yohgaki's blog

Adobe Readerのセキュリティフィックスは2008/2/7にリリースされました。

http://www.adobe.com/support/security/advisories/apsa08-01.html

APSA08-01 Adobe RreaderとAcrobat8のセキュリティアップデート公開 02/07/2008

しかし、次の記事によるとこの脆弱性を利用した攻撃は1月から始まっていたとしています。

http://www.cio.com/article/182055/Attacks_Aimed_At_Adobe_Reader_Acrobat_Flaws_Intensify

In January, iDefense noticed that the malicious PDF document was being delivered through malicious banner advertisements.

この攻撃は悪意のあるバナー広告を利用し、バナーにアクセスしてPDFファイルをダウンロードし開いてしまうと、Zonebac（Symantecの名称）と呼ばれるトロイの木馬がダウンロードされるとしています。
# プラグインで自動的に開いてしまう設定のブラウザは少なくない

2006年から既知のプログラムであり、通常のアンチウィルスソフトで検出可能と思われます。トロイの木馬は実行しなければ被害は発生しないので実際に被害が発生したケースは少ないと考えられます。

追記：
整数オーバフローで任意コード実行だそうです。かなり危険度は高いと考えた方が良いようです。上記の記事では観測された攻撃はダウンローダーでダウンロードしただけだった、考えるべきでしょう。少なくともバナーをクリックしたらPDFが表示されたり、表示されかけた方は念入りにシステムをチェックするべきだと思います。もしステルス型のルートキットなら見つけるのはかなり難しいとは思います... 管理者権限で利用していなければルートキットのインストールやシステム関連設定の変更は難しいのですけどね...

PHPで実装されたベイズフィルタを見かけました。
http://www.atomicmpc.com.au/forums.asp?s=2&c=10&t=4466
ライセンスはGPLライセンスです。

ソースコードを見ると当然ですが半角スペースでトークンに分解しているので日本語では使えません。しかし、mecabなどを使用して使えるようにするのはそう難しくありません。もともとベイズフィルタは難しいアルゴリズムではないので読むと直ぐに理解できると思います。PHPで利用できる形態素解析モジュールは幾つかあります。

しばらく前には毎日数百のコメントスパムが送信されてきていました。b2evolutionデフォルト設定でコメントのモデレートが必須化されてから時間が経過してきたので今はかなり減ってきています。必要性は減ってきてはいますが時間があったら改善したい所です。

Link: http://www.securityfocus.com/news/11485

中国がDoDをクラックした、と話題ですがSecurityForcusの記事が詳しいのでメモとして。

F-Secureのyoutube動画です。ブラウザのバグを利用して何らかのプログラムを実行させるようです。

http://www.youtube.com/watch?v=fm9ikZs5o38

知らないメールのリンクはクリックしてはならない、と言うだけではインパクトが少ないのでこのビデオは役に立つかも。ただ、音が悪いの難点です。

Link: http://www.f-secure.com/weblog/archives/archive-122006.html#00001054

SkypeにWormが発生しているらしい。ただし、脆弱性を利用した攻撃ではなく、大規模な感染も発生していないようです。チャットで問題のある「バイナリ(sp.exe等）をダウンロードして」とメッセージが送られ、ダウンロード&実行すると感染するそうです。（亜種あり）

Skypeに脆弱性か!と思いましたが脆弱性を使った攻撃ではないようです。チャットメッセージからダウンロードしたファイルから感染するのであれば日本では問題にならないでしょう。

以下、F-Secureのブログから

* There is something spreading on Skype, but only in limited numbers
* It is not exploiting a vulnerability in Skype but simply sending chat messages asking you to download and run the infected executable

しかし、Bot作りも大変ですね。この手のWormでそれほど多くのBotが作れるとは思えないのですが... Botではなく別の目的かな?

# ところで、これワームと言うよりトロイの木馬ですよね。

このブログの場合はおよそ3割がFirefoxでIEのシェアは6割ほどです。もちろんほとんどが日本国内からのアクセスです。普段Firefoxを使っていますが自分のアクセスは計算されないようになっています。（実はアクセスが増えてきてIE比率が上昇していたります）

ブラウザのシェア（blog.ohgaki.netへのアクセス）

Hatenaなので一般的ユーザとは言えないかもしれませんが、今はFirefoxは2割超、IEは5割強。2005年12月でもFirefoxが1割以上ですね。
http://counter.hatena.ne.jp/sample/report?cid=11&date=2006-12-01&mode=summary&target=browser&type=monthly&view=

現時点ではIEのシェアはおよそ75%。
http://www.w3counter.com/globalstats/

セキュリティ系のサイトの場合、IEのシェアは半分以下の場合も多いと思います。
http://security-protocols.com/2006/12/10/my-firefox-vs-internet-explorer-statistics/

その他、検索して見つけたブラウザシェア情報を書いたページ
http://www.kkoba.com/blog/archives/2005/10/20059.shtml
http://www.spreadfirefox.com/node/23850
http://www.seo-equation.com/www/cat25/browser_market_share
http://lovesolid.com/nuc/item/243
http://salo919.lar.jp/modules/wordpress/index.php?p=48
http://taisyo.seesaa.net/article/28702371.html

2005年には依然日本ではIEが9割以上のシェアを持っているというレポートもあります。
http://www.websidestory.com/products/web-analytics/datainsights/spotlight/05-10-2005.html

こちらは2005年12月でおよそ10%のシェアとしています。
http://japan.internet.com/webtech/20060110/12.html

2006年1月の時点で12%のシェアがFirefoxとするレポートもあります。
http://internet.watch.impress.co.jp/cda/news/2006/01/23/10575.html

日本に限ればFirefoxなどのシェアはまだ低く、確かに日本では欧米に比べてFirefoxのシェアの伸びは遅れています。2006年になってから一般への普及も広がってきているように思います。

データが少ないので想像に近い値ですが、現在の日本のユーザのブラウザシェアは7割強がIE、2割がFirefox、1割弱がその他といったところが現実に近いシェアではないでしょうか?

ちょっとWebのことを知っている方（Web開発をメインでやっていないIT系の方など）は未だに「IEのシェアは国内では90%+で圧倒的、Firefoxは数%」と思っている方も多いようです。2005年にはメディアで「日本は欧米に比べFirefoxのシェアは低い」という情報が多かったことも原因と思われます。

どうもブラウザのシェアがどうなっているか、認識にずれが生じてきていると思います。

Link: http://www.gnucitizen.org/blog/backdooring-quicktime-movies/

QuickTimeを利用してXSSを行えることはMySpaceのWorm

http://www.f-secure.com/v-descs/js_quickspace_a.shtml

で有名になりました。

http://www.gnucitizen.org/blog/backdooring-quicktime-movies/
はQuickTimeを利用したXSSの手順を解説しています。

XSSのサンプル

http://www.gnucitizen.org/blog/backdooring-quicktime-movies/sample_backdoored.mov

上記のリンクを開くとJavaScriptのダイアログ（Windows XP SP2 + Firefox2.0）が開きます。NoScript拡張等、JavaScriptを無効にしている場合はダイアログは開かない

QuickTIme XSS

# b2evolutionのHTML解析正規表現に不具合があるようでリンク
# が正しく表示されないので自動リンク（URLだけ書いてリンクにする）
# にしています。イメージを貼り付けた事が原因かな?

Link: http://jprs.jp/tech/material/iw2006-DNS-DAY-minda-03.pdf

TTLが短いとDNSキャッシュサーバがドメイン権限を持ったDNSサーバにクエリに行く機会が増える（当たり前ですがDNSキャッシュサーバはTTLで指定された時間だけレコード情報をキャッシュしてドメイン権限を持つDNSサーバにクエリしない）ので危険と言う話。1秒に一回キャッシュを更新するほうが1時間に一回キャッシュを更新するよりDNSキャッシュ汚染が行いやすくなる、と言う当たり前の事です。DNSキャッシュが汚染可能である事、その汚染の仕組みを知らない方には思いがけないリスク増加かもしれません。

7ページ目に記載されている数式だけではどれが何だか分かりませんが、Nはポート数を表しているはずです。ポートが固定されていると16^2の組み合わせしかない、と言う話は良く知られていると思います。DNSを管理している人なら誰でも知っていると思いますが

http://cr.yp.to/djbdns/forgery.html

にも記載されている通りBINDはポートが固定されていたのでdnscache（djbdnsのDNSキャッシュサーバ専用のプログラム）に比べてかなり脆弱だったのは有名な話です。
# 最近はBINDを使ってないので今のBIND9の実装がどうなっている
# か知りません。

気にした事が無かったですがTTLを短くした場合、ネームサーバを増やすのは良い考えですね。DNSはラウンドロビンでIPアドレスを返すのでネームサーバが増えた分だけ細工したパケットでDNSキャッシュ汚染できる確立を低下できます。そのうちネームサーバが100個登録されているドメインとか出てくる(?)かも知れません。そうなるとBINDのNOTIFY/AXFERではちょっと困りますね。djbdnsのrsync方式の方が信頼性が高い&直ぐに同期できるのでBINDではちょっとやりづらいと思います。

ここで余談を一つ。djbdnsには昔から面白い機能があります。データセンターの変更などでWebサーバ等のIPアドレスが変更される場合があります。移行前にTTLを短くしておくなどの対処を行いますが、djbdnsには「指定した時間になったらIPアドレスを変更する」機能があります。この機能はtinydns(djbdnsのDNSサーバ）は指定されたtai64n形式の時間（qmail等でも利用されている厳密に時間表記が行える表記形式)に合わせてリクエストがくる度に自動的TTLを変更することによって実現されています。データセンターの変更だけでなくWebサーバのメンテナンスにも便利です。

参考：
http://cr.yp.to/djbdns.html
http://djbdns.qmail.jp/
http://www.ietf.org/internet-drafts/draft-hubert-dns-anti-spoofing-00.txt
http://www.isc.org/sw/bind/
http://www.bind9.net/

更に余談をもう一つ。少なくとも先月はYahoo! BB、DoCoMoのMTAはネームサーバが停止しているとメールが送れない場合があったようです。ネームサーバは1台でも稼動していれば名前解決ができるのですが、Yahoo! BB、DoCoMoのMTAは稼動していないネームサーバのIPアドレスを引いてしまうと名前の解決に失敗した旨のエラーでメール送信に失敗していたようです。単なる想像ですがDomain Keyと関連があると思っています。
# ネームサーバを増やすと思わぬリスクを増やすかも
# と言う話でした。

Link: http://openmya.hacker.jp/hasegawa/public/20061209/momiji.html

クロスサイトスクリプティングに利用可能なテキストハックが簡潔にまとめられている。

目新しかったのはUnicodeのBidi機能（テキストの記載方向が異なる言語、たしかアラビア、イスラエルなどの言語）を使ってWindowsの拡張子をごまかせる事です。
# 他のOSでも問題になるかも。もし同じ問題があったとしても、UNIX系
# OSの場合は実行ビットが有効でないと実行バイナリであっても実行さ
# れないので影響は少ないですが。

ファイルマネージャ、コマンドラインなどはBidi機能はロケールのみよって有効・無効を設定できるようになっていないとセキュリティ上問題です。

文書の途中で「アラビア語の文字列を書く」必要がある場合もあると思うのでシステム全体としてBidiを無視することは良くありません。しかし、文書中でBidiが有効になっていてファイル名にBidiが混じっていてそのファイルをクリックすると意図しないバイナリを実行、という攻撃方法もアプリケーションによっては行えそうです。とにかく気を付ける（ってどうするの、という話もありますが）しかないです。

Link: http://labs.adobe.com/downloads/flashplayer9.html

2006/11/20付けでBeta版のバージョンアップ行われたようです。IA64は出さないのかな?出してほしい。