Microsoft IISにファイル名の処理に脆弱性が存在し、ファイルの拡張子による制限を回避することが可能だそうです。
具体的には、「test.asp;.jpg」として脆弱性の存在するホストに保存すると
IISはこれを「test.asp」として解釈するいうものです。
ホストにファイルをアップロード可能であるようなWebアプリケーションが存在し
そのアップロード先に実行権限が与えられていた場合に
この手法を使ってファイルをアップロードすると、IISの実行権限で任意のコマンドを実行できてしまうというものです。

この脆弱性はIIS6と5に存在するそうですので
# 2009/12/27追記
# ココでは6.0以前、7.5以外は影響をうけるとありますね。
IIS6で任意のディレクトリの内容を表示することができるaspファイル「dir.asp」を「dir.asp;.jpg」として
アップロードし、実行可能かどうかという検証を行いました。

結果、アップロードしたファイルは「dir.asp」として任意のディレクトリを表示することが可能でした。

このように攻撃を成功させるにはいくつかの条件が必要であるため
危険度は低いとも考えられますが、影響を受ける条件が揃った場合は、結構なインパクトだと思います。

現在のところ修正プログラムはリリースされていないため回避策は
Webアプリケーションで対応する場合には
ファイルアップロードを行うアプリ上でアップロードするファイル名を保存する際には名前をランダムなものにする。
システムで対応する場合には
アップロードファイル保存ディレクトリには実行権限を与えない。
などが考えられるかと思います。

ここまで書いて思ったのですが、この脆弱性はWebDAV経由からも利用できそうですね。

Firefox 3.5.5及び、3.0.15以前のdocument.locationプロパティに入力検証の脆弱性が発見されてました。
アドレスバーに表示されるURLを偽装できるそうで、フィッシングなんかに利用できそうな問題です。
自分のブラウザがたまたま3.5.5だったのでこの脆弱性をチェックするためにデモページも作ってみました。
デモページはココです。
デモページのリンク先は「http://n.pentest.jp/20093985/fake.html」なのですが
脆弱性が存在するバージョンのFirefoxでリンク先に飛ぶとアドレスバーが「https://www.google.com /」と表示されます。
本当のリンク先である「fake.html」のソースは下記の通りです。
<html>
<title>!!!!!!!!!! fake page !!!!!!!!!</title>
<body onload="javascript:window.location = 'https://www.google.com%20';window.stop();void(0);">
<h1>Google?</h1>
</body>
</html>「https://www.google.com%20」を指定して、「window.stop」で読み込みを停止させている辺りがミソなんですね。
昔、画像の位置によってロケーションバーを上書きしたように見せるなんてのもありましたが
今回のものは、文字列として上書きされているので気付きづらいだろうなーという印象を受けました。

FreeBSDセキュリティチームが緊急で暫定パッチをリリースするなどで
各所で話題になっている脆弱性の検証メモです。
この脆弱性は、Run-Time Link Editor(rtld)に欠陥が存在するそうで
LD_PRELOADやLIBMAPなどなどの環境変数が適切に検証されないことにより発生するようです。

結果については、下図の通りです。

ntsujiユーザがroot権限に昇格していることが分かるかと思います。
ボクが検証を行ったのは、7.2-STABLEなのですが、
8及びFreeBSD 9-CURRENTなども影響を受けることが確認されているようです。

091204追記：
正式版パッチがリリースされているようです。

ついでにCVEも振られています。
CVE-2009-4146
CVE-2009-4147

あまりに情報が少ないのでおそらく0dayかなと勝手に思っているのですが、IEのスタイルオブジェクトにオーバーフローの脆弱性が発見されたようです。んでもって、それのExploitコードの検証を手元の環境で行ってみました。

検証でのターゲットは
Windows XP SP3 フルパッチ（09/11/21時点）
Internet Explorer 7.0.5730.13
です。

検証では、細工をしたHTMLファイルをIEに読み込ませて、tcp/31373ポートでシェルポートをリスンするということを行いました。ＨＴＭＬをIEで読み込ませると結構な時間重い状態となりました（ボクのマシンが貧弱？）が無事シェルポートをオープンすることに成功しました。
下図は攻撃PCにリバースコネクトさせたものです。

CVEも振られていないので暫くウォッチしてみようと思います。

2009/11/25追記：
マイクロソフトがアドバイザリを公開しています。

SAN ISCも報じていたSMB（Server Message Block）の脆弱性を利用する0-day Exploitの検証を行いました。
影響を受けるとされているシステムは「Windows Server 2008」「Windows7」とのことで、今回は、「Windows 7」にて検証を行いました。検証では、ターゲットコンピュータに細工された応答をするサーバにSMB通信の要求させるということを行いました。
下図は、検証の通信をキャプチャした画面です。

通信を行った後、ターゲットコンピュータは、フリーズしマウスやキーボードなどの入力を一切受け付けず、ネットワーク機能なども停止してしまいました。

Embedded OpenType(EOT)処理の脆弱性（MS09-065）の検証を行いました。

細工されたEOTフォントでレンダリングされたコンテンツを表示するとコードが実行されるとのとのことでMSのサイトによると

Web ベースの攻撃のシナリオでは、この脆弱性を悪用しようとする特別な細工がされた埋め込まれたフォントが含まれている Web サイトをホストすることが攻撃者にとっての必要条件となります。さらに、侵害された Web サイトやユーザー提供のコンテンツを受け入れる、またはホストする Web サイトには、特別に細工したコンテンツが含まれており、この脆弱性が悪用される可能性があります。攻撃者は、特別に細工した Web サイトにユーザーを強制的に訪問させることはできないと考えられます。その代わり、通常、ユーザーに電子メール メッセージまたはインスタントメッセンジャーのメッセージ内の攻撃者の Web サイトへのリンクをクリックさせ、その Web サイトにユーザーを誘導することが攻撃者にとっての必要条件となります。

とWebベースの攻撃シナリオが上げられていました。EOTの問題ですので、HTMLメールや添付ファイルによる攻撃も可能ではないかと思います。

検証を行った対象OSは
「Windows Server 2003 SP2 日本語版」です。
詳しくは、MS09-065を見ていただければ分かるのですが、クライアントに多く用いられるXPやVistaも影響を受けますのでご注意ください。

検証では、ターゲットコンピュータを細工したEOTフォントでレンダリングされたコンテンツがあるページにアクセスさせることでBSODを発生されるということを行いました。

下図は、その結果画面です。

Metasploit Moduleがブラウザで検索できるようになってました。

　・OSVDBのID
　・CVEのID
　・Security Focusのbid
　・MSB(MicroSoft Bulletin)
　・任意のテキスト

で検索できるようです。

検索結果では、ターゲットやオプションなどの一覧なども参照することができます。
svnも実行せず、MSFも起動せずに見ることができて便利だなーと思ったんですが
モジュールの追加や更新履歴も一目で見られればもっと便利ですよね。

WindowsのSMB2プロトコルの配列インデックス処理における脆弱性（CVE-2009-3103）の検証を行いました。
検証を行った対象OSは
Windows Vista
Windows 2008 SP2
# このエントリ作成時点でフルパッチ
です。

この脆弱性を利用することでシステムをクラッシュさせることが可能か否かの検証結果は以下の通りです。 Continue reading

Linux Kernelのudp_sendmsg()におけるNull Pointor参照外しの脆弱性（CVE-2009-2698）の検証を行いました。
検証を行った対象OSは。
RedHat EL 5(2.6.18.8.el5)
です。

この脆弱性を利用することで一般ユーザからrootへと権限昇格を行うことが可能であるか否かの検証結果は以下の通りです。 Continue reading

Microsoft Internet Information Services FTPサーバ(以下IIS FTPd)のディレクトリ名の解析においてスタックオーバフローが存在するそうです。影響を受けるとされているシステムはMicrosoft Internet Information Services 5.0、5.1及び6.0です。細工したディレクトリを作成する必要があることからこの脆弱性を利用するためには、IIS FTPdにログインする必要があり、かつ、書き込み権限を有している必要があります。このエントリ作成現在（2009年9月2日）には、修正プログラムはリリースされておりません。
そして、各所で情報が公開されているように、Exploitコードが既にリリースされています。
このエントリは、そのExploitコードの検証メモです。
Continue reading