Adobe ReaderやFlash Playerの脆弱性を突くウイルス、急拡大中 114
ストーリー by makeplex
こちらのウイルスも要警戒 部門より
こちらのウイルスも要警戒 部門より
あるAnonymous Coward 曰く、
「JSRedir-R」という、悪意のあるJavaScriptが埋め込まれたWebページが急速に拡大しているそうだ(日経ITpro)。
このウイルスは、以前ネット通販サイト「GENO」に埋め込まれていたことから「GENOウイルス」などとも呼ばれており、Adobe ReaderやFlash Playerの脆弱性を利用してPCに感染するものだ。脆弱性を持つバージョンのAdobe ReaderやFlash Playerを利用している場合、ウイルスが埋め込まれたWebサイトを閲覧するだけでPCに感染するという。
まとめサイトでは感染が確認されたWebサイトのリストが掲載されているが、多数のマンガやアニメ、ゲームなどのファンサイト・同人サイトなどで感染が確認されているそうだ。
このウイルスに感染した場合、FTPでWebサーバーにファイルをアップロードする際にアカウントを盗みとられ、それによりWebサイトが改竄されるという話もある。特にWebサイトを運営している方は注意が必要だろう。
関連ストーリー (スコア:4, 参考になる)
だったら「PC通販ショップGENOのサイトにマルウェアが仕込まれる [srad.jp]」を関連ストーリーに入れましょう。
Re:関連ストーリー (スコア:2)
さっそく関連ストーリーに入れていただいたようで、ありがとうございます。
Re:関連ストーリー (スコア:1)
古いストーリーにコメントつけてしまいました………
再度とりあげられたことで、未対策の方の目にとまるといいですね。
Re:関連ストーリー (スコア:2)
古いストーリーの方のコメントも読んでいますよ。かわいい友人がいてうらやまs (略)
そうですね。
アドビ、深刻度「最高」の脆弱性を修正するReader/Acrobatのアップデートを公開 (スコア:4, 興味深い)
http://headlines.yahoo.co.jp/hl?a=20090515-00000005-cwj-secu
**以下抜粋**
アップデートの対象は、無償で提供されている「Adobe Reader」および有償製品「Adobe Acrobat」の9.1およびそれ以前の全バージョン。バージョン8(8.1.4以前)やバージョン7(7.1.1以前)も対象となっており、今回のアップデートによって、それぞれバージョン9.1.1、8.1.5、7.1.2となる。対象プラットフォームもすべて(Windows、Mac OS X、Linux/UNIX)だが、Mac版のReader/Acrobat 7.1.2については公開が遅れており、「6月末までに」(Adobe)公開する予定だという。
Adobeのセキュリティ・アドバイザリ(英文)では、今回のアップデートで修正される脆弱性の深刻度は「最高レベル(critical)」とされているが、その具体的な内容は明らかにされていない。ただし、以前、同社のセキュリティ・チームが JavaScriptを無効にするよう呼びかけていたことから、JavaScriptの実装部分にバグがあったのではないかと見られている。
----------- 一生勉強を続けなきゃ!
で、どのバージョン? (スコア:2, すばらしい洞察)
自分がどのバージョン使ってるのかわかりにくいアドビ製品もどうにかしてほしいな。
Re:で、どのバージョン? (スコア:4, 参考になる)
意外と気が付きにくい点として、
Firefox等のプラグインとIE用のActiveXは、「別のプラグイン」なので
普段はFirefox使いで、IE専用サイトをたまにIEやIE Tab等で見てる人は
Firefox用プラグインを更新するだけでなく、IE用も更新しないと危ないです。
あと、Flash Player [adobe.com]のページの
最新版のバージョン番号の表示は、最新版が公開されてもすぐ更新されないみたいなので、
信用してはいけません。
kailasさん紹介の
>http://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm
のほうはすぐ更新されるか私は知らないです。すみません。
ついでに#1567959さんが紹介してくれてる自動通知の更新間隔はデフォルトで「30日」なんですね・・・・・・
いつも、自動通知する設定なのにされないで、自分で脆弱性情報をたまたま見つけて更新するほうが多かった気がします。
「7日」に変更したほうが良い気がします。
Re:で、どのバージョン? (スコア:2, 参考になる)
長すぎるFlash Playerの自動更新間隔,“隠し設定”でカスタマイズを:ITpro [nikkeibp.co.jp]
Re:で、どのバージョン? (スコア:2, 参考になる)
Flash playerのバージョンチェックサイトです。
http://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm [adobe.com]
Re:で、どのバージョン? (スコア:1)
Firefoxのプラグイン配布ページだと、
最新バージョンを入れててもリンククリックでダウンロードされるんですよね。
バージョン見て最新かどうか教えてくれてもいいだろうにと思いました。
Re:で、どのバージョン? (スコア:2)
日本語インタフェースがないのでちょっと敷居が高いかもしれませんが。
ただ自分の場合、いろんなプログラムでバンドル使用されているFlashが計4つも出てきて
正直どうせいっちゅうねん、という気分にさせられます。
あとOperaの場合は最新版(バージョンは忘れました)を入れてもなぜか一つ前のだという
警告が出続けて面倒だったので、最終的にOperaは削除して使わなくなった・・・ということが。
Re:アップデート確認機構なし (スコア:2)
JREやiTunesなどにも言えることなんですが
アップデート通知機能があるのはいいんですが、
一ヶ月おきとか特定の長い間隔でしかチェックしてない気がします。
プッシュ型とまではいいませんが、
もっと頻繁にアップデートが無いかチェックして、
更新する機能がほしい気がします。
Re:アップデート確認機構なし (スコア:1, すばらしい洞察)
さらに言うと,Google Chromeのようにサイレントに最新版に更新してほしいですね.
つまり,いちいち「バージョンいくついくつがあるので更新してください→OK」といった操作をする必要がないようにできるはずです.もちろん,それがいやな人はOFFにできるオプションを提供してほしいですが.
日常のアップデート要求で作業が邪魔されるのに耐えられません.
問題の片側しか語られていない (スコア:2, 興味深い)
・FTPがパスワードを平文で送信するという脆弱性についてはスルーですか(パケットを見て抜いているらしいとの情報あり)
・サイトが改ざんされているかどうかのチェックはどうすればいいですか(ClamAV走らせておけば見つけてくれるとかそういう情報は見あたらず)
・ウィルス自体はパスワードを抜くだけで、改ざんは別ホストから行われているとの情報を見ましたが具体的なIPアドレスなどは分かりませんでしょうか。(該当IPのブロックは拡散対策として有効だと思うのですが)
Re:問題の片側しか語られていない (スコア:1)
ちょこっと情報みつかりました。
zlkon-gumblar-問題に関して [atword.jp]
・今のところパケット監視説が有力だがキーロガーだったらscpでもダメかも
・埋め込まれるJavaScriptは頻繁に変更されエンコードされているようなのでシグネチャでの検出は難しそう(ClamAVには期待できなさそう)
・改ざんはボットネットからの接続で行われているっぽい(言われてみれば悪人が自分所有のサーバから接続してくるなんてことは無いよな)
とりあえずサーバサイドとしてはxferlogに海外からのアクセスが無いか確認、かなぁ。
これからは (スコア:1, おもしろおかしい)
Adobeこわいお (スコア:1, 参考になる)
アドビのPDFリーダーの使用継続は危険、F-SECUREが異例の警告 (2009/4/23) [technobahn.com]
Re:Adobeこわいお (スコア:1)
それで、このAdobeとのつきあい方としてどうするのがいいんでしょう…
pdfはまだ回避手段があるけど、flashなんかは。
Google Chromeのsandboxでなんとかなるのでしょうか? --safe-pluginsオプションが必要?
自分自身はFirefox + NoScriptでスクリプトを含む外部コードを実行するかを個別指定していますが、一般人には勧められる方法ではありませんので、何かいい方法があれば。
x86_64 Linux版Flashは? (スコア:1, 興味深い)
64-bit Adobe Flash Player 10 for Linux operating system [adobe.com]は、10.0.22.87で対応済みなんだろうか…。
そもそも影響があるのはWindowsだけ (スコア:3, 参考になる)
Troj/JSRedir-R Trojan - Sophos security analysis [sophos.com]
LinuxやOS/2でブラウジングするだけでは無問題。Windows ユーザーはまとめサイトにある「とりあえず感染してるか確認する手順」を試してみては。
# 今朝 Windows XP で確認したのでID
モデレータは基本役立たずなの気にしてないよ
Re:そもそも影響があるのはWindowsだけ (スコア:2, 興味深い)
まあでも、そのうちプラットフォーム問わず穴を狙われるようになるんじゃね?
Adobeの二大バカ^H^H製品はだんだん標的になりつつあるようだし。
あとAdobe AIRにも飛び火するようになると嫌だな。
最近これ使ったデスクトップアプリ増えてるし、つーかこいつがLinuxでも動くもんだから、
Linux上の年賀状作成ソフトの不在が解決してしまったし [yubin-nenga.jp]。
Re:Windows版以外も当然リスクがある (スコア:1)
>Windows版以外には影響がないなんて誤解を与える書き方は
>セキュリティ上よろしくない。
いつも書くのだが、まず実例をどうぞ。今回問題になっているのは未知の脆弱性による攻撃ではない。
そして「JSRedir-R」に対してどう対策するかについて、ここで未知の危険を論じていても仕方がないわけで。
とはいえ過去にMac OS Xユーザーが攻撃された例は挙げておく。
アップル社のMacユーザーにWebウイルスの脅威を警告 [sophos.co.jp]
だから各種プログラムのアップデートはまめにしているし、脆弱性情報にも注意を払っている。OS/2版でもFirefox 3.0は更新されつづけているしね。しかし、インフルエンザの場合は(発症するかしないかはともかく)感染する人を選ばないが、今のところ今回の攻撃コードはプラットフォームを選んでいるからね。そこのところを一緒くたにしてしまうと、適切な対応の仕方を見誤ると思うよ。
モデレータは基本役立たずなの気にしてないよ
Re:Windows版以外も当然リスクがある (スコア:1)
脆弱性はプラットフォームを問わずある。
しかし危険性は、現時点でプラットフォームによって大きな差がある。
ただそれだけのこと。
Re:Windows版以外も当然リスクがある (スコア:1)
これは見事な悪魔の証明 [wikipedia.org]ですね。
これがなければ貴方の意見には全面的に同意できたのに。
ついでに、Windowsが狙われやすいのは単純にユーザ数もあるだろうけど、(個人的観測範囲内では)管理者権限で動かしちゃっているユーザが大多数であることが大きいように思えます。
#勤務先のPCセットアップ手順に堂々とAdministratorを使えって書かれていてゲンナリ...
Re:Windows版以外も当然リスクがある (スコア:1)
これって悪魔の証明になりますか?
今回の場合、たとえばその脆弱性をつくコードを作って、それでLinux or Macにおける影響を調べれば終わりませんか?
Vistaは感染しない(※ただしUAC有効時に限る) (スコア:1, 参考になる)
Windows Vistaは一応UACが有効になっていれば感染しないそうです。
あの糞うざい機能もそれなりに役に立つようですね。
Re:Vistaは感染しない(※ただしUAC有効時に限る) (スコア:2, 参考になる)
というか、Vistaと判断した場合はそもそも攻撃コードを送ってこない [fc2.com]らしいですね。
Re:Vistaは感染しない(※ただしUAC有効時に限る) (スコア:2)
これが本当なら、 UAC の有効・無効は無関係ですね。だとしたら、「(今のところ) UAC が有効であれば感染しない」という情報はどこから出てきたのでしょう (この情報はまとめサイトにも書かれています [atwiki.jp])。もしかしたら、初期の亜種は Vista にも攻撃コードを送ってきたのでしょうか。
Re:Vistaは感染しない(※ただしUAC有効時に限る) (スコア:2)
情報ありがとうございます。
覆すのが難しいのはそうでしょうね。
Re:Vistaは感染しない(※ただしUAC有効時に限る) (スコア:1)
どうせUACでブロックされてしまうから、攻撃コードを送らない判断にしているのでしょうか?
しかしNT6系でも、UACオフにしている環境ならば感染拡大の可能性はあるでしょうし、
バージョン判定を行っている意図がよくわからないですね。
バージョン判定をいじって、コードを受け付けるようにした場合、
どんな挙動になるのかは気になるところではありますが
Windows VistaではUACでブロック (スコア:1, すばらしい洞察)
とだけ書けば良いのに、なんで余計な一言を書くんだろ?
素直に見直せば良いだろうに。
Re:Windows VistaではUACでブロック (スコア:1, おもしろおかしい)
ツンデレだから
Vistaは感染しない(※ただしイケメンに限る) (スコア:1, おもしろおかしい)
(T/O)
Re:Vistaは感染しない(※ただしイケメンに限る) (スコア:5, 参考になる)
なぜ暗転するのか、そこをしっかり理解していれば、「ダイアログだけでいいのに」なんていう感想にはならないはず。
あれはね、悪意のあるプログラムがキーボードやマウス操作を乗っ取って自動的に許可しちゃわないように、キーボード・マウスドライバ以外からは入力操作できない特別なデスクトップを一時的に立ち上げてるんだよ。
もちろん、そこまでしてくれなくていいという人のために、ダイアログだけのモードも用意されている。
ちょっと調べれば簡単に見つかるはずだから、うざいと思うなら設定変えれば?
まとめの判定法って (スコア:1)
なんで"C:\WINDOWS~"なんでしょう?%SystemRoot%っていう素敵な表記法があるのに。
Re:まとめの判定法って (スコア:1)
それよりも、フルPath指定なしでcmdやらregeditやら有名な実行ファイルを呼び出すなんて。Path上にトロイとか仕掛けられてたらそっちが起動してしまうこともあるのに。
# ウィルス対策ソフトがこういうファイル名のファイル作成については指摘してくれるのかな? でも危険な可能性という点は拭えないし。
Re:まとめの判定法って (スコア:1, すばらしい洞察)
%SystemRoot%が理解できる人はC:\WINDOWS\...を適切に読み替えられる。
%SystemRoot%が理解できない人はC:\WINDOWS\...で間違いない。
Re:まとめの判定法って (スコア:1)
よく分からない人のマシンは必ずしも速くないんじゃないかと思うんですが、それでxpの遅いファイル検索をさせるってのはありなんですか?
C:\WINDOWSが見つからないってすごく不安になるんじゃないかと思うんですが。
実際の流行具合は? (スコア:1, 興味深い)
数日前からにわかに2ちゃんのセキュリティ板で盛り上がり始めたものの、ニュースサイトなどではほとんど言及なし。
/.Jでも週が明けるまで数名が日記を書く程度だったので、正直、一部の連中が騒いでいるだけなのか? と思っていました。
実際のところ、感染が同人系サイトに集中しているというのはどういう現象なんでしょうか?
通称GENOウイルスと呼ばれることからも、個人管理のサイトばかりが感染しやすいレベルのウイルスではなさそうですし、もっと爆発的に広がって、ネット中で話題になってもいいようなものだと思うのですが。
(そうなってないからこそ、アンチウイルスソフトも各社対応が後手後手なのでしょうか?)
Re:実際の流行具合は? (スコア:1)
小林製薬が2-3日前に感染していたと報告していますが
騒ぎになりませんでしたね
#見に行く人が少ないのかな?
Re:実際の流行具合は? (スコア:1, 興味深い)
同人作家のWebサイトでの報告が多いのは、今風のブログなどではなくFTPでファイルをアップロードするスタイルのサイトを持ってる人がまだまだ多いからではないかと推測されます。
そういう人の場合、当然同じような系統のサイトを個人PCで日常的に閲覧することになるので、あっというまに流行してしまったでしょう。
# 感染サイトがノートンに検知されてドメインまるごと危険判定されたために
# てんてこ舞いしてしまった中の人なのでAC
Re:実際の流行具合は? (スコア:1)
サイト持ち以外は感染に気付いていないだけではなくて?
自分のPCがゾンビと化していても、何も症状が出なければ気付かないと思う。
こうしてる間に新たな大規模botnetができていたらやだなあ。
Re:未確認情報 (スコア:2, 参考になる)
ちゃんと、情報 [atwiki.jp]あるじゃん(タレ中のリンクサイトより)
Re:未確認情報 (スコア:2)
Re:IPA! IPA! (スコア:3, 参考になる)
IPAの投稿フォームは、ちょっと時間が経つとセッション切れで書いた内容がパァになりますので、
項目を見つつエディタで書いた後、投稿するといいです。
この件とは無関係の脆弱性を7日にタレ込んだけどもまだ返事が来ません。
ですから直接問題のあるサイトの管理者へ報告した方が対応が早いかもしれません。
#IPAにタレ込んだとき、手元に取っておこうと思ってエディタで書いてて助かった
Re:IPA! IPA! (スコア:2, すばらしい洞察)
ですから直接問題のあるサイトの管理者へ報告した方が対応が早いかもしれません。
これは逆切れされて訴えられるパターンですかね。
Re:IPA! IPA! (スコア:1)
実際に感染サイト運営者に連絡したら
「スキャンしても何もでてきません!ウソいわないでください!」
と言われてしまい何度注意しても聞いてもらえなかったっていう話を聞きました。
他のちゃんとした機関から言ってもらうってのは重要だと思います。
レンタルサーバならサーバ管理者でもよさそう。
Re:IPA! IPA! (スコア:1, 興味深い)
逆切れされてしまった方。
http://www3.atword.jp/gnome/2009/05/05/ok-i-have-no-longer-warn-anyone... [atword.jp]
たまには JPCERT/CC のことも思い出してあげてください (スコア:1)
直接連絡はトラブルの元ですし、そういう仕事をする組織として JPCERT/CC [jpcert.or.jp] が存在するのですから、彼らに仕事を振ってあげましょう。インシデント報告の届出 [jpcert.or.jp]に報告書式があったりしますが、これに従わなくてもたいていは受理される模様です。
脆弱性届出の受理対象ではない。 (スコア:1, 興味深い)
該当しない。届出ても受理されないはず。