IE exploit on the loose, going to yellow (NEW)
逃亡中の、(新しい)黄色に行っている IE exploit
Published: 2006-03-23,
:2006-03 - 23を発表しました、
Last Updated: 2006-03-23 20:55:28 UTC by Jim Clausing (Version: 1)
最新アップデート:2006-03-23 ジム・クロージングによっての20:55:28の UTC (バージョン:1)
:2006-03 - 23を発表しました、
Last Updated: 2006-03-23 20:55:28 UTC by Jim Clausing (Version: 1)
最新アップデート:2006-03-23 ジム・クロージングによっての20:55:28の UTC (バージョン:1)
Folks, as Lorna predicted yesterday
, it didn't take long for the exploits to appear for that IE vulnerability. One has been making the rounds that pops the calculator up (no, I'm not going to point you to the PoC code, it is easy enough to find if you read any of the standard mailing lists), but it is a relatively trivial mod to turn that into something more destructive (in fact one of our readers, Matt Davis, has provided us with a version that he created that is more destructive). For that reason, we're raising Infocon to yellow for the next 24 hours.
ローナとしての、人々が昨日予測しました、偉業がその IE 弱点のために現われることは長くかかりませんでした。 1人は(今まで)電卓をポップアップするラウンド(いいえ、私は PoC コードにあなたを向けるつもりではありません、あなたが標準的なメーリングリストのいずれでも読んだかどうか見いだすことは十分に容易です)をしていました、けれどもそれはそれをいっそう破壊的な何か(実際我々の読者の1人、マット・デイビス、がいっそう破壊的な彼が作ったバージョンを我々に提供しました)に変えるために比較的些細な mod です。 その理由で、我々は次の24時間黄色くなるために Infocon を育てています。
Workarounds/mitigation
Microsoft has posted this
and suggests that turning off Active Scripting will prevent this exploit from working. You could, of course, always use another browser like Firefox or Opera, but remember that IE is so closely tied to other parts of the OS, that you may be running it in places where you don't realize you are.
マイクロソフトはこれを公表して、そしてアクティブな Scripting からそれることはこの exploit が機能するのを阻止するであろうことを提案します。 あなたは、もちろん、常にさらに Firefox のようなブラウザあるいは歌劇を使いますが、 IE が非常に OS の他の部分に密接に結びつけられているので、あなたはあなたがあなたがそうであることを悟らない所でそれを走らせているかもしれないことを覚えていることができました。
One of our readers asked whether DropMyRights from Microsoft would provide any protection. We haven't had an opportunity to test that out.
我々の読者の1人がマイクロソフトからの DropMyRights が保護を提供するであろうかどうか尋ねました。 我々はそれを試す機会を(これまでに)持っていないです。
I understand a snort signature to detect the exploit has been checked in to bleeding-snort, I'll update the story with a URL for the sig as soon as I find it.
私は exploit がチェックされた検出するべき鼻を鳴らす音署名が出血 - 鼻を鳴らすと理解します、私がそれを見いだすとすぐに、私は sig のために URL で物語を更新するでしょう。
References
Original Secunia bulletin: http://secunia.com/advisories/18680/
オリジナルの Secunia ブレティン: http://secunia.com/advisories/18680/
Microsoft blog: http://blogs.technet.com/msrc/archive/2006/03/22/422849.aspx
マイクロソフトブログ: http://blogs.technet.com/msrc/archive/2006/03/22/422849.aspx
------------------------
------------------------
Jim Clausing, jclausing --at-- isc.sans.org
isc.sans.org で jclausing して、ジム・クロージング
ローナとしての、人々が昨日予測しました、偉業がその IE 弱点のために現われることは長くかかりませんでした。 1人は(今まで)電卓をポップアップするラウンド(いいえ、私は PoC コードにあなたを向けるつもりではありません、あなたが標準的なメーリングリストのいずれでも読んだかどうか見いだすことは十分に容易です)をしていました、けれどもそれはそれをいっそう破壊的な何か(実際我々の読者の1人、マット・デイビス、がいっそう破壊的な彼が作ったバージョンを我々に提供しました)に変えるために比較的些細な mod です。 その理由で、我々は次の24時間黄色くなるために Infocon を育てています。
Workarounds/mitigation
回避策 / 緩和
Microsoft has posted this
and suggests that turning off Active Scripting will prevent this exploit from working. You could, of course, always use another browser like Firefox or Opera, but remember that IE is so closely tied to other parts of the OS, that you may be running it in places where you don't realize you are.マイクロソフトはこれを公表して、そしてアクティブな Scripting からそれることはこの exploit が機能するのを阻止するであろうことを提案します。 あなたは、もちろん、常にさらに Firefox のようなブラウザあるいは歌劇を使いますが、 IE が非常に OS の他の部分に密接に結びつけられているので、あなたはあなたがあなたがそうであることを悟らない所でそれを走らせているかもしれないことを覚えていることができました。
One of our readers asked whether DropMyRights from Microsoft would provide any protection. We haven't had an opportunity to test that out.
我々の読者の1人がマイクロソフトからの DropMyRights が保護を提供するであろうかどうか尋ねました。 我々はそれを試す機会を(これまでに)持っていないです。
I understand a snort signature to detect the exploit has been checked in to bleeding-snort, I'll update the story with a URL for the sig as soon as I find it.
私は exploit がチェックされた検出するべき鼻を鳴らす音署名が出血 - 鼻を鳴らすと理解します、私がそれを見いだすとすぐに、私は sig のために URL で物語を更新するでしょう。
References
リファレンス
Original Secunia bulletin: http://secunia.com/advisories/18680/
オリジナルの Secunia ブレティン: http://secunia.com/advisories/18680/
Microsoft blog: http://blogs.technet.com/msrc/archive/2006/03/22/422849.aspx
マイクロソフトブログ: http://blogs.technet.com/msrc/archive/2006/03/22/422849.aspx
------------------------
------------------------
Jim Clausing, jclausing --at-- isc.sans.org
isc.sans.org で jclausing して、ジム・クロージング
Sendmail vuln (NEW)
(新しい) sendmail vuln
Published: 2006-03-23,
:2006-03 - 23を発表しました、
Last Updated: 2006-03-23 18:10:52 UTC by Adrien de Beaupre (Version: 2(click to highlight changes) )
最新アップデート:2006-03-23 エイドリアン・ドゥ・ブープレ(バージョン:2(変更を強調するクリック))によっての18:10:52の UTC
:2006-03 - 23を発表しました、
Last Updated: 2006-03-23 18:10:52 UTC by Adrien de Beaupre (Version: 2(click to highlight changes) )
最新アップデート:2006-03-23 エイドリアン・ドゥ・ブープレ(バージョン:2(変更を強調するクリック))によっての18:10:52の UTC
Update: The best writeup that we've found for this is http://xforce.iss.net/xforce/alerts/id/216
. Also, Sun has has released a bulletin here , but they claim that Solaris 8 is unaffected (currently that platform is running sendmail 8.11.7). From reading the other advisories, I believe that this information may be incorrect and the Solaris 8 may be affected since the vulnerability applies to all versions prior to 8.13.6. --Jim Clausing
更新してください: 我々がこれのために見いだした最も良い writeup は http://xforce.iss.net/xforce/alerts/id/216 です。 同じく、サンはそうしたここでブレティンをリリースしました、しかし(彼・それ)らソラリス8が影響されないという主張(現在そのプラットホームは sendmail 8.11.7を走らせています). 他の助言を読むことから、私はこのインフォメーションが正しくないかもしれないと信じます、そして、弱点が8.13.6. - ジム・クロージング - の前にすべてのバージョンに当てはまるから、ソラリス8は影響を与えられるかもしれません
Sendmail has released an advisory related to a vulnerability in all versions of sendmail 8 previous to 8.13.6 of this popular MTA. The advisory includes the commercial versions of products using sendmail.
sendmail がこの人気が高い MTA のすべての8.13.6に8前の sendmail のバージョンで弱点と関係がある助言を公表しました。 助言は sendmail を使ってプロダクトのコマーシャルバージョンを含みます。
http://www.sendmail.com/company/advisory/
http://www.sendmail.com/company/advisory/
and it has CVE entry CVE-2006-0058
そしてそれは CVE エントリー CVE - 2006-0058を持っています
Impact: the attacker could run arbitrary commands.
インパクト:攻撃者は任意のコマンドを行なうことができました。
Mitigation: upgrade to 8.13.6, apply the patch, or setting the RunAsUser option in the configuration file.
緩和:8.13.6にアップグレードして、コンフィギュレーション・ファイルでパッチ、あるいは設定、 RunAsUser オプション、を応用してください。
This one looks bad.
これは良くなさそうに見えます。
Sendmail.org
Sendmail.org
Secunia
Secunia
Update: as more information becomes available this is starting to look worse.
更新してください:もっと多くのインフォメーションが利用可能になる(とき・から・につれて・ように)、これはもっと悪そうに見え始めています。
Patch or upgrade NOW!
NOW にパッチを当てるか、あるいはアップグレードしてください!
Cheers,
声援します、
Adrien
エイドリアン
更新してください: 我々がこれのために見いだした最も良い writeup は http://xforce.iss.net/xforce/alerts/id/216 です。 同じく、サンはそうしたここでブレティンをリリースしました、しかし(彼・それ)らソラリス8が影響されないという主張(現在そのプラットホームは sendmail 8.11.7を走らせています). 他の助言を読むことから、私はこのインフォメーションが正しくないかもしれないと信じます、そして、弱点が8.13.6. - ジム・クロージング - の前にすべてのバージョンに当てはまるから、ソラリス8は影響を与えられるかもしれません
Sendmail has released an advisory related to a vulnerability in all versions of sendmail 8 previous to 8.13.6 of this popular MTA. The advisory includes the commercial versions of products using sendmail.
sendmail がこの人気が高い MTA のすべての8.13.6に8前の sendmail のバージョンで弱点と関係がある助言を公表しました。 助言は sendmail を使ってプロダクトのコマーシャルバージョンを含みます。
http://www.sendmail.com/company/advisory/
http://www.sendmail.com/company/advisory/
and it has CVE entry CVE-2006-0058
そしてそれは CVE エントリー CVE - 2006-0058を持っています
Impact: the attacker could run arbitrary commands.
インパクト:攻撃者は任意のコマンドを行なうことができました。
Mitigation: upgrade to 8.13.6, apply the patch, or setting the RunAsUser option in the configuration file.
緩和:8.13.6にアップグレードして、コンフィギュレーション・ファイルでパッチ、あるいは設定、 RunAsUser オプション、を応用してください。
This one looks bad.
これは良くなさそうに見えます。
Sendmail.org
Sendmail.org
Secunia
Secunia
Update: as more information becomes available this is starting to look worse.
更新してください:もっと多くのインフォメーションが利用可能になる(とき・から・につれて・ように)、これはもっと悪そうに見え始めています。
Patch or upgrade NOW!
NOW にパッチを当てるか、あるいはアップグレードしてください!
Cheers,
声援します、
Adrien
エイドリアン
RealPlayer (et al) vulnerabilities & Joomla/Mambo Worm (NEW)
RealPlayer (およびその他)弱点&(新しい) Joomla / マンボワーム
Published: 2006-03-23,
:2006-03 - 23を発表しました、
Last Updated: 2006-03-23 13:14:13 UTC by John Bambenek (Version: 1)
最新アップデート:2006-03-23 ジョン Bambenek によっての13:14:13の UTC (バージョン:1)
:2006-03 - 23を発表しました、
Last Updated: 2006-03-23 13:14:13 UTC by John Bambenek (Version: 1)
最新アップデート:2006-03-23 ジョン Bambenek によっての13:14:13の UTC (バージョン:1)
There are three vulnerabilities in RealPlayer and associated products that allow from remote code execution and patches have been released to remediate the problems. The vulnerabilities are with boundary errors caused by certain SWF, MBC or specially crafted webpages that can lead to buffer overflows. The latest version of RealPlayer is not affected and users should upgrade immediately. The advisory can be read here
with iDefense's original report being here.
The matrix of vulnerable products can be seen here.
While exploiting these bugs would still require some social engineering to get people to look at a malicious file, it is still recommended users run the latest version because we all know how popular watching clips on the web is (I like the VW "unpimp my ride
" commericals, personally).
RealPlayer に3つの弱点があります、そしてリモートコードから実行とパッチを許す関連づけられたプロダクトが問題を矯正するためにリリースされました。 弱点はバッファあふれに導くことができるある特定の SWF 、 MBC あるいは特別に作りあげられた Web ページによって起こされた境界線エラーを持っています。 RealPlayer の最新のバージョンは影響を受けません、そしてユーザーがすぐにアップグレードするべきです。 助言は iDefense のオリジナルの報告がここにあるという状態で、ここで読まれることができます。 傷つきやすいプロダクトのマトリックスはここで見られることができます。 これらのバグを利用することはまだ若干の社交的なエンジン部門に人々に悪意があるファイルを見るようにさせるように要求するであろう間に、我々がすべて web でクリップを見ることがどれぐらい人気が高いか知っているから、ユーザーが最新のバージョンを走らせることはまだ推薦されています(私は、個人的に、VW「私のドライブを unpimp してください」 commericals が好きです)。
A reader wrote in reporting a worm spreading through the latest Mambo/Joomla exploits and establishing an IRC connection. When I looked it appeared the botnet was already down but it is trivial to modify the shellbot code and regenerate the botnet. Joomla 1.0.8 was released Feb 26th and had 37 (wow) security fixes, so if you aren't running 1.0.8, you have been warned. It doesn't appear that any new vulnerabilities have been discovered since the release.
読者が虫が最近のマンボ / Joomla exploit を通して広がることを報告して、そして IRC 接点を確立して手紙を書きました。 私が見たとき、 botnet がすでにダウンしていたように思われました、しかし shellbot コードを修正して、そして botnet をよみがえらせることは些細です。 Joomla 1.0.8は2月26日、リリースされて、そして37の(仰天させてください)セキュリティーの修正を持っていました、それでもしあなたが1.0.8を走っていないなら、あなたは警告されました。 新しい弱点がリリースから見いだされたように思われません。
--
-
John Bambenek
ジョン Bambenek
bambenek -at- gmail -dot- com
- gmail - ドット - com においての bambenek
RealPlayer に3つの弱点があります、そしてリモートコードから実行とパッチを許す関連づけられたプロダクトが問題を矯正するためにリリースされました。 弱点はバッファあふれに導くことができるある特定の SWF 、 MBC あるいは特別に作りあげられた Web ページによって起こされた境界線エラーを持っています。 RealPlayer の最新のバージョンは影響を受けません、そしてユーザーがすぐにアップグレードするべきです。 助言は iDefense のオリジナルの報告がここにあるという状態で、ここで読まれることができます。 傷つきやすいプロダクトのマトリックスはここで見られることができます。 これらのバグを利用することはまだ若干の社交的なエンジン部門に人々に悪意があるファイルを見るようにさせるように要求するであろう間に、我々がすべて web でクリップを見ることがどれぐらい人気が高いか知っているから、ユーザーが最新のバージョンを走らせることはまだ推薦されています(私は、個人的に、VW「私のドライブを unpimp してください」 commericals が好きです)。
A reader wrote in reporting a worm spreading through the latest Mambo/Joomla exploits and establishing an IRC connection. When I looked it appeared the botnet was already down but it is trivial to modify the shellbot code and regenerate the botnet. Joomla 1.0.8 was released Feb 26th and had 37 (wow) security fixes, so if you aren't running 1.0.8, you have been warned. It doesn't appear that any new vulnerabilities have been discovered since the release.
読者が虫が最近のマンボ / Joomla exploit を通して広がることを報告して、そして IRC 接点を確立して手紙を書きました。 私が見たとき、 botnet がすでにダウンしていたように思われました、しかし shellbot コードを修正して、そして botnet をよみがえらせることは些細です。 Joomla 1.0.8は2月26日、リリースされて、そして37の(仰天させてください)セキュリティーの修正を持っていました、それでもしあなたが1.0.8を走っていないなら、あなたは警告されました。 新しい弱点がリリースから見いだされたように思われません。
--
-
John Bambenek
ジョン Bambenek
bambenek -at- gmail -dot- com
- gmail - ドット - com においての bambenek