、Foxitは
Foxit Readerの新バージョン3.2.1.0401で関連するセキュリティホールを閉じた。Stevensのコード(このコードはデモバージョンとしてのみ利用可能)は、PDF以外のコード(PDFの仕様で記述されている)の実行を引き起こすためにPDFリーダーの能力を食い物にする。Foxitリーダーの以前のバージョンでは、このプロセスはユーザに如何なる警告もすることなしに開始された。
Adobeは今までにこの脆弱性に対して応答していない。しかしながら、最新のAcrobat Readerは警告を発生する。解決策として、ユーザは、”外部アプリケーションでPDF以外の添付ファイルを開くことを許可”オプションを無効化しなさい。
Adobeアップデート ユーティリティの振りをするトロイ
The Register : Security (2010/03/29)
悪党共は、Adobeや他のソフトウェアメーカーが出しているソフトウェア アップデート アプリケーションを上書きするマルウェアを作成することを開始した。
信頼されている会社からのセキュリティアップデートを装うE-Mailマルウェアは、しばしばハッカーが人を欺くための策略として使用する。個別のアップデートよりむしろアップデート ユーティリティを装うマルウェアは、新たな策略を意味している。
ベトナムを本拠とするセキュリティ会社Bkisは、この戦略は論理的に、ウィルスがシステムファイルやスタートアッププログラムを置き換えた早期アプローチ以後であると発言している。
BkisセキュリティのディレクターNguyen Minh Ducは、最近検出されているFakeupverトロイ(【訳注】この種のトロイに付けられた名前)は、その存在をAdobeアップデート ユーティリティの振りをしてカモフラージュしている間に、改竄されたシステム上にバックドアを設定する。このマルウェアは、公式のパッケージと同じアイコンとバージョン番号を使用することで自分自身をカモフラージュする。
このマルウェアの変種はまた、Javaや他のアプリケーションのアップデータを装う。
Ducは、以下のように説明している。「解析から、我々は、マルウェア(Adobe, DeepFreeze, Java, Windows, etcのような人気あるプログラムのインチキ版)がVisual Basicで書かれていることを発見した。更に、実行されると、これらのマルウェアは直ちに以下のサービス(DHCPクライアント, DNSクライアント, Network共有、ハッカーのコマンドを受け取るオープンポート)を有効にする。」
BitDefender 2010 シリーズ 64bit版製品での誤検知問題について
BitDefender Japan : News (2010/03/23)
03/23 19:00最終更新で、タイトルの報告がなされています。リンクは以下。
http://www.bitdefender.jp/20100321.php
IE中の最新のセキュリティホールに関する一時しのぎの修正について
Krebs on Security : Blog (2010/03/15)
Microsoftは、Internet Explorerの古いバージョン中の緊急のセキュリティホールにつっかい棒をする一時しのぎの修正をリリースした。他方、攻撃者が脆弱性あるシステムに侵入するためのこのフローの使い方を示した攻撃コードはオンライン上に流通している。
Microsoftは、犯罪目的のハッカーがIE6と7中に存在する脆弱性を限定的攻撃で使用中であるとする公開レポートに注意するよう先週警告した。数日後、セキュリティ研究者は、このフローに関し稼働している脆弱性攻撃をまとめた。
Microsoftは、このセキュリティホールを塞ぐための公式アップデートを未だ作成中であるが、ひとまず、Windowsユーザがこの脆弱性を無効にできる”Fix it”ツールをリリースした。このツールを使用するには、
このリンクのページの「この解決策を有効にする」の”Fix it”アイコンをクリックする。Microsoftはまた、IE6とIE7ユーザがDEP(データ実行防止)と呼ばれる機能をONにすることを支援する”Fix it”ツールもリリースしている。この機能を使用することで、Windowsが特定の種類の汎用ではあるが有害なソフトウェア攻撃をブロックすることを支援する。DEPを有効にするには、
このリンクのサイトで「アプリケーション互換性データベースを有効にする」の”Fix it”をクリックする。
あなたがWindows XP サービスパックもしくはWindowsのより新しいバージョンでIE8を稼働しているのであれば、DEPは既に有効になっている(このIEの脆弱性に関し心配する必要はない)。”Fix it”ツールがシステムに何らかの問題を発生した場合は、夫々の「この修正を無効にする」の”Fix it”アイコンをクリックすることで変更をアンドゥーできる。
WindowsとMacのSafariユーザは大至急アップデートを
Sophos : Graham Cluley’s blog (2010/03/12)
AppleはSafariブラウザのバージョン4.0.5をリリースした。このバージョンはWindowsとMacでの「最重要」を含む総計16のセキュリティ上の脆弱性を修正している。
アップデートをノロノロしていれば、ハッカーは、このセキュリティ バグを食い物にすることができる(特別に細工された悪意ある画像を置いたWebページを訪問させることで、あなたのコンピュータ上で悪意あるコードを自動的に稼働できる攻撃を含む)。
面白いことに、Safari 4.0.5で修正されたバグの一つ(CVE-2009-2285)は、2009年12月のMac OS X 10.6.2で、今年1月のMac OS X 10.5でアナウンスされパッチされていた。このことは、SafariのWindowsユーザは、このブラウザがブービートラップされたTIFFイメージの操作における脆弱性を二ヶ月以上放置されたままだったことを意味している。
しかし、あなたがMacユーザかWindowsユーザかは重要なことではない。あなたがSafariを稼働しているのであれば、このメッセージの意味は明らかである。今、Safariをアップデートしなさい。そして、Apple Webサイト上の
セキュリティ アドバイザリに詳細に述べられているセキュリティホールへのハッカーの攻撃を防御することを保証しなさい。
Safariユーザは安全なコンピューティングを実行しよう。そして、可能な限り早急にシステムをアップデートしなさい。
CVE-2010-0188: パッチされたはずのAdobe Readerの脆弱性は実際に攻撃されている
Microsoft Malware Protection Center : Threat Research & Response Blog (2010/03/08)
最近、悪意あるPDFファイルを解析していて、今までに遭遇したことのない簡単に脆弱性を食い物にできる攻撃に気付いた。チョッとした研究の後、私はこの攻撃が
CVE-2010-018への攻撃であると結論した。これは(二月に情報公開されていた件の)新しい脆弱性である。この脆弱性は任意のコードの実行を可能にすると説明されており、まさに発生していることである。
このPDFファイルをロードすると、Adobe Readerが開き、次に閉じる。その間に、a.exe と名付けられた実行ファイルがC:\ドライブ上に直接ドロップされる。PDFファイル中に埋め込まれていたドロップされた実行ファイルは、他のファイルをダウンロードするために .biz で登録されているドメインへの接続を試みる。この脆弱性を攻撃を成功させるために再びJavaScriptが使用される。そこで、正体不明のドキュメントを無効化することは良い考えかもしれない。
我々は、悪意あるファイルをExploit:Win32/Pidief.AX (SHA1: 908ae499a474e3006253417c658e055a633e75a1) として、ドロップされたマルウェアをTrojanDownloader:Win32/Qaantiz.Aとして検出する。
幸いなことに、Adobeはこの脆弱性を解決するアップデートをリリースした(全てのユーザに対して自動的に提供される)。Adobeのセキュリティ ブレチンを読むにはこちら。そして、Adobe ReaderとAcrobatを最新にアップグレードしなさい。ユーザは、該当アプリケーションの「ヘルプ」メニューをクリックし、最新バージョンで稼働していることを確認するために「アップデートの有無をチェック」をクリックしなさい。
安全なコンピューティングのために、我々は全てのユーザにOSのアップデート同様にプログラムをアップデートするようアドバイスする。また、信頼性の薄いファイルは開かないように忠告する。
3月の定例パッチにIEの[F1]セキュリティ ホールは未パッチのまま残された
The Registar : Security (2010/03/05)
Microsoftは来週、今月の定例パッチの一部として「重要」と評価される脆弱性を塞ぐ
二つのセキュリティブレチンを計画している。
このスケジュールされたアップデートはMicrosoft OfficeとWindows (XP、Vista、Windows 7)のデスクトップ版中の8つのセキュリティ フローを解決している。3月のアップデートは「緊急」と評価された5つのアップデートを含む13個もの二月の巨大なアップデートに比較すれば控えめである。今月のパッチ全体では、26のセキュリティホールに対応している。
いつも通り、アップデートの詳細は来週まで待たなければならない。しかし、セキュリティ企業がどのような修正がなされ、何にパッチが当てられないまま残されるのかを、経験に基づいて推測することを妨げない。
Alan Bentley(Lumension SecurityのVP International)は、「確認したことから、リリースされたブレチンはインターネット上に存在する全ての問題を解決しているようには思えない」と発言している。
今週の初め、Iternet Explorerと以前のWindowsに含まれるVBScriptの問題が、見出しを飾った。それは、この脆弱性を持つユーザが欺かれて[F1]キーを押すことで攻撃を潜在的に浴びることになることを意味していたからであった。
Microsoftは、この潜在的問題を確認しており、調査中であると発言し、更に、現実世界での攻撃に利用されているバグの証拠が見つからないと追加している。
Microsoft: MS10-015のアップデート版をリリース
Sunbelt : Blog (2010/03/03)
このアップデート版セキュリティパッチMS10-015は、Rootkitに感染している場合は動作しない。しかし、あなたのマシンが「死のブルースクリーン」を発生させることはない。
Microsoftは、WindowsXPユーザがRootkitに感染しているマシンに、このパッチをインストールしようとした時に、発生する問題を解決した先月からの Security Bulletin MS010-15 を再リリースした。
Jerry Bryant(Microsoftのセキュリティに関する筆頭上級管理者)は、MicrosoftのTechNetブログ上で、MS10-015の新しいインストレーションパッケージは、Rootkitに感染しているシステムでは、このセキュリティアップデートを行うことを防止していると、記述している。Microsoftはまた、感染したマシンでの適用ガイダンスと、このパッチの適用を妨げるシステム状態を検知するスキャンツールを提供している。
Microsoft TechNet ブログはこちら。
【訳注】参考URL。
http://support.microsoft.com/kb/980966(機械翻訳)
Microsoft: Security Essentialsの偽物を警告
The Register : Security (2010/02/26)
Microsoftは、 インチキのアンチウィルス ソフトをMicrosoft Security Essentialsとして掴ませようとすることに対し、気をつけるようWindowsユーザに警告した。
Microsoftが発言しているソフトウェア Security essentials 2010 は、あなたのマシンにインチキのウィルス スキャナをインストールする。そして、このインチキ ソフトが気に入らないプロセスを監視しブロックする。
このソフトはまた、アンチウィルス会社のWebサイトへのアクセスをブロックし、警告メッセージを表示する。あなたはブロックされたサイトのリストを
こちらで見ることができる。
Security essentials 2010は、Win32/Alureonと他のレイヤー サービス プロバイダ(【訳注】通称、LSP)コンポーネントをダウンロードすることによってアクセスをブロックすると、Microsoftの David WoodはMalware Protection Center blogで記している。
「このLSPは、ユーザがインストールしている様々なWebブラウザが送ってくるTCPトラフィックをモニタしている。そして、特定のドメインへの如何なるトラフィックもブロックする」とWoodは発言している。
傷口に辛子を擦り込むように、あなたが最初にダウンロードしたバージョンはトライアルエディションであると主張し、Security essentials 2010は、あなたのマシン上のファイルをスキャンし削除するために料金を払うよう請求する。Microsoft's Security Essentialsは、正当なWindowsを稼働しているユーザであれば無料で利用できる。
Woodは、外観を類似させることでインチキのアンチウィルス製品を掴ませる手法はよく行われていると忠告している。そして、ハッカーがWindows Security Centerを真似するのはよくあることである。「インチキのソフトウェアがMicrosoft Security Essentialsに見せかけるよう装う日がくることは不可避であった。」とWoodは発言している。
詳細に関しては
こちら参照。
偽の VirusTotal.com が出現
Sunbelt : Blog (2010/02/26)
VirusTotal.com [http://en.wikipedia.org/wiki/VirusTotal.com ]は素晴らしいサイトである。このサイトは個人にも専門家にも、所有する実行ファイルに潜在的悪意が存在するか否かを決定することを支援する。
VirusuTotalの高名なJulio Cantoは、以下のドメインのサイトで VirusTotalの名前を利用して
somebody decided to cash in(誰かが儲けようとしている。【訳注】リンクはTwitterです)と警告している。
上記サイトに行くと、“free online antivirus scanning service, click SCAN to begin scanning:“(無料のアンチウィルススキャンサービス。スキャンを開始するにはSCANをクリック)メッセージを見るだろう。
“Scan”をクリックすると、少ししていかが表示される。
【訳注ー画像内メッセージの和訳】警告! あなたのコンピュータはウィルスやマルウェア プログラムの様々な兆候を含んでいます。あなたのシステムはアンチウィルスでのチェックを要求しているSystem Securityはウィルスと悪意あるプログラムに関しあなたのPCを高速な無料のスキャンを実行する。
そう、我々は社内に、あなたのドライブとフォルダのお馴染みの偽画像付きで“Your computer is infected by viruses”(あなたのコンピュータはウィルスに感染している)というメッセージに合わせた幾つかのインチキ アンチウィルスの広告を所有している。
あなたがこのサイトが申し出ている実行ファイルをダウンロードし稼働したなら、あなたのシステムはインチキのセキュリティツールで犯されることになる。
この様なスカムの不運な側面は、「PCが感染している」(この段階に到達しないことを祈ります)という悪意ある連中の偽の主張に騙され激怒した犠牲者によるメールを、本物のVirusTotalが受け取ったことで始まることができたことである。
記憶せよ: 本物のVirusTotalのドメインは、 Virustotal.com である。このスカムに引っかかるな!
Google Picasa の脆弱性が閉じられる
The H : Security (2010/02/25)
セキュリティ企業の
Secuniaは、 攻撃者がWindowsコンピュータを改竄することを可能にするGoogle Picasa画像ソフト中のセキュリティホールをレポートした。Secuniaアドバイザリによると、特別に細工されたJPEG画像を使用して、PicasaPhotoViewer.exe中の整数オーバーフローを引き起こし、次に、ヒープオーバーフローを発生させ食い物にすることができる。同様に、この脆弱性は攻撃者が任意のコードを挿入することができ、ユーザ権限レベルでこのコードを実行することを許す。しかしながら、実際にこれを完全にテストした者はいないようである。このセキュリティホール用の攻撃は存在しない。
この脆弱性の影響を受けるプログラムはPicasaPhotoViewer 3.6.95.25であり、Google Picasa 3.6 build 95.25として出荷されている。これ以前のバージョンもおそらく脆弱性が存在する。Secuniaアドバイザリによれば、Googleリリースノートは、修正について何も記していないが、最近リリースされた Picasa 3.6 build 105.41で、Googleはこのセキュリティホールを閉じた。
Adobe Download Manager (Adobe ダウンロード マネージャ)のバグ
TrendMicro : TrendLabs>Malware Blog (2010/02/24)
AdobeがAcrobatとReaderの定例外アップデートをリリースしたその日のうちに、セキュリティ研究者Aviv Raffが発した言葉は、Adobe製品中に別の新たな脆弱性があるというものだった。
このフローはAdobe Download Manager (DLM。FlashやReaderのような汎用アプリケーションをユーザのシステムに配布するためにAdobeが使用しているアプリケーション)中に発見された。通常、このアプリケーションはユーザのシステムにAdobe以外のファイルをダウンロードするために使用することはできない。しかしながら、Raffによれば、DLM中の脆弱性は、ユーザのシステムにサードパーティのファイルをダウンロードしインストールすることを可能にしている。実質的に、マルウェア ダウンローダーとして使用することを可能にしている。
Raffは、この脆弱性の詳細をリリースしなかった。そして、この問題がAdobeによって解決されるまでリリースしないことを表明した。火曜日、Adobeは、この問題を解決したことを表明した新たな
セキュリティ ブレチンを公開した。2010年02月23日以降FlashやAcrobatのどちらかをダウンロードするためにAdobe DLMを使用するユーザは安全である。それ以外の全ての人は、コントロール パネルのプログラムの追加と削除からAdobe Download Managerを削除するようアドバイスされている。
これは、DLMが悪意ある攻撃に対して脆弱性があることを照明した初めてのことではない。実際、今年の1月、このアプリケーション中にリモートコード実行の脆弱性があり、Adobeのパッチに含まれていた。
この脆弱性もRaffが早期に発見したバグの第一であった。この脆弱性は、Adobeサイト上の特定のURLに行くことによって、AdobeもしくはAdobeが認可したアプリケーションをダウンロードする引き金になることをDLMに許可した。Adobe製品中に未パッチの脆弱性が存在する状況において、このバグは、サイバー犯罪者がユーザのシステムに脆弱性を攻撃するためのアプリケーションをインストールすることを可能にし、次にマルウェアを実行するために利用することが可能であった。
セキュリティはセキュリティアップデート付属の価格問題を持っている
Trend Microの研究者Rajiv Motwaniは、比較的短期間にこの様な修正と他の類似のセキュリティホールの複合的影響は、ユーザ(取り分け企業ユーザ)にとって問題になることに注意している。理論的には、Adobeはその製品のセキュリティアップデートを四半期毎にリリースすることになっているが、しばしば発見される新たなフローは、この計画を台無しにしている。
定例外のパッチはホームユーザや中小企業に問題をもたらすが、大企業はより大きなリスクに直面することになる。システム管理者達は伝統的に会社のシステム上で自動アップデートを使用することを嫌うので、重要なビジネス活動に混乱をもたらすかもしれない。
システムをアップデートする負荷は、ユーザかアドミニストレータのいずれかに降りかかる。これが魅力的な提案であると誰も考えない。システムがアップデートされず、脆弱性攻撃に対して門戸を広く開けたままにしておくことも有り得る。Trusteerの調査は、これが(【訳注】システムをアップデートしないこと)が明らかにAdobe製品の場合であることを見出している(Flashのアップデートを実行しているのは19%であるが、Acrobatのアップデートを実行しているユーザは、製品ユーザ総数の7%に過ぎないことを顕にしている)。
この様な懸念は様々なアプリケーションに関して常に存在する。しかしながら、FlashやAcrobatのようなAdobe製品に関しては、このベンダが成功しているために、リスクが極めて大きい。同じTrusteerの調査では、ユーザ総数の99%がAcrobatもしくはReaderを稼働し、90%以上の者が幾つかのFlashのバージョンを稼働していることを見出している。
Motwaniの忠告として、この様な二つのファクター(Adobeの高い市場占有率と、彼らのシステムに定期的にパッチを適用しないユーザの怠慢)は、潜在的に攻撃の影響を受けるシステムの数を増やすだけではない。組織が安定性、パフォーマンスの問題に関し夫々のパッチのテストと、夫々のパッチを段階的に利用可能にしていく更なる負荷に直面することを意味している。
解決策とベスト プラクティス
消費者と中小企業はリリース後直ちにあらゆるパッチを適用することで多くの便益を得るだろう。Flash、Acrobatの両製品は現在、定期的にアップデートのチェックをスケジュール化している標準的自動アップデート機能を搭載している。
Intrusion Detection Firewall (IDF、【訳注】不正侵入検知ファイアーウォール)プラグイン搭載のOfficeScanエンタープライズ(【訳注】トレンドマイクロの製品)ユーザは、この様な脅威から保護される。システム管理者が関連するパッチの適用を受け入れられると考えるまで、このような防御が提供される。
********** 【補足】
02月24日、Adobeはダウンロードマネージャのアップデートをリリースしています。
Adobe Download Manager中に0-Dayの脆弱性
Sunbelt : Blog (2010/02/19)
まず、注意から: Adobeアップデートを実行した後、悪意あるコードをインストールされる可能性のあるAdobe Download Manager(Adobeダウンロード マネージャ)を削除するために、直ちにマシンを再起動しなさい。
さて、話に戻ろう。
Aviv Raffは、Adobe Download Manager(ReaderとFlashのアップデートをダウンロードするために使用されるActiveXスクリプト)との組み合わせでAdobe Webサイトに脆弱性があることを発見した。ReaderとFlashをアップデートした後も、このダウンロード マネージャは、再起動されるまでシステム上で稼働しつづける。悪意あるオペレータは、最適な彼らのコードをダウンロードし、この脆弱性を食い物にできる。
RaffはWindows calculator(電卓)のダウンロードに、このダウンロード マネージャを使用し、このフローをデモした。
彼はAdobeにこの問題を通知したが、脆弱性の詳細は公式に明らかにされていない。
Raffのブログの記事は
こちら。
新しい記事は
こちら。
Microsoftの今月のパッチの適用問題に関し、Rootkitをチェックしよう
Krebs on Security : Blog (2010/02/18)
Microsoftは本日、今月のセキュリティ アップデートをインストールした人々によって経験されたWindows XPのクラッシュとブルースクリーンの最近多発した問題は、予めRootkit(ホストシステム上に蔓延するマルウェアを隠蔽するようデザインされたツール)で感染させられていたシステムが大部分であることを確認した。
Microsoftの担当部署の者達は、二月のパッチの火曜日以降、多くのWindowsユーザが被害を被った無限再起動はRootkitが役割を果たしているのではないかと
最初から疑っていた。しかし、Microsoftはまた、サードパーティー製ハードウェアとソフトウェアのコンフリクトの可能性を排除できないとも発言していた。本日、Microsoft後者の見解を退けた。そして、システムがマルウェア(取り分け、Alureon Rootkit)で感染していたため無限再起動が発生したと結論した。
「我々は、多数の顧客のマシンから取得したメモリダンプの総合的解析とサードパーティー製アプリケーションとソフトウェアに対する広範なテストの後、この結論に到達した」とMike Reavey(Microsoft Security Response Center所長)は記している。「無限再起動は、Alureon RootkitがWindows Kernelのバイナリを改竄した結果である。この改竄によって、この様なシステムは不安定になる。あらゆる内部調査において、セキュリティ アップデートMS10-015には品質上の問題は発見されていない」
実に、私が
今週初めのポストで忠告したように、Alureonは、Microsoftの様々なセキュリティ テクノロジ(悪意のあるソフトウェアの削除ツール を含む)がWindowsシステム上で恒常的に検出するTop 10の脅威の中に存在している。マイクロソフト セキュリティ インテリジェンス レポートによれば、Microsoftのセキュリティ製品は、2009年の上半期だけで、Windowsシステムから凡そ200万、2008年の下半期で50万以上のAlureonを削除していた。[ Microoftの悪意のあるソフトウェアの削除ツールは、自動アップデートと一月に一度バックグラウンドで起動されるWindowsアップデートでダウンロードが提供され、発見された全てのマルウェアを削除する ]
被害を被った人へのMicrosoftのガイダンスは、要求されることを少し残している。Microsoftは、ユーザは今月のセキュリティ アップデートをインストールすることと、ユーザのシステム中のアンチウィルス ソフトを最新にアップデートするよう発言している。幾つかのサードパーティー ベンダ同様に、Microsoftはまた、感染したシステムからAlureonを検出し削除する簡単な解決策を準備中であり、数週間以内にリリースするとも発言している。
明らかなことであるが、あなたが、”このパッチ + 感染”によって無限再起動のループに陥っているのであれば、通常のアンチウィルス プログラムでは、あなたのシステムをスキャンすることはできない。私は、問題のあるパッチと、感染させられたシステム ファイルの両方を手動削除する方法を
ここにポストした。この様な方法で彼らのシステムを修復した人々は、幾つかのアンチウィルスツールで他のマルウェアに関し、彼らのシステム上をスキャンすることを深く考慮すべきである。私は、
このブログの記事で幾つかのオンラインスキャナをリストした。しかし、この様なツールの大部分が、ActiveXコントロールのインストールとInternet Explorerの使用をユーザに要求していることに注意を要する。
駄目を押したいのであれば、私はLiveCD(
AVAST! Bart CD あるいは
LinuxDefender Live!)であなたのコンピュータをブートし感染しているウィルスを削除するようにする。私はLiveCDを焼き、それからブートするための簡単なチュートリアルを記述した。
こちら参照。
ADOBE: ReaderとAcrobatのセキュリティ アップデートをリリース
Krebs on Security : Blog (2010/02/17)
Adobeは、ReaderとAcrobat中の幾つかの緊急のセキュリティホールを修正したアップデートをインストールするようユーザを急かしている。このパッチは、悪意のあるコードを仕掛けられたPDFファイルが、2009年の第4四半期検出された脆弱性攻撃の凡そ80%に関与していたとされるニュースの真っ只中で出現した。
最新のアップデートで、Adobe Readerはバージョン9.3.1にアップデートされた。そして、Adobeが緊急と評価した幾つかの脆弱性(脆弱性あるシステム上に悪意あるソフトウェアをインストールために使用されることができるフロー)が修正されている。アップデートは、Windows、Mac、Linuxのバージョンが利用可能である。
Adobe Readerを使用している方は、このアップデートを適用されたい。次に、少し時間をとるが、JavaScriptをOffにする(Reader中のJavaScriptの機能は、アタッカーによって一番食い物にされている)。これを実行するには、以下の指示を実行する。
1/ AcrobatもしくはAdobe Readerを起動する。
2/ 編集>環境設定 を選択。
3/ 左ペインで、JavaScriptを選択。
4/ ”Acrobat JavaScriptを使用”のチェックを外す。
5/ OKボタンをクリックする。
できれば代替PDFリーダー(
Foxitリーダー)の使用を考慮しなさい。私はFoxitでJavaScriptを無効にして使用している。主たる理由は、私はJavaScriptを必要としないことを見出している。
今週初め、Webセキュリティ会社ScanSafeがリリースしたリポート(.PDF !)は、Adobe Readerの脆弱性攻撃が2009年末の3ヶ月間で検出されたWebベースの脆弱性攻撃の凡そ80%に達することを示している。Adobe Flash脆弱性も追加投入された。この二つのプログラムは、2009年第4四半期においてScanSafeが検出したWeb脆弱性攻撃の最大のシェアを構築している。
PDF/Flash 脆弱性攻撃
一方で、昨年末Firefoxを作成しているMozillaは、Adobe Readerに起因するFirefoxのクラッシュの急増に関する追跡を開始した。この
Mozilla Bug Database entryへの幾つかのポスターが示唆することとして、このクラッシュはほぼ間違いなくAdobe Readerの0-day脆弱性(この脆弱性攻撃が表面化した数週間後、Adobeが最終的に2010/01/12にパッチした)攻撃の増加によるものであった。
パッチのアップデートで発生しているBSoDはRootkitがもたらしているのか
The Register : Security (2010/02/15)
Microsoftセキュリティチームからの問題の事前解析によれば、先週、Microsoftからのパッチを適用した後、Windows XPマシンをフリーズさせている問題は、検出困難なRootkitの存在かもしれない。
Microsoftのユーザ フォーラムは、先週、Microsoftがリリースした13のパッチを適用した後、恐怖のBlue Screen of Death (BSOD、死のブルースクリーン)経験したWindows XPユーザの
レポートで溢れ返っている。この問題は後日特定のアップデート(MS10-015、「重要」と評価されているKernelのフロー)に関連付けられた。そして、このパッチをアンインストールすると影響を受けたマシンのフリーズは解除されることが発見された。
BSoDの問題は少数のマシンが影響を受けたとされるが、レポートの多さから決して孤立状態になっているわけではない。システムアドミニストレータ Patrick Barnes によるその後のセキュリティ調査は、アップデートを適用した後、止まってしまったWindows XPマシンは、
TDSS Rootkitに感染していたかもしれないことが顕になった。
Microsoftセキュリティチームは、他の可能性があるものの、多くの場合、BSoDの問題はこのマルウエアで説明できることを、その後に
確認している。
限定された顧客が経験している MS10-015 に関連する再起動問題に関する我々の継続した調査において、我々はシステム上のマルウェアがこの挙動を発生させていると結論した。我々は現時点で他の潜在的可能性を否定しないし、未だ調査中である。
Microsoftは、継続調査の目的から影響を受けたユーザにメモリダンプを送信するよう依頼している。この問題を攻撃しているユーザはブートしないマシンに取り残されているので、これは狡い要請であると認識されている。
Microsoftのセキュリティチームは、潜在的に厄介な MS010-015 アップデートをインストールしないように、そして、代替の解決方法を適用するよう木曜日に
示唆した。このアドバイスの後システムアドミニストレータは、先週火曜日にリリースされた他の12のパッチは適用するよう強くアドバイスしている。
Adobe : Flash Playerの緊急セキュリティ アップデートをリリース
Krebs on Security : Blog (2010/02/11)
Adobeシステムズは、汎用されているWebブラウザ プラグイン中の二つの緊急なセキュリティホールを修正したFlash Playerソフトウェアのアップデート バージョンを本日リリースした。Adobeはまた、Adobe Airソフト(Tweetdeckのような幅広く使用されているWebアプリケーションの中心コンポーネント)のセキュリティ アップデートもリリースした。
このFlashアップデートは、最新バージョン(Flashのバージョン 10.0.45.2 へのパッチバージョン)として出現している。そして、サポートされるあらゆるプラットフォーム(Windows, Mac, Linuxを含む)に適用される。あなたが持っているFlashのバージョンを知るには、
このリンクを訪問しなさい。最新のアップデートは、先述のリンクから利用できる。
Windowsユーザは、IE以外に追加したWebブラウザを使用しているのであれば、このアップデートを夫々のブラウザで適用する必要がある。この様なユーザは
Flash Player ダウンロード ページを訪問し、IEで一回アップデートをインストールし、FirefoxやOpera(IE以外のブラウザ用のインストーラは、Mozillaベースブラウザのアップデート用に設計されている)でこのリンクをもう一度訪問し、二回目のアップデートを実行する必要がある。
Adobeのインストーラは通常幾つかのサードパーティーソフトウェア(Googleツールバーや幾許かのアンチウィルス製品の試用版)を事前にチェックしていることにも注意しなさい。あなたが、これらの追加機能を望まないのであれば、アップデートのインストールに同意する前に、このオプションをアンチェックしなさい。
Adobe Airのセキュリティ アップデートで、このソフトウェアのバージョンは 1.5.3.1930 になる。
こちらから利用できる。このアップデートで修正される脆弱性の詳細は、
Adobeアドバイザリに見ることができる。
Adobeは本日リリースしたアドバイザリで、AdobeのPDF ReaderとAcrobatアプリケーション用のアップデートもまたリリースするだろうと発言している。Adobeはまた、この様なプログラムのセキュリティ アップデートは、来週の火曜日(02月16日)に計画していると発言している。
私は、Adobeが本日何故この様なアップデートをリリースしたのか、いささか混乱させられた。というのは、Adobeは最近四半期毎のアップデートサイクルに移行すると、そして、このアップデートがMicrosoftのパッチの火曜日(毎月第二火曜日)と同期してリリースされるだろうと発言したばかりであった。思うに、Adobeは、ハッカーが活発に食い物にしていたこのフローからの出血を止めるために、慌てて修正をリリースしたのだろう。
以下省略
Microsoftの今月のパッチは一部WindowsXPユーザにBSoDを発生させる
Krebs on Security : Blog (2010/02/11)
あなたがWindowsXPを使用していて、Microsoftが火曜日にリリースしたセキュリティアップデートをあなたのシステムに未だ適用していないのであれば、暫くの間そのまま適用しない方が良いだろう。判明したところによると、XPの少なからぬユーザは、彼らのシステムが恐るべきBlue Screen of Death(死のブルースクリーン)を経験していること。そして、Microsoftの最新のパッチ群をインストールした後、再起動の無限ループに陥ることが報告されている。
どのパッチがこの問題を引き起こすのか、この問題はある特定のXPシステムだけに限定されるのか、この点は未だ明らかになっていない。
Microsoft.com answersフォーラムのこのスレッドは、この点に関し無言を貫いている。しかし、動作する修正が含まれているかのようである。しかしながら、このスレッド中の修正方法はユーザの手元にWindows XPインストールCDを要求する(非合法とされるべきことの実行で、多くのコンピュータメーカーは、インストール/再インストール ディスクを添付せずにシステムを出荷してすませているので)。
この件で私が確認したフォーラムのスレッドのサポートによれば、影響を受けたユーザは、火曜日のパッチ群のインストールに続く再起動に関する問題に言及している。ブートアップ問題で不満をぶつけている人々は、BSoDエラーページが“PAGE_FAULT_IN_NONPAGED_AREA”(【訳注】物理メモリに存在しないメモリページに対するアクセスが起こったときに発生する割り込み の発生があった時に表示される)メッセージに付随して発生していると発言している。
あなたが火曜日のパッチ群をインストールした後、上述の問題を経験している真っ最中であるのなら、以下のステップに従いなさい。この方法で、影響を受けた多くのユーザが、この問題を解決したようだと発言している。
1. あなたが所有するWindows XP CD/DVDからブート。回復コンソールに進む。(回復コンソールへの進み方は、こちらを参照。
回復画面に入ったなら、
2. 次のコマンドをタイプする。
CHDIR $NtUninstallKB978262$\spuninst
3. 次に、このコマンドをタイプする。
4. 次に、以下のコマンドをタイプする。
5. 以下のアップデートの夫々について、Step 2から4 を繰り返す。
・ KB978262
・ KB971468
・ KB978037
・ KB975713
・ KB978251
・ KB978706
・ KB977165
・ KB975560
・ KB977914
6. 完了したら、以下をタイプして回復コンソールを終了する。 .
残念ながら、この種の問題の修正のための多くの仕事に丸ごと直面するユーザのサブセット(Netbookユーザ)がいる。Netbookは大変軽く、小さく作られる物なので、CD-ROMのような光学ドライブを持っていない。あなたがこの問題に遭遇したNetbookユーザで、手元にWindows XPのインストールCDを持っており、コンピュータにCDドライブが搭載されているのであれば、
USBドライブ上のカスタムXP インストール/ブートアップディスクを立ち上げることによって、あなたのシステムを未だレスキューできるかもしれない
これら全てが膨大な仕事のように思えるなら、アメリカとカナダでは、ホームユーザは1-866-PCSAFETY (もしくは 1-866-234-6020、 1-800-936-5700)に電話し無料サポートを受けられる有資格者である。Microsoftは、セキュリティアップデートに関連する電話サポートは無料であると発言している。
もちろん、上述のステップに記述されている全てのアップデートを削除することは、セキュリティ上の修正をしていない時点での問題を残す。どのパッチが、この騒動の全てを引き起こしたのかMicrosoftから公式発言があり次第、この記事をアップデートする。
SpyEyeツールキットは、Zeusボットネットを追い求めている
Sunbelt : Blog (2010/02/10)
SymantecのPeter Cooganが昨日、SpyEye v1.0.7と呼ばれる犯罪ソフトウェア キット(ロシアのサイトで$500で販売中)について面白い記事をポストした。SpyEye v1.0.7は、犠牲者のコンピュータに感染しているZeusボットを殺すモジュールを持っているので、SpyEyeによって作成されたこのボットは、そのコンピュータの制御を奪うことができる。
9月、
Computer Weeklyは、スウェーデンの電気通信会社Telia Soneraは、ラトビアの会社Real HostがZeusボットネットに感染していたことが明かになった後、このインターネット接続を切断した。この時点で、Real Hostのサーバーが凡そ3600000台のPCにZeusボットネットを置いていたと思われると、研究者は発言していた。
彼らはZeusを Rock Phish と呼ばれるロシアのギャング(クレジットカードや銀行情報を盗むことを目的とした大量のフィッシング攻撃を仕掛けていると思われている)にリンクしていた。
Zeusネットワークは打撃を被ったが、修復され、多くのマシンに感染するため巨大な悪意あるスパムキャンペーンを送信した。あるキャンペーンは9月に所得税に関する記事を送信し、またあるキャンペーンでは12月に誘因因子としてH1N1(【訳注】世界的パンデミックをもたらした新型インフルエンザ)を送信した。
Cooganは、SpyEyeキットが以下のような機能付きで犯罪ソフトウェアを作成することもできると発言している。
・ Keyloggers
・ credit card modules
・ daily mail backup
・ encrypted config files
・ Ftp protocol grabbers
・ Pop3 grabbers
・ Http basic access authorization grabber
「SpyEyeの使用が上手くいき始めたなら、Zeusボットの消費を落ちこませるだろう。そして、Zeus犯罪ソフトウェア ツールキットの作成者からの報復を招くだろう。これは、次々に、他のボット戦争を導くだろう。過去我々がBeagle, Netsky, Mydoomで見てきたように。」と彼は記している。
彼は、この解析がMario Ballano Barcenaのおかげだとしている。
Symantecブログでの
この記事は以下で参照できる。
Microsoft: 一連の巨大なセキュリティパッチにも関わらず、更なるセキュリティホールが…
The H : Security (2010/02/10)
アナウンスされているところによれば、2010年02月10日(日本時間)Microsoftは26のセキュリティホールを修正する13のパッチをリリースした。Microsoftが”Critical”(緊急)とするパッチは、2000 SP4以降(Server 2003 と 2008を含む32ビットと64ビット用共に)の全てのWindowsバージョン用にリリースされた。Office XP、2003、Mac向け2004のパッチは”Important”(重要)と評価されている。説明されているプログラム バグの大部分は脆弱性ある悪意あるコードでシステムを食い物にすることが潜在的に可能であり、リモートからシステムの制御を奪うことができる。
Microsoft Security Response Center (MSRC)のブログによれば、脆弱性に関し考慮しているこのセキュリティ情報(SMBネットワーク クライアント中の脆弱性(MS10-013)、Windows Shellハンドラ中の脆弱性(MS10-007)、幾つかのActiveXコントロール中の脆弱性(MS10-008)、DirectShow中の脆弱性 (MS10-013))は、取り分け急かしている。緊急アップデート リスト上の新しいセキュリティ情報は、MS10-015である。この脆弱性は、17年前に紹介された仮想DOSマシンを通じて権限の昇格を可能にする。この脆弱性を食い物にするコードは、最近表面化した。
Microsoftは、この5つのセキュリティ情報で、このパッチを管理者として実行するよう推奨し、このアップデートを通常のアップデートメカニズムで利用できるようにしている。Windowsユーザはまた、可能な限り早急にアップデートするよう忠告されている。Windows Vista と Server 2008が影響を受けるIPv6(【訳注】インターネットプロトコル Version 6)スタック中の緊急な脆弱性(MS10-009)もまた解決されている。
セミコロン拡張子付きファイル名の構文解析(【訳注】something.asp;.jpgとして脆弱性のあるホストに保存した場合、これをsomething.aspと解釈する)時、Internet Information Server 6.0 (IIS)中のセキュリティホール同様、Windows 7 と Windows Server 2008 R2のSMBクライアント中のDoS脆弱性は、未パッチのまま残存している。Internet Explorer中の今迄未パッチのセキュリティホールに関する
Fix-itツールもリリースされている。
Mozilla: Firefoxアドオンがトロイを含んでいたことを認める
Sophos : Graham Cluley’s blog (2010/02/05)
Mozillaは、AMO(MozillaアドオンWebサイト)の二つのアドオンが、Windowsコンピュータに感染する悪意あるコードによって感染させられていたことを認めた。
AMOブログ上のセキュリティ忠告によれば、アドオンMaster Filerは、LdPinch password-stealing Trojanによって、アドオンSothink Web Video Downloader バージョン 4.0は、Bifrose backdoor Trojanによって感染されていた。
Mozillaアドオンブログの声明から判断すれば、極めて少数の人々だけが、彼らのWindowsコンピュータが感染していることを見出した。
Master Filerは2009年9月から2010年01月までの間に凡そ600回ダウンロードされている。Sothink Web Video Downloader バージョン 4.0は、2008年02月から2008年05月までの間に凡そ4000回ダウンロードされている。 Master Filerは、2010年01月25日にAMOから削除された。Sothink Web Video Downloader バージョン 4.0は、2010年02月02日にAMOから削除された。
Sothink Web Video Downloader 4.0以降のバージョンは感染していないと発言されている。さらに、この二つのトロイは特にWindows用に書かれているので、FirefoxのMac OS XやLinux版には感染できないことを意味している。
これはマルウェアがMozillaセキュリティ プロシージャを通過した最初のことではない。2008年05月、Firefoxベトナム語バージョンをダウンロードしたユーザは、腹立たしい広告メッセージを表示するよう設計された悪意あるスクリプトを含んでいると警告された。
Mozillaは、セキュリティの過失を考慮して、そのシステムを強化し、追加したアンチウィルスツールで全てのアドオンをスキャンしたと発言している。
個人的に、全てのコンピュータユーザは彼らのためにウィルススキャンを実行している人の誰も信用しないということを思い出すよう勧める。そして、自分自身のコンピュータ上にアンチマルウェア防御を持ちなさい。
*************** 【訳注】このアドオン中のマルウェアを発見したアンチウィルスは以下
Antiy-AVL
Avast
AVG
GData
Ikarus
K7AntiVirus
McAfee
Norman
VBA32
********************
UPDATE 2010/02/11
Mozillaは、二つのアドオンがマルウェアに感染していたとする発表のうち、Sothink Video Downloader v. 4.0は、マルウェアの検出に使用したアンチウィルスソフトの誤検出であったと
発表しました。
感染していたとされた、もう一つのアドオン Master Filer はトロイに感染しており、このアドオンをダウンロードしている人は700人以下であると発表しています。
Windows 7の安定性フィックスは、安定性を損なっている
art technica : Microsoft > News (2010/02/05)
先週、Microsoftは、夥しい数のWindows 7用のセキュリティ以外のアップデートをポストした。この内の一つは、「更新プログラムの安定性と Windows 7 と Windows Server 2008 R2 の信頼性を向上させるために使用可能です」というタイトルであった。残念ながら、
Microsoft TechNet上のスレッドによれば、このアップデート(
KB977074)は、このオペレーティング システムの安定性と信頼性を実際に損なっている。
このスレッドを立ち上げた者は「私は、このアップデートをインストールした。そして、私のシステムはWindowsブートアップスクリーンでフリーズした。」と書いている。別のユーザは少し掘り下げ「シャットダウンで、PCは、しばしば、あるプログラムが未だ稼働中であるとするメッセージ付きでハングする。プログラムの強制終了は動作しなかった。私がPCの電源ボタンを押すまで、このPCは数分間ハングしていた。ある時のスタートアップで、私はWindows 7の認証を必要とするとする指示が表示された。そう、このPCは認証情報を失っていた。再認証は成功した。シャットダウン問題は、メディアセンター稼働後、相変わらず発生している。また、TVプログラムの録画でも問題がある。断続的に、録画したTVプログラムをCDに焼くことができない。それに続くシャットダウンは100%ハングする」と記している。
MicrosoftはWindows 7とWindows Server 2008 R2の安定性と信頼性に関するアップデートを定期的にリリースしている。このアップデートは、それ以前のアップデートに立脚している。悲しむべきは、この問題が、このアップデートが解決しようとしていた問題(キーボード マルファンクション、通知アイコン、スクリーンセーバー問題のような)を、より悪化させるかのような影響を受けたユーザによって説明されたことにある。
Microsoftのモデレータ Arthur Li は、スレッド中で応答し、この問題を経験しているユーザはBIOSとハードウェアドライバのアップデート、使用中のアンチウィルスプログラムの無効化し、コンピュータの
クリーンブートを実行した後、再度このアップデートをインストールするよう推奨している。ここで推奨された方法が、問題を修正したか否か報告した者は誰もいない。彼は、このスレッドに関する公式見解として、当面の間、ユーザが単純にこのアップデートを非表示にするよう要請している。
皮肉にも、
Microsoft TechNetの別のスレッドのユーザは、彼らがこのフィックスをインストールできなかったと不満を漏らしている。と言うのは、強制再起動の後、このアップデートが67%進行したところで失敗し、変更が元に戻されるためである。Liは、この二つ目のスレッドでも同じ指示を与えている。そして、トラブルシューティングの詳細について少し立ち入っているが、結局、以下の結論をポストしている。「あなた方は次の安定性と信頼性のアップデートを待った方が良い。」
この結論は、上述したこの問題から受けた苦痛に対し全く満足されるものではない。我々はMicrosoftに詳細な情報提供を求める。「我々は、この問題を我々の顧客サポートチャンネル内の重要な問題として考えていない。しかしながら、我々はこの問題を認識し、原因を同定している最中である」とMicrosoftのスポークスマンはArsに告げている。「現時点で、この特定のアップデートがインストール問題を発生させているとする兆候は存在していない。可能になり次第、我々は詳細を発表するだろう」とも告げている。我々はこの問題の波及範囲が定かでないが、我々が言えることは、我々のWindows 7マシンや我々に近しい人々のWindows 7マシンで、この問題は経験されていない。
我々は、他の付随するファクターと共に、取り沙汰されているこのアップデートに問題があったことを、たとえMicrosoftが発見したとしてもチットモ驚かないだろう。このスレッド中でユーザは、このアップデートを手動でアンインストール、もしくは、このアップデートをする以前の状態にするためにシステムリストアを使用するよう報告している。
Windows 7は、Notebookのバッテリーを衰弱させるか?
ZDNet : News & Blog (2010/02/03)
Microsoftは、バッテリー寿命を短命にし、バッテリーその物を劣化させるかもしれない、Windows 7での問題の可能性について調査を開始した。
この問題は、2009年6月頃、MicrosoftのTecNetフォーラム上でユーザによって最初に報告された。そして、Windows 7の正式版のみならず、Windows 7のベータ版やRC版でも影響を与える。ユーザは“Consider replacing your battery” because “There is a problem with your battery, so your computer might shut down suddenly.”(「バッテリーの交換を考えてください。」 なぜなら「バッテリーに問題があります、あなたのコンピュータは予期しないシャットダウンをするかもしれません。」)というエラーメッセージを表示される。このエラーメッセージに付随して、バッテリー寿命が尽きかけていますとも主張してくる。バッテリーで駆動したとき、彼らのマシンが実際上使用できないとまで言われている者もいる。
これだけでも十分悪いのに、それに加えて、若干のユーザは別のOSに変更してもバッテリーが以前の状態に復することはないので、この問題が物理的バッテリーの損壊であるとする示唆を急いで実行している。
皮肉にも、Windows 7は、バッテリー寿命を改善したと宣伝していた。
今までにMicrosoftが発言したことは、この問題を調査中であり、特定のシステムBIOSバージョンでの結果であるということである。
【NOTE】私が得た幾つかのOEMの非公式の発言では、この調査は進行中である。
この問題のレポートにあたり、私はかなりの時間を費やした。そしてこの問題を整理することは困難であった。影響を受けるノートPCの型式やモデルの範囲の多様性から、一見したところ、BIOSの問題は除外されるように思える。しかしながら、異なったシステムといえど、同じか非常に類似したBIOSを有することがある。また、パワーマネージメントのような機能を搭載するとき、BIOSは多くの共通性を共有している。
この問題が実際にバッテリーを衰弱させているかのような報告を聞き驚いている。個人的には確認していないが、何人かの読者は、この問題を経験し、異なったOS(Windowsの早期バージョンやLinux)をインストールした場合でさえ、バッテリー寿命は改善されないと告げてきている。
既に述べたように、私は影響を受けたシステムを扱ったことが無い。しかし、この問題は煩わしくはないが、危険なものになり得る可能性を広げるので、マズいOS/BIOSの組み合わせがバッテリーを損壊するとする考えは、非常に心配である。
************** Update
この問題に関し、Microsoftは、この件をナンセンスであると結論した。
それであるにも関わらず、ユーザ達はこの問題でMicrosoftに噛みついていると
Computer Worldはレポートしている。
Microsoft: Internet Explorerの脆弱性を警告
Sophos : Graham Cluley’s blog (2010/02/04)
我々はInternet Explorerの最新のセキュリティ脆弱性(”Operation Aurora”で使用されていた脆弱性)を分かっていただけのように感じる。そして今、別の脆弱性が出現した。
Microsoftによって公開された
セキュリティ勧告は、世界で最もポピュラーなWebブラウザ、Internet Explorerの複数のバージョンに脆弱性があることを警告している。この脆弱性は情報漏洩を導くことが可能である。
このフローは、最近ワシントンDCのBlack Hatカンファレンスで、セキュリティ コンサルタントJorge Luis Alvarez Medina(彼は、この脆弱性を食い物にする行為が、ユーザのコンピュータ上の全てのファイルの内容を検索することが可能であることを示した)によってデモンストレーションされた。
Microsoftは、高いリスクのあるユーザのグループは、未だにWindows XPの稼動下でInternet Explorerを使用しているユーザ、もしくは、IEのプロテクトモード機能をOFFにしているユーザであると発言している。
もちろん、未だMicrosoftからのパッチが利用可能になっていないので、悪意あるハッカーは、このフローを巧みに利用できるので、悪いニュースである。この問題に関する適切な修正をMicrosoftが素早くリリースできるかどうかが今後の課題である。うまくいけば、前回より早くパッチはリリースされそうなので、この脆弱性は攻撃するには取るに足らないものになりそうである。
詳細は
Microsoftのアドバイザリに見出すことができる ー ハッカーがこのフローを攻撃する前にアドバイザリを見にいこう。
Adobe: PDFフィッシングスカムを警告
PCWorld : Security (2010/01/31)
新たなフィッシングスカムは、PDF Reader/Writerの新しいバージョンをアナウンスし、それが恰もAdobeの公式のものであるかのごとく思わせ人々を欺こうとしている。このメッセージは、E-Mail受信箱に送信される。本物のAdobeは、このメールを単純に削除するよう全ての受信者に要請している。
このフィッシングスカムは、件名が”download and upgrade Adobe PDF Reader - Writer for Windows,”であり、偽物のAdobeのロゴを含んでいる。もし犠牲者がリンクをクリックしたならば、悪意あるコードや他のトラブルを誘発するリンクを用意している。このE-Mailは、Adobe newsletter@pdf-adobe.orgからのものであるかのように装っている。これはスカムの一部分である。
「Adobe Readerのダウンロードを提供するとしているE-MailメッセージはAdobeであると主張している実体によって送られていることが、Adobeの注意を引いた」と、この件に関する警告文書のなかでAdobeは発言している。「これらのE-Mailの殆どは、'Adobe PDF' (もしくは、類似の)として署名されており、ある場合には、個人情報の登録もしくは提供を受信者に要求している。これらのE-Mailはフィッシングスカムであり、AdobeやAdobeグループによって送信されたものではないということを、どうか認識して欲しい」と発言している。
本物のAdobe ReaderダウンロードページはAdobe上のWebサイト http://get.adobe.com/reader/ である。
RealPlayer、セキュリティホールにパッチ
Krebs on Security : Blog (2010/01/21)
あなたのコンピュータを安全にすることは、システム中のドアに掛け金を掛けたり、窓にパッチを当てることだけではない。同時に幾つかの通用門に単純にレンガを積み上げること(もはや使用していないプログラムを削除すること)も重要なことである。
最近、私が言及し、もはや使用していないプログラムのカテゴリに置いた幾つかのプログラム (Java, QuickTime, Adobe Reader)がある。私はこのカテゴリに、もう一つプログラム( RealPlayer)を追加する。あなたがこのプログラムをインストールしているのであれば、あなた自身に尋ねてほしい。「このプログラムを一番最後に使用したのは何時だったろうか?」と。
私はこの質問に答えるとき、いかなる他のフォーマットも提供していないライブ、あるアメリカ政府Webサイトのストリーミングビデオを閲覧した、およそ三年前に立ち戻らなければならないように思う。私が正確に思い出しているのなら、
VLC Player(殆どのReal Playerコンテンツを再生できるフリーのメディアプレイヤー)でファイルをストリームすることが可能であった。それ以前で、私がReal Playerを使用した最後は、私の父が死んだ後のことであったと思う。私は父のPCのハードドライブに山のごとき古いCDのコピーを発見した。私は、それらを読み書き可能なUSBドライブにコピーしようとした(Windows98システムで、このようなことをすることは容易なことではなかった)。しかし、それら全てがRealフォーマットであることを発見したとき、私は直ちにシステムを新たに出直すことを決定した。
しかしながら、あなたがこのプログラムを未だに必要と考えているのであれば、今アップデートす時期である。RealNetworksは、サポートされる全てのオペレーティングシステム上のReal Player用の深刻なセキュリティホールを修正するパッチをリリースした。最新バージョンは、ユーザが毒ある .rm ファイルを閲覧することで、攻撃者がユーザのシステムをガッチリと制御することを可能にする、
少なくとも11のセキュリティホールを修正している。最新バージョンは、
こちらからダウンロードできる。
Mozilla: 深刻なセキュリティホールを修正した、Thunderbird 3.0.1をリリース
The H : Security (2010/01/21)
Mozilla開発チームは、人気あるオープンソースのThunderbird E-Mail/Newsクライアントのバージョン3の最初のセキュリティパッチと安定化版のアップデートをリリースしたことをアナウンスした。幾つかの安定化とバグの追加によって、Thunderbird 3.0.1は三つの深刻なセキュリティホールを解決した。
このアップデートは、Thuderbirdによって使用されているブラウザエンジン中の深刻な脆弱性(クラッシュの発生、メモリ損壊の誘導と任意のコードの実行の可能性)を修正している。liboggplayとTheoraビデオ ライブラリ中の他の二つの深刻なバグは、クラッシュを導き、そして犠牲者のマシン上で任意のコードの実行を潜在的に許可する。これらは、Firefox 3.0.6とSeaMonkey(オールインワン インターネット アプリケーション スウィート) 2.0.1に12月中旬にパッチされた脆弱性と同一のものである。開発者は可能な限り早急に最新のリリースにアップグレードするよう強く勧告している。
リリースに関する詳細(既知の問題のリストを含む)は、リリースノートと更新履歴で見つけることができる。Thunderbird 3.0.1は、Windows, Mac, Linux用のダウンロードが可能である。Thunderbirdのバイナリは、 Mozilla Thunderbird End-User Software License Agreement下でリリースされ、ソースコードはMozilla Public Licence, GPLv2, LGPLv2.1を含む離接的三つのライセンスの基にリリースされている。
FirefoxとOperaは、Aurora攻撃で便益を受けた
Sophos : Graham Clueley's blog (2010/01/20)
Wall Street Jounalのレポートによれば、Googleや他の30の会社に対する攻撃で注目を浴びている”Aurora”攻撃は、いくつかの会社にとってはグッドニュースであった。あからさまに言えば、WebブラウザのFirefoxとOpera。
Microsoft Internet Explorerのバージョン中の0-Day脆弱性は、伝えられるところによると、中国人人権活動家のG-Mailアカウントをターゲットにしたハック付き接続で多大な苦情を受け取ることとなった。
ハッカーは、一つの製品の一つの脆弱性だけを食い物にしているわけではないにもかかわらず、今回のInternet Explorerのセキュリティホールは多大な忠告を受ける羽目となった(この頂点をなすのは、おそらく、ドイツとフランス政府による、IEを代替ブラウザに変更するようにとする勧告であろう。【訳注】イギリス政府は、このような勧告をしないことを決定している)。
そして、これに多くの人々が耳を傾けたようである。
Wall Street Jounalは、Firefoxのドイツでのダウンロードが、ドイツの所轄官庁による勧告がポストされた金曜日以降の四日間急上昇し、通常に比べ30万以上増加しているとレポートしている。
Operaもまた、Internet Explorerを切り替えるようにとする勧告から、週末に渡りダウンロードは倍増し、その便益を得ていると発言している。
個人的には、引き起こすであろう結果を考慮することなしに、中途でブラウザを切り替えることが賢明であるかどうか疑問である。確かに、多くの企業は、結局、全く異なったベンダからのブラウザよりむしろ、Internet Explorer 6から、このブラウザの上位バージョンへの切り替えにもがき苦しんでいるという奇妙なことを見出すだろう。
しかしながら、嘘偽りなく強い疎外感が存在し、以下に見られる投票のように、多くの人々はInternet Explorerに対し極端に低い信頼感しか持っていない。
Internet Explorerのセキュリティホールが未パッチのまま残っている間、インターネットサーファーは代替ブラウザを使用すべきか?
・ Yes, 一時的にブラウザを切り替えることは良いと思う・・・・・14%(72票)
・ Yes, Internet Explorerの使用は「永久に」停止すべし・・・・ 52%(273票)
・ No, 全てのブラウザが脆弱性を持っているので・・・・・・・・ 20%(78票)
・ No, セキュリティソフトウェアと賢明な予防策で保護できる・・ 15%(78票)
投票総数:528票
Microsoftからの朗報として、彼らが今回のInternet Explorerの脆弱性に関するパッチを定例外の緊急パッチとして間も無くリリースするだろうということである。
ある者は、Internet Explorerのパッチは直ちに満足なものとしては出現しない、しかし、MozillaやOperaは賭けではないと…発言している。
ドイツ政府、IEの使用を停止するよう警告
The H : Security (2010/01/16)
金曜日、IEの幾つかのバージョン中のセキュリティホールに対する対応において、ドイツ連邦情報技術セキュリティ担当省庁(BSI)は、Internet ExplorerユーザはIE用のパッチが利用可能になるまで代替ブラウザに切り替えるべきと勧告した。同時に、この脆弱性(コード名、"Aurora")は、幾つかのメーリングリスト上に公開されたコードとして出現した。Metasploitチームは、脆弱性あるフレームワーク中に脆弱性攻撃を実装するモジュールを既に作成している。
BSIは、"プロテクトモード"でIEを稼動し、Active Script機能を無効化していれば、多分攻撃は成功しそうにないが、完全に防御できるわけではないと発言している。早期のレポートにおいて、IEのバージョン6, 7, 8中のセキュリティホールは、Google、Adobe、他の多くのアメリカの企業を狙った攻撃であり、中国のサイバースパイによって稼動されていると信じられていた。今、Microsoftによって公式に確認された、このセキュリティホールは、特別に細工されたWebページを通じて、アタッカーがWindowsコンピュータにコードを挿入し実行することを可能にする。アタッカーは、改竄されたコンピュータ中にトロイ・ダウンローダーを挿入するために、この脆弱性を活用している。
次に、このダウンローダーは、更なるモジュール(アタッカーがSSL暗号化接続でコンピュータにリモートアクセスできるようにするバックドアを含む)を取得する処理を行う。巧妙に細工されたWebページへのリンクは、狙われた会社の選ばれた従業員にE-Mailとして送られる。Microsoftは、パッチを開発中であり、緊急パッチとして定例日以外にリリースされるかもしれないと発言している。
Internet Explorerに対する0-Day攻撃がGoogleとAdobe上で増加中
Krebs on Security (2010/01/14)
Google、Adobe、その他メジャーな会社に対する最近ターゲットにされているサイバー攻撃は、Microsoft Internet Explorer中の未だ知られていない(現時点でパッチが当てられていない)セキュリティフローによって徐々に増加していると、McAfeeは本日表明した。
McAfeeは、攻撃中に使用されている悪意あるソフトウェアの一つを解析することで、新たな脆弱性(Windows 7を含むMicrosoftの最新のOSのすべてに存在する公開されていないIE中の脆弱性)が露になったと表明している。
McAfeeのチーフ テクノロジ オフィサーGeorge Kurtzは、このIEの脆弱性は今まで公開されていなかったソフトウェアのいくつかの脆弱性の一つが活用されていると発言し、そして、iDefenceでこのセキュリティエキスパートは、少なくとも33の異なった会社が影響を受けていると発言している。
「この事件における攻撃ベクトルの一つとして、我々はIEの脆弱性を同定したが、この様な攻撃の多くは、しばしば洗練されたソーシャルエンジニアリング シナリオと0-Dayの脆弱性を組み合わせて使用されている」とKurtzは、McAfeeのSecurity Insights Blogに記している。「現在、私たちに知らされていない他の攻撃ベクトルがもっとあるかもしれない。なぜなら、今までに我々が発見した幾つかのレポートに反して、この攻撃のファクターにAdobe Readerの脆弱性を示していないからである」と発言している。
McAfeeを含む幾つかのソースは、この脆弱性について後日詳細を発表するようにMicrosoftに呼びかけている。Microsoftのスポークスマンは、この主張を確認していない。ただ、「Microsoftはこのレポートを調査中であり、可能になったとき、詳細を提供するだろう」と発言しているだけである。
アップデート 5:25 p.m.: MicrosoftはサポートされるWindowsの全てでサポートされるIEの全てのバージョン中に今まで知られていなかった脆弱性が存在することを確認したアドバイザリをリリースした。
Microsoftのアドバイザリはこちら。
深刻なIEとWindowsのフローは、悪いまま残された
The Register : Security (2010/01/08)
Microsoftは、定例の火曜日にリリースされるパッチに、Internet ExplorerとWindowsの最新版に存在する脆弱性を修正しようとしていない。このことは、ユーザがセキュリティ リスクの修正アップデートを少なくとも来月まで待たなければならないことを意味している。
木曜日、Microsoftは、一月の定例パッチには、Windows 2000中で「深刻」と厳しく評価され、他のすべてのOSでは「低」と評価されている脆弱性を修正するだけであると発言した。これは、Microsoftが毎月第二火曜日にセキュリティパッチをリリースし始めて以来、最も少ないパッチの提供である。
これは、IT管理者の負担を軽減するかもしれないが、Internet Explorer 8とWindows 7に影響する潜在的な既知の深刻な脆弱性が、少なくとも28日間放置されることを意味している。
El Regによって既に報告されているIE8のバグは、本来なら閲覧することが安全であるとされるWebサイトへのブラウジングに対し攻撃することを可能にする。このフローは、XSS(クロスサイト スクリプティング)を導入しているために食い物にされる。Webページを食い物にし、攻撃者が悪意あるコンテンツやコードを注入することを可能にする。皮肉にも、Microsoftがこの種の攻撃に対してIE8を堅固にするために追加した機能中に残存している。
この脆弱性をハッカーがターゲットにしているとする報告は存在しないが、数か月前、GoogleはIE8の機能中の「重大な脆弱性」に言及し、多くのWebプロパティのXSSプロテクションの上書きを始めている。WhiteHat SecurityのWebアプリケーション エキスパートJeremiah Grossmanは、WebマスターはGoogleの導きに従うべきかどうかのガイダンスを
こちらに提供している。
また、残留する未修正は、攻撃者がWindows 7もしくはWindows 2008R2が稼働しているシステムを完全にロックすることを可能にするバグである。この二つのOSのSMB(Sever Message Blockの略)中に残存しているこのフローは、実際以上もしくは以下にされた入力パケットを指定する不正な形式のトラフィックを送信することで、リモートからトリガーを引くことができる。SMBはファイル共有やプリンタ共有の実現に使用されるネットワーク プロトコルである。
MicrosoftのJerry Bryantは、Microsoftが、このSMBフローに関する修正を未だ作業中であり、この弱点をターゲットにした攻撃は未だ如何なるフィールド中にも確認されていないと発言している。
来る火曜日には、内部に罠を仕掛けたPDFファイルを開いた人に、リモートから悪意あるコードを実行することを可能にするAdobeのReaderとAcrobatの深刻な脆弱性のアップデートも用意されている。この脆弱性は、特定の個人を狙う攻撃に活発に利用されている。
Adobe: Readerにバックグラウンド サイレント アップデートを導入
The H : Security (2010/01/06)
Chrome Webブラウザのバックグラウンド サイレント アップデート機能の実装を通して、Googleはサイレント アップデートが製品セキュリティの改善に大変有用であることを既に確認している。今、Adobeもまた、Readerの来るべきバージョンで、サイレント アップデート(ユーザの許諾を求めることなしにアップデートのインストールを実行する)を計画している。Adobeのセキュリティ チーフBrad Arkinが、threatpost.comとのインタビュー中で
説明したことによれば、ベータ機能の被験者は、今月下旬にこの新機能の初回の受信をうけることになっている。被験者は、1月12日のAdobeの定例パッチのアップデートを、昨年10月に既に施行されているアップデータ経由で受信するだろう。
もしもテストが成功した場合、この機能はAdobe Readerの次の公式リリースに統合される(Defaultで埋め込まれる)。しかしながら、伝えられるところによれば、ユーザの要求に応じて、カスタマイズし無効化することが可能である。新しいアップデート機能が、Readerの脆弱性あるインストレーションを稼働するのが極少数のユーザになることを、Adobeは希望している。
昨年、Adobe AcrobatとReaderの新しいバージョンが、あらゆるセキュリティホールを閉じてリリースされたとき、彼らのセキュリティプロセスに関する大変多くの批評の増加に対して、Adobeは四半期ごとにパッチを導入することにで対応した。フリーのReaderは、大多数のWindowsシステムに(予め)インストールされているので、危ういバージョンが、多くのシステムに脆弱性を放置している。そして、犯罪者はこれを彼らの攻撃対象として利用している。
1月12日、AdobeはAdobe ReaderとAcrobatの定例アップデートがダウンロード可能になるよう計画している。このアップデートは、DocMedia.newPlayer JavaScript機能中のセキュリティホール(この脆弱性は既に攻撃が開始されている)を塞ぐだろう。