8月9日のtwitterセキュリティクラスタ

急にクソ暑くなりましたね。涼しいと心配ですが、暑いとイライラしますね。とりあえず冷房にこもらないと。

今日はMSアップデートの日です。噂によるとパッチを当てるのに時間がかかるとのことですので、夏休み前に死亡とか、夏休み後に死亡とかいろいろありそうですね。

JSECTEAM :2011 年 8 月のセキュリティ情報を公開しました。詳しくは 2011 年 8 月のセキュリティ情報をご覧ください。http://bit.ly/o7dYg4 #JSECTEAM/

hackinthebox :Microsoft Patch Tuesday fixes 22 vulnerabilities - http://news.hitb.org/content/microsoft-patch-tuesday-fixes-22-vulnerabilities

piyokango :セキュリティクラスタを見ると毎月このMSアップデートがあるたびに楽しそうにされている方を複数見かけますよ。そのモチベーションを分析すればパッチ未適用が減るのかもしれませんね。

kaito834 :MS11-057(IE)では、CVE 7 件の脆弱性を修正している。7件のうち、2件が公開された脆弱性とのこと。CVE-2011-1962 と CVE-2011-2383。CVE-2011-2383 は cookiejacking への対策となる模様。

kaito834 :MS11-059(Data Access Components)では、DLL Hijacking の問題を修正している。影響を受けるバージョンは Windows 7, Windows Server 2008 R2。

kaito834 :ありゃ、http://www.microsoft.com/japan/technet/security/bulletin/ms11-aug.mspx の概要で、MS11-060 の見出しが間違っている。

kaito834 :MS11-061(RD Webアクセス)では、リモートデスクトップ Web アクセスの XSS を修正している。reflected XSS が折り返し型 XSS と訳されているのか。

kaito834 :2011年8月のMS定例パッチでは、公開済みの脆弱性はMS11-057の2件だけみたい。

kaito834 :MS11-058（DNS）関連。http://blogs.technet.com/b/srd/archive/2011/08/09/vulnerabilities-in-dns-server-could-allow-remote-code-execution.aspx

他にChromeもアップデートがあるみたいですね。

kaito834 :Google Chrome のアップデート情報（http://bit.ly/qqDoB8）から Adobe Flash Player のアップデートがあるのが確からしいけど、http://www.adobe.com/support/security/ にアドバイザリが見当たらない

そして、終わってしまったDEFCON19の続報。行ったわけではないですが、DEFCONが終わると夏の終わりを感じますね。これからセプキャンもあるのでしょうけど。

ScanNetSecurity :DEFCON CTF 最終日 -- DEFCON CTF 現地速報 その3 http://lb.to/nyydZA @ScanNetSecurity

sutegoma2 :Thanks!! #DEFCON #CTF S2 members back to Japan. Will revenge at next time. :)

piyokango :昨日開催されたDefCon19のプレゼン資料がDLできるそうですよ。 Presentations from the Defcon Conference for Download ~ THN : The Hacker News thehackernews.com/2011/08/defcon…

eagle0wl :超あるある RT: @tessy_jp: 今回は@ucqの仕業かw http://twitpic.com/63c1tz


kitagawa_takuji :「巧みな話術」こそハッカーのツール、デフコン　国際ニュース : AFPBB News afpbb.com/article/enviro… via @afpbbcom

就職したいー、けど、ペンテスターではないですから。でもたぶんWeb健康診断くらいならできると思います＞＜ それはともかく、S0nyがセキュリティ人材需要の拡大に貢献しているようですね。すばらしいことです。

sen_u :Pentesterの需要ありすぎ。各所から人いない？的なお話が。 転職希望の人がいたらご相談を。ｗ

bugbird :@sen_u S○NY グループの件で、オープンな Web サイトを運用しているところは、どこも慌てているのでしょうね。悪い事じゃないけど、本質的には 徳丸 さん（a.k.a. @ockeghem ）のアプローチで対応してもらいたいものです。

sen_u :@bugbird かなりその影響はあるみたいですね。

bugbird :@sen_u とはいえ、所詮「対処療法」でしかないので＜ペネトレーションテストに基づく対応　根本的な見直しが必要なんですよねぇ。。。

sen_u :@bugbird 会社や業界ルールでペンテストが必要ってのを書いちゃったってのもあるんでしょうな。ｗ

ockeghem :@bugbird @sen_u うちには検査の相談はそれほどは来ませんね。宣伝していないからか、「今忙しい」とつぶやいているからか…本質的な対策は、中長期的な話ですからね。教育やガイドラインのお話はぽちぽち頂いています。よいことだと思います。

メールアドレスを'or'1'='1'--にするとWAFが困るみたいですよ、奥さん。

ockeghem :個人の公式(?)メールアドレスを'or'1'='1'-- [at] tokumaru.org にすることを検討中。--は#にするかも。メールアドレス収集ロボット対策という点でも良さそうです

kinyuka :@ockeghem 本当にやめてください

ockeghem :あれ、だめですか? WAF的に? @kinyuka: 本当にやめてください

kinyuka :@ockeghem ダメ絶対WAF的にｗ

ockeghem :@kinyuka だめかぁw

その他気になったことはこのあたり。

tdaitoku :これはフォレンジックは儲かりませんでした宣言かw http://bit.ly/pXwbGa

swim_taiyaki :ギブアップっすかねぇ。 QT @tdaitoku: これはフォレンジックは儲かりませんでした宣言かw http://bit.ly/pXwbGa

sen_u :サイバーエージェントがセキュリティなインターンを募集中。 http://www.cyberagent.co.jp/recruit/fresh/internship/technology.html#security

piyokango :はやっ／iOS 5 beta 5 gets a jailbreak aol.it/rgSzpJ via @TUAW

F0ro :掲げている目標には賛同。特にフォレンジック専門家のための倫理基準や行動規範の必要性については私も同感です。 /The Consortium of Digital Forensic Specialists (CDFS) cdfs.org

bulkneets :昨日報告したgreplin.comのXSSが直った

piyokango :韓国のセキュリティＳＷ製作に北朝鮮ハッカー関与か　業界関係者が実態明かす http://bit.ly/pGQhuT

office_acer :Togetter - 「「そこそこセキュリティ」の名称を考える」 togetter.com/li/76649 これを見て思いついたのは「必要十分セキュリティ」。

kitagawa_takuji :「中国も被害国」政府機関へのハッカー攻撃急増 : 国際 : YOMIURI ONLINE（読売新聞） yomiuri.co.jp/world/news/201…via @yomiuri_online