PrintNightmare（CVE-2021-34527）は、修正ファイルがリリースされた模様 以下の記事を書いてから半日も経たないうちに、修正ファイルがリリースされた。 wakatono.hatenablog.com 修正ファイルは以下のところに。 修正プログラム名のところにSecurity Rollupと書かれてはいるが、これ立派にOOBリリース（定例外リリース）なので、見間違えないように。 msrc.microsoft.com Print Spoolerサービスが止まるとPDFでの保存ができなくなる理由 自分も忘れていたが、PDFは「どんな紙に印刷されるのか」を想定した設定を行える。それこそA4縦とかA4横とか。 これらの設定は、Microsoft write to PDFの場合はPDFプリンタに設定に、Microsoft Office Professional Plus 2019

IPAから続報が出ていたので、ちょっと見てみました。 www.ipa.go.jpそこには、「どうやったら警告が出てくるのか？」の解説がありました。 なんだ、インストールした後に「買う」とすると、あの警告が出てくるのね。ということで、またまた検証してみました。いろいろと釈然としないのもあるので、とりあえずスッキリするために。 なお、同じことやってマシン壊れたとか調子悪くなったとか言われても、こちらで責任取れないので、試すときは自己責任で。 まずは「Zoom」を起動して「Purchase」を選ぶ これは、上記のIPAのページでも紹介しているものですが、とりあえず「Zoom」を起動して出てくる画面から「Purchase」を選びます。 「Zoom」を起動した時の画面 一番上を選ぶと、「警告画面」が出てくるはず…なので、確かに警告画面は出てきたのですが、ウチでは違うものが出てきました。 我が家の検証

またも新たな脆弱性…。 「Type 1 Font Parsing Remote Code Execution Vulnerability」ですか… この脆弱性は、 Adobe Type Manager Libraryに存在しており、悪意ある細工がなされたファイルが置かれたフォルダをExplorerで開くと、コードが実行される「かも」という剣呑な代物。なぜ「かも」としているのか？については後述する。 ADV200006 | Type 1 Font Parsing Remote Code Execution Vulnerability https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV200006 （こちらは英語版） https://portal.msrc.microsoft.com/ja-jp/secu

本格的な解析はまた後日やるとして、autorun.exeの件続報。 ロッキーメモリがリリースされたのは2009年2月。 で、autorun.exeのタイムスタンプ（更新日時）は2007年。 で、このファイルがVirusTotalで解析されたのは2013年。 https://www.virustotal.com/ja/file/f8c88ff5a6399661e22e3ef8f3b05a0c4150fbe79d70cc8e304e777d3b9ca114/analysis/ タイムスタンプが異様に古いけど、この検体の検出名から確認可能な情報を考えると、ここは矛盾なし。単純にVirusTotalに送られたのがこのタイミングってだけかなと。 10年以上のマルウエア入り景品騒動などでも類似の事案があり、こちらは調査中のまま（結局原因がわかったのかどうかも不明）だけど、この件で見つかったのは、WOR

やってもうたｗ 2016年3月21日追記：記述が足りないなぁというところもあった＆Redditで「釣りか？」と書かれてしまってたのもあり、少しautorun.exe関連の追加情報（3/18）とかなぜVirusTotalでの日付が古いのか（あたりを中心に補足してます。 機械式4桁番号を設定してデータを守るLockyメモリというUSBメモリを買ってみた。まぁ、なんかおもしろそうだったしｗ。 まぁ、ネタとして買ってみたわけだけど、まさかそれ以上のネタ拾っちゃうとは… あくまでリンク先は「Lockyメモリ関連で最近見た記事」であり、それ以上でもそれ以下でもなかったり。 なんとなく嫌な予感がしたので、Ubuntuマシンで開いてみた。 新品のはずなんだけど、autorun.infと意味ありげなRecyclerフォルダがいますよ… autorun.infの中を見てみたところ。 えーと、なんかRecycl

アレ＝大規模改ざんの件について書いてから． ということで，少しだけ調査をしてみた．*1 JPCERT/CCからもWeb サイト改ざんに関する注意喚起としてリリースされていますが，1ヶ月以上経過してたりする． どういう状況なのか？を少し調べてみた． *1:別に暇な訳じゃないけど，いろいろとひっかかる 少し見て回ると，おおよそなおってるか，改ざんされたWebページが消されてるか閲覧出来ない状況になっているかという風に見える． が，「残ってるんじゃないか？」とちょっとだけ根性入れて探すと，いや，あるわあるわ…． で，残ってるところの特徴をざっと見ると，以下のような感じ． 見た範囲では，「改ざんは成功している」が，アクセスしたブラウザ上でのスクリプト動作はしないような状態 Webページの作成者／Webサイトの管理者は（多分）気付いてない で，動かないパターンだが，改ざんパターン2〜HTMLが改ざん

日本各地で改ざん被害が相次いでるようで… piyokangoさんの2013年6月4日の日記に，良い感じでまとまってますが，それを紹介するだけだとそれで終わってしまうのでｗ，自分なりに読み解いてみたよ！ といっても，難読化された内容を読むんじゃなくって，「改ざんされた結果取得されるネタがどういうパターンか？を読み解く」というだけだがｗ この場合，改ざんされて埋め込まれたスクリプトが動作し，悪意あるネタをダウンロードする，というように仕向けられる．トレンドマイクロさんの場合は，JS_BLACOLE.MTとして検出されるが，オレのところはKaspersky Internet Security 2013を使っているので，Trojan-Downloader.HTML.JScript.cfとして検知された． ちなみに今回のケース，機械的だが何らかの内容解釈を行うプログラムによって放り込まれてる感がある

なのですでに眠気全開，なのです． とか書いていられるような牧歌的な内容でもなんでもなかった… 内容は，2つの質問に対する回答から成る．以下，その2つの質問とそれに対する回答について考察をしてみよう． 回答は以下のとおり．冒頭に「申し訳ございません」という文言とか入ってたけど，内容の解釈には一切関係ないので抜いてある． 当社の不始末により平成24年3月7日〜平成25年4月23日にお申し込み頂きましたお客様の情報に関しては、保管をしておりましたが、平成25年4月23日22時に、セキュリティコードを含む全てのクレジットカード情報のお客様情報を保持するデータベースサーバーより削除しております。 理由としては、当社の決済スキーム上、申込時に決済はしておらず、帰国後の返却を受け請求額確定後に決済をしておりました。そのためにお申込時に入力して頂いたクレジット情報全てを保持しており、その情報を基に帰国後に