Last modified: Fri Jul 20 11:55:20 2007 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 アイスランド:米軍基地閉鎖 警察などで緊急事態に備える (毎日, 9/30)
》 日立:海洋汚染の元凶「バラスト水」浄化装置を開発 (毎日, 9/30)、 バラスト水排出による周辺海域の生態系破壊を抑制する浄化システムを開発 東京湾でバラスト水浄化装置の実証実験を開始 (日立, 9/25)
[引用] なお、本実証実験における船舶への搭載等については、株式会社三菱重工業長崎造船所で建造される雄洋海運株式会社向けの新造LPG船に試験機を搭載することで進めています。》 がん対策情報センター:1日オープン ネットで情報提供 (毎日, 9/30)
》 長野振り込め詐欺:「PCウイルス」と新手...508万被害 (毎日, 9/30)。振りこめ詐欺のネタにまで使われるほど一般に浸透したようですl。
》 巨大スパイ組織? 違法盗聴疑惑にイタリア大揺れ (asahi.com, 9/30)
[引用] イタリアで、国内最大手の通信会社テレコム・イタリア(TI)の幹部らが社内に数百人の盗聴担当者を設け、自社を使う電話を大規模に盗聴していた疑惑が浮上した。こうして得られた情報をもとに、政財スポーツ界の著名人らが恐喝されていた可能性がある。警察や法曹界にも協力者がいたとみられ、伊メディアは「空前規模のスパイ組織」と報道。本物の国家情報機関を上回る収集力を持っていた、とも推測され、政界を巻き込んだ騒ぎとなっている。すごい話だな......。日本は大丈夫なんですかね。
そういえば、ここに書くのをすっかり忘れていたので、自分自身のために書いておきます。
Pragmatic General Multicast (PGM) の脆弱性により、リモートでコードが実行される (919007) (MS06-052)
対象: Windows XP SP1 / SP2。32bit 版のみ、かつ Microsoft Message Queuing (MSMQ) 3.0 をインストールした場合にのみ影響。
関連情報:
インデックス サービスの脆弱性により、クロスサイト スクリプティングが行われる (920685) (MS06-053)
対象: Windows 2000 / XP / Server 2003。インデックスサービスにおけるクエリの処理に欠陥があり、XSS 欠陥が発生。
関連情報:
Microsoft Publisher の脆弱性により、リモート コードが実行される (910729) (MS06-054)
対象: Microsoft Publisher 2000 / 2002 / 2003。 Publisher におけるデータの検証に欠陥があり、.pub ファイル中の不正な文字列によってメモリ破壊が発生、任意のコードを実行できる。
関連情報:
CVE-2006-0001 の fix が今ごろ出てくる、と......。
Vector Markup Language の脆弱性により、リモートでコードが実行される (925486) (MS06-055)
......については Microsoft Internet Explorer での Vector Markup Language 悪用に関するアラートを参照。
あと、セキュリティじゃないけどこんなのが:
MS06-053 関連:
MS06-053 の回避策になぜか
[引用] Internet Explorer のページのエンコードの自動検出を無効にするなんて書かれている事、そして Microsoft Internet Information Services UTF-7 XSS Vulnerability (PTRS) によって明らかにされた本当の問題。 それはもちろん、IE の「機能」なのであった......。
いずれも「次期版にて」。
》 NATO、アフガンで米軍1万2千人を指揮下に (asahi.com, 9/29)
》 信号機器にバックアップなし、混乱に拍車 JR京葉線 (asahi.com, 9/28)。JR は人間力がどんどん低下しているんだろうか。
》 国民保護訓練:大規模テロなど想定 茨城県東海村などで (毎日, 9/29)。避難訓練。
》 安倍首相:集団的自衛権行使の容認検討 初の所信表明 (毎日, 9/29)。美しいウヨの国、日本。 まあ、サヨならいいってわけでもないんだけどね......。
》 独リニア事故:発生から1週間 現場の安全対策提案を無視 (毎日, 9/29)
》 捜査費の日付、支出額開示せよ 高知県警に命令 高裁 (asahi.com, 9/29)。
[引用] 馬渕勉裁判長は「当時、県警全体で組織的不正経理に対する疑惑が存在していた」と指摘した上で、捜査1課に限って捜査員の役職名や毎回の支出額の開示を命じた一審・高知地裁判決を変更し、捜査1課、同2課、暴力団対策課の捜査員の役職名や捜査費の毎回の支出額、支出年月日を開示するよう命じた。》 ISTR X - Everything is vulnerable (Symantec blog, 9/27)
》 女児の難病移植募金めぐり2ちゃんで「祭り」 (産経新聞イザ, 9/27)。匿名希望さん情報ありがとうございます。
》 「子どもの携帯電話はネット接続できないものを」警察庁の研究会が提言 (Internet Watch, 9/28)
》 楽天、28日発売の「週刊新潮」の記事に反論〜近日中に提訴へ (Internet Watch, 9/28)
》 HP通話記録入手スキャンダルで法律顧問が辞任--下院委員会での証言も拒否 (CNET, 9/29)
》 FSFに辟易するLinus Torvalds氏 (Open Tech Press, 9/29)
》 IPA 暗号フォーラム 2006。 2006年10月05日、東京都千代田区、無料。
一太郎の脆弱性を利用した不正なプログラムの実行危険性について (ジャストシステム) が改訂されていました。
対象となるのは、一太郎 2006 / 2005 / 文藝 / 2004 / 13 / 12 / 11 / 10 / 9 と FormLiner のようです。
修正プログラムが公開されました。 ダウンロードページから入手して適用してください。
前スレ:
IBM / Lenovo が自主回収を発表しました。
また、本日 SONY から発表された情報によると、他のベンダーについても、自主回収が行われることになるようです。
今後なされるであろう、各ベンダーからの案内に注意しましょう。
SONY の発表を受けて、富士通、東芝、SONY から交換予告が発表されています。
ソニー株式会社のバッテリーパック自主交換プログラムについて (富士通, 2006年09月29日)
[引用] 対象機種ソニー株式会社のバッテリパック自主交換プログラムに関するお知らせ (東芝, 2006年09月29日)
[引用] 対象機種ソニー製パーソナルコンピューター VAIO のバッテリーの安全性について (SONY, 2006年09月29日)。 機種情報なし (苦笑)。
「HPは大丈夫」、ソニーのバッテリー問題で声明 (ITmedia, 2006年10月03日)
日立からも予告出てます:
ソニー株式会社のバッテリーパック「自主交換プログラム」に関するお知らせ (日立, 2006年10月06日)
[引用] 自主交換プログラムの対象となるソニー製バッテリーを搭載した機種Prius は該当しないそうです。
あと、東芝が交換作業を開始しました。
ソニー株式会社のバッテリパック自主交換プログラムに関するお知らせ (東芝, 2006年10月10日 更新)
9/29 時点において対象とされていた
dynabook SS MXW、dynabook TX2、TX3、TX4、Satellite T10、T20、 PORTEGE M500、Satellite A50、TECRA M7、S3
は、対象外に訂正されています。
上記ページで「判定プログラム」が配布されていますが、「対応機種以外にはご使用になれませんのでくれぐれもご注意ください」という、便利なんだか不便なんだかよくわからないものです。
東芝は、これとは別に、 dynabook AX/8、dynabook CX/8、dynabook TX/8、dynabook VX/7、 Satellite CW1、Satellite AW4、Satellite AW5、Satellite A100シリーズの バッテリパックに関する重要なお知らせ(お詫びとお願い) (東芝, 2006年09月19日) というのもやっているんですね。利用者はご注意を。
SONY が機種情報を公開しました: パーソナルコンピューター VAIO のバッテリーパック自主交換プログラムについて (SONY, 2006年10月17日)
日立が交換作業を開始しました: ソニー株式会社のバッテリーパック「自主交換プログラム」に関するお知らせ (日立, 2006年10月19日 更新)
そもそもリチウムイオンバッテリは燃えるもの (PC Watch, 2006年10月19日)。だからこそ精密な取扱いが必要なわけで。 もともと燃えるんだから仕方がない、では済まんでしょう。 2001年09月11日 以降は特に。
[引用] ●くろまる無用な不安を煽る報道は避けるべきIBM / レノボの回収が衝撃的だったのは、IBM / レノボが一旦は安全宣言を出したにもかかわらず、実際に燃えてしまい、結局は回収に追いこまれてしまったからなんですけどねえ。 そういう状況ですから、HP の安全宣言も「いつ覆されるか」と思われているのが実態だと思いますけど......。
ソニー製電池、富士通パソコンでも発火 (asahi.com, 2006年10月27日)
SONY とシャープが交換作業を開始しました:
あと、IEEE、ノートPC用バッテリー規格を改定へ (ITmedia, 2006年11月08日) だそうです。
EPSON が交換作業を開始しました:
ソニー株式会社のバッテリーパック自主交換プログラムについて(第4報) (富士通, 2007年01月30日)
[引用] 当社は国内販売機種のバッテリーパック自主交換を2006年10月20日より開始しましたが、個人のお客様からの交換の申し込みが少ない状況にあります。そのため、当初は申し込み期間を2007年1月末日までとしておりましたが、2007年7月末日まで延長します。ソニー製電池の富士通ノート、12月末に海外で発煙・発火事故 (日経 IT Pro, 2007年01月30日)
関連: ソニー製電池搭載の東芝ノート、都内で発火事故 (日経 IT Pro, 2007年05月10日)、ノートPC用ソニー株式会社製バッテリパックの事故に伴う 自主交換プログラムに関する再度のお願い (東芝)
[引用] 当社は昨年より当社製パソコンに搭載されたソニー株式会社製バッテリパックの自主交換プログラムを実施しておりますが、4月24日に交換対象のバッテリパックで発火事故が発生いたしました。以下に、各社の案内を再掲しておきます。
なお、HP はソニー製バッテリを使用しているものの、回収・交換する必要はないと発表しています。
OpenSSL に新たな 4 つの欠陥があり、OpenSSL 0.9.8d / 0.9.7l で修正されたそうな。うぅ、ひさびさのたてつづけですね......。関連:
》 Windows Updateによる電子政府システム向けルート証明書の配信を開始 〜日本における電子政府推進計画を支援する取り組み〜 (Microsoft, 9/28)。これでようやく、Windows では「や〜いオレオレ」とか言われなくてもよくなるようです (XP / Server 2003 は 9/1 から実施済だそうで)。藤井さん情報ありがとうございます。
》 NDR自体にエラーメール本体を入れない用にする設定@sendmail (まっちゃだいふくの日記, 9/27)
......梅本さんから (情報ありがとうございます)
http://d.hatena.ne.jp/ripjyr/20060927/1159391672 では、SendMimeErrors を False にしていますが、これは、DSN を無効にする設定であって、メール本体を入れるのに MIME を使わないようにするだけであって、表題のようにエラーメール本体を入れないようにするわけではないと思います。
昨今、バウンスメール狙いの SPAM が出てきており、これに対抗するためバウンスメールに元メールが含まれないようにしたいという要求があることは認識しています。しかし、この設定では MIME を使わなくなるだけで、元メールが含まれることには変わりありません。
DSN 自体にセキュリティ的問題があるとかもっと別の理由があるのでしょうか?
バウンスメールに元メールが含まれないようにしたいということであれば、 PrivacyFlags に nobodyreturn を加えれば良いです。nobodyreturn は goaway には含まれないので、goaway を指定していても別途指定する必要があります。
define(`confPRIVACY_FLAGS', `goaway,nobodyreturn')
まっちゃさんは DSN 関連で SpamCop とひともんちゃくあったらしい (SpamCop は Microsoft Exchange が吐く UTF-7 日本語な DSN がお嫌いらしい) ので、 DSN を無効にする方法を知っておきたいのだろうと思います。
》 "社員の監視"はどこまでOKなのか? (日経 IT Pro, 9/28)。タイトルと中身が違うような気が。「"社員の監視"をする前に」とかの方がいいと思うし。
》 ひかり電話トラブル,不信を招いた7日間 (日経 IT Pro, 9/28)
》 阪大教授の捏造を認定 学内調査、別の論文でも改ざん (asahi.com, 9/22)。9/22 以降、「杉野明雄教授」という名前が出るようになったのかな。
》 台風13号の竜巻被害は国内最大級 日中で人的被害拡大 (asahi.com, 9/28)
[引用] 日本風工学会は今年4月、羽越線の事故を受けて、(1)風の動きをとらえられる「ドップラーレーダー」の整備(2)突風を予測・注意喚起するシステムの開発を求める提言を国土交通相らに出した。》 オンラインゲーム内詐欺に初の詐欺罪適用 (slashdot.jp, 9/27)。元記事もタレコミ者も編集者も状況をきちんと理解していないようなので注意。たとえば 1027482 や 1027613 を参照。
》 Linus Torvalds氏がGPLv3策定プロセスに参加しない理由 (Open Tech Press, 9/28)
[引用] Torvalds氏は現行のGPL(GPLv2)について、「フリーソフトウェア派とオープンソース派の双方が、非常に好ましい形で折り合える存在です。人々が置かれた状況や理想とする信念は様々であり、またそうした主張に対する熱の入れ具合もまちまちですが、GPLv2は誰もが自然と合意できる内容であり、これまで多くの人々に受け入れられてきたのも、そうした理由があるからです」としている。》 ファイルダウンロードサービス一部停止のお知らせ (Vector, 9/28)。詳細情報が公開されています。
JVN#79484135: Joomla! におけるクロスサイトスクリプティングの脆弱性 (JVN)。1.0.9 で修正されています。
JVN#82240092: Drupal におけるクロスサイトスクリプティングの脆弱性 (JVN)。 4.7.3 / 4.6.9 で修正されています。
JVN#30144870: SugarCRM におけるクロスサイトスクリプティングの脆弱性 (JVN)。patch が出ています。
JVN#46630603: MDPro におけるクロスサイトスクリプティングの脆弱性 (JVN)。1.0.76 用の patch が出ています。
[SA22071] TYPO3 "Indexed Search" Cross-Site Scripting Vulnerability。 TYPO3 4.0.2 で修正されています。
WebViewFolderIcon ActiveX コントロール (webvw.dll) に integer overflow する欠陥があり、攻略 web ページなどを通じて任意のコードを実行可能。 CVE: CVE-2006-3730。US-CERT Metric: 51.03
修正プログラムはまだ存在しない。CLSID {844F4806-E8A8-11d2-9652-00C04FC30871} および/または {E5DF9D10-3B52-11D1-83E8-00A0C90DC849} に kill bit を設定したり、(削除) スクリプト (削除ここまで) ActiveX コントロールを無効にしたりすることで回避できる。
(CLSID 増えました)
...... これですが、MoBB #18 の話なのだそうです。
関連:
MS Internet Explorer WebViewFolderIcon setSlice() (Multiple Exploits) (securiteam)
Windows Explorer の脆弱性により、リモートでコードが実行される (923191) (MS06-057) (Microsoft) で修正されました。
Firefox はそういう仕様なのだそうです。nutsec さん情報ありがとうございます。 今試すと、「クジョたいさく物語 第 1 話」に飛ぶようです。
......葉っぱ日記 に対応方法が記載されています。
一太郎 (バージョン不明) に未知の欠陥があり、攻略一太郎ファイルを利用した攻撃が実際に行われているそうです。
ご注意ください。
一太郎の脆弱性を利用した不正なプログラムの実行危険性について (ジャストシステム) が改訂されていました。
対象となるのは、一太郎 2006 / 2005 / 文藝 / 2004 / 13 / 12 / 11 / 10 / 9 と FormLiner のようです。
修正プログラムが公開されました。 ダウンロードページから入手して適用してください。
一太郎の脆弱性を利用した不正なプログラムの実行危険性について (ジャストシステム) が改訂されていました。一太郎 for Linux も欠陥の対象となるそうです。 一太郎 for Linux セキュリティ更新モジュール (ジャストシステム) も公開されています。
関連: JVN#68295640: Movable Type の検索機能におけるクロスサイトスクリプティングの脆弱性 (JVN)
OpenSSH 4.4 が登場しました。この欠陥が修正されています。iida さん情報ありがとうございます。
http://www.openssh.org/txt/release-4.4 によると、この欠陥の他にも、以下の欠陥が修正されているそうです。
[引用]* Fix an unsafe signal hander reported by Mark Dowd. The signal handler was vulnerable to a race condition that could be exploited to perform a pre-authentication denial of service. On portable OpenSSH, this vulnerability could theoretically lead to pre-authentication remote code execution if GSSAPI authentication is enabled, but the likelihood of successful exploitation appears remote. * On portable OpenSSH, fix a GSSAPI authentication abort that could be used to determine the validity of usernames on some platforms.
OpenSSH 4.4リリース (slashdot.jp) も参照。
アドバイザリ出ました:
PowerPoint 2000 / 2002 (XP) / 2003 の他、PowerPoint 2004 for Mac、 PowerPoint v. X for Mac にも影響するそうです。PowerPoint Viewer 2003 には影響しないそうです。このため、PowerPoint Viewer 2003 で閲覧して回避する方法が紹介されています。
》 Indexes to NSA Publications Declassified and Online (Schneier on Security, 9/26)
》 Microsoft ExchangeのNon-delivery reportを「配信不能」から英語化するKnowlege Base (まっちゃだいふくの日記, 9/27)
》 デファクトスタンダード暗号技術の大移行 最終回: システムの利用期間に見合った暗号技術の選択へ向けて (@IT, 9/27)
》 Security Day 2006 あなたの出番です! 〜市民権を得たセキュリティ対策〜 (Internet Week 2006)。 「市民権を得たえせセキュリティ対策」と空目した orz。 ノーガード戦法! カカクメソッド! にせセキュリティソフト!
》 [openmya:036090] mixiのプライバシーポリシー改訂、 mixiの行動ターゲティング用のクッキー無効化(オプトアウト) - openmya MLより (うさぎ文学日記, 9/27)。
mixi にログインすると、ページ上部に「運営者からのお知らせ」が表示されるのだが、今出ているのはこんな感じのものだ (画像)。 プライバシーポリシーを改訂するという極めて重要な内容にもかかわらず、「運営者からのお知らせ」に表示されていない。
では、と思って [詳細を見る] をクリックしてみると:
「運営者からのお知らせ」には高々 1 行しか載らないようなので、これはつまり、一昨日〜昨日 mixi にログインした人しかプライバシーポリシーの改訂に気がついていないことになる。(にべさんからの情報を受けて、記述をちょっと修正)
これはアカンやろ。改訂後に「改訂しました」がしばらく表示され続けるるのであれば、まだわからんでもないが、さて......。
......「運営者からのお知らせ」が 4 行表示されるようになった模様 (画像)。よかったよかった。
》 MS、またもや著名セキュリティ専門家を引き抜き (ITmedia, 9/26)。Chengi Jimmy Kuo 氏だそうで。
》 ライブラリ(ダウンロード)一時停止のお知らせ (Vector, 9/27)
[引用] 弊社で利用しているウイルススキャンソフトの一部で新型ウイルスが発見されました。いまいち意味不明な文だなあ。たとえば「Vector 内部の作業用 PC において新型ウイルスが発見された」ということなのだろうか。それとも、たとえば「ライブラリ中のファイルを再検査する過程で新型ウイルスが発見された」のだろうか。
......前者だったようで: 「Vector」がソフトのダウンロード一時停止、ウイルス感染の有無を調査中 (Internet Watch, 9/27)。 ベクター、同社ライブラリの全掲載ソフトを一時的に公開停止 (窓の杜, 9/27) によると、発見されたのは PE_LOOKED.DA ......じゃなくて PE_LOOKED.FQ だそうです。
》 特許統一:日米欧主要41カ国合意 米「先願主義」に転換 (毎日, 9/26)。 特許を出願優先に統一 41カ国合意、条約採択へ (excite / 共同, 9/26) には 『25日までジュネーブで開いた「特許制度調和に関する先進国会合」で確認した』とあるなあ。「特許制度調和に関する先進国会合」でぐぐると、 特許制度調和に関する先進国全体会合の結果概要 (特許庁) を見つけた。これは 2005 年の「特許制度調和に関する先進国全体会合」の話。2005年09月25日 に開催、2005年10月13日 に公開のようなので、今年のものも同時期くらいに公開されるのかな。
で、今、 WIPO General Assembly : Thirty-Third (16th Extraordinary) Session (WIPO) というのをやってるみたいです。
世界知的所有権機関(WIPO)日本事務所の開設 (特許庁, 9/11) なんて話もあったんですね。
関連: 特許、先願主義に統一 日米欧、新条約作りで合意 (asahi.com, 9/27)
》 Windows XP (オリジナルバージョン) でUserInit.Exeが検出される問題 (CA, 9/16)。誤検出話。野田さん情報ありがとうございます。 (タイトル修正: 三月さん感謝)
》 サイバー犯罪で国際連携 東京で捜査技術会議 (北海道新聞, 9/27)
》 強力な広報戦略体制を敷いた安倍内閣 (JANJAN, 9/26)
》 924840 - A test version of the 2007 global time zone update for Windows is available (Microsoft)。2007 年から、US の夏時間が変わるのですか。 Daylight saving time: United States (Wikipedia)
》 アフガニスタン:隘路に嵌りつつある連合軍 (JANJAN, 9/26)
PowerPoint 2000 / 2002 (XP) / 2003 に新たな 0-day 穴があるらしい......。
アドバイザリ出ました:
PowerPoint 2000 / 2002 (XP) / 2003 の他、PowerPoint 2004 for Mac、 PowerPoint v. X for Mac にも影響するそうです。PowerPoint Viewer 2003 には影響しないそうです。このため、PowerPoint Viewer 2003 で閲覧して回避する方法が紹介されています。
Microsoft PowerPoint の脆弱性により、リモートでコードが実行される (924163) (MS06-058) (Microsoft) で修正されました。
修正プログラム出ました。ACL 設定によって回避している場合は、ACL を戻してから適用しましょう。
あと、metasploit な攻略モジュールも:
あと、ISA で守る話:
MS06-049 修正プログラムの改訂版、出ました。
でも、壊れたファイルを所有している場合は、適用前に、FreeBSD とかから読んでバックアップしておいた方がいいと思うし。
へぇ......。SafeSearch filtering (google) から:
[引用]You can choose from among three SafeSearch settings:
And finally…
デフォルトではGoogle Image Search だけだって?! 検索語句によっては、 Yahoo! と異常に異なる検索結果が出たりするんだけどねぇ......。
英語な google は http://www.google.com/webhp?hl=en にアクセスすればいいようです。 つーか、http://www.google.co.jp/preferences?hl=en を見ればいいみたい。
》 特許、出願優先に統一へ・米が転換、主要41カ国大筋合意 (日経, 9/26)。ついにですか。
》 エレベーターから犬飛び出す、ロープ離さず指4本切断 (読売, 9/26)
》 NTT、電話機4万台回収検討 遭難信号と同周波数電波 (asahi.com, 9/26)。「パッセS200と後継のパッセS220」において、 「子機のバッテリーが著しく消耗した状態で電源を入れたまま充電を始めると、同じ現象がまれに起こる」のだそうで。
で、「準備が整い次第、回収」だそうです: 「ハウディ・コードレスホンパッセ S-200/S-220」における 遭難信号と同一の周波数の電波を誤発信する事象について (NTT 東日本/西日本, 9/26)
関連: 大迷惑なコードレス電話 (slashdot.jp, 8/11)。柴田さん情報ありがとうございます。
》 SELinuxの現状:使いやすさの改善が進むSELinux (ITmedia, 9/26)
》 Symantec、"核シェルターの堅牢性を持つ"英国のSOCを公開 (Enterprise Watch, 9/26)。で、旅費は誰が持ってるの? (しつこい)
》 「GPLv3は危険」〜複数のLinuxカーネル開発者が共同声明 (Open Tech Press, 9/22)
関連: GNU 一般公衆利用許諾書 (GNU General Public License) バージョン3のディスカッション・ドラフト2 非公式日本語訳 (Open Tech Press, 9/26)
》 EUによる「Windows Vista」への苦情の背後に米Adobeと米Symantec (日経 IT Pro, 9/25)
》 Virgin Atlantic航空,Apple/Dell製ノートPC持ち込み制限を緩和 (日経 IT Pro, 9/26)
》 【CRYPTO-GRAM日本語版】「USBDumper」 (日経 IT Pro, 9/26)。便利なツールのようですね。
》 すっかり忘れてましたが、 答えてねっと はあいかわらず止まってますね。 予測: Microsoftの「答えてねっと」は「OKWave」に? (slashdot.jp, 9/6) が正しかったということなんだろうか。 オウケイウェイヴ、マイクロソフトとQ&Aサイト分野で提携 (日経, 9/6) では
[引用] サービス開始予定日 平成18年10月を予定となってますね......。
》 西日本高速、ファミリー企業"1社入札"8割 (読売, 9/26)。小泉改革、ブラボー。
》 国大セミナーの生徒情報3千人分、ウィニーで流出 (読売, 9/25)、 お客様情報等の流出に関するお詫びとご報告 (国大セミナー, 9/25)
》 SafeDisc2 Cleanerによるぷよぷよフィーバー同梱スパイウェア(CDAC11BA.EXE)の無効化方法 (星を見る人)
》 「ひかり電話」ふくそうの原因及び対策の実施について (NTT 東日本, 9/25)。関連:
NTT 東日本では負荷テストは行わないのでしょうか。
》 仮想CD・DVDドライブ作成ソフト「Alcohol 52%」が無料化 (gigazine, 9/21)
[引用] 無料なのと引き替えにツールバーが入るので「I Agree」をクリック。ただしこれはあとでちゃんとアンインストールできます。アンインストールしても問題なくAlchol52%は使えます。》 トーマツ (Deloitte) 金融機関、ライフサイエンス、技術・メディア・通信分野の情報セキュリティグローバル調査 翻訳 (まるちゃんの情報セキュリティ気まぐれ日記, 9/26)
》 シュワブ兵舎移転/反対派1人を逮捕 (沖縄タイムス, 9/25)
[引用] 沖縄人権協会の永吉盛元事務局長の話 基地ある故に沖縄の人々の生活が脅かされていることの表れであり、個人ではなく基本的な人権の問題だ。これまで強権行使を控えてきた防衛庁が、基地建設に必死になっている。反対運動も激しくならざるを得ず、憂慮すべき事態だ。関連: 沖縄で平良夏芽さんが逮捕されたことについて (関組長の東京・永田町ロビー活動日記blog版, 9/26)
》 米商務省,引き続きICANNを通じたDNS管理を支持 (日経 IT Pro, 9/25)
》 自民新三役で勃発か、朝日VS自民"戦争" (JANJAN, 9/25)
[引用] さて、問題は、朝日新聞(asahi.com)がこの後、午前10時54分に【東京 25日 ロイター】発として、同じ記事を配信したことである(記事はすでに更新され見られない。写真2掲載)。ある元政治部記者はこう話す。》 [AML 9559] 辺野古での逮捕、シュワブ文化財調査の実態、 [AML 9568] 名護署前・弁護士より。 日本政府はあいかわらず無茶をしているようで。
OpenSSH 3.x / 4.x に欠陥。SSH パケットにおける複数の identical block の扱いに欠陥があり、SSH プロトコルバージョン 1 が有効な場合に DoS 攻撃を受ける。 ということは、SSH プロトコルバージョン 1 を無効にしてあれば回避できるのだろう。 Tavis Ormandy, Google Security Team さんによる成果の模様。
開発版では修正されている。
OpenSSH 4.4/4.4p1 が登場しました。この欠陥が修正されています。iida さん、戸井さん情報ありがとうございます。
http://www.openssh.org/txt/release-4.4 によると、この欠陥の他にも、以下の欠陥が修正されているそうです。
[引用]* Fix an unsafe signal hander reported by Mark Dowd. The signal handler was vulnerable to a race condition that could be exploited to perform a pre-authentication denial of service. On portable OpenSSH, this vulnerability could theoretically lead to pre-authentication remote code execution if GSSAPI authentication is enabled, but the likelihood of successful exploitation appears remote. * On portable OpenSSH, fix a GSSAPI authentication abort that could be used to determine the validity of usernames on some platforms.
OpenSSH 4.4リリース (slashdot.jp) も参照。
独自に修正した方がいらっしゃるようです: 改造版Sage 1.3.6(スクリプトインジェクション対策版)ができたっぽい (ひぐまのひまグ, 2006年09月26日)
Lenovo、ノートPCの発火問題を調査 -- リコールは不可避との声も (ITmedia, 2006年09月25日)
Movable Type 3.2 以降、および Movable Type Enterprise に欠陥。 管理画面、検索機能、コメント機能に XSS 欠陥があるそうで。 Movable Type 3.33 で修正されている他、 Movable Type 3.2-ja-2 用の patch が用意されている。
関連: JVN#68295640: Movable Type の検索機能におけるクロスサイトスクリプティングの脆弱性 (JVN)
IE6 には、タイトルバーを偽装できる欠陥があるそうです。 詳細は未公開、現時点では未修正。 また IE7 にはこの欠陥はないそうです。
現場的にはテンプレの 1 つもないと仕事にならないのだろうけど、いやはや......。
しかし個人的には、この部分の方がもっと気になる:
[引用] このウェブサイトのご利用に際し、次の行為を禁止します。業務のために 東芝テクノネットワーク株式会社の web ページにアクセスするのは禁止されている、ということなのだろうか。 東芝本体のサイトポリシーにはそういった記述はないようだが......。
》 ひかり電話はなぜ止まったのか? (日経 IT Pro, 9/22)。 「坊やだからさ」?
[引用] こう書いていくと,IP電話は加入電話に劣るように見えるかもしれないが,そうではない。ソフトウエアのバグや通話制限の機能などは,今後改善されていくだろうし,運用ノウハウも貯まっていく。逆に言うと、今はバグってるし機能も低いし運用ノウハウも貯まっていない、と。 なんかこういうふうに聞こえるんですけど: 「こう書いていくと、Microsoft Windows 1.0 は Macintosh に劣るように見えるかもしれないが,そうではない。ソフトウエアのバグやタイリングウィンドウなどは、今後改善されていくだろうし、運用ノウハウも貯まっていく」。まあ、改善はされるんでしょうけど、金払って公開β品質ではシャレにならないし。 もちろん、「そういうものだ」と理解してもらって買ってもらっているのなら問題はないのですが。
》 イラク戦争でテロ脅威拡大 米機密報告書 (CNN, 9/25)。身内も認める逆効果。
》 栗東市の起債差し止め 新幹線新駅訴訟で大津地裁判決 (中日, 9/25)。知事には追い風だなあ。 県「凍結へ追い風」 推進派は当惑、 <解説> 安易な起債を批判 (読売, 9/26)、 栗東市、控訴しないで...原告が申し入れ (読売, 9/27)
》 日銀HP接続不能、海外からのサイバー攻撃が原因 (読売, 9/25)。DoS だそうです。 日本銀行ホームページの接続障害について(続報) (日本銀行, 925)
》 pwdump6 1.4.0 が出たそうです。
》 交通違反の反則金補償の保険、順次廃止へ (読売, 9/24)
》 リアルタイム高橋メソッド (葉っぱ日記, 9/25)。すごくウケたのですが、プレゼン資料はやっぱり事前に準備した方がいいと思います (ネタにマジレス)。あと、
[引用] これを使いつつバイナリエディタでメールの文字コードを書き換えるというプレゼンをしていると、会場の中の人に「こんなプレゼンあり得ない」とか言われちゃいますた。(; ́Д`)だって、いきなりバイナリエディタ立ち上げて、その場で 16 進数計算するプレゼンなんだもん......(^^;)。おまけに、そのために JavaScript なスクリプトをつくって、わざわざ IE で計算するって......(^^;;)。Windows の「電卓」アプリの関数電卓モードが不憫で不憫で (嘘)。
ふつうのプレゼンだったら、まずは「文字コードとは何か」をパワポ 2 枚くらいで簡単に説明して、用意しておいた「8bit 目が立ってないメール」と「8bit 目が立ったメール」をふつうのエディタとかで見せてから、「でも Outlook Express で見るとホラ同じ、素敵ですね〜、ですから......」 とかやると思います (ネタにマジレス)。
あと、slashdot.jp には マジレスマン という方がいらっしゃるのですね。(^^;)
関連情報:
「ソニー製」とは書いてあるけど「純正」とは書かれていないなあ。 中身が「ソニー製」の 3rd party 品、という可能性はあるんだろうか。
あと、こちら↓は 3rd party 製バッテリでの発火。
》 また、「あるある」にダマされた。 という書籍があるのだそうで。
》 教育基本法改正法案についての意見 (日本弁護士連合会, 9/15)
》 共謀罪新設に関する意見書 (日本弁護士連合会, 9/14)
》 個人情報保護法 見直しへの検討課題 内閣府部会まとめる (毎日, 9/21)
》 【海外派兵恒久法案】の第2条の第3項の第二号を読む (関組長の東京・永田町ロビー活動日記blog版, 9/24)
[引用] この「第二号」が驚きの内容。》 化粧品「SK—2」販売停止、中国各地で返品騒ぎ (読売, 9/23)
》 中古家電、修理せずとも途上国で人気——モッタイナイ精神はどこへ? (JANJAN, 9/22)
》 『トヨタの正体』を読んで (JANJAN, 9/22)
関連情報:
》 独のリニア衝突、死者23人に...原因は人的ミス? (読売, 9/23)
》 IP電話、もろさ浮き彫り 総務省、安定通信へ作業班 (asahi.com, 9/23)。浮き彫りもなにも、ぶっちゃけ世の中こんなもんじゃろ、と思うけどなぁ。枯れていない技術というリスクは認識すべきでしょう。
》 ひかり電話通信障害の原因、一部が判明、NTT東「ソフトの不具合」と発表 (MYCOM ジャーナル, 9/22)
関連情報:
MS06-049 話だが、■しかく□しろいしかくNTFSですな?いまだにFATですか?□しろいしかく■しかく (2ch.net) がすごいことになっている。 なんと、「壊れた」ファイルを読み出す方法がみつかったそうなのだ。 さらに、それを元にしてバグの原因を解析してしまっている。 hyou さん情報ありがとうございます。
すげぇ。まとめると、以下の方法で壊れたファイルを修復できるらしい:
》 「ひかり電話」の通話状況について: 第1報(10時20分現在) (NTT 東日本, 9/22)。今日は安定しているそうです。
「ひかり電話」の通話状況について (NTT 東日本, 9/22)。ようやく原因が判明したようです。
[引用] 弊社では19日以降原因究明に努め、19日については、呼制御サーバにおける一部サービス機能の処理増加に伴うソフトウェア不具合により、呼制御サーバの輻輳が発生し、その影響で更に中継系呼制御サーバが輻輳していたことが判明しました。また、20日については、19日の輻輳から回復した際に、中継系呼制御サーバが完全な初期状態に戻らなかったため、所定の性能を発揮できずに輻輳を生じたと推測しております。》 [Full-disclosure] [Oracle] Rainbow crack table Oracle patch.
》 星野君のWebアプリほのぼの改造計画(10)マルチバイトの落とし穴 (@IT, 9/23)
》 クライアント管理は「取り締まり」じゃない (日経 IT Pro, 9/19)。まあ、取り締まりたい人も世の中にはいるのだろうけど。
》 旧耐震の実態(後編) "姉歯級"の危険な建物が至る所に (日経 BP, 9/19)。先日 NHK 特集でもやってましたね。 都内のマンションの半分は旧基準だそうで。安全性の向上 (耐震補強) と経済的合理性の両立がなかなか難しいようで。
》 台風は大型化している (後編) (日経 BP, 9/19)。水害、土砂災害ねた。 「東京の土砂災害危険箇所の分布 東京都建設局河川部より」 なんて図が掲載されている。
》 Bypassing Network Access Control (NAC) Solutions (insightix.com)
》 FuzzyOcrPlugin (spamassassin wiki) なんてものがあるんですね。 メールにくっつている画像を OCR してへげへげするんだそうで。
》 架空取引事件が教える「カリスマ営業」任せの盲点 (日経 IT Pro, 9/20)
》 McAfee VirusScan for Mac 8.5 Release Candidate (McAfee)。Mac OS X 10.4.x しかサポートしてないみたい。
》 サハリン2 「環境破壊は深刻」 ロシアの団体、事業中止を訴え (北海道新聞, 9/22)
》 インターネット上の有害情報に係る努力義務(条例) (奥村弁護士の見解, 9/22)。 バーチャル社会のもたらす弊害 から子どもを守る研究会 (警察庁) の「【第5回】 平成18年9月7日(木)」にある、 資料2 インターネット上の有害情報に係る努力義務 の話。
》 パソコン最大手・米デルに上場廃止勧告 米ナスダック (asahi.com, 9/22)。 うひゃっと思って slashdot.jp を見てみると、 NovellとDellに上場廃止勧告というトピックがあり、 おまけに Apple にもそんな話があるそうで。
》 セキュリティ 勝手に RSS というページをつくりました。
》 従業員所有PCを阻むパソコン持ち込み禁止の壁 (日経 IT Pro, 9/20)
》 Symantec、ウイルス対策の最前線「Security Response」を公開 (Enterprise Watch, 9/22)
[引用] 米Symantecのアイルランド法人であるSymantec Ltdは、ダブリンにあるインターネットセキュリティ研究施設「Security Response」を日本の報道陣に公開。アイルランドにある Security Response を、わざわざ「日本の報道陣」に公開したんですか? 東京にも Security Response があるのに? 旅費は誰が持ったの?
ところで、東京の Security Response は、今でもこの規模なんですかね。
関連:
》 米MSのレガシー製品に対するサポートが延長 (日経 IT Pro, 9/19)
》 「リンクお断りは普通」と人の心に種を蒔くAC (高木浩光@自宅の日記, 9/21)。たいへん興味深い。
》 the full transcription of "Cracking DES" (cryptome.org)
[SA22021] Drupal Search Keywords Module Script Insertion。 CVE: CVE-2006-4947
Camino 1.0.3 Release Notes (caminobrowser.org)
[引用] Fixed several critical security and stability issues, including those fixed in version 1.8.0.7 of the Mozilla Gecko rendering engine.Oera 9.0.2 出ました。この欠陥が修正されているそうです。
Mac OS X の AirPort 無線 LAN ドライバに 3 つの欠陥。いずれも、攻撃者は任意のコードを実行可能。
例の「無線 LAN ドライバの欠陥」話と思われ。
炎上ではなくて爆発 (explode) ですか......。
》 情報処理推進機構:セキュリティセンター:セキュリティ対策まんが クジョたいさく物語 (葉っぱ日記, 9/20)。消される前に見てしまったのですが、「世の中には見てはならないものがある」というか、「死霊の盆踊り」級というか、...... (死霊の盆踊り、DVD 出てたんですね......つーかデラックス版って何......)。
》 韓国:巡航ミサイル開発完了 北朝鮮全域の精密攻撃可能に (毎日, 9/21)。韓国の場合、そういうモノの実射テストってどこでやってるんだろう。
》 【続報】NTT東がひかり電話の障害状況を緊急報告,「原因は全力で究明中」 (日経 IT Pro, 9/20)。Benjamin さん情報ありがとうございます。
で、今日は事前制御だそうです: 「ひかり電話」の安定提供に向けた 通話の事前制御の実施について: 第1報(9時20分現在) (NTT 東日本, 9/21)
おまけに、たったの 30 分でさらに規制対象を増やして実施中のようで: 第2報(9時50分現在) (NTT 東日本, 9/21)。これはつまり、負荷を半分に減らさないと耐えられないってことですか? 営業から見れば、「契約取ってこいって言うからがんばって取ってきたのに、システムの増強が追いついてないのかよ!!」という感じ?
11:10 現在、http://www.ntt-east.co.jp/release/0609/060921c.html は存在しません。 ......第3報(15時20分現在) 出てました。かなり落ちついてきてはいるのでしょうか。 17:10 現在、http://www.ntt-east.co.jp/release/0609/060921d.html は存在しません。 ......最終報(17時10分現在)出ました。16:53 に制御を解除したそうです。
さて明日ですが、【続報】NTT東がひかり電話の規制を解除,明日22日の規制の可能性は否定せず (日経 IT Pro, 9/21) だそうです。
[引用] 同社は通話規制のほかに,ユーザーの一部を不安定になった通話制御用サーバーから別のサーバーへと移す「収容替え」を進めている。各地のサーバーに対する負荷を平準化させることで,システムを安定化させるためだ。一連の措置が功を奏し,19,20の両日より早い時間帯で通話規制を解除できたと見られる。とりあえずやれることをやっているのかな。
[引用] ただし,根本的な原因はなお,「全力を挙げて究明中」(NTT東日本)。明日22日も通話量を規制する可能性は否定できないとしている。》 インターネット安全教室まつり (JNSA)。2006年10月15日, 東京都港区, 無料。
》 WindowsXPのパスワードをバイパスする「DreamPackPL」に注意! (うさぎ文学日記, 9/20)
》 新鮮で良質なおいしいお米【日本ライス株式会社】 (サイトは落としてあるっぽいので google cache)
虚偽表示:国産ブランド米に別銘柄混合 日本ライスを捜索 (毎日, 9/19)
[引用] 今年5月ごろ、兵庫県の小売店に顧客から「米の味がおかしい」との苦情が寄せられ、小売店が米のDNA鑑定を依頼。表示された品種とは異なる品種の米が混入していることが分かり、府警に相談した。毎日放送では「混入」の詳細が報道されていたそうで、それをごらんになっていたらしい奥村弁護士 によると、「きらら397 100%」のはずが:
[引用] きらら397 45%お米の DNA 鑑定をすると、出自がたちどころにわかるんですね。
》 国旗国歌:都教委の「強制は違憲」東京地裁が判決 (毎日, 9/21)
》 論文不正、阪大教授が単独でねつ造 (読売, 9/21)
》 都内でピッキング被害急増、複数の外国人窃盗団暗躍か (読売, 9/21)
》 東京電力の社内LAN工事の図面など、設備工事会社からWinny流出 (Internet Watch, 9/21)。 「Winny」による個人情報および業務関連情報の流出について (沖ウィンテック, 9/20)
》 首都圏大停電:送電線損傷のクレーン船 立件見送りへ (毎日, 9/21)
[引用] 千葉県警は (中略) 「故意性」の立証が必要な器物損壊容疑や電気事業法の適用は困難と判断した。やっぱりノーガードが一番ってことですか?!
》 @policeトピックス等のRSS配信の開始について (@police, 9/20)
》 【速報】ボーダフォンで通信障害,複数のサービスが東日本でストップ (日経 IT Pro, 9/20)。4 種類の障害ですか。
》 Poderosa 4.0.2 が出ていました。
Note PC 炎上ねた、なかなか収まりませんね......。 BGM はやっぱり「翔べ!ガンダム」(作詞: 井荻 麟) ですかね。
も、え、あ、が、れ〜
もえあがれ〜
燃え上がれ〜ガンダム〜
関連情報:
「ソニー製」とは書いてあるけど「純正」とは書かれていないなあ。 中身が「ソニー製」の 3rd party 品、という可能性はあるんだろうか。
あと、こちら↓は 3rd party 製バッテリでの発火。
Lenovo、ノートPCの発火問題を調査 -- リコールは不可避との声も (ITmedia, 2006年09月25日)
[Full-disclosure] McAfee VirusScan Enterprise - disabling the client side "On-Access Scan"。 CVE: CVE-2006-4886
[Full-disclosure] Dr.Web 4.33 antivirus LHA long directory name heap overflow。 CVE: CVE-2006-4438
日本語版: Dr.WEB セキュリティ勧告:Dr.WEB-SA-06-1 LHA アーカイブ拡張ヘッダの処理におけるセキュリティ脆弱性 (drweb.jp)
SYM06-017: Symantec AntiVirus Corporate Edition Elevation of Privilege (2006年09月13日)。 CVE: CVE-2006-3454
日本語版(削除) のアドバイザリはまだないみたい (削除ここまで): SYM06-017:
Symantec AntiVirus Corporate Edition に特権昇格の脆弱性。
SYM06-018: SymEvent ドライバにローカル・アクセス・システムでサービス拒否の脆弱性 (シマンテック, 2006年09月20日)。 Norton Personal Firewall / AntiVirus / SystemWorks, Symantec Client Security / AntiVirus Corporate Edition / pcAnywhere / Host IDS に欠陥。 SymEvent ドライバに攻略データを送られると DoS 状態になってしまう。 元ねた:
修正版が用意されているので適用すればよい。
X.Org LibXfont CID Font File Multiple Integer Overflow Vulnerabilities (securityfocus.com)。bid 19974。 X.org X11R6 6.8 〜 X.org X11R7 7.1 と XFree86 (バージョン?) に欠陥。
NVD: CVE-2006-3740 CVE-2006-3739。 CVSS Severity: 7.0 (High)
X.org では http://xorg.freedesktop.org/releases/ から patch を入手できる。
各種 Linux ディストリビューションなどでも fix package を配布している。 FreeBSD の ports はまだこの patch があたってないみたい。
GnuTLS にも同様の欠陥があったそうで、1.4.3 以降で修正されている (最新は 1.4.4)
また、Opera 9 には OpenSSL 0.9.8 が含まれているため、この欠陥の影響を受けるとされている。
》 ウイルス検索エンジン VSAPI 8.310/8.320(Windows/Linux/Solaris版) 公開のお知らせ (トレンドマイクロ, 9/20)。修正版来ました。 ただし、ウイルスバスターについては「調整中」になっています。
》 Updated Tools (eEye research blog, 9/19)。 DLLInject と Duster が更新されたそうです。
》 フォルダ−アクセス権マップツール(無償) (Microsoft)
》 WORM_STRATION (トレンドマイクロ) が流行ってるっぽいですね。 Panda を通過してきた Stration が手元の Sophos にひっかかってたりします。
》 ITセキュリティのアライ出し 第9回: 標的型攻撃に関する一考察(6) - 脆弱性発見手法の進化(後編) (MYCOM ジャーナル, 9/20)
》 「ひかり電話」のつながりにくい状況について (NTT 東日本, 9/20)。今日もつながらないそうです。 第2報(16時00分現在) でも直ってませんね......。22:10 現在、http://www.ntt-east.co.jp/release/0609/060920c.html は存在しません。 ......最終報(22時30分現在) 出てました。
》 甲南大学、履修者の個人情報506件が「Share」で流出 (Internet Watch, 9/20)
》 ジェットバスで女児が事故、大ガス子会社が注意呼びかけ (asahi.com, 9/19)。いまだに直してもらってない人がいるという話。
[引用] 対象は00年までに製造された3883台で、1548台の部品交換がまだ終わっていない。関連: ジェット噴流バスをご愛用のお客さまへ (事故防止についてのお願いとお知らせ) (大阪ガス住宅設備, 9/19)
》 NoScript (addons.mozilla.org) という Firefox の add-on を入れてみたのですが、これはなかなかいいですね。
まだ M41 使ってるんだ......。 タイ王国陸軍 (ウィキペディア) を見ると、 M41: 200 両 と書かれてるなあ。稼働率はどれくらいなんだろう。
本当に新規の話なのかどうか、いまいち不明な模様。nodoame さん情報ありがとうございます。
......Microsoft PowerPoint Vulnerability FAQ - September 2006, CVE-2006-4854 (securiteam) が更新されていました。
[引用] UPDATE #2: MS has informed that this vulnerability was addressed in Routing Slip issue www.microsoft.com/technet/security/Bulletin/MS06-012.mspx, i.e. this issue is not a 0-day issue. Related CVE document is CVE-2006-0009.というわけで、新規の話ではないそうです。
Acrobat Reader / Adobe Reader に弱点。 PDF 文書に仕掛けをしておくと、PDF を開いた段階で、無警告でコマンドが実行されたりする。 Acrobat Reader / Adobe Reader の JavaScript 機能を利用している模様 (すんません、きちんと理解できてない)。
Acrobat Reader / Adobe Reader の設定で JavaScript を無効にすると、とりあえず「無警告で」という部分はなんとかなるのかな。example 1 を閲覧すると、こんな警告が出る (Adobe Reader 7.0.8 on Windows)
MS06-049 patch の hotfix が、一般にダウンロードできるようになっています。 フロートさん情報ありがとうございます。
加えて、923996 - カスタムポップアップオブジェクトを使用する Web ページにアクセスすると、Internet Explorer 6 が突然終了する (Microsoft) の hotfix も一般にダウンロードできるようになっています。 フロートさん情報ありがとうございます。
gzip に穴が 5 つあるそうです。任意のコードの実行が可能なものもあります。
official fix はまだありませんが、複数のベンダから patch が出ています。
関連情報:
関連情報:
たしかにヤバいですね。POST も ok だそうで。東芝の中の人、がんばってください。 ずきんさん情報ありがとうございます。
IE 6 以前に新たな欠陥。Vector Markup Language (VML) を処理する %ProgramFiles%\CommonFiles\Microsoft Shared\VGX\vgx.dll に stack overflow する欠陥があり、 攻略 web ページを使って任意のコードを実行可能。 CVE: CVE-2006-3866
修正プログラムはまだ公開されていないが、開発は既に終了しており、現在テスト中。 2006 年 10 月の Windows Update の日 (2006年10月11日)、もしくはそれ以前に公開される予定。しかし、既に悪用事例が複数あるそうなのですが......。
IE7 でどうなのかは不明。
複数の回避方法がある。
vgx.dll を登録解除する。
コマンド:
regsvr32 -u "%ProgramFiles%\Common Files\Microsoft Shared\VGX\vgx.dll"
IE の設定で、Binary and Script Behaviors (バイナリビヘイビアとスクリプトビヘイビア) を Disable (無効) に設定する。
vgx.dll に ACL を設定してアクセスを拒否する。
関連情報:
関連情報:
修正プログラム出ました。ACL 設定によって回避している場合は、ACL を戻してから適用しましょう。
あと、metasploit な攻略モジュールも:
あと、ISA で守る話:
》 「ひかり電話」のつながりにくい状況について (NTT 東日本, 9/19)。20:30 現在、第2報はないみたいですけど、09:01 AM からずーっと続いているってこと?
......20:00 付で最終報が出てました。Benjamin さん情報ありがとうございます。 でも、上記を書いたときには http://www.ntt-east.co.jp/release/0609/060919b.html は not found だったんだよね......。
》 なぜ?外務省HPにアクセス集中、見にくい状態に (読売, 9/19)
》 スパム対策に関する日英共同宣言の署名 (総務省, 9/13)
》 YouTube、コンテンツの自動認識・報告技術を年内に導入予定 Warnerが音楽コンテンツの提供で合意、投稿する動画内での使用を許可 (Internet Watch, 9/19)。YouTube は生きのびることができるか。
》 ジェネリック医薬品、医師の7割が信頼性に「?」 (asahi.com, 9/19)
》 ローマ法王、「非常に残念」 (asahi.com, 9/17)
[引用] 法王本人が発言について後日釈明をするのは極めて異例。声明発表でも批判が収まらないため、自らの口で「誤解があった。発言全体を読んでもらえばわかる」と説明したものとみられる。発言全体を読んでみたいのだが、どこに行けば読めるのだろう。 ......これか: 教皇ベネディクト十六世のレーゲンスブルク大学での講演 (カトリック中央協議会, 9/19)。 教皇ベネディクト十六世の2006年9月17日の「お告げの祈り」のことば (カトリック中央協議会, 9/18) も参照。
全体のコンテキストを無視してそこだけ取り出される可能性がある、とは思ってもみなかった、ということでしょうか。でも、煽りたい連中は意図して悪用するし、マスメディアもきちんと全体を報道してくれるわけではないし。 マスメディア各社の紹介の仕方がてんでバラバラだったので、「本当は何と言ったのか」と疑問を持てたのだけど。
》 dynabook AX/8、dynabook CX/8、dynabook TX/8、dynabook VX/7、 Satellite CW1、Satellite AW4、Satellite AW5、Satellite A100シリーズの バッテリパックに関する重要なお知らせ(お詫びとお願い) (dynabook.com, 9/19)
[引用] なお本現象は、充電または放電の不具合に関するもので、発火・発煙など、安全性に係る問題を発生させるおそれはありません。》 大容量化するiPod -- 「ポッドスラーピング」から企業データを守るには (ITmedia, 9/15)。iPod だけがどうこうというわけではないはずですが、 ウケ狙いでそう呼びたいのでしょうか。
》 Virgin Atlantic、バッテリー搭載のApple、Dell製ノート持ち込みを禁止 (ITmedia, 9/16)
》 アドビ、操作性や連携機能などを強化した「Acrobat 8」 (Internet Watch, 9/19)
[引用] 隠したい部分の情報のみを黒塗りして削除できる「墨消し機能」を追加(Professional、3D Versionのみ)。間違って「蛍光ペンで墨塗り」しないように気をつけましょう。
》 snort 2.6.0.2 が出たそうです。
》 【共謀罪の法案】次の衆議院/法務委員長は誰になるか? (関組長の東京・永田町ロビー活動日記blog版, 9/18)。 共謀罪は眠っているだけで、死んだわけではありません。 そして、もうすぐ眠りから醒めます。
》 高度情報社会の脆弱性の解明と解決 (水無月ばけらのえび日記, 9/18)
》 Internet Explorer 6 でのゾーンの追加 (葉っぱ日記, 9/19)。ゾーンと言えばやっぱりストーカーですね (眠気に注意)。 寝てしまった人もそうでない人も、原作も読みましょう。中身ぜんぜん違うし。
IE7 にはこの欠陥はないそうです。
SANS ISC から、kill bit 設定用のアプリが公開されています。
MS06-049 話、サポートから Hotfix を入手できるようになった模様です。
925308 には
[引用] Therefore, if you are not severely affected by this problem, we recommend that you wait for the next version of security update 920958 that contains this hotfix.とありますので、もうしばらくすると 920958 の新版も登場するはずです。 関連: Known Issue Documented for MS06-049 (MSRC blog, 2006年9月15日)
》 InterScan VirusWall スタンダードエディション Windows版 - 6.x: 修正プログラム: POP3が不完全なメッセージを隔離してしまう (トレンドマイクロ, 9/15 更新)。patch があるそうです。
》 情報処理推進機構:セキュリティセンター:セキュリティ対策まんが クジョたいさく物語 (葉っぱ日記, 9/15)
[引用] なんでもマンガにすればいいというわけじゃないし。おもしろくも何ともないー。マンガでもいいと思うけど、確かにおもしろくないですな。 4 コマだったら、ちゃんと起承転結してくれナイト。 べつに 4 コマである必要もないと思うし。 どうせ Dr.セキを出すのなら、パイロットの CM のような方向とか、いろいろやり方はあったと思うのだが......。
》 「もうグーグルでなくてもいいんじゃないか?」という見方 (CNET, 9/15)。ask.com は使ったことがないなあ。yahoo と google の検索をくらべると、いい悪いはともかく、けっこう違うとは思う。yahoo と yahoo japan とでもまた違うし。
試しに FairUse4WM を検索してみると、google はほとんど何も出てきませんが、yahoo だといろいろ出てきますね。
》 Xerox、文書偽造防止用の微細フォントを開発 (ITmedia, 9/15)
》 「報道の自由に悪影響」---HPにジャーナリスト団体が怒りのコメント (日経 IT Pro, 9/15)
》 ウイルス作者もびっくりの強力な応援団 (1/4) (ITmedia, 9/14)。作者は応援団をアテにした上で送っているのですから、「びっくり」はないと思います。
》 米国土安全保障省が、「サイバーストーム」の報告書を発表 (ITmedia, 9/15)、 DHS Releases Cyber Storm Public Exercise Report (DHS, 9/13)
》 美浜の会ニュース No.88: 「原子力立国計画」に反対しよう (美浜の会, 9/14)
》 『ハッカーズ その侵入の手口』発売前先行公開(PDF版)+この話題書を「あなたのブログでオススメしてみませんか」コンテスト (インプレス) をやっているそうです。5 章まで公開されてるんですね。
こういうのを「ハルヒメソッド」と言うんですかね (違)。
》 NTLM 認証プロトコルとセキュリティサポートプロバイダ (monyo.com)。もとのぶ先生による翻訳。 もとのぶ先生の訳業のすばらしさを実感する今日このごろ。
》 額賀防衛庁長官:テポドン2号「空中分解した」と認める (毎日, 9/15)
[引用] 防衛庁は当初、調査報告書を出す計画だったが、公表の範囲をめぐって米国との調整がつかず、記者会見で発表する形を取った。》 922461 - Description of the feature changes and the functionality changes in Windows XP Home Edition KN and in Windows XP Professional KN (Microsoft)。韓国語版 Windows XP の仕様変更の話。
》 923737 - How to use Reset Internet Explorer Settings (RIES) (Microsoft)。IE 7 にはそういう機能があるのだそうです。
》 925109 - Detection and deployment guidance for the September 2006 security release (Microsoft)。おー、これはなかなかいいですねえ。
》 918689 - A memory leak occurs when you use WinHTTP to access a Web server over an SSL connection (Microsoft)。Windows Server 2003 話。
》 923200 - When you try to receive TCP data in Microsoft Windows Server 2003, the TCP connection may be reset before all the data can be processed (Microsoft)。FIN_WAIT_2 話。
》 セキュリティ団体TCG,携帯電話機セキュリティ仕様のドラフトを発表 (日経 IT Pro, 9/14)。「ケータイを調べて浮気していないか確認する攻撃」への耐性がついたりするんだろうか。(^^;)
》 ウイルスバスター2006 - 14.x, ウイルスバスター2005 - 12.x: ネットワークドライブ上のデータに対する上書き保存が失敗する現象について (トレンドマイクロ, 9/14)。VSAPI 8.310 話。 公開再開までは、もうしばらくかかりそう。 (fixed: nodoame さん感謝)
》 1人乗りスクータ「セグウェイ」が自主回収,突然タイヤが逆回転する恐れ (日経 IT Pro, 9/15)
》 InterScan WebManager 5.0 SecurityPatch (ビルド 0531) 公開のお知らせ (トレンドマイクロ, 9/14)
》 EUが「Windows Vista」のセキュリティ機能に強硬姿勢 (日経 IT Pro, 9/14)。
[引用] 「セキュリティ・ソフトウエア市場で既存ライバル企業の締め出しをMicrosoftに許してしまうと,(様々なセキュリティ企業の提供する革新的な製品が)危険にさらされる。多様性と革新性が低下する結果,消費者の選択肢が減り,セキュリティ・リスクが高まる」(EC広報担当者)なんじゃそりゃ......。Vista のセキュリティ機能だけで渡れるほど世の中は甘くない (ように Microsoft は Vista を意図して構成している) のに。 Microsoft がやろうと思えばできることと、実際に Vista に実装されていることを比較すれば、答えは自ずと明らかなのになあ。
EU の人って、10 年前と現在の違いを認識できないのかな。
FairUse4WM というプログラムがあるのだそうです。最新版は 1.2 fix というもののようです。
デジタルミレニアム著作権法方面はだいじょうぶなんだろうか。
[引用] Microsoftは8月28日に最初のフィックスをリリースした。このハッカーはすぐに別のバージョンのプログラムをリリースし、これをインターネットの掲示板で、購入したデジタルメディアファイルの「公正使用」を可能にする方法だと宣伝した。 (中略) Windowsなどを担当する部門の上級プロダクトマネジャー、マーカス・マチアス氏は (中略) 次のアップデートまでにかかる時間の見積もりは示さなかった。確信犯な方のようですね......。
関連: Microsoft and FairUse4WM (schneier.com, 2006年09月07日)
IE 6 以前に新たな欠陥。Direct Animation ActiveX コントロール daxctle.ocx に heap overflow する欠陥があり、攻略 web ページを閲覧すると任意のコードを実行される。 CVE: CVE-2006-4777。既に攻略コードが公開されている。 DirectAnimation.PathControl ですか。
修正プログラムはまだ存在しない。daxctle.ocx に kill bit を設定することで回避できるはずだけど、daxctle.ocx を必要とするサイトはもちろん動かなくなる。
CLSID は {D7A7D7C3-D47F-11D0-89D3-00A0C90833E6} でいいのかな。
......セキュリティ アドバイザリ出ました:
回避方法としては、kill bit の設定の他、%windir%\system32\Daxctle.ocx に everyone:拒否 な ACL をつける、アクティブスクリプトを無効にする、などが紹介されている。
IE7 にはこの欠陥はないそうです。
SANS ISC から、kill bit 設定用のアプリが公開されています。
Internet Explorer 用の累積的なセキュリティ更新プログラム (922760) (MS06-067) で修正されました。
読めてないので、とりあえず置いておきます。
関連: Sage に未パッチの XSS 脆弱性 (Taken SPC, 2006年09月12日)。おおやまさん情報ありがとうございます。
独自に修正した方がいらっしゃるようです: 改造版Sage 1.3.6(スクリプトインジェクション対策版)ができたっぽい (ひぐまのひまグ, 2006年09月26日)
Sage 1.3.7 でオフィシャルに修正されたようです。リリースノート。 Bugzilla Bug 15101: sage fails many of the tests in the feed reader XSS test suite も参照。早田さん、おおやまさん情報ありがとうございます。
Sage 1.4にもスクリプトインジェクション脆弱性があります (ひぐまのひまグ, 2006年10月11日) だそうです。 Firefox/Sage++ (Higmmer's Edition) では直っているそうです。
Sage 1.3.9 で修正されたそうです。おおやまさん情報ありがとうございます。 これに対応した、Sage++ 1.3.9 も出ています。
関連かな: Sage cross-context scripting -> LOCAL-CONTEXT SCRIPTING
Firefox 1.5.0.7 登場。7 種類の新たな欠陥 (Critical: 4, Moderate: 2, Low: 1) が修正されている。 金子さん情報ありがとうございます。
あわせて、Thunderbird 1.5.0.7、SeaMonkey 1.0.5 も出ている。
》 「DION」個人情報流出、委託先の元社員を書類送検 (ITmedia, 9/13)、 お客様情報流出の調査結果及び社内処分について (KDDI, 9/13)。 お客様情報の流出に関するお知らせ (KDDI, 6/13) のつづき。
》 P2PネットワークのeDonkeyが閉鎖 (ITmedia, 9/13)
》 Video - FSIS 2007 Beta Demo (F-Secure blog, 9/13)。F-Secure Internet Security 2007 には、deep guard というふるまい検出機能がついている、ということですか。
》 三井住友銀行、「雨やどり」「お風呂あがり」で検索のテレビ広告で便乗フィッシングの危機(被害防止用エントリ) (高木浩光@自宅の日記, 9/13)。 関連: 「地底人の秘密」のセキュリティ脆弱性:検索で誘導するテレビCM手法の不安 (高木浩光@自宅の日記, 6/5)
smbc.co.jp というドメイン名が実にわかりにくい (三井住友銀行 → smbc.co.jp がつながらない) のが根本的な問題なんだろうなあ。IE7 時代になれば「三井住友銀行.jp」で宣伝できるのだろうけど。
JPRSが政府機関用に予約された日本語JPドメイン名のリストを更新し、当該政府機関からの登録の受付を開始 − 政府機関を表す日本語JPドメイン名の安心な利用を促進 − (JPRS, 9/5) という話もあったようで。
》 Windows XP Home Edition のサポート ライフサイクル (Microsoft, 8/8 改訂)。小野さん情報ありがとうございます。
[引用] 現在(2006 年 8 月時点)次期製品であるWindows Vista は 2007 年 1 月以降の発売予定になっており、Windows XP Home Edition のサポートは Windows Vista が発売されてから 2 年間、つまり 2009 年 1 月末まで提供される予定です。》 9・11:米ABCテレビ製作のドラマ、大幅カットで放映 (毎日, 9/13)
》 クロマグロ:地中海周辺で乱獲...WWFが指摘、対策要請 (毎日, 9/13)
》 養子縁組、組織犯罪の温床に 名字かえて詐欺、相次ぐ (asahi.com, 9/13)
》 飲酒運転:車のロック装置義務づけ署名活動 千葉のNPO (毎日, 9/13)。マッドジャパン。
》 ITセキュリティのアライ出し: 第8回 標的型攻撃に関する一考察(5) - 脆弱性発見手法の進化(中編) (MYCOM ジャーナル, 9/13)
》 Ad-awareSEの定義ファイルを9/12日付にしたら... (higaitaisaku.com)。誤検出だそうです。9/13 版で直っているそうです。
》 ハードディスクの中身を誤って消した場合のファイル復旧方法 (ITmedia, 9/13)
》 キヤノン製小型複写機「PC7」、「PC80」および「PC100」をご使用のお客さまへ (キヤノン, 9/12)
[引用] 1987年から1997年にかけて弊社にて製造・販売致しました小型複写機「PC7」、「PC80」および「PC100」の一部製品において、製造時または修理時における定着器ヒーターの配線接続時の作業不良により、極めて稀ではございますが発煙、発火に至る可能性のあることが判明しました。部品の無償交換を実施するそうです。
》 セキュリティ担当者向け実践講座はじめました (武田圭史, 9/13)。
》 Let'snote 10周年記念モデルの決定版を下期に投入 〜松下電器・高木事業部長インタビュー (PC Watch, 9/13)。鈴鹿スペシャル? (違)
[引用] 特に、上期の場合は、防滴機能を採用したY5シリーズの売れ行きが予想以上にいい。(中略) 企業によっては、飲み物を飲みながらPCを操作することを禁止する例もありますが、現実的には、飲み物をこぼしてしまったことを原因とする不良が後を絶たない。防滴機能は、企業がPCを購入する際の安心の1つにつながっているようです。》 マイクロソフト、「Internet Explorer 7」のRC1日本語版を公開 (Internet Watch, 9/13) だそうです。
》 理化学研究所:144人分のDNA情報が流出 (毎日, 9/13)。共同研究をしていた『NTTデータ社員の個人所有パソコンからファイル交換ソフト「ウィニー」を経由して』流出。 まだ Winny ですか......。inou さん情報ありがとうございます。
オフィシャル: NTTデータによる情報の流出について: 流出情報、理化学研究所遺伝子多型研究センターとの共同研究情報を含む (理化学研究所, 9/13)
》 TOR servers seized by police in Germany (SANS ISC, 9/11)
》 Opening of our lab in Kuala Lumpur! (F-Secure blog, 9/13)。クアラルンプールですか。 プレスリリース: F-Secure Corporation expands solidly in Asia (F-Secure, 9/12)
》 InterScan Messaging Security Suite の対応プラットフォームについてのお知らせ (トレンドマイクロ, 9/13)。 Solaris 10, Windows Server 2003 SP1 / R2 を追加。 RHEL 4 対応はおあずけのようです。
MS06-049 副作用話、ようやく official 情報が出ました。いまのところは、情報告知だけです。
まとめページも更新しておきました。
MS06-042 patch が再び改訂されました。
Internet Explorer 用の累積的なセキュリティ更新プログラム (918899) (MS06-042)
[引用] 2006 年 9 月 13 日、「長い URL のバッファ オーバーフロー」- CVE-2006-3873 で説明されている脆弱性を解決するために、このセキュリティ情報および Internet Explorer 6 Service Pack 1、Internet Explorer 5.01 Service Pack 4 および Windows Server 2003 用 の Internet Explorer 6 のセキュリティ更新プログラムを更新しました。Internet Explorer のこれらのバージョンをご使用のお客様は、新しい更新プログラムを直ちに適用してください。CVE-2006-3873 より引用:
[引用] Heap-based buffer overflow in URLMON.DLL in Microsoft Internet Explorer 6 SP1 on Windows 2000 and XP SP1, with versions the MS06-042 patch before 20060912, allows remote attackers to cause a denial of service (crash) or execute arbitrary code via a long URL on a website that uses HTTP 1.1 compression, due to an incomplete fix for CVE-2006-3869.CVE-2006-3869 の修正が不完全だったのですね。 関連: [EEYEB-20080824] Internet Explorer Compressed Content URL Heap Overflow Vulnerability #2
MS06-040 patch が改訂されました。
Server サービスの脆弱性により、リモートでコードが実行される (921883) (MS06-040)
[引用] 2006年09月13日: このセキュリティ情報ページを更新し、サポート技術情報 924054 に記述されている Microsoft Windows Server 2003 Service Pack 1 および Microsoft Windows XP Professional x64 Edition に影響を及ぼす問題を解決するための改訂版のセキュリティ更新プログラムをリリースしたことをお知らせしました。QuickTime 7.1.3 登場。7.1.2 以前に存在する、7 種類の新たな欠陥が修正されている。
QuickTime 7.1.3 は以下から入手できる:
いつのまにか、 About the security content of QuickTime 7.1.3 の英語版にだけ CVE-2007-0754 が追加されている。 TPTI-07-07: Apple QuickTime STSD Parsing Heap Overflow Vulnerability の件。
Flash Player 8.0.24.0 以前に、新たに 5 つの欠陥。 任意のコードが実行できる欠陥 (CVE-2006-3311, CVE-2006-3587, CVE-2006-3588) の他、 allowScriptAccess に関する欠陥 (CVE-2006-4640)、 ActiveX コントロールの挙動に関する欠陥 (CVE-2006-3014)。
Flash Player 8.0.33.0, 7.0.68.0, 7.0.66.0 で修正されている。 また Flash Player 9.0.16.0 にはこの欠陥はない。
関連: マイクロソフト セキュリティ アドバイザリ (925143) Adobe セキュリティ速報: APSB06-11: Flash Player の脆弱性を解決するアップデート (Microsoft)
Windows XP SP2 に含まれる Flash Player 用の更新プログラムが Microsoft から公開されました: Adobe の Macromedia Flash Player の脆弱性により、リモートでコードが実行される (923789) (MS06-069)
APSB06-12: Denial of service in ColdFusion Flash Remoting Gateway (adobe)
CVE: CVE-2006-4724
ColdFusion MX 7.0.2 では修正されている。 また ColdFusion MX 7.0.1 用の hotfix が用意されている。
APSB06-13: ColdFusion Sandbox Security vulnerability (adobe)
CVE: CVE-2006-4725
ColdFusion MX 7.0.2 では修正されている。 また ColdFusion MX 7.0.1 用の hotfix が用意されている。
APSB06-14: ColdFusion cross-site scripting in error page (adobe)
CVE: CVE-2006-4726
ColdFusion MX 7.0.1 / 7.0.2 用の hotfix が用意されている。
日本語版が出てました。
》 シュワルツェネッガー知事、ハッキングに遭う (ITmedia, 9/12)
》 CISSP 資格取得のための講座開講のご案内 (工学院大学)。ana-log さん情報ありがとうございます。確かにいいお値段ですね。
》 DNS Ampの脅威 (日経 IT Pro, 9/7)
》 犯罪発生マップ 7種類の犯罪、一目で 携帯電話で閲覧可能に 滋賀県警 (毎日, 9/6)
》 ブレーキ自動作動、事故防止の最新技術 のところでナイトライダーの CD の話をしたのですが、岩本さんからこんな情報をいただきました (ありがとうございます)
件名の8月25日の記事に書かれていた「ナイトライダー」のサントラCDですが、まだアメリカのサイトでは問題なく買えるようです。
http://www.screenarchives.com/title_detail.cfm?ID=4473
私も以前にこのサイトから買っています。 日本にも問題なく送ってもらえます。
値段も19.55ドルと、amazonで買うよりも安い値段です。 (別途送料が掛かりますが)
さっそく発注。
》 OSSEC HIDS 0.9-1a が出ています。山本さん情報ありがとうございます。
》 国産PerlフレームワークTripletaiL (うさぎ文学日記, 9/12)
》 エニグマ解読機を複製、公開へ (産経, 9/12)。すげぇ。
今一瞬、「暗号戦隊エニグマン」というアイデアが...... orz
》 RSS Feed へのスクリプトの混入 (葉っぱ日記, 9/12)
》 MSI K9N mobos suffer random shutdowns (the Inquirer, 9/7)。 MSI の K9N Ultra / K9N Platinum マザーボードでも random shutdown してしまうようです。 稲澤さん情報ありがとうございます。
[引用] AFTER ASUS and its teetering problems with several AMD based motherboards, Foxconn's 30-minute BIOS reset affair, it seems that MSI also suffered from some headaches in relation to nForce5 chipset.ASUS の teetering problems や Foxconn の 30-minute BIOS reset というのがどんな話なのか、よくわかりませんが......。
》 正規品の「おまけ」として海賊版PCソフトを販売、広島市の大学講師を逮捕 (Internet Watch, 9/11)、 中国人非常勤講師を逮捕=「一太郎」複製をネット販売−広島県警 (時事, 9/11)。 広島修道大経済科学部ですか......。えぎょさん情報ありがとうございます。
》 週内に検査開始 カボチャ残留農薬でホクレン (北海道新聞, 9/12)
[引用] 函館市亀田農協が出荷したカボチャから国の残留基準値を超える農薬「ヘプタクロル」が検出された (中略)。 ホクレンによると、 (中略) 三十一年前に使用禁止となったヘプタクロルは対象から外していた。30 年も前に使用禁止になった薬剤が、実はずっと使われ続けていたかもしれないってこと?
》 番組ネット配信の音楽著作権、10月から集中管理 (asahi.com, 9/12)
》 オープンソース:NetBSDの将来 (Open Tech Press, 9/11)
》 情報漏えい問題に揺れるHP--M・ハードCEO、従業員にメモを送付 (CNET, 9/11)
》 サーバーの熱対策が「静かな市場」を切り開く (日経 IT Pro, 9/11)
MS06-051 patch (917422) についても、複数の不具合事例があるようだ。
あと、MS06-049 話については こちらにまとめておいた。
》 《 ESPIO! 》韓国情報機関を直撃。 今日の FLASH ですか。 これのこと?
[引用] [巨弾スクープ]これは"第二の金大中事件"だ!!》 Black Hat Japan 2006 Topics and Speakers (blackhat.com)
》 「ウイルスに感染しています,すぐにパッチの適用を」---偽メールに注意 (日経 IT Pro, 9/11)。理工にきた奴を virustotal にかけてみた:
| Antivirus | Version | Update | Result |
|---|---|---|---|
| AntiVir | 7.1.1.16 | 09.11.2006 | no virus found |
| Authentium | 4.93.8 | 09.11.2006 | W32/Flurry.D |
| Avast | 4.7.844.0 | 09.08.2006 | no virus found |
| AVG | 386 | 09.08.2006 | no virus found |
| BitDefender | 7.2 | 09.11.2006 | Generic.Stration.3049ED2B |
| CAT-QuickHeal | 8.00 | 09.09.2006 | (Suspicious) - DNAScan |
| ClamAV | devel-20060426 | 09.11.2006 | Worm.Stration.AA |
| eTrust-InoculateIT | 23.72.121 | 09.10.2006 | no virus found |
| eTrust-Vet | 30.3.3070 | 09.09.2006 | no virus found |
| DrWeb | n | - | no virus found |
| Ewido | 4.0 | 09.10.2006 | no virus found |
| Fortinet | 2.77.0.0 | 09.10.2006 | suspicious |
| F-Prot | 3.16f | 09.11.2006 | security risk named W32/Flurry.D |
| F-Prot4 | 4.2.1.29 | 09.11.2006 | W32/Flurry.D |
| Ikarus | 0.2.65.0 | 09.08.2006 | no virus found |
| Kaspersky | 4.0.2.24 | 09.11.2006 | Email-Worm.Win32.Warezov.u |
| McAfee | 4848 | 09.08.2006 | no virus found |
| Microsoft | 1.1560 | 09.11.2006 | no virus found |
| NOD32v2 | 1.1748 | 09.11.2006 | a variant of Win32/Stration |
| Norman | 5.80.02 | 09.08.2006 | W32/Suspicious_M.gen |
| Panda | 9.0.0.4 | 09.10.2006 | Suspicious file |
| Sophos | 4.09.0 | 09.11.2006 | W32/Stration-U |
| Symantec | 8.0 | 09.11.2006 | no virus found |
| TheHacker | 5.9.8.209 | 09.11.2006 | no virus found |
| UNA | 1.83 | 09.08.2006 | no virus found |
| VBA32 | 3.11.1 | 09.11.2006 | no virus found |
| VirusBuster | 4.3.7:9 | 09.10.2006 | Trojan.Opnis.Gen!Pac |
関連: Warezov / Stration being spammed (F-Secure blog, 9/10)、 Warezov Strikes Back (F-Secure blog, 9/11)
》 情報収集衛星のせ、H2Aロケット打ち上げ成功 (asahi.com, 9/11)。おめでとうございます。
》 HP会長、プリテキスティングの使用に「困惑」--情報漏えい問題で発言 (CNET, 9/11)
》 スパイウェア業者に業務停止命令 (ITmedia, 9/9)
》 「ユビキタスネット社会の制度問題検討会報告書」の公表 (総務省)。9/5 と書いてあるけど、web ページの Last Modified は 2006年9月08日 01:56:03 GMT だ。
》 高度に発展したユビキタス社会ではアクセス制御機能が電気通信回線を通じたものか見分けがつかない (高木浩光@自宅の日記, 9/10)
》 コピーワンス規制へのパブリックコメント、締切り迫る (slashdot.jp, 9/10)
》 揮発性情報と揮発性の順序 (B-) の独り言, 9/10)
》 ウイルス対策ソフトの信頼性 (やまにょん@サーバー管理者日誌, 9/8)。アンチウイルスソフトウェアランキング、最強はどれ? (GIGAZINE, 9/5) に対する疑問が書かれているのだけど、
[引用] 「14万7184種類のウイルス」は果たして本当にウイルスなのかGIGAZINE の数字は > 15-25 August 2006 (NEW!!!) (virus.gr) からのもので、これを見ると
[引用] The 147184 virus samples were chosen using VS2000 according to Kaspersky, F-Prot, Nod32, Dr.Web, BitDefender and McAfee antivirus programs. Each virus sample was unique by virus name, meaning that AT LEAST 1 antivirus program detected it as a new virus.ですから、既存かつ AV ベンダーが virus だと認めているものではあるようですが、そういう基準なのですから、その AV ベンダーが上位にくるのはある意味あたりまえのような気が。VS2000 を使ったことがないのでいまいちあれなのですが。
》 トピック: 電源が突然落ちてしまいます (Apple Discussions)。MacBook 話。MacBook: 断続的にシャットダウンする (Apple) によると、
[引用] お使いの MacBook が断続的にシャットダウンする場合は(シャットダウン操作をしていないのに、ときどき予期せずシャットダウンしてしまう)、サポートサービスの窓口として AppleCare あるいはアップル正規サービスプロバイダまでご連絡くださいだそうです。ana-log さん情報ありがとうございます。
MacBook SMC Firmware Update 1.1 (Apple) で修正されました。
》 Facebook、ユーザーの反発を受け知人の活動情報収集機能を修正 (japan.internet.com, 9/11)。そういう SNS があるのだそうで。
》 Samsung TelecomのWebサイトがトロイの木馬をホスティング,Websenseが警告 (日経 IT Pro, 9/11)。 http://www.samsungtelecom.com/ のようですが、今は止まってますね。
》 VSUGサイトに関する重要なお知らせ (vsug.jp, 9/11)。改ざんされたそうです。
[引用] vsug.jpが利用しているオープンソースベースのCMSであるDotNetNuke向けサードパーティ製別売りモジュールが持つ脆弱性により、トップページの改ざんを許す結果となったどういうモジュールなのか公開してもらわないと、同様の事例が発生しかねないと思うのだけどなあ。
》 来年より運転免許証が非接触型ICカードに切替え開始 (slashdot.jp, 9/9)。へぇ。
》 飲酒運転処分急増96人、「原則免職」は9県市だけ (読売, 9/10)、飲酒運転免職、"減刑"の自治体も...読売調査 (読売, 9/10)
》 琵琶湖:深層で進む「富栄養化」 生態系急変の恐れも (毎日, 9/10)
》 SPコード:喜ぶ視覚障害者 「処方せん読めず誤飲」減少期待 (毎日, 9/10)
》 余るクジラ肉、水産庁が売り込み必死 でも価格は高く (asahi.com, 9/10)。確かに高いしなあ。
》 SIMロック解除:中国人窃盗団から盗品の携帯電話仕入れ (毎日, 9/9)
》 エレベーター事故:高2死亡の現場、取り換え工事を開始 (毎日, 9/9)
》 ‘歴史戦争’に200億ウォン支援...「北東アジア財団」来年予算策定 (中央日報, 9/9)
》 中国、河川の6割"深刻な汚染" 当局内部資料流出 (産経, 9/9)
[引用] 産業廃棄物による深刻な汚染は中国全土の河川と湖の6割におよび、残りの河川もまだ軽度ながら汚染が進んでいる。さらに農産物に影響のある全潅漑(かんがい)用水の2割が規制基準を大幅に上回る水銀に汚染されている。水質汚染が関係したとみられる症例は全疾病の8割、病死の3分の1にのぼり、2004年以降、幼児の頭が巨大化する奇病が汚染地域で次々に確認されているという。》 答えてねっと についてなにげにぐぐっていたら、以下をみつけました。
》 戸籍情報流出:自治体庁舎内で不正コピー 逮捕の会社員 (毎日, 9/8)
》 JRE 5 Update 8 (F-Secure blog, 9/6)
》 東証、みずほ証の支払い要求拒否 ジェイコム株事件 (産経, 9/8)。法廷で結着をつけましょうモード。
》 [Full-disclosure] release uhooker v1.2
[引用] The Universal Hooker is a tool to intercept execution of programs. It enables the user to intercept calls to API calls inside DLLs, and also arbitrary addresses within the executable file in memory.》 不正アクセス:パスワード盗み不正アクセス、中1女生徒を補導 宮城 (毎日, 9/7)。できる! フィッシング。 (できるけどやっちゃだめです)
》 セガ:PSU不具合問題、サービスを再開 原因はアクセス集中か (毎日, 9/6)。アクセス集中はトリガであって原因じゃないでしょう。 ネットワークモードの不具合における、対応状況について (phantasystaruniverse.jp) や アップデート/メンテナンス情報 (phantasystaruniverse.jp) を見る限りでは、戦いはつづいているようですが。
》 第七回セキュそば勉強会 〜中信(上諏訪・塩尻)〜。2006年10月21日〜22、長野県塩尻市、「宿泊費(約1万円)+会場代(約200円)+食費(約5000円程度 個人差とっても有)+会場から宿までの交通費(往復800円)=1万6千円程でOKかと」。
》 不審者と把握も、「個人情報」提供拒否 西宮女児誘拐 (産経, 9/8)。「現場近くの百貨店」って何? ......阪神百貨店でしょうか。杉本さん情報ありがとうございます。
》 ネットワーク・セキュリティ・ワークショップ in 越後湯沢。 2006年10月05日〜07、越後湯沢温泉 (新潟県)、早期割引 12,000円。安田さん情報ありがとうございます。
》 液体類持ち込み、全面禁止か 来月から欧州航空路線で (asahi.com, 9/8)
》 バスカメラ:ナンバー照会し警告 スムーズ運行に「一役」 (毎日, 9/8)
》 ハーマンプロ、湯沸かし器の不正改造ないと虚偽報告 (読売, 9/8)。 半密閉式ガス瞬間湯わかし器の自主点検について (ハーマン, 8/4) からの話。やまざきさん情報ありがとうございます。ハーマン方面は他にもいくつか出てますね:
》 三井住友カード、2007年よりiDをクレジットカードに標準搭載 (MYCOM ジャーナル, 9/7)
》 大韓航空、ノートPCの機内持ち込みを制限へ (slashdot.jp, 9/8)。「韓国」「大韓航空」にだけ反応している意見が散見されてアレですが......。
大韓航空の反応は overkill 気味か。
》 マイクロソフト セキュリティ情報の事前通知、 2006.09 版が出ています。 関連:
OpenSSL 0.9.8b 以前 / 0.9.7j 以前に対して、 PKCS #1 v1.5 署名に対する攻撃、 RSA Signature Forgery (CVE-2006-4339) が可能。 なお、攻撃の対象となるのは exponent 3 のついた RSA 鍵を使用する場合。
OpenSSL 0.9.8c / 0.9.7k で修正されている。 また、OpenSSL 0.9.6 〜 0.9.9 系列に適用できる patch が公開されている。
関連: OpenSSL Security Advisory [5th September 2006] (その1) (おおいわのこめんと, 2006年09月05日)
GnuTLS にも同様の欠陥があったそうで、1.4.3 以降で修正されている (最新は 1.4.4)
また、Opera 9 には OpenSSL 0.9.8 が含まれているため、この欠陥の影響を受けるとされている。
Oera 9.0.2 出ました。この欠陥が修正されているそうです。
(somewhat) breaking the same-origin policy by undermining dns-pinning (bugtraq, 2006年08月17日)。 DNS + ブラウザねた。
DNS pinning というものがあるのですか。知りませんでした。
ISS BlackICE PC Protection Insufficient validation of arguments of NtOpenSection Vulnerability。 NVD: CVE-2006-4541
[Full-disclosure] IBM Lotus Notes DUNZIP32.dll Buffer Overflow Vulnerability
[Full-disclosure] TTG0602 - Alt-N WebAdmin MDaemon Account Hijacking。 NVD: CVE-2006-4620
[SA21795] Ipswitch IMail Server SMTP Service Unspecified Vulnerability。 2006.1 で修正されているようです。
アンチウイルスねた
[SA21764] AntiVir PersonalEdition "update.exe" Privilege Escalation 。 NVD: CVE-2006-4619
[SA21794] avast! LHA Archive Processing Buffer Overflow Vulnerability。 avast! 4.7.869 for Desktop / 4.7.660 for Server 以降で修正されている。元記事の猫はなんなんだろう......。 NVD: CVE-2006-4626
[SA21788] Canon imageRUNNER Products Exposure of User Credentials
Cisco Security Response: Cisco IOS GRE Decapsulation Vulnerability。 IOS 12.0, 12.1, 12.2 に影響。
[Full-disclosure] RSA SecurID SID800 Token vulnerable by design
ICQ ねた
[SA21721] OpenLDAP slapd "selfwrite" Security Issue。 OpenLDAP 2.3.25 で直っているそうです。 NVD: CVE-2006-4600
SYM06-014: Symantec Backup Exec for Windows Server : RPC インターフェース・ヒープ・オーバーフローによりアクセス権を持つユーザに特権昇格の可能性 (シマンテック) 関連:
》 WinnyやYouTubeにおける著作権侵害、ACCS久保田専務理事が考える対抗手段: 米eEyeのWinnyノード検索ツール「Winnybot」は現在検証中 (Internet Watch, 9/6)
》 「プリテキスティング」が使われた--情報漏えいめぐるHPの社内調査、実態が明らかに (CNET, 9/7)
》 ルートキット削除ツール,13本を一気に紹介 (日経 IT Pro, 9/5)。いろいろあるんですね。
》 「デスノート」作者を逮捕 東京・練馬でナイフ所持 (北海道新聞, 9/7)
[引用] 小畑容疑者は当初、「キャンプ用に持っていた」と釈明したが、ほかの準備が見当たらず、同署は刃渡り6センチ以上の刃物の携帯を禁じている同法違反に当たると判断した。銃砲刀剣類所持等取締法とナイフ(JKG資料より) (鍛冶屋トヨクニ)
[引用] 3.「刃物」》 変わる救命法、人工呼吸より何度も心臓マッサージ (asahi.com, 9/7)
》 戦う管理者が見せる"ふとしたしぐさ" (ITmedia, 9/6)。「キターーー」「まつりだ!」 という感覚でしょうか。 しかし、そういうパスワードを平気でつけますか......。
》 保守担当者の辞任で明らかになったDebianプロジェクトの問題 (Open Tech Press, 9/6)
》 GNU GPLv3 Discussion Draft 1 日本語訳 (Open Tech Press, 9/5)
》 山谷剛史のマンスリー・チャイナネット事件簿: 2006年8月 (Internet Watch, 9/7)
なんだかすっきりしない書かれ方ですね。 関連 (?): 予測: Microsoftの「答えてねっと」は「OKWave」に? (slashdot.jp, 9/6)
Apple Wi-Fiの脆弱性を公表したJohnny Cache、ついに口を開く (Open Tech Press, 9/7)
[引用] 先月開催されたBlack HatとDEFCONで、Apple Wi-Fiが抱える脆弱性が「半公表」された。しかし、当のJohnny CacheことJon EllchとDave Maynorの2人がそれ以来沈黙したため、指摘された脆弱性の真偽に疑問の声が広がっていた。そうした中、Ellchが、先週末、Daily Daveセキュリティ・メーリングリストにメールを送り沈黙を破った。そして、一つのことが明らかになった。彼ら2人は沈黙を強いられていたのだ。Apple ですから。
アドバイザリ出ました: マイクロソフト セキュリティ アドバイザリ (925059) Microsoft Word の脆弱性により、リモートでコードが実行される (Microsoft)。回避策として、Word Viewer 2003 の利用が挙げられている。
PSP システムソフトウェア バージョン 2.81 登場。PSPのTIFF画像処理に新たな脆弱性、SecuniaやFrSIRTが警告 (Internet Watch, 2006年09月01日) の件が修正されている。 早いですね。
関連: PSP「プレイステーション・ポータブル」システムソフトウェア アップデート (playstation.com)
》 フルサイズのウイルスパターンファイルが配信される問題に関する調査結果と今後の対策について (トレンドマイクロ, 9/6)
》 Protecting against EFS based attacks. (McAfee Avert Labs Blog, 9/5)
》 The Sleuth Kit (TSK) for Windows released (SANS ISC, 9/5)
》 IIJセキュリティセミナー 〜ネットワークに対する脅威の現状とIIJセキュリティサービスの紹介〜 (IIJ)。ana-log さん情報ありがとうございます。DDoS 話があるなあ。
》 情報セキュリティセミナー2006開催のご案内 (IPA ISEC)。 講演資料が公開されているので、行けない人にも参考になるかと。
》 国連レバノン暫定部隊、多国籍というより欧州部隊中心か (JANJAN, 9/6)
》 『戦略爆撃の思想』を読んで (JANJAN, 9/6)、 新訂版 戦略爆撃の思想 (版元ドットコム)
》 滋賀県での環境保全に配慮したお米作り (JANJAN, 9/6)
》 真摯な科学者達「ニセ科学フォーラム」報告 (JANJAN, 9/6)
》 戦争プロパガンダ--動画共有サイトが負わされる新しい役割 (CNET, 9/5)。http://www.ogrish.com/ というサイトがあるのですか。
》 「これは便利」なVistaの「パワポモード」 (ITmedia, 9/5)
》 ビジネスパーソンの個人情報保護に -- ハサミ型シュレッダー (ITmedia, 9/5)。 シュレッダーはさみ (サンスター文具)
》 ネット発信者の匿名性など問題視・総務省検討会 (日経, 9/6)。 ユビキタスネット社会の制度問題検討会 (総務省) のページには報告書はまだないようです。 ......9/8 に出たようです。
》 HGST社,南極でもサハラ砂漠でも利用可能な車載HDDを発売へ (日経 Tech On, 9/5)。 Endurastar J4K50/N4K50 (日立グローバルストレージテクノロジーズ)。
bind 9.3.x / 9.4.x に 2 つの欠陥。
bind 9.3.2-P1 / 9.3.3rc2, 9.4.0b2 で修正されている。また、 bind 9.2.x はこの欠陥の悪影響は受けないものの、後者に関して bind 9.2.6-P1 / 9.2.7rc1 で修正されている。
bind 9.3.2 と bind 9.3.2-P1 の diff を取ってみた: bind-9.3.2-9.3.2-P1.diff
すずきさんから (情報ありがとうございます)
元々プリロードされていたもの ( C:\WINDOWS\system32\IbmEgath.dll ) のプロパティ表示にある言語が「英語 (米国)」だったので、まんま上書きしてしまいました。
2週間たちますが今のところ問題は出てないです。
》 「警察に協力的すぎたのが問題だった」Winny裁判の結審で金子氏がコメント (Internet Watch, 9/5)
》 偽セキュリティ対策ソフト「SystemDoctor 2006」に日本語版が登場 (Internet Watch, 9/5)。 どうしても試したいという酔狂な方は、 http:// jp.systemdoctor.com/download/2006/ あたりを参照。
》 平成18年度情報モラル啓発セミナー 今、企業に問われる情報モラルと社会的責任 (ハイパーネットワーク社会研究所)。 2006年09月15日、福島県福島市、無料。江原さん情報ありがとうございます。
年内に松山と名古屋でも開催予定だそうです。
》 ハッカーズ その侵入の手口 奴らは常識の斜め上を行く (インプレス) という本が出るのですね。 The Art of Intrusion: The Real Stories Behind the Exploits of Hackers, Intruders & Deceivers (Wiley) の邦訳のようです。
》 Symbian OS プラットフォームセキュリティ という本が出るのですね。
》 【TechEd】カリスマ講師が教える「こんなアプリケーションはVistaで動かない」 (日経 IT Pro, 9/1)。横哲さんかく語りき。
》 BSA、国立大学の違法コピーソフト点検を支援 (ITmedia, 9/4)。国立大学限定みたい。
大阪地裁、専門学校に証拠保全を実施 (BSA, 8/28) なんて話もあったんですね。
》 中国:天安門事件描いた映画監督ら処分 5年間製作禁止に (毎日, 9/5)。中国ですから。
》 国連、イスラエル兵の解放仲介へ (TBS, 9/5)。関係のない人を大量に殺害したあげく、当初の目的は全く達成していなかったのですね。 ヒズボラの勝利 (tanakanews.com, 8/22) という見方もあるようで。 イスラエル首相、ヨルダン川西岸の部分撤退案棚上げ表明 (asahi.com, 9/5) だそうなので、まだまだわかりません。
》 ウイルス検索エンジン VSAPI 8.310 (Windows 2003/XP/2000/NT版) 公開一時中止のお知らせ (トレンドマイクロ, 9/5)
[引用] ウイルス検索エンジン VSAPI 8.310 (Windows 2003/XP/2000/NT版) を使用している特定の環境において、ネットワークドライブ上のデータに対しての上書き保存が失敗する現象が確認されました。うわ......。
[引用] 報告されている現象は特定の環境のみで発生する限定的な現象です。このため、現象が発生していない環境におきましては、継続してウイルス検索エンジン VSAPI 8.310 をご利用いただいて問題ございません。と言われてもねぇ......。
》 「批判があれば記事を書いてほしい」オーマイニュース鳥越編集長 (ITmedia, 9/4)。当該インタビューは 2 か月前のものなので、その間に鳥越氏のリテラシーもある程度向上した、と理解すればよろしいのでは。
》 Winny開発者の裁判、最終弁論で無罪を訴え結審。判決は12月13日 (Internet Watch, 9/4)。Windows Update の日だなあ。
一方、「Winnyノード数は減少傾向」とネットエージェント (ITmedia, 9/4) だそうで。 「YouTubeに流れた?」---Winny稼働マシンの数が減少傾向 (日経 IT Pro, 9/4)。
》 総務省、NHK番組アーカイブの配信は2008年から。受信料義務化も検討 (Internet Watch, 9/4)。 「民族浄化〜ユーゴ・情報戦の内幕〜」 や 「安全の死角〜検証・回転ドア事故〜」 も、インターネット経由で見れるようになるのかな。
ドアプロジェクトに学ぶ −検証 回転ドア事故− (日刊工業新聞) という本が出たのですね。
》 《ESPIO!》 「日本の情報機関」講演会のお知らせ。 2006年09月11日、東京都港区。 カレー屋さん?
犯罪の多角的検討、なかなかいい値段ですね......
》 Security Solution 2006。 2006年10月18日〜20、東京ビッグサイト。 服部さん情報ありがとうございます。
》 Network Security Forum 2006。 2006年11月13日〜14、東京都千代田区。 服部さん情報ありがとうございます。
Mailman 2.x に欠陥。ニセのログを挿入できる、ヘッダの処理で DoS が発生、メール上の JavaScript コードが実行される。 NVD: CVE-2006-2941。CVSS Severity: 7.0 (High)
Mailman 2.1.9rc1 で修正されている。
》 ひまわり7号、観測ができる態勢に (asahi.com, 9/4)
つまり、DELL や Apple は「システム設計や保護回路」が甘いってことですかね。
》 【TechEd】「ITプロを取り巻く『3K』を改善したい」---マイクロソフトのダレン・ヒューストン社長 (日経 IT Pro, 8/29)。まずは patch の品質を......
》 Internet Week 2006 のページができています。
》 オーマイニュースと著名ブロガーが「市民ジャーナリズムの可能性」を討論 (Internet Watch, 9/4)
[引用] 会場からの質疑応答では、「livedoorニュース」のパブリックジャーナリスト(PJ)や、「JANJAN」など既存のパブリックジャーナリズムとの違いに関する質問が寄せられた。(中略) PJやJANJANなどの成功面と失敗面の検証については、鳥越氏が「見たことはないのですみません」と答える一幕も見られた。何それ......。
》 MySQL5.0.24a - mysqldプロセスが異常終了する問題など修正 (MYCOM ジャーナル, 9/1)
》 Googleがブラジル当局への利用者情報の開示を命令される (slashdot.jp, 9/3)
》 専用ハードによる素因数分解に初成功 NICTと富士通 (ITmedia, 9/1)
》 「Windowsマシンへの不正アクセスを発見」---そのとき,どうする? (日経 IT Pro, 9/4)。揮発性の高い情報の収集の話。
》 なぜ起こる? 「炎上」の力学 (ITmedia, 9/4)
[引用] 反対意見や批判的な意見は、あくまでも貴重な意見であり、妨害ではありません。世の中的には「批判のための批判」も少なくないように思うけどなあ......。 特に、炎上しているような場所には。
》 アイ・オー、15/17/19型液晶「LCD-4V/4Y」シリーズに 不具合、無償交換 (PC Watch, 9/4)。燃えたりはしないようです。
[引用] 2006年の6月頃よりクレームが入りはじめ、8月にクレーム数が一斉に増加したことから、特定部品の温度もしくは経年変化などによる不具合とみられる。》 ソフトウエアテストPRESS Vol.3 (技評) というものが出ているのですか。 「【特集2】 Webアプリケーションのセキュリティテスト」だそうで。
》 TOMOYO Linux 1.2 が昨日付けで出ています。インストール手順:
関連: [tomoyo-users 106] TOMOYO Linux 1.2 公開しました。。CentOS 4.4 が出てたんですね。
》 Systemdoctor2006 あとで調べる (インフラ管理者の独り言, 9/4)。あいかわらずいろいろあるようで。
》 脆弱性関連情報に関する届出について (IPA ISEC) が改訂されています。
[引用] 2006年 9月 1日「ソフトウエア製品の脆弱性で、製品開発者自身が発見し、利用者への周知のためにJVNで対策情報を公開したい場合」に使ってください、だそうです。
》 JWordが勝手に・無断でインストールされる理由と経路の謎 (Semplice, 8/29)。ふぅむ......。
》 そういえば、おおやまさんからこんなメールが届いていたことをすっかり忘れていました 。
昨夜 2006年07月18日 に @IT を読んでいると「Ajaxの特徴に潜むリスクをサンプルアプリで確認しよう」という記事がありました。URL は以下の通りです 。
http://www.atmarkit.co.jp/fwcr/special/ajax_kaitai02/01.html
実はこの記事の「クロスドメインの制限」に問題がありまして、「Ajaxアプリケーションは、A)HTML部/B)JavaScript部/C)XML部(データ部)という大きく3つのリソースから構成されます。それらのサーバへの配備方法を組み合わせとして示したのが図9とな ります。Ajaxの動作原理からいえば、1〜5のすべてのパターンで動作してもおかしくはありませんが、Ajax対応のWebブラウザ実装で共通して実際動作する形態は「1のみ」となります。」との記述が図と共に示されているのですが、この記述が Internet Explorer に関しては、全くの誤りであることを、指摘しなければなりません。
私も Ajax の実装の実験をしているのですが、実際には Internet Explorer の場合、セキュリティ・ゾーンの設定によってはクロスドメインの脆弱性が発生することがわかりました。原因はインターネットオプションのセキュリティの設定を甘くなるように設定すると、XMLHttpRequest オブジェクトの open メソッドが任意の URI からデータストリームを取得することが可能になるからです。
詳しいことは私のページ http://www.asahi-net.or.jp/~cu5m-ooym/ajax/index.htm に記載しておりますので、参照していただければ幸いです。
「昨夜 2006年07月18日」......紹介が遅くてすいません orz
》 http://e-words.jp/ が 404 になってますね。nodoame さん情報ありがとうございます。
》 SiteAdvisor (【アダ被】場主のblog, 8/31)。世の中きびしいですね。
ウイルスバスター2007 ファースト・インプレッション (MYCOM ジャーナル, 2006年09月02日)。ウイルスバスター2007 では、きちんと説明されるようになっているようです。
PHP 5.1.5 ねた CVE: CVE-2006-4481 CVE-2006-4482 CVE-2006-4483 CVE-2006-4484 CVE-2006-4485
サイボウズの Advisory が改訂されています。公式に 3 つになりました。
でも、サイボウズ Office 6.6(1.3) における改修内容 (サイボウズ, 2006年08月25日) での扱いは、あいかわず「不具合」のままです。
smitRem には、実行したら OS が起動しなくなった事例があるそうです。 不審なアンチスパイウェアソフトと、ZlobとCodecの関係 (Semplice, 4/8) の末尾の Appendix を参照。 Luca さん情報ありがとうございます (紹介が遅くてすいません)。
オリジナルサイトを見てみると、smitRem はバージョン 3.1 になってますね。
Microsoft Office 2000 (Word 2000) に 0-day 穴があるらしいです。
[SA21735] Microsoft Word 2000 Unspecified Code Execution Vulnerability
アドバイザリ出ました: マイクロソフト セキュリティ アドバイザリ (925059) Microsoft Word の脆弱性により、リモートでコードが実行される (Microsoft)。回避策として、Word Viewer 2003 の利用が挙げられている。
NVD: CVE-2006-4534
Microsoft Word の脆弱性により、リモートでコードが実行される (924554) (MS06-060) (Microsoft) で修正されました。
IE 6 / 7 において、スタイルシート内で JavaScript を動作させるために記述する、expression という文字列にはさまざまな書き方があるという話。 web アプリ屋さんはたいへんです。
[openmya:035822] 以下のスレッドで、フィルタリング方法について考察されています。
関連: SquirrelMail: Cross site scripting in compose, draft & HTML mail viewing
》 運輸多目的衛星新1号による航空衛星通信サービスの 障害復旧作業の進捗状況について (国土交通省, 9/1)
》 速度抑制装置の装着に関する経過措置期間の終了について (国土交通省, 9/1)
》 高速船衝突事故の犯人、流木でした...10管が断定 (読売, 9/1)。関連:
》 賠償命令の電気ストーブ、自主回収 イトーヨーカ堂 (asahi.com, 9/1)、 電気ストーブに関するお詫びとお知らせ (イトーヨーカ堂, 9/1)
》 パソコン不法投棄、データ復活で判明 逗子市議書類送検 (asahi.com, 9/1)。谷口さん情報ありがとうございます。 ファイルはセキュアに消しましょう。捨てるときは全消し。
関連: 逗子市議会アラカルト (2) 関口正男議員は議員辞職しません (おだに あきら ブログ, 8/31)
》 TechED Community Party に行ってきた (日本のセキュリティチームの Blog, 9/1)。いいなぁ TechED。
》 「Microsoft(R) Internet Security & Acceleration Server 2006」日本語版、9月1日(金)より販売開始 (Microsoft) だそうです。
》 The NTLM Authentication Protocol and Security Support Provider (davenport.sourceforge.net)。 (info from だめだめ日記)
》 テポドン2、打ち上げ直後に「分解」 日米が分析 (asahi.com, 9/1)
》 佐川急便トラック盗難、ナイキ顧客情報44万人分ごと (読売, 9/1)。nodoame さん情報ありがとうございます。
》 アスベスト被害、23年前に把握 大阪・泉南 (asahi.com, 9/1)
「首都直下型」のハザードマップがほしいなあ。
》 ITセキュリティのアライ出し 第7回 標的型攻撃に関する一考察(4) - 脆弱性発見手法の進化(前編) (MYCOM ジャーナル, 8/30) (typo fixed: 小野さん感謝)
》 ディザスタリカバリで強い企業を作る: 「実例」に見る意外な落とし穴 (@IT, 8/30)
Let's note CF-W4G において「落下などで強い衝撃が加わった場合」に「バッテリーパックのラッチ部分が破損する可能性」があり、このために「バッテリーパックに発熱・変形が生じる場合」があるそうです。Let's note CF-W4G ユーザは確認しましょう。
なお、この件は SONY とは関係ないそうです。
