トリコロールな猫/セキュリティ

思いついたことをぼちぼち書いてます。

20140522 セキュリティ情報まとめ

本日のまとめ

eBay不正アクセス、ユーザにパスワードの変更を求める

漏えいしたのは暗号化されたパスワードの他、氏名、メールアドレス、住所、電話番号、誕生日など。支払情報は漏洩していない模様。eBayユーザはThe GuardianのQ&Aを読むといいかも。
145million usersて1億4500万人よね?そんなにいるんだ。

PayPal、マーチャントアカウントが盗まれる可能性のある脆弱性を修正

The bug – discovered by security researcher Mark Litchfield of Securatary – affected PayPal Manager, which is used to manage PayFlow accounts by people selling stuff online.

PayPal personal accounts were not affected by the vulnerability, and it's understood to be separate to PayPal parent eBay's customer database compromise.

eBayのとは別物。

PayPalのリダイレクトの脆弱性を利用したフィッシングメール

偽のiTunes Storeでの高額商品の購入記録のメールで、購入のキャンセル用のリンク先がフィッシングサイトになっている。
そのリンクは「www.order.itunes.com/verify/cancel」というそれっぽい見た目だけど実際は「www.paypal-communication.com/(略)/h?a=フィッシングサイトのURL」になっていて、これをクリックするとPayPal脆弱性のせいでフィッシングサイトのURLにリダイレクトされてしまう。
リンクにマウスを置くと当然リンク先のアドレスが見えるわけだけど、それが大変trustedなPayPalのURLである(正規のPayPalドメインだっとしても、表示と実際のリンク先が違ったらおかしいと思うけど・・・)。さらに、フィッシングサイトへのアクセスをブロックするようなセキュリティ製品をインストールしていたとしても、直接のリンク先はPayPalなので素通りしてしまう(こっちはフィッシングサイトにとってとても有利)。

ICS-CERT Monitor Jan-April 2014

インターネットにF/Wやアクセス制御無しで接続されていた制御システムに、長期間に渡ってHTTPやSCADAを利用してアクセスされていたことが分かった。幸運にもその制御システムはメンテナンスのために機器には接続されていなかった。

なんてことが赤裸々に書かれています。(と、tripwireの記事に書いてある)

Internet Explorer 8 CMarkup における解放済みメモリ使用の脆弱性

パッチ未公開。EMETを入れましょう。

ゴルフWeb予約システムに不正アクセス、最大1万7790件のメールアドレスが流出

被害者にゴルフコース名を騙ったメールが来ているらしい。

その他