ご心配をおかけしていますRadoですが、相変わらずPCアップグレードに伴い、只今SLにはログインできていないわけですが、アップグレードの際、マザーボード初期不良によりPCが起動せずまだ修理中。
従い、RAM販売も遅れることが予想されます。
リンデンから重要なお知らせが一つ。現在最新ビュワーは1.20ですが、このビュワーがセキュリティー ホールを突いた攻撃によってL$を奪われるという重大な欠陥がみつかったそうです。
インターネットには、古くから通信方式がいくつかありましたが、有名なのは暗号科通信SSLがあります。それとともに普通ウェブを閲覧するにはHTTPという通信を使うのですが、これは通信する同士で特定の信号に対してだけ反応して、返答、つまりリクエストを返しますが、この互いに通信を確認する方式ではなくて、一方的にパケットを投げるだけの通信というのがあります。
これは、ちょうど「投げつけたパイ」に例えられますが、要するに通信が確立していなくてもOKという、勝手に送りつけた手紙のような通信方式があり、インターネットの最古参の通信方式で、UDPといわれます。
このUDPをつかって攻撃者は、リンデンのサーバーめがけてビュワーからSLのトランザクションを確立、つまりサーバーからの返答を期待します。すると返ってきた通信から特定のコードを再びUDP通信をつかって、送信。L$を不特定多数の住人から奪いとるというものです。
UDP通信は特定の相手に向けた通信ではないので、いうなれば誰がそれを投げたか特定しづらい特徴があります。逆にUDP通信を受け取ったサーバーは、リクエストを返すので、サーバーからの返答からどの通信が確立できるかを特定することは、攻撃者にとってある程度予測がたてられます。
こうした攻撃は、よくサーバー クラックを行う攻撃者が初期段階で例えばポート マッピングなどでよく使う手法。どのポートが脆弱性があるかを見極めるのに使われることが多いのです。
今回はこの手法を応用して、インワールドからビュワーの使うポートを利用してのUDP通信で、コードを流すといった攻撃だったようです。
この攻撃を受けたサーバーの利用している場所に、自分がインしていた場合、L$を転送する青いダイヤログが右上に表示されL$が勝手に支払われた状況になります。
これを防ぐためには、サーバーを更新してパッチを当てるだけではなく、ビュワーからUDP通信は送信できなくする必要があります。
考えてみれえば、直接L$をインワールドから購入、転送できる手段はビュワーからなので、サーバーだけではなく、ビュワー自体も更新していなければ意味はありません。
そこで、リンデン公式ダウンロードページから、最新のビュワーが正式版、Candidate両方で更新されているので、それを利用するようリンデンは強く求めています。
正式版
http://secondlife.com/support/downloads.php
Candidate
http://secondlife.com/support/downloads.php#download-Testviewers
これはビュワーのバグというより、そういった方法をつかった攻撃を想定できるといったリンデンからの一種の警告なので、逆らわずこの最新ビュワーの使用をSLPCでも推奨します。
0 件のコメント:
コメントを投稿