Last modified: Fri Nov 9 10:57:05 2007 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 山田ウイルスの新種が登場、UPnPを使いポートを開いてHDD内容をHTTPで公開 (slashdot.jp, 2/28)。山田ウイルスのあくなきチャレンジ魂、という感じかな。
》 P2P型情報漏洩対策研究会(仮称)の提案 (武田圭史, 2/28)。
[引用] できればユーザ、研究者、ISP、ベンダー、法律関係者、行政関係者などいろいろな立場の方に集まっていただいて、研究会自体は白紙から色のつかない自由な意見交換ができればと思っています。まずは現状分析、でしょうか。ぜひとも海自の方に......
》 堀江メール:不明点多く、問われる民主党の説明責任 (毎日, 2/27)
[引用] 一方、別の民主党議員は、永田氏が示したメールと本文が同一で、差出人と受取人の両方に情報提供者と永田氏を仲介したとされる「元記者」のアドレスが記されたメールを入手していた。堀江前社長のメールを受け取ったライブドア関係者が元記者に転送。元記者が自分あてに再び転送した結果と受け取れるが、永田氏が差出人、受取人ともに未確認な中、別のメールの存在はかえって不自然になる。不自然?
From: foo@example.jp
To: foo@example.jp
Bcc: bar@example.com,baz@example.ne.jp,tako@example.or.jp
とかいうパターンじゃないの? まあ、
[引用] ところが新事実発覚後の27日夜に野田氏が突然、永田氏が入手した段階で差出人と受取人が黒塗りだったと認めた。永田氏が当初から差出人などを未確認だったことになり、事態はさらに民主党に不利になった。この時点でだめだめなんですが。 関連: 鳩山、野田両氏が辞意 慰留受け結論持ち越し (産経, 2/28)
》 《 ESPIO! 》 M.V.Project HONDA Sigekuni。 なんと、河上イチロー氏ですか......?!
》 《 ESPIO! 》「きっこ」さんという"テポドン"。テポドンって、↑そういう意味だったのか......。
》 マイクロソフト セキュリティ ニュースレター 第 2 号出てます。ISS の高橋さん登場。
》 第5回セキュリティもみじ 。 2006年03月11日、広島県広島市、一般 2500 円。
》 ISS 製品による Winny 通信の検出 (ISSKK)。 Winny_P2P_Detected シグネチャによって検出できるそうです。 Arnevetさん情報ありがとうございます。
》 Winny+Antinnyによる情報漏洩を防止する方法 (武田圭史, 2/25)。個人はともかくとして、「企業団体等に関する情報漏洩」に関して言えば、「そもそもなぜ私用 PC にそんな情報が?」というところからはじめないと、根本的な問題解決にはならないと思うのですが。 関連:
》 Rootkit Pharming (F-Secure blog, 2/24)
》 InterScan VirusWall for Small and Medium Businesses 5.0 Windows版 Patch4 / Linux版 Patch2 公開のお知らせ (トレンドマイクロ)。公開済。
》 ウイルスバスター コーポレートエディション 7.0 Patch 3/5.58 Patch 4 公開のお知らせ (トレンドマイクロ)。公開は 3/1。
》 米最大手の食肉加工業者が民主党に怒る理由 (日経 BP, 2/21)
》 「F-Secureサイトガード Linuxサーバ版」を販売開始 (F-Secure, 2/24)。F-Secure 本社ってこんな製品つくってたっけ?
》 Microsoft、韓国公取委の制裁決定に抗戦の構え (ITmedia, 2/25)
》 タミフル、化学的製造法を開発...スイス社と話し合いへ (読売, 2/24)
》 新型イモビライザー:RV窃盗団を初摘発 警視庁 (毎日, 2/25)
》 Google Inc, Bans Australian-based Military Space News Website (spacewar.com, 2/24)。google 八分にされた模様。 http://www.spacewar.com/ の top ページには、でかでかと BANNED BY GOOGLE と書かれている (笑)。
》 John the Ripper creator interview (securityfocus)
》 ファイナルファンタジーXIをアンインストールする際のご注意 (playonline.com, 2/23)。はなずきんさん情報ありがとうございます。
[引用] 再インストール前の処理として既存のファイルのアンインストールが行われます。この過程で、dllファイルを削除してよいかどうかの確認ダイアログが表示されますので、削除の確認を求められた場合は、必ず「全ていいえ」を選択するようにしてください。そんなこと言うなら、そもそもそんなダイアログを出してはいかんだろう......。
》 NTT東日本 顧客情報約1400件が流出 栃木支店 (毎日, 2/24)、 お客様情報及び社員情報の流出に関するお詫びとお知らせ (NTT 東日本, 2/24)。これも Winny。
》 ゴンゾロッソ:個人情報流出で発表に誤り 謝罪文掲載 (毎日, 2/24)、『Master of Epic』情報流出に関する追加調査結果のご報告 (ゴンゾロッソ, 2/24)
[SA18973] GNU Tar PAX Extended Headers Handling Buffer Overflow。 GNU tar 1.15.1 で修正されているそうだ。
アドバイザリが改訂されました。
[引用] ソフトウェアの開発者に、サービスのためのセキュアなアクセス管理の適用方法の追加情報および最善策に関して、サポート技術情報 914392 (中略) をご覧になることを推奨します。だそうです。sc sdshow service_name なんてコマンドがあったのね。
[SA18985] SquirrelMail Cross-Site Scripting and IMAP Injection Vulnerabilities 。 SquirrelMail 1.4.6 で修正されています。ChangeLog。 CVE: CVE-2006-0195 CVE-2006-0377 CVE-2006-0188
[SA18979] Bugzilla Multiple Vulnerabilities 。 Bugzilla 2.18.5 / 2.20.1 で修正されているそうです。
[SA18935] Mambo Unspecified System Compromise Vulnerability。patch があるそうです。
[SA18921] MDaemon IMAP Mail Folder Name Denial of Service。 MDaemon 8.x に DoS な欠陥がある模様。 認証されたユーザでないと攻撃できない。
Vulnerability in Crypt::CBC Perl module, versions <= 2.16 (bugtraq)。 Crypt::CBC 2.17 で修正されているそうだ。
ZDI-06-002: Adobe Macromedia ShockWave Code Execution (Zero Day Initiative)。アプリではなくインストーラの欠陥。 CVE: CVE-2005-3525
Firefoxでテキストをクリップボードにコピーする方法 (最速インターフェース研究会, 2006年01月10日)。 FlashPlayer と組みあわせることで、Firefox からクリップボードにテキストをコピーできてしまう、という話。Opera 8.5 でも動作するそうだ。 つまり、トロイなどのローカルアプリは、クリップボードを監視しているだけで、外部からのコマンドを入手できる、と......。
関連:
[SA19008] PEAR Auth DB / LDAP Multiple Injection Vulnerabilities
Debian Bug report logs - #352482 metamail: [CVE-2006-0709] crashes with very long boundaries in messages。CVE: CVE-2006-0709。 RHSA-2006:0217-4 Important: metamail security update (RedHat)
SquirrelMail 話関連: [ISecAuditors Advisories] IMAP/SMTP Injection in SquirrelMail
SquirrelMail 話関連: JVN#83263796: SquirrelMail におけるクロスサイトスクリプティングの脆弱性 (JVN)
》 フラッシュやAJAXに影響するかもしれないリッチメディア特許 (slashdot.jp, 2/24)。また USA か......。いいかげん、なんにでも特許出すのはかんべんしてくれ。
》 日本SpamAssassinユーザ会(仮称)の準備 (ossfan.net)
》 土木でも「改ざん」続出 (日経 KEN-Plats, 2/21)
》 東京地裁の書記官が競売情報持ち出し、149人の個人情報がWinny流出 (Internet Watch, 2/24)
》 名古屋市消防局で2度目の情報流出、情報持ち出しやWinnyの利用止まらず (Internet Watch, 2/23)。やめられない、とまらない。
[引用] 事件直後の面談でこの消防士長は「2台あるPCのうち、WinnyをインストールしていないPCに情報を保存する」としていたが、その後、WinnyをインストールしていないPCが故障したため、WinnyをインストールしたPCに情報を移し替えたという。まず Winny をアンインストールしろよ!!
》 インサイダー疑惑:日経社員「ゲーム感覚」と説明 (毎日, 2/24)
》 フィリピン、非常事態宣言...軍のクーデター未遂受け (読売, 2/24)、クーデター未遂で非常事態宣言 フィリピン (CNN, 2/24)
》 鳥インフルエンザ?七面鳥9000羽死ぬ...仏東部 (読売, 2/24)
》 RSA Conference Japan 2006 (medialive.jp)。 2006年04月26日〜27、東京都港区、フルカンファレンス 事前登録 48,000円。
》 Sarbanes-Oxley法でGPL違反が重罰化する? (ITmedia, 2/24)
》 2005年の不正アクセス事件は592件、オークションの不正利用が多数〜総務省 (Internet Watch, 2/23)
》 レコード会社21社、音楽ファイルの不正交換ユーザー38人の情報開示を請求 (Internet Watch, 2/23)
》 企業向け「Google Desktop 3」ベータ版公開、セキュリティ懸念に対応 (MYCOM PC WEB, 2/23)
》 メール検索を容易にする製品が続々登場--規制当局からの記録開示要求の増加受け (ZDNet, 2/21)
》 Update rollup for Windows 2000 Service Pack 4-based server clusters (Microsoft)。Windows 2000 クラスタ用の Update rollup のようです。 フロートさん情報ありがとうございます。
》 ポータルサイトのクラッキング被害について (タイムインターメディア, 2/23)
[引用] 2.不正使用期間》 MSDN オフライン: 第 2 回 「David LeBlanc が語る .NET Framework におけるセキュリティ」 (Microsoft)。 2006年03月03日、東京都渋谷区、無料。申込受付中の模様。
》 スペインPanda,Linux向けセキュリティ・ソフトのベータ版を無償提供 (日経 IT Pro, 2/23)
》 米McAfee,セキュリティ機能を統合したホスト型侵入防止ソフトの新版発表 (日経 IT Pro, 2/23)。 McAfee Host Intrusion Prevention for Desktops and Servers の話。
MS、ブラウザを一部修正--プラグイン訴訟の法的責任を回避へ (CNET, 2005年12月05日) の話ですかねえ。 匿名希望さん情報ありがとうございます。 KB912945 日本語版 はリビジョンが古いっぽいので注意。
開発者向け情報:
IEプラグイン特許訴訟についてはこちらを:
それで結局、いつ変更されるんですかね?
いよいよ登場したようです:
マイクロソフト セキュリティ アドバイザリ (912945): Internet Explorer 用のセキュリティ以外の更新プログラム (Microsoft)
[引用] 更新プログラム 912945 はどのようにリリースされますか?さっそく Windows Update してみると、確かに 912945 が出ています。 「追加で選択できるソフトウェア更新プログラム」に含まれています。 無視したい場合は、「この更新プログラムを非表示にする」をチェックしてしまいましょう。
KB912945 に書かれているように、これをインストールすると不幸になる可能性があるので注意しましょう。 64bit 版の人は特に、かな。2ch.net とかにいるチャレンジャーな方の様子をしばらく観察するのが吉かと。
関連: 特許訴訟対策のIEアップデートがリリース (ITmedia, 2006年03月01日)
マイクロソフト セキュリティ アドバイザリ (912945) Internet Explorer 用のセキュリティ以外の更新プログラム (Microsoft) が更新された。
2006.04 に登場する予定の IE 用累積的更新プログラムには、912945 の内容も含まれる
2006.04 に登場する予定の IE 用累積的更新プログラムと同時に、「Compatibility Update (互換性維持のための更新プログラム) をリリースする予定」
Compatibility Update は、その次の IE 用累積的更新プログラム (4 月のものの次に出るもの) によって無効化される
MS06-013 出ました。
Internet Explorer 用の累積的なセキュリティ更新プログラム (912812) (MS06-013) (Microsoft)。ActiveX まわりの仕様変更が適応されるのは以下のプラットホームのみ。KB912812 も参照。
917425 - Mshtml.dll に関する Internet Explorer ActiveX 互換性修正プログラム (Microsoft)
あと、Web サイト側の対応に関するリソース:
ActiveX コントロールのアクティブ化ですが、 IE Automatic Component Activation (Changes to IE ActiveX Update) (IEblog, 2007年11月08日) によると、2008.04 には再び必要なくなるそうです。また、
だそうです。
Winamp 5.2 で直った模様です。 フロートさん情報ありがとうございます。 関連: Winamp m3u File Processing Buffer Overflow Vulnerability (nsfocus.com)。CVE: CVE-2006-0720
》 価格・ライセンス改定のお知らせ (drweb.jp, 2/18)。Dr.WEB for UNIX 話。
[引用] サーバ数・ユーザ数無制限の『無制限ライセンス』を新設うおぉぉぉっ、これは......。規模が大きければ大きいほどめちゃ安だ。 スゲー。
》 「Your computer is infected!」の警告を出すインチキアプリの削除法 (アダルトサイト被害対策の部屋, 2/23)。
[引用] Winfixer、PSGuard、SpyAxe、SpywareStrike、SpyFalcon、AlfaCleanerなど、ここに来て数々のインチキアンチスパイウェアソフトが登場しています。(中略) このページでは、その中で「smitRemツール」を使ったSpywareStrike、SpyFalconなどの除去方法について解説します。smitRem には、実行したら OS が起動しなくなった事例があるそうです。 不審なアンチスパイウェアソフトと、ZlobとCodecの関係 (Semplice, 4/8) の末尾の Appendix を参照。 Luca さん情報ありがとうございます (紹介が遅くてすいません)。
オリジナルサイトを見てみると、smitRem はバージョン 3.1 になってますね。
》 迷惑メール対策団体,対策の導入や運用を支援するドキュメントを公開 (日経 IT Pro, 2/23)。JEAG パーツ、シュート! ビルド・アップ!
》 首都高ETC 8時間停止の真相が判明,「プログラムの不具合が原因ではない」 (日経 IT Pro, 2/22)
もともとの話: 個人情報漏洩防止措置についての緊急提言 (自民党 情報漏洩罪検討プロジェクトチーム, 2005年04月13日)。 論考・提言 (平井たくや) に掲載されている「2005.06 世界最先端のIT国家実現のための申入れ2005」の別紙 3。
個人情報漏洩罪の新設に関する意見書 (日本弁護士連合会, 2005年05月16日)。日弁連は反対しているわけですが、
[引用] (2)個人情報取扱事業者の管理意識の定着の阻害下手に罰則規定をつくると、それを理由に「ノーガード戦法」が流行りかねない、ということか。
[引用] (3)刑事罰を必要とする立法事実の欠如そもそも、理論的に破綻している模様。
[引用] (4)保護法益との不均衡必要な法律は既にある模様 (上記の改正案は成立しているみたい)。不正競争防止法については、 知的財産政策/不正競争防止 (経済産業省) あたりか。
[引用] また、個人情報保護法は、個人情報の収集について本人から同意を得る必要はなく、利用目的を本人に通知することすら必ずしも要求されておらず、そもそも本人から個人情報を収集する段階での規制がきわめて緩やかな法律であるから、個人情報保護法による情報保護のあり方からすれば、個人情報収集段階である個人情報取扱事業者からの漏洩行為(しかも従業者による行為に限る。)のみを刑罰という強力な規制の対象とすることには無理がある。なるほど。現状でも十分混乱しているのに、さらに混乱を助長するような気がするなあ......。
個人情報漏洩、民間従業員も罰則 自民が改正案 (産経 / goo, 2/16)。「三月中に議員立法として提出、成立を目指す」そうで。「改正案」の全文、あるいは「緊急提言」から具体的に何がどのように変化しているのか (いないのか) がわかる資料はどこかにないものだろうか。
報道提供は処罰対象外 自民の個人情報保護改正案 (共同 / goo, 2/15)
個人情報漏えい事件を斬る(28): 「個人情報漏洩罪」の新設で,従業者の不注意は防げるか? (日経 IT Pro, 2/2)
[引用] 自民党の改正案は,不正目的で意図的に個人情報を漏えいした従業員を処罰対象としている。しかし,この分析結果を見ると,現実には事件のほとんどが従業員の「不注意」から起きているのだ。 (中略) 罰則規定の強化だけで事件・事故を防止できるものではないことは,個人情報管理にも当てはまる。まして,中堅・中小企業(SMB)の多くは,認識不足と過剰反応の狭間で,どのレベルまで守ればいいのか悩んでいる。SMBの実情も考慮して,実効性のある法改正論議を行ってほしいものだ。企業の情報セキュリティのあり方に関する提言 (日本経済団体連合会, 2005年03月15日)
[引用] 5.個人情報漏洩等防止のための実効ある対策について自民党の個人情報保護法改正案において、「ただし」以降が実現できるのかをきちんと検証する必要がありますね。経営者の責任について特に述べていないのは、経団連だからですかね。
国会通信 第37号: 情報漏洩者に罰則を・・・個人情報保護法改正案 (谷本たつや, 1/24)。谷本議員は「情報漏洩罪検討プロジェクトチーム」の座長なんですね。
[引用] 我々がまとめた原案の要点は次の部分である。結局、日弁連が指摘している問題点はそのまま残っているのかなあ。
個人情報保護法方面については、日経コンピュータ 2006年2月20日 号の 個人情報保護法の功罪: "顧客のため"が逆効果 も興味深いです。
》 米Microsoftが「SMS 2003 R2」ベータ版を公開,他社製品アップデートに対応 (日経 IT Pro, 2/22)
》 penetration technique research site で、報告書「The unfiltered UDP port detection techniques」と、それ用のツール UDP Defiltered Port Scanner が公開されています。
》 ライブドア:堀江被告の交際女性のPCに粉飾指示メール (毎日, 2/22)
[引用] 関係者によると、堀江前社長は、使わなくなったノートパソコンを交際していた女性タレントに贈ったが、メールなどのデータは消去しないままだった。このため、粉飾容疑が持たれているLDの04年9月期決算を巡って、経理担当幹部などに「決算を絶対に赤字にしてはいけない」「必ず黒字にするように」などと記されたメールが、複数残されていたという。なんだかおおらかな人ですね......。
ついにこういう事態が発生してしまいましたか......。 関連: 護衛艦「はつゆき」型、あさゆき (防衛庁)。 はつゆき型 護衛艦 (Weapons Free!) とか 護衛艦体験航海 (Kaneyan's homepage) の方がいいかな。
》 党首討論:メール「偽物」可能性強まる 真偽論争を回避 (毎日, 2/23)。事前によく確認しましょう。ご利用は計画的に。
関連: 永田議員、メール問題で議員辞職へ (TBS, 2/23)。民主党には IT 関連のアドバイザーがいないんですかねえ。このような迷走を繰りかえさないためにも、どうにかした方がいいと思うのですが。 (link fixed: おおかわさん感謝)
》 MS、「Antigen」のアップデートを公開--電子メール関連問題を解決 (CNET, 2/22)
》 News letter と David LeBlanc 来日 (日本のセキュリティチームの Blog, 2/23)
》 スパイウェアDCT 137〜148 での「SPYW_MARKTSCOR.A」の誤警告 (トレンドマイクロ, 2/22)
[引用] 富士通ビーエスシー社製「FENCE-Pro V4 メール暗号パック」がインストールされている状態で、スパイウェアDCT 137〜148 を使用すると「SPYW_MARKTSCOR.A」が検出されてしまいます。スパイウェアDCT 149 以降で修正されているそうです。 また、「FENCE-Pro V4 メール暗号パック」の再インストールが必要だそうです。 (solution 12970 の改訂に伴い修正: 酒井さん情報ありがとうございます)
》 刑務所職員によるWinny漏洩、4施設3,380人分の被収容者情報の流出が判明 (Internet Watch, 2/22)
[SA18975] POPFile Email Message Handling Denial of Service。 POPFile 0.22.3 以前に DoS を受ける穴があり、0.22.4 で修正されているそうだ。 CVE: CVE-2006-0876
[USN-257-1] tar vulnerability。 GNU tar 1.14, 1.15 に欠陥。GNU tar アーカイブのヘッダフィールドの検証方法に欠陥があり、特殊な tar アーカイブによって任意のコードを実行可能。 CVE: CVE-2006-0300
Ubuntu Linux では修正版が用意されている。
[SA17251] WinACE ARJ Archive Handling Buffer Overflow Vulnerability 。WinACE 2.61 で修正されているそうです。 Secunia Research 23/02/2006: - WinACE ARJ Archive Handling Buffer Overflow - も参照。
[Full-disclosure] [INetCop Security Advisory] Global Hauri Virobot cookie exploit
[Full-disclosure] zoo contains exploitable buffer overflows。zoo 2.10 用の patch が添付されている。 CVE: CVE-2006-0855
[SA18973] GNU Tar PAX Extended Headers Handling Buffer Overflow。 GNU tar 1.15.1 で修正されているそうだ。
関連:
Mac OS Xに深刻な脆弱性が発見される - 出所不明のZIPアーカイブに注意 (MYCOM PC WEB, 2006年02月22日)
[引用] ZIPファイルに含まれる偽装メタデータが実体ファイルに付加された結果であり、Safari単体の脆弱性というよりはFinderおよびBOMArchiveHelper、ひいてはMac OS XのGUIに潜む脆弱性、と判断することが適当だろう。BOMArchiveHelper というのですか。
Mac OS Xの脆弱性でファイルタイプを偽装される恐れ、「Mail」にも影響 (Internet Watch, 2006年02月22日)
Serious flaw on OS X (SANS ISC)。update 2 になっています。
》 Advisory: Sophos Anti-Virus for Mac OS X 4.7 released (Sophos, 2/21)。これに関係あるのかないのかよくわかりませんが、 Sophos false positives on Mac OS X (SANS ISC) という話があったそうです (今は直ってるっぽい)。 関連: Advisory: Detection of OSX/Inqtana-B updated (Sophos)
》 Oinkmaster 2.0 が出たそうです。
》 初のウイルスに混乱するMacユーザー (ITmedia, 2/22)
》 Google、デスクトップ検索のリスク認める (ITmedia, 2/22)
》 アイ・オー・データのセキュアUSBメモリと日立ソフトの「秘文」を融合 USBメモリの暗号化・編集制御で、情報漏洩を強力に防止する 「秘文AE CopyGuard Light」を販売開始 (日立ソフト, 2/22)。3/1 から販売。当初は 256MB のみ。
》 「セキュアシステム設計技術者の育成」プログラム (工学院大学)。願書受付中。受講料等は全額免除。受付締切 2/25。 開講は 2006.05。 茶木さん情報ありがとうございます。
[引用] 本講座は、システムの開発設計にあたる 高度セキュリティ技術者の育成を目的としています。》 堀江メール:平沢氏も独自に入手 黒塗り記号は「@」 (毎日, 2/21)。民主党の墨の塗り方にこそ謎があるのか?
》 「政府調達でISO 15408対応が不可欠に」、IPAがSIer向け啓蒙を本格化 (日経 IT Pro, 2/21)
[引用] 背景には、昨年12月、政府機関が情報システムを調達する際に必要なセキュリティ対策の統一基準「政府機関統一基準」が策定されたことがある。これにより、政府機関が情報システムを構築したり、ソフトを開発する際には、設計段階でISO 15408に基づいたITセキュリティ評価を受け、IPAからお墨付きをもらう必要が出てきた。》 CIAなど、機密指定解除の公文書を機密再指定...米紙 (読売, 2/21)
》 緊急調査委、耐震偽装報告の怠慢で熊本県から聴取へ (読売, 2/21)
》 交通事件の捜査情報がネット流出 宮崎地検 (asahi.com, 2/21)。Winny ですかねえ......。
》 牛肉問題 報告書の翻訳公表へ (NHK, 2/21)。中川農林水産大臣記者会見概要 (農林水産省, 2/21)
[引用] Q:大臣、確認ですけれども、今の言葉、数日かかる精査が終わった段階で、我々、あるいは国会に正式な文書として、アメリカの報告書を公表するということですね。》 林野庁 花粉を減らす効果誇張 (NHK, 2/21)
》 Winnyはヘボい!? 金子勇氏「次世代P2Pソフトは管理も可能になるはず」 (Internet Watch, 2/20)
》 ゴンゾロッソオンライン 約1400人の個人情報流出 (slashdot.jp, 2/20)。anonymous FTP に載せますか......。すごいなあ......。
》 ドメインサーチオーダーと IPv6 (JANOG 17)。DNS 管理者は読んでおきませう。
[引用] クエリが 2 倍になっても大丈夫ですか?》 第一回 トラステッド・コンピューティング ワークショップ (IBM 東京基礎研究所)。 2006年03月09日、東京都新宿区、無料 (先着 100 名)。エイゴコウエン オオイネ。
》 中国にあるウェブサイトを撤去せよ--米議会で法案提出へ (CNET, 2/17)。西畑さん情報ありがとうございます。
》 【RSA Conference 2006】「ブラウザ上でワンタイム・パスワードを生成」,米RSAが新製品をデモ (日経 IT Pro, 2/18)。ツールバーいいなあ。
》 イソフラボン:安全な摂取量決められず 食品安全委員会 (毎日, 2/21)
》 1200両でブレーキ不良: JR西、11年間営業運転 (中日, 2/20) (URL fixed: うえむらさん感謝) 。なにそれ......。
[引用] 不具合がある車両は、運転台のある約2700両のうち約1200両に上る。1994年末にブレーキの電気回路を変更した際の設計ミスが原因だが、同社は約11年間も気付かないまま営業運転に使っていた。Mac OS X の web ブラウザ Safari に欠陥。細工したメタデータ (Terminal.app 実行されるようなメタデータ) を含む zip アーカイブを用意すると、Safari からダウンロードしたときに、zip アーカイブ内のシェルスクリプトが自動実行されてしまう。 デモ zip アーカイブが公開されている。
Safari の環境設定の「一般」において、「ダウンロード後、"安全なファイル" を開く」のチェックを外すことによって回避できる。Firefox や Camino にはこの欠陥はない。
関連:
関連:
Mac OS Xに深刻な脆弱性が発見される - 出所不明のZIPアーカイブに注意 (MYCOM PC WEB, 2006年02月22日)
[引用] ZIPファイルに含まれる偽装メタデータが実体ファイルに付加された結果であり、Safari単体の脆弱性というよりはFinderおよびBOMArchiveHelper、ひいてはMac OS XのGUIに潜む脆弱性、と判断することが適当だろう。BOMArchiveHelper というのですか。
Mac OS Xの脆弱性でファイルタイプを偽装される恐れ、「Mail」にも影響 (Internet Watch, 2006年02月22日)
Serious flaw on OS X (SANS ISC)。update 2 になっています。
APPLE-SA-2006年03月01日 Security Update 2006-001 (apple) で修正されたようです。ここに掲載されている、これのことでしょう。
[引用] Safari, LaunchServicesあれっ? 昨日までアンケート実施中だったような......。 ふつうなら「停止 → 修正 → 点検 → 再開」という手順だと思うのだが、 もしかして「停止せず修正 → 継続運用 → 安全確認のため停止」という手順になっている? この件のインシデントレスポンスはどうなっているのか。
IEに0-dayのバッファ・オーバーフロー? (日経 IT Pro, 2/19)、 スタック・オーバーフローで任意コードを実行できるか? (日経 IT Pro, 2/20)。 Stack overflow vulnerability in Internet Explorer exploitable trough VBScript and JScript scripting engines. の話。
》 放出放射能の濃度規制も存在しない青森県の安全協定(素案) (美浜の会, 2/20)。大甘な模様。
》 Windowsのパスワード (極楽せきゅあ日記, 2/20)。パスワードリカバリー用の、すばらしい仕様ですね? (違)
》 口座預金を略奪するトロイの木馬がまん延--セキュリティ研究者が注意を呼びかけ (ZDNet, 2/20)
》 No More「Adminでログイン」を呼びかけるMicrosoft (ITmedia, 2/17)
》 GnuPG 鍵輪の維持管理 (Tomio's Page, 2/18)
》 不正アクセス:北陸労金のインターネットバンキング、顧客口座から665万円 (毎日, 2/17)、 インターネットバンキングでの不正取引について (北陸労金, 2/15)
》 スパイバスター2006がインストールされた環境に日立ソフト社製 「秘文」 をインストールする時の注意 (トレンドマイクロ)
[引用] この問題は、スパイバスター2006を終了した状態で 「秘文」のインストールを行なっていただくことで回避できます。》 MSサポートライフサイクルを改定、サポート終了日が月例パッチ公開日に (ITmedia, 2/20)
》 脆弱性を修正した「Opera 8.52」、GmailやBloglinesの表示不具合も解消 (Internet Watch, 2/20)
》 銀行関係者が2006年末に導入期限迫った2要素認証技術に注目:RSAカンファレンスレポート (ZDNet, 2/15)。USA の話。
》 Windows XP SP2のUSB 2.0ドライバに不具合 (CNET, 2/17)。
》 「非合法化こそ、最善のルートキット対策」--米国土安全保障省の職員が提案 (CNET, 2/17)
》 アップル、強権発動か--「OSx86 Project」などの掲示板が閉鎖に (CNET, 2/20)。DMCA ですか......。
》 PCユーザーを混乱させる次世代DVDのコピー対策 (CNET, 2/17)
》 今度はBluetoothで感染するMac OS Xワーム (ITmedia, 2/18)
》 うぇブログのライセンス変更とうぇブログ2 (XOOPS Cube, 2/12)。私怨 (?) から、GNU GPL なソフトウェアのライセンスを変更したいという話。長い話があるようだが、
ということのようだ。 たとえば GNU Project の web ページを見ると、今でも 「Amazonをボイコットしよう!」 (gnu.org) とか書かれているのだけど (かつては Apple ボイコット、な時代もあった)、だからと言って「amazon は GNU GPL なソフトを使っちゃダメだ」なんてことにはならないわけで。
それにしても、
[引用] これは、私なりのオープンソースコミュニティへの考えと、上田氏の行動とにあまりに大きな隔たりを感じ、そのような人および関連団体には私の作品を使ってほしくないとの気持ちから付け加えました。気持ちはわかるのだが、そういうライセンス変更は、オープンソースコミュニティにとっては害にしかならないと思う。
》 「F-Secure Linuxサーバセキュリティ」への乗換キャンペーンを開始 (F-Secure, 2/20)
》 JP DNSの設定・構成変更について (JPRS, 2/20)
SANRISEシリーズにおけるSVP セキュリティホール(MS06-004〜010)対策について (日立)。MS06-007、MS06-008 が該当する機種があるそうです。
False positive signature verification in GnuPG。 分離署名の検証に欠陥があり、改ざんを検出できない場合がある。 GnuPG < 1.4.2.1 に影響。1.4.2.1 で修正されている。 GnuPG 1.9 系列にはこの欠陥はない。
[SA18909] Blue Coat ProxyAV Host Header Buffer Overflow Vulnerability
[SA18896] Kyocera FS-3830N Configuration Modification Security Issue。 FS-3830N (京セラミタ) の話。日本だと、LS-3830N (京セラミタ) が該当するのかな?
[Full-disclosure] MS06-06 Windows Media Player Exploitation ですか。http://open-security.org/winmedia/index.html で exploit が公開されている模様。
Microsoftパッチ情報 - 2006年2月 (eEye Security Bulletin日本語版) (eEye / 住商情報システム)。高橋さん情報ありがとうございます。
DNS アンプねた。
》 無資格社員が構造計算 横浜の強度不足マンション (asahi.com, 2/18)
[引用] 建築士が作業を無資格の補助者に手伝わせることは違法ではないが、市によると、社員が作成した計算書は同研究所の1級建築士のチェックを受けることなく提出されたという。》 Images from Abu Ghraib: Photos of Iraqis Being Abused by US Personnel (The Memory Hole, updated 17 Feb 2006)。 残虐画像注意。
》 「H2A」9号機、打ち上げ成功 「ひまわり」2機体制へ (asahi.com, 2/18)。おめでとうございます。
》 二重のミスで耐震強度不足 横浜の「非姉歯」マンション (asahi.com, 2/17)。 「偽装なし」物件の再点検を 国交省が全国に通知 (asahi.com, 2/13)
》 IceSword...The Best Rootkit Defender? (tech-security blog, 2005年12月13日) (info from tessyの日記)。 IceSword のオリジナルは PJF''s BLOG のようです。
》 NoScript というツールがあるそうで。Mozilla / Firefox で JavaScript 等の実行を制御するためのツール。
》 Symantec AntiVirus Corporate Edition (SAVCE) 話。 大熊さん情報ありがとうございます。
》 Microsoft Developer Security Day (2006年03月02日、東京都港区、無料) の参加登録受付が開始されています。
》 iPodで情報漏洩--「ポッドスラーピング」の脅威に警鐘 (CNET, 2/16)
》 米VeriSign,「MS製品のバグ発見者に1万ドルの賞金」と発表 (日経 IT Pro, 2/16)。3/31 までに緊急レベルで、なので、それなりにハードルは高い。
》 【RSA Conference 2006】「ワームの時代は終わった」---米ISSのCTO (日経 IT Pro, 2/17)
》 「脆弱性を生みやすいプラットフォームはどれだ?」,セキュリティ団体が実態調査 (日経 IT Pro, 2/16)。 WASフォーラム 第三回コンファレンス の「S2-1『製品評価分科会 報告:Webアプリケーション脆弱性検査とWAFの有効性」がこの話か。
》 「Skypeパケットが分かるタグの付与を検討」,スカイプの最高セキュリティ責任者 (日経 IT Pro, 2/16)
》 Winny開発者の裁判に村井教授が証人として出廷、検察側の主張に異議 (Internet Watch, 2/16)
[引用] 検察側が提出した証拠のうち、京都府警がWinnyを使ったファイル交換の実験を行なった際の説明図についても、村井氏に対して質問が行なわれた。図版には、ルータの内側のネットワークではプライベートアドレスを利用するように書かれているが、実験を行なったというPCにはグローバルアドレスが割り当てられているように書かれており、これではインターネットには接続できず、書かれているIPアドレスやセグメントが間違っていると指摘した。わはははは。
》 海外情報セキュリティ関連文書の翻訳・調査研究(NIST文書など) (IPA) に FIPS 199: 連邦政府の情報および情報システムに対するセキュリティ分類規格 の翻訳文書が追加されています。
》 業務説明会 (警察庁)。 「警察庁 I 種技術系行政官についての業務説明」のようです。
》 Openwall GNU/*/Linux (Owl) 2.0 が出たそうです。
》 First ever virus for Mac OS X discovered: OSX/Leap-A worm spreads via iChat instant messaging software (Sophos, 2/16)
》 U.N.: Guantanamo detainees should be freed or tried (CNN, 2/16)
》 CIA秘密施設からの移送、「オランダ経由8機」 (asahi.com, 2/16)
》 論文データ不正、阪大2教授停職...他にも3本ねつ造? (読売, 2/15)
関連:
マイクロソフト セキュリティ アドバイザリ (914457): Windows ACL に関する脆弱性の可能性について (Microsoft) が更新されている。
[引用] 2006年2月15日: Windows XP Service Pack 2 および Windows 2000 で特定されたサービスの詳細が追加されました。これによると、次のサービスが該当する (欠陥がある) そうだ。
Windows XP SP2 / Windows Server 2003 SP1 の場合は何も該当しない (OS には欠陥はない)。
PowerPoint 2000 に情報漏曳が発生する (恐れがある) 欠陥。 CVE: CVE-2006-0004
[引用] ユーザーが PowerPoint のプレゼンテーションをクリックするように誘導された場合、攻撃者の悪質なスクリプトが実行され、[Temporary Internet Files] フォルダ (TIFF) のオブジェクトにアクセスしようとします。patch がある......のだが、これは、根本的な修正ではなく、
[引用] この更新プログラムは、Web サイトでユーザーが PowerPoint をクリックした際に、開かれようとした PowerPoint によりユーザーに対して、プレゼンテーションが安全でない可能性があると警告するように、PowerPoint を変更します。このような場合、ユーザーはプレゼンテーションの表示をキャンセルして差し支えありません。Windows XP / Server 2003 / Office 2003 (韓国語版) に含まれる、韓国語版 Input Method Editor (IME) に欠陥があり、local user による権限上昇が可能。 CVE: CAN-2006-0008
patch があるので適用すればよい。
》 "本物"のSSL証明書を持つフィッシング・サイト出現 (日経 IT Pro, 2/14)。西畑さん情報ありがとうございます。この場合、「本物のドメイン名」が嘘っぽいことこそが問題の根本のような気がするなあ......。 まあ、SSL だからといって「本物」とは限らない、ということで。 あたりまえといえばあたりまえなんですが。
[引用] また,SANS Instituteでは,そのようなサイトへ証明書を発行するベンダーが問題であるとしている。www.mountain-america.net というドメイン名だけ見て証明書の発行を拒否しろと? そんな馬鹿な。
》 知識集約型ネットワーク社会における個の自衛。 「インターネット社会を安全に暮らすために」 を補完するためのページだそうです。marie さん情報ありがとうございます。 一般の入門書にはない「つきはなし感」が素敵です。いや、皮肉ではなく。
》 WASフォーラム 第三回コンファレンス。 2006年02月24日、東京都千代田区、一般 8400 円。
》 テロ監視のリストに「約32万5000人」と、米紙 (CNN, 2/15)
》 "石綿空母" 仏帰還へ (東京新聞, 2/16)、 退役の「アスベスト空母」の帰還命令、シラク大統領 (CNN, 2/16)。 フランス:退役空母、処分困難に 艦内にアスベスト (毎日, 1/17) のつづき。結局出戻りだそうです。
》 【CRYPTO-GRAM日本語版】コンピュータ・セキュリティ技術の輸出規制が復活? (日経 IT Pro, 2/16)。LC5 話。
》 成澤宗男の「世界を読む」:イラク・レジスタンス勢力の知られざる強さ (JANJAN, 2/14)
》 原因はサイバーテロと確認しました (JANJAN, 2/14)。テロという言葉を使うのはいかがなものかと思うけど。
》 続々登場,ダイナミック・インターネットVPN (日経 IT Pro, 2/16)
[引用] 気を付けなければならないのは,メーカーごとにダイナミック化へのアプローチが異なること。後述するが,この差は小さいようで大きい。Windows XP / Server 2003 に欠陥。WebClient サービスに欠陥があり、任意のコードの実行が可能。CVE: CVE-2006-0013。ただし、
[引用] 匿名ユーザーにより、リモートでこの脆弱性が悪用されることはないと思われますpatch があるので適用すればよい。
PostgreSQL security releases 8.1.3, 8.0.7, 7.4.12, 7.3.14。PostgreSQL に権限上昇と DoS が可能となる欠陥 (CVE: CVE-2006-0553 CVE-2006-0678) があり、8.1.3, 8.0.7, 7.4.12, 7.3.14 で修正されているそうだ。
BrightStor ARCserve Backup iGatewayサービスバッファオーバーランに関するセキュリティ問題 (日立)。修正モジュールが用意されている。
APPLE-SA-2006年02月14日 Mac OS X v10.4.5 (Apple)。 Mac OS X 10.4.5 では 1 件の DoS 穴 (CVE: CVE-2006-0382) が修正されているそうな。
Honeyd IP Reassembly Remote Detection Weakness。Honeyd 1.5 で修正されている。
Windows XP / Server 2003 に欠陥。特殊な IGMP メッセージを受信すると OS が応答を停止してしまう。 CVE: CAN-2006-0021
patch があるので適用すればよい。
Windows 2000 / XP / Server 2003 に欠陥。Firefox や Netscape などの非 IE ブラウザ用に用意されている Windows Media Player プラグイン (npdsplay.dll) に欠陥があり、攻略 web サイトによって任意のコードを実行可能。 ただし、Itanium 用の Windows Server 2003 にはこの欠陥はない。 関連:
patch があるので適用すればよい。
[Full-disclosure] MS06-06 Windows Media Player Exploitation ですか。http://open-security.org/winmedia/index.html で exploit が公開されている模様。
Microsoft cumulative updates may not be installed correctly if you change the location of the Program Files folder (Microsoft)。Program Files フォルダの位置を変更していると、MS06-006 patch をうまく適用できない場合があるそうな。 回避方法が紹介されている。
KB911564 にこんな記述が追加された模様:
[引用] You may experience issues when you deploy security update MS06-006 on a computer that is running Microsoft Windows Sever 2003 Service Pack 2. Windows Update, Windows Server Update Services, Systems Management Server, and Microsoft Baseline Security Analyzer detection logic do not offer security update MS06-006 if the Microsoft Windows Media Player plug-in for a non-Microsoft Internet browser is installed on the computer. You can install security update MS06-006 manually.Windows Server 2003 SP2 において、Windows Update / WSUS / SMS / MBSA が MS06-006 を (インストール済なのに) 検出しない場合は、MS06-006 を手動でインストールすればいいみたい。
KB911564 日本語版 にも、上記と同様の内容が追加された模様。
[引用] Microsoft Windows Sever 2003 Service Pack 2 を実行しているコンピュータにセキュリティ更新プログラム MS06-006 を展開すると、問題が発生することがあります。コンピュータにマイクロソフト以外のインターネット ブラウザ用の Microsoft Windows Media Player プラグインがインストールされていると、Windows Update、Windows Server Update Services、Systems Management Server、および Microsoft Baseline Security Analyzer の検出ロジックでセキュリティ更新プログラム MS06-006 が提供されません。セキュリティ更新プログラム MS06-006 を手動でインストールすることはできます。Windows Media Player 7.1〜10 に欠陥。bmp ファイルの処理において heap overflow が発生するため、攻略 .asp ファイル、攻略 web ページ、攻略 Media Player スキンなどを利用して任意のコードを実行可能。 ただし、64 bit 環境、および Windows Server 2003 SP1 の Windows Media Player 10 にはこの欠陥はない。関連:
patch があるので適用すればよい。
関連:
Microsoft Security Advisory (913333): Vulnerability in Internet Explorer Could Allow Remote Code Execution の話。CVE: CVE-2006-0020。IE 5.01 SP4 については修正プログラムが用意された。Windows Me 上の IE 5.5 SP2 については、サポート期限切れ (2005年12月31日) のため修正されず。 IE 6.0 SP1 へのアップグレードによって対応するしかない。
》 受刑者情報含む1万ファイルがWinny流出、京都刑務所の刑務官のPCから (Internet Watch, 2/14)
》 米FutureSoft製Webフィルタリング・ソフトがISAサーバー次期版に組み込まれる (日経 IT Pro, 2/13)
》 第一回LIDS勉強会のお知らせ。 (SELinuxユーザ会LIDSユーザ支部)。 2006年03月16日、東京都千代田区、無料。 「第一回LIDS勉強会」なのに、なぜか「今日から始めるTOMOYO Linux」 (^^;;;)
》 [コラム:Spencer F. Katt] ウィキペディアにビッグブラザーの影 (@IT, 2/14)
》 USB デバイスとセキュリティ 第3回: ICチップを搭載するUSBトークンの利点 (@IT, 2/14)
》 ハリソン・フォード主演『ファイヤーウォール』レビュー (WIRED NEWS, 2/14)。だめっぽいですね。
》 [TOOL] Win32 Bind Shell (securiteam)
JVNVU#169164: Oracle PL/SQL Gateway の HTTP request 検証機構に脆弱性 (JVN)
Internet Explorer 用の累積的なセキュリティ更新プログラム (910620) (MS06-004) (Microsoft) で修正された。ただし IE 5.01 SP4 のみ。 Windows Me 上の IE 5.5 SP2 は 2005年12月31日 でサポート期限が切れているため、もはや修正されない。 IE 6.0 SP1 へのアップグレードによって対応するしかない。
MS06-007 修正プログラム (913446、対象 OS: Windows XP / Server 2003) の、自動更新 / Windows Update / Windows Server Update Services / SMS 2003 Inventory Tool for Microsoft Updates での適用に失敗するそうだ。 明記されていないが、Microsoft Update もだめみたい。 他の手段では問題ないそうだが、他の手段というと、
ということになるようだ。3rd party ツールについては 3rd パーティのサポートに確認しましょう。
関連: Microsoft Update (Windows Update) より KB913446 : セキュリティ更新プログラムがダウンロードできない (Microsoft トラブル・メンテナンス速報)
[引用] Microsoft Update (Windows Update) の優先度の高い更新プログラムより、KB913446 : セキュリティ更新プログラムを適用後も再度表示される現象が確認されております。MS06-007 のページからたどれます。
MS06-007 のインストールが完了しない件について (日本のセキュリティチームの Blog) も参照。MS06-007 のページにも状況が記載されました。
......解決されたようです: MS06-007 のインストール問題が解決いたしました (日本のセキュリティチームの Blog)。
Microsoft Internet Explorer Drag-and-Drop Redeux (securiteam) の話。MS05-014 とは違い、厳しいタイミングで、かつ特定の条件がないと利用できない、としている。
修正時期については、
[引用] We will update the behavior, but in looking at the severity of the issue and balancing the risk inherent in any fix, we believe a future service pack is the best way to address this issue.次期 SP って...... IE 6 に出るんですか?
また問題発見者 Matthew Murphy 氏の [Full-disclosure] Advisory: Internet Explorer Drag and Drop Redeux [CVE-2005-3240] (fwd) によると、
そうです。(star_dust さん情報ありがとうございます)
またまた rootkit ねた。今度は DVD ですか......。
Winamp 5.13 でも直り切っていないという指摘が: New winamp m3u/pls .WMA & .M3U Extension overflows (bugtraq)
》 米MSがスパイウェア対策ソフトの英語版β2を公開、近日中に日本語版もリリース (窓の杜, 2/14)。 ふつうの人は日本語版を待った方がいいかも。
》 米国土安全保障省、米国初のサイバー攻撃予防訓練を実施--官民115の組織が参加 (CNET, 2/13)
》 ヒューコム、1300件の個人情報を含むノートPCを紛失 (ITmedia, 2/13)
》 Weekly SOC Report (ISSKK)。MS06-001 欠陥を利用した攻略の実例が紹介されている。 守屋さん情報ありがとうございます。 実は、まさにこの話を朝から追いかけていたので good timing なのでした。
》 スパイバスター2006の制限事項について (トレンドマイクロ)。25 項目あるけど、特にこのへんかなあ。
[引用] (4) 管理者権限がないユーザではスパイバスター2006の操作ができない》 人気漫画を無断でHPに、ネット喫茶経営の男ら逮捕 (asahi.com, 2/14)。http://www.464.jp/ の中の人が逮捕されたそうで。
》 大手銀行の好決算に隠された金融庁の暴走ぶり〜UFJ銀行の"作られた"経営危機〜 (日経 BP, 2/13)
[引用] いま振り返ると、2003年4月の初旬ころ、官邸筋の人に聞いた話を思い出す。彼は「みずほ、UFJ、三井住友の順で国有化するからな」といっていた。実際、その通りに進み、この金融再編がいかに官主導で行われたかがよくわかる。》 米Cisco,「自己防衛型ネットワーク」の新製品群を発表 (日経 IT Pro, 2/14)。RSA Conference 2006 にあわせて、各社いろいろ発表してるわけなのね。
》 Kaspersky Lab and Juniper Networks Deliver Best-In-Class Threat Prevention Via Juniper Security Gateways (Kaspersky, 2/13)。
》 特集「生体認証大ブレーク」(7) 焦点は現場での精度確保と脆弱性対策 (日経 IT Pro, 2/14)
Tectia も: [SA18828] SSH Tectia Server SFTP Service Unspecified Vulnerability。Tectial 3.x / 4.x に問題があり、4.3.7 / 4.4.2 で直っているそうです。
》 小泉政権揺さぶるBLT問題、防衛庁・ライブドア・天皇制 (日経 BP, 2/11)
[引用] ライブドア事件、私が見るところ、まだとば口で、本体が出てきたら、堀江など、脇役としてかすんでしまうような展開をするのかもしれないと思っている。関連: ライブドア事件の意味=北村龍行(論説室) (毎日, 2/10) (link fixed: skeleten さん感謝)
》 カスペルスキーのUNIX製品に特化した会社設立も、波乱の幕開け (@IT, 2/11)
[引用] 今後は、UNIX製品に関してはケイエルジェイテックが販売とサポートを行う。カスペルスキーのWindows関連製品に関しては、引き続きカスペルスキーラブスジャパンが取り扱う。(中略)Kaspersky 方面って、よくごたごたしますねえ......。
》 第5回(3月4日) (セキュそば)。2006年03月04日、長野県上田市、無料 (宿泊費 約6000円)。 何やるんだろう......
》 [AML 5934] 公益法人 天下りだけでなく「丸投げ」の調査が必要だ。増税だの福祉切りすてだのは、この手の無駄を省いてからにしてほしいよね。
》 測定機無許可輸出、ミツトヨ本社を捜索 外為法違反容疑 (asahi.com, 2/13)。 座標計測機器 (ミツトヨ) にあるようなものかな。
》 堀江前社長ら4人と2社、証取法違反罪で起訴 東京地検 (asahi.com, 2/13)
》 MS、特許問題で顧客にOfficeアップグレードを指示 (ITmedia, 2/1)。特許がらみで、Office XP (2002) / 2003 の機能の一部を削除する必要が生じるみたい。
[引用] Microsoftはこの変更による影響を受ける顧客の数を明かそうとしていないが、世界中の全顧客が2月までにアップグレードに関する通知を受け取るだろうとしている。「世界中の全顧客」だそうです。 また記事によると、アップグレードの実態は、
だそうです。適用すると、KB904953 に示される機能低下が発生します。
》 下着通販のピーチ・ジョン、携帯サイトで他人の注文履歴が閲覧できる事故 (ITmedia, 2/10)。女性用下着ですか (どきむね)。
事故ねぇ......。
セキュリティホール memo の 2006年02月10日 の 「バグを発見する典型的なやり方ってありますか?」の「プログラマの設計において注意するセキュリティホールのパターン」についてですが、パターンなのかどうかはさておき、オライリーの「セキュアプログラミング -- 失敗から学ぶ設計・実装・運用・管理」という本がこのあたりを丁度カバーしているように思われます。
セキュアプログラミングは、どっちかというとマネージャ向きの本のように思うので、もっと (具体例も豊富な) 現場向きのものがほしいんじゃないかと思います。
》 インターネット書店の個人情報流出、再調査の結果新たに9000件が発覚 (日経 IT Pro, 2/10)。 インフォトレーダー株式会社。
》 GnuPG のデジタル署名で SHA-256, SHA-384, SHA-512 を使う方法 (Tomio's Page)
》 Targeted Trojan attacks? (SANS ISC, 2/12)
》 「正規の証明書を持っているサイトも信用するな」,フィッシング研究者が警告 (日経 IT Pro, 2/13)
[SA18844] FortiGate URL Filter and Virus Scanning Bypass Vulnerabilities
[SA18724] Nokia Cell Phones Bluetooth Denial of Service Vulnerability
SSHサーバの脆弱性報告(2006/2) (OKWeb)。Reflection for Secure IT 6.x / F-Secure SSH 3.x, 5.x の sftp サーバに format バグがある模様。patch も用意されているそうだ。
Tectia も: [SA18828] SSH Tectia Server SFTP Service Unspecified Vulnerability。Tectial 3.x / 4.x に問題があり、4.3.7 / 4.4.2 で直っているそうです。
[security bulletin] SSRT051102 rev.1 - HP HTTP Server Running on Windows, Forced Use of Weaker Security Protocol (hp)。patch。
ぐぐったら、[PHP-users 1634] Re: addslashes関数でエンコードという記事をみつけた。これは SQL インジェクション以前の、\ が余分についちゃう系の話なのだが、
[引用]これを改善する為には、 (1) Shift_JISでソースを書かない (2) 一時的にEUC-jpやUTF-8などのコードに変換する (3) 自作のaddslashesを作成する (3') addslashesしたあとに自作関数で取り除く の方法があり、
(1) と (2) については、今回の SQL インジェクション話の回避策にもなるだろう。 (2) については、文字コード変換にまつわる別の問題が発生するかもしれないが。 (3) と (3') はやめたほうがいいだろう。
》 Windowsのセキュリティ・ホール"騒動"が残した教訓 (日経 IT Pro, 2/13)。うーん......。
アンチウイルスベンダーの間には対応状況に差があった (対応してないベンダー、対応したと言っているにもかかわらず実は対応できていないベンダー、などがあった)
こととか、
たまたま年末年始の長期休暇中だったし、 たまたま Microsoft の対応も早かったので助かったが、unpatched な状況が何週間も続いていたらどうなっていたのか (どうすべきだったのか)。"un-official patch" を適用すべきか否か、という話題も出てましたよね。
という話はないんですね。
》 Re:サイドサイド壊れて (slashdot.jp, 2/12) 以下のスレッド。 メッセージ: 「Norton AntiVirus 2005 は修復機能をサポートしません。アンインストールして再インストールしてください。」が表示される (シマンテック) ですか。
[引用] このメッセージは、Windows スタートメニュー内の Norton AntiVirus のショートカットのデフォルトロケーションを変更した場合に表示される可能性があります。すごい製品だな......。
》 Honeyd 1.5 Released (SANS ISC, 2/12) だそうです。
》 原発冷却水の測定データ、東芝が柏崎でも改ざんか (読売, 2/10)。東芝、データ改ざん...東電福島原発 (読売, 2/1) (東京電力株式会社 福島第一原子力発電所6号機向け原子炉給水流量計の実流量試験のデータ処理について (東芝, 1/31)) に続く話があるらしい。
うひゃあ......。どういうテストをしているんだろう > AntiSpyware。
シフト JIS や中国語の GBK といった「2 バイト目に \ (0x5c) が来ることがある」マルチバイト文字エンコーディングでは、PHP の addslashes() によるエスケープの結果 (の一部) がふつうの文字として解釈されてしまうことがあるために、全体としてはエスケープが不完全となってしまい SQL インジェクションが発生し得る、という話。
なお、韓国語でシフト JIS ライクな方式を使用している UHC では、2 バイト目に \ は来ないようだ。
回避方法として prepared statement を使うという方法があるそうだ。が、そもそもは、 \ が 2 バイト目にくるという文字エンコーディング設計にこそ本当の問題があるのだろうなあ。
あわせて、自動的に addslashes() 相当の処理をを実行してしまう magic_quotes_gpc ディレクティブ (デフォルト: On) についても触れられている。
ぐぐったら、[PHP-users 1634] Re: addslashes関数でエンコードという記事をみつけた。これは SQL インジェクション以前の、\ が余分についちゃう系の話なのだが、
[引用]これを改善する為には、 (1) Shift_JISでソースを書かない (2) 一時的にEUC-jpやUTF-8などのコードに変換する (3) 自作のaddslashesを作成する (3') addslashesしたあとに自作関数で取り除く の方法があり、
(1) と (2) については、今回の SQL インジェクション話の回避策にもなるだろう。 (2) については、文字コード変換にまつわる別の問題が発生するかもしれないが。 (3) と (3') はやめたほうがいいだろう。
関連: 【PostgreSQLウォッチ】第27回 SQLインジェクション脆弱性を修正,日本語ユーザーに大きな影響 (日経 IT Pro, 2006年05月30日)。PostgreSQL における対応。
関連:
MySQL addresses SQL injection vulnerability の CVE: CVE-2006-2753
》 個人情報 ネットで流出 監督責任者4人を減給 岐阜 (毎日, 2/9)。Winny ねた。
》 本人確認法違反 口座ネット売買容疑の3人逮捕 新潟 (毎日, 2/9)
》 東証、ライブドア株を上場廃止へ (asahi.com, 2/11)。さようなら。
》 H5N1型をイタリア、ギリシャで初確認 鳥インフル (asahi.com, 2/11)。人間に感染した、という話ではない。
》 「意図的にイラク情報つまみ食い」元情報官が米政権告発 (asahi.com, 2/11)
この話:
特に CAN-2005-2618 は、任意のコードの実行が可能となる重大な欠陥。 Lotus Notes/Domino 6.5.4 (以前?) / 7.0 にこれらの欠陥があり、 6.5.5 / 7.0.1 で修正されている。
また、iDEFENSE からもこんなのが:
Lotus Notes/Domino 6.5.4 FP2 / 6.5.5 / 7.0.1 で直っているそうだ。
Google Desktop「使ってはいけない」——EFFが消費者に勧告 (ITmedia, 2006年02月11日)
》 John the Ripper 1.7 が出ています。
》 フィッシング詐欺対策協議会が、VISAの信用を貶める誤報を誘発 (高木浩光@自宅の日記, 2/9)。 フィッシング対策協議会 のページだけ見ても、誰が代表者なのかとか、さっぱりわからないなあ。 というわけでぐぐってみるてすと:
フィッシング対策協議会の設立について (経産省, 2005年02月04日)
「フィッシング対策協議会」設立総会について (経産省, 2005年04月28日)。メンバー団体のリストがある。
「フィッシング対策協議会」が活動開始,一般消費者へ情報提供と注意喚起 (日経 IT Pro, 2005年05月02日)
[引用] なお,総務省でもフィッシング対策の組織「フィッシング対策推進連絡会」を開催している(関連記事)。こちらは通信事業者が対象。一方,フィッシング対策協議会はフィッシングに名前を悪用される事業者が中心である。総務省はフィッシング対策協議会に,経産省はフィッシング対策推進連絡会に,それぞれオブザーバとして参加している。いわゆるタテ割りって奴ですか。viva 電子政府。
民間のANTIPHISHING.JPが経産省のフィッシング対策協議会のサイトに移行(経済産業省) (NS 総研, 2005年05月06日)
[引用] 民間サイト同士の買収、提携は頻繁に行われているが、公的な協議会が民間サイトを取り込むケースは珍しいため、役割分担、運営組織、対価などがどのようになるか注目される。結局どうなったのか、さっぱりわからないし。 事務局は JIPDEC みたいですが。 (なぜ JIPDEC なんだろう)
フィッシング対策協議会のサイトが右クリック禁止を実施 (高木浩光@自宅の日記, 2005年08月12日)
フィッシング対策協議会サイトの怪(続) (奥村晴彦のWiki, 2005年08月19日)
[引用] なぜ右クリック禁止にしていたかというと,当時のサイトにはフィッシング対策喚起のポスター画像を載せていたが,女優の事務所から簡単にダウンロードできないようにしてくれと言われて右クリック禁止にせざるを得なかったという。現在は,女優のポスターも右クリック禁止も外したとのこと。結局のところ「フィッシング対策協議会」は、ポスター 1 枚つくった以外には目立った活動をしていないように見えてしまうのだが、そういう理解でいいんだろうか。フィッシング事例検索もロクに情報が入っていないようだし。 フィッシング (内閣官房 IT安心会議) では、フィッシング対策協議会はいまだに「設立に向けて、準備を進めております」となっているし。なんだかなあ。
正直、役に立ってないと思うのだが、続ける意味があるんだろうか。
》 情報セキュリティ県民セミナー 〜 セカンド・ステージ 〜 (カーネギーメロン大学日本校)。 2006年02月22日、兵庫県神戸市、無料。
》 ウイルス定義(DAT)ファイル4689でのExploit-QtPICTウイルス誤認について (マカフィー)。4690 で修正されているそうです。
風刺画:作者が反省の弁 キリスト風刺は掲載拒否していた (毎日, 2/10)。しょせんその程度。
風刺画:欧州とイスラム 文明の溝 (毎日, 2/9)。
[引用] ユランズ・ポステン紙は掲載理由に「表現の自由」を挙げるが、他紙の編集者は「同紙芸術部門には保守的で挑発を好む人物が多い。刺激的な話題を提供したかっただけだ」と手厳しい。ラスムセン政権は極右政党の閣外協力を得て移民規制を実施しており、他紙の記者は「ユランズ・ポステン紙は政府の移民規制に同調してきた。風刺画掲載の背景には同紙の対移民姿勢もある」と分析する。あと、このあたりかな。
[引用] 今回の事態についてヨルダンの政治評論家、ノムリ氏は「純粋な宗教問題ではない」と語る。ダマスカスでは4日、デンマーク、ノルウェー大使館が放火されたが、警察国家シリアで市民が自由に大規模なデモを行うことは事実上、不可能だ。アサド政権があえて阻止しなかったとの見方が一般的だ。ベイルートで5日起きたデンマーク総領事館放火でも逮捕された約330人の半数以上がシリア人やパレスチナ人だった。》 DDoS攻撃の犯人に禁固2年の判決,1億円以上の損害賠償も (日経 IT Pro, 2/9)。スペインでの話。
》 《 ESPIO! 》「捜査当局はサイバーファーム社を訪れていない」 (ESPIO!, 2/9)
[引用] 筆者が、2月6日に同社の前大阪事務所を訪れたのは、前述したとおり、「なぜ(きっこのブログ上で)突然サイバーファーム社の名前が浮上したのか、今後どういう法的対応を取る予定なのか、当事者の認識を確認」するためである。当のきっこのブログは、ますます爆進中という感じですが......。
関連:
》 米MS、ISA Server 2006ほかセキュリティ3製品のベータ版を一挙公開 (MYCOM PC WEB, 2/10)。ISA Server 2006、Antigen for Exchange、Client Protection だそうです。
》 【特集】どうする「寿命切れ迫るWindows XP」(第3回) メーカーで異なるセキュリティ・パッチの適用状況
[引用] Microsoftの資料によれば,SP2以降にリリースされたセキュリティ・パッチの数は34個にもなる。して検索すると、確かに 34 個出てくる......のだが、よくよく見ると、IE の累積的 patch が複数表示されていたりするのが謎。あと、先日ある場所で XP SP2 + patch 全部を適用した経験からすると、XP SP2 の適用にやたら時間がかかるのにくらべれば、post SP2 patch の適用はたいした問題ではないと思うし。
》 エログリッド・コンピューティング::CAPTCHA破れたり::CSRF対策関連 (hoshikuzu | star_dust の書斎, 2/10)。 Captcha (deq notes) ですか。
》 Turbolinux Enhancement Advisory TLEA-2006-4: Turbo アンチウィルス正規版リリース (Turbolinux, 1/25)。 SMP でリアルタイムスキャンが使えないという制限があるそうで。
》 [WindowsとUnicode] (葉っぱ日記)
↓の話的には、たとえばここで出てくる内容を「アンチパターン」として書き直すといいんだろうな。
》 バグを発見する典型的なやり方ってありますか? (slashdot.jp, 2/9)。 デバッグパターン (モノーキ) というページがあるんですね。で、ここに
[引用] プログラマ用セキュリティホールパターンってのが欲しいなとありますね。誰かやってください。memo ML にぼかすか投げてくれても全然いいです。
》 センター設備障害の発生について(2月10日 01:30現在) (ウィルコム)
[引用] 2月6日(月)17:58に発生したセンター設備のシステム障害のため、ウィルコム のEメールサービスに遅延が発生する状況となっておりましたが、本日のシステ ム増強により、2月10日(金)01:30に回復いたしましたので、お知らせいたします。「センター設備のシステム障害」とは何? その原因は?
日本語版: マイクロソフト セキュリティ アドバイザリ (913333): Internet Explorer の脆弱性によりリモートでコードが実行される可能性がある (Microsoft)
日本語版: マイクロソフト セキュリティ アドバイザリ (914457): Windows ACL に関する脆弱性の可能性について (Microsoft)
Google Desktop 3 の Search Across Computers 機能を有効にすると、ハードディスク内の文書ファイルを google にコピーされてしまう、という話。
[引用] 「Googleが、コンシューマーのファイルを自社サーバに格納しても許されると考えていることがショックだ」と電子フロンティア財団(EFF)の弁護士ケビン・バンクストン氏はinternetnews.comに語った。関連: Google Copies Your Hard Drive - Government Smiles in Anticipation (EFF, 2006年02月09日)
[引用] "Coming on the heels of serious consumer concern about government snooping into Google's search logs, it's shocking that Google expects its users to now trust it with the contents of their personal computers," said EFF Staff Attorney Kevin Bankston. "Unless you configure Google Desktop very carefully, and few people will, Google will have copies of your tax returns, love letters, business records, financial and medical files, and whatever other text-based documents the Desktop software can index. The government could then demand these personal files with only a subpoena rather than the search warrant it would need to seize the same things from your home or business, and in many cases you wouldn't even be notified in time to challenge it. Other litigants -- your spouse, your business partners or rivals, whoever -- could also try to cut out the middleman (you) and subpoena Google for your files."Google Desktop「使ってはいけない」——EFFが消費者に勧告 (ITmedia, 2006年02月11日)
今月は数がありますね......。
加えて、Microsoft Update / Windows Server Update Services (WSUS) では、セキュリティ以外の優先度の高い更新プログラムが 1 つ流れてくるそうです。
関連: 2 月のリリース予定 (日本のセキュリティチームの Blog, 2006年02月10日)
[引用] 今月は Windows Media Player の更新が MBSA などによる通常の方法で更新の適用を検査できないため、EST が別途提供されます。公開後の展開と検査にはご注意を。Microsoftパッチ情報 - 2006年2月 (eEye Security Bulletin日本語版) (eEye / 住商情報システム)。高橋さん情報ありがとうございます。
》 スパイバスター2006: ウイルスバスター2006のスパイウェア対策機能との違いについて (トレンドマイクロ, 2/9)
[引用] 各製品には以下のような違いがあります。CWShredder については、たとえば CWShredderによるCoolWebSearchの除去 (アダルトサイト被害対策の部屋) をみればいいわけで。 ウイルスバスター 2006 利用者にとっては、「履歴管理機能」が必要かどうかだけがポイント、ということなのか?
》 [openmya:032384] mixi障害。 へぇ。今は復活してますね。
》 続・可用性と安全性 (極楽せきゅあ日記, 2/8)。乱暴かなあ......。ランボー怒りの脱出。(ジェームズ・キャメロンのオリジナル脚本読みたいなぁ......)
》 Modern password hashing for your software and your servers (openwall.com)。 bcrypt() 互換で bcrypt() より速い crypt_blowfish だそうです。
》 企業PCのOffice、68%が「特許侵害コード入り」 -- 米調査 (ITmedia, 2/8)、 米Microsoftの特許侵害判決で,「Office」企業ユーザーの22%がアップグレードの必要あり (日経 IT Pro, 2/9)。 元ねたは AssetMetrix offers new report to help assess the effect of Microsoft Office and Access updates (AssetMetrix, 2/6) だそうです。
》 Microsoft、PC向けセキュリティサービスを6月正式提供〜年額49.95ドル (Internet Watch, 2/8)。Windows OneCare Live の話。
》 ウイルス「BlackWorm」がインドやペルーで感染を拡大〜米CAIDA調査 (Internet Watch, 2/7)。しかしなぜインドやペルーなんだろう......。
》 センター設備障害の発生について(2月9日 11:00現在) (ウィルコム, 2/9)。あいかわらず続いているようで。
[引用] 現在もメールの遅延が一部継続しております。それにしても、原因は何なんだろう。 spam が原因ではないかという話 (slashdot.jp) もあるようだが......。
...... 19:00 版が出てるけど、「更なるシステム増強」が完了した、とは書かれていないなあ。
》 【続報】ウィルコムのメール遅延問題復旧へ (日経 IT Pro, 2/8)、センター設備障害の発生について(2月8日 12:00現在) (ウィルコム)。『「pdxドメイン」の全Eメールサービス』に『センター設備障害によるEメール送受信の遅延』が発生しており、『回復傾向にありますが障害は継続中』だそうです。 関連: ウィルコムのメール通信障害、40時間経過も継続中 (ケータイ Watch, 2/8)
......21:00 版:
[引用] 本日8:00時点で一旦、回復傾向とお知らせしておりましたが、昼頃から再度Eメールの滞留が増加傾向となっており、現在に至っております。悲惨な状況になってるようで......。
》 MVP Insider: February 2006 (Microsoft)。日本語版マダー? (チン、チン)
》 レーダーの便名表示に不具合 (NHK, 2/8)。
[引用] 旅客機に搭載されているアメリカ製の特定の無線装置に不具合が起きて、国際基準と異なる電波が出ており、旧型のレーダーでは受信できるものの、中部国際空港で使用している新しいタイプのレーダーでは受信できないことがわかりました。》 BSE:へたり牛20頭が食肉処理 米農務省監査報告書 (毎日, 2/8)
》 Eyeballing NSA Threat Operations Wizardry (cryptome)
》 英国防相 年内の撤退を表明 (NHK, 2/8)
》 「非姉歯」偽装、関与の建築士処分へ 福岡県立ち入り検査 (asahi.com, 2/8)、耐震偽装、業者「不備あったかも」 意図的偽造は否定 (asahi.com, 2/8)
こんな話もあるそうです: 熊本県、基準値下回る物件を報告せず (TBS, 2/8)、耐震偽造:熊本県のマンション、ホテルの6件に強度不足 (毎日, 2/8)
対立に油を注いでいる人がいるようだなあ。注ぐともうかるんだろうなあ。
北欧のメディア系には「風刺するのは自由だもんね」という意見があるようだ。 でも、「俺達キリスト教だけど、ウチらの神様なんか毎日風刺しちゃってるんだから、イスラムの人も理解してよ」 とかいう話ならまだしも、そういうことではないらしいのがなあ。
》 伊藤元長官:三男の会社が、献金先から業務大量受注 (毎日, 2/7)
》 映画『ホテル・ルワンダ』主人公 ポール・ルセサバギナ氏初来日: 今、アフリカで何がおこっているか (ピースビルダーズ・カンパニー)。発言全文が読めます。
ホテル・ルワンダの京都での上映は、京都みなみ会館で、2/18 から。うぉう、ティム・バートン祭なんてやってたのね。 滋賀では滋賀会館シネマホールで上映される模様。
》 可用性と安全性 (極楽せきゅあ日記, 2/8)。スクリプトを自由に使いたい? 「自由がほしけりゃ自分で鯖立てな」で議論終りだと思うが。
》 JVN オンラインアンケートご協力のお願い (JVN)。自由記入欄もあるので、文句をばしばし言ってあげてください。
》 2/25(土)「セキュリティTIPS講座」好評につき再度開催! (PASSJアフタースクール)。2006年02月25日、東京都渋谷区、3000円。 SQL Server なお話です。
High Risk Vulnerability in Lexmark Printer Sharing Service (NGSSoftware)。patch なし。回避方法が示されている。
[SA18766] Linux Kernel ICMP Error Handling Denial of Service。Linux 2.6.15.3 で修正されているそうな。
アラート/アドバイザリ:CVE-2005-1929 ISAPIモジュールに存在するバッファオーバーフローの脆弱性の悪用に備えたセキュリティ対策方法 (トレンドマイクロ, 2/8)。
用の patch が用意されています。
QNX ねた。ことごとく直ってないようで:
IE 5.01 SP4 / 5.5 SP2 に欠陥。攻略 WMF ファイルによって任意のコードの実行が可能な模様。 IE 6.0 SP1 / SP2 にはこの欠陥はないため、IE 6.0 SP1 / SP2 + MS06-001 に移行することで回避できる。MS06-001 とは別の話なので注意。
これは [UPDATE]Microsoft Windows GRE WMF Format Multiple Unauthorized Memory Access Vulnerabilities の話のつづきのようだ。
日本語版: マイクロソフト セキュリティ アドバイザリ (913333): Internet Explorer の脆弱性によりリモートでコードが実行される可能性がある (Microsoft)
Internet Explorer 用の累積的なセキュリティ更新プログラム (910620) (MS06-004) (Microsoft) で修正された。ただし IE 5.01 SP4 のみ。 Windows Me 上の IE 5.5 SP2 は 2005年12月31日 でサポート期限が切れており、修正されない。 IE 6.0 SP1 へのアップグレードによって対応するしかない。
関連:
MFSA 2006-04 の攻略コードが公開 (Linux 用、Mac 用) されたため、MFSA 2006-04 の重要度が「中」から「高」に引き上げられました。
Microsoft Security Advisory 登場: Microsoft Security Advisory (914457): Possible Vulnerability in Windows Service ACLs (Microsoft)。Windows XP SP1 / Server 2003 gold には影響するが、XP SP2 / Server 2003 SP1 には影響しないそうだ。 Suggested Actions → Workarounds に、回避方法が記載されている。
CVE: CAN-2006-0023
Java 2 Platform Standard Edition (J2SE) に欠陥。 reflection API の利用において 7 つの欠陥があり、 信頼されないアプリケーションが local file の読み書きをできたり、local アプリケーションを実行できたりといった権限上昇が可能。
7 つ全てを解決するには、JDK / JRE 5.0 Update 6 以降、SDK / JRE 1.4.2_10 以降、SDK / JRE 1.3.1_17 以降に移行する。新しいバージョンを単にインストールしただけでは、昔のバージョンが残ったままとなるので、古いものについてはアンインストールすること。
CVE: CVE-2006-0614 CVE-2006-0615 CVE-2006-0616 CVE-2006-0617
Java 2 Platform Standard Edition (J2SE) 5.0 の Update 5 以前に含まれる Java Web Start に欠陥。 信頼されないアプリケーションが local file の読み書きをできるようになるといった、権限上昇が可能。 J2SE 1.4.x 以前に含まれる Java Web Start、あるいは Java Web Start 1.0.1_02 以前には、この欠陥はない。
J2SE 5.0 Update 6 以降で修正されている。また、Advisory には回避方法も示されている。修正を適用できない場合には参照されたい。
CVE: CVE-2006-0613
》 フィッシング詐欺 容疑で25歳男を初逮捕 警視庁 (毎日, 2/7)
》 スパイウエア 不正送金させた作成者を初起訴 東京地検 (毎日, 2/7)
》 客の乗船禁止、エジプトのフェリー 安全に欠陥とサウジ (CNN, 2/7)
》 8色プリンター使用、出来は粗悪 大量偽札事件 (asahi.com, 2/7)。
[引用] 初詣での混雑を狙い、全国の寺院や神社で1000枚以上の偽1万円札が使われた事件は、単独グループによって偽造された疑いが濃厚になった。グループは市販品のなかでも高性能の8色プリンターを使い、年末年始の約1週間を狙って集中的にばらまいていた。》 ATM生体認証:「指」と「手」相互利用へ 全銀協が方針 (毎日, 2/7)
》 風刺漫画問題、デンマーク製品ボイコット広がる (CNN, 2/7)
》 1000郵便局の業務集約 集配と郵貯・簡保の営業 日本郵政公社が方針 (中日, 2/7)。序章という奴でしょうか。
》 高速道路、結局は全線建設 税投入約3兆円 国幹会議 (asahi.com, 2/7)。小泉改革ですから。
》 イラン核問題:繰り返される不正義 (田中宇の国際ニュース解説, 2/7)
[引用] フセインは、大量破壊兵器を廃棄した後も、自国の安全保障のために、あたかも兵器を保有し続けているかのような言動を繰り返していたが、これが逆に命取りとなった。こうしたイラクの悲劇を見て、イラクと並んで「悪の枢軸」に指定されたイランと北朝鮮は、欧米に武装解除を求められても、一歩も譲歩しなくなった。武装解除に応じても、アメリカは「まだ武器を持っているはずだ」と言いがかりをつけ、いくら「もうないです」と言っても信じてもらえずに潰されるのが落ちだからである。ようやくロシア方面の話を読んでみたりする今日このごろ:
あと、USA の不動産バブルの話も出てましたね: アメリカ発の世界不況が起きる (1/25)。
》 マイクロソフトの「Windows OneCare Live」、夏までにはリリースへ (CNET, 2/7)
》 シマンテック、W-ZERO3にも対応したPDA向けウイルス対策ソリューション (Enterprise Watch, 2/7)。Symantec AntiVirus for Handhelds Corporate Edition 3.5 だそうです。
》 日商エレ、"LANのための"インライン型セキュリティアプライアンス−最大スループットは10Gbps (Enterprise Watch, 2/7)。ほぉ。
》 ウイルスバスター2006 のメイン画面が文字化けする (トレンドマイクロ)。「ウイルスバスター2006はUnicodeには対応していません」だそうです。
......まっちゃさんの指摘により、KB が改訂されました (情報ありがとうごさいます)。
[引用] ウイルスバスター2006のユーザインターフェースはUnicodeには対応していません。だめなのは UI だけで、ウイルスバスター2006の本体機能は Unicode に対応しているそうです。
》 Mozillaで弱い暗号を使わない設定と銀行サイトで利用可能な暗号 (高木浩光@自宅の日記, 2/6) で紹介されている Mozilla Firefox における弱い暗号化を無効化する設定 (おおいわのこめんと (2005年09月24日)) を、手元の Firefox 1.5.0.1 でやってみた。
about:config で、フィルタ項目として「ssl2」「_40」「_56」「_60」「_des_sha」を設定したときにリストされるものを、ことごとく false した。Mozilla Firefox における弱い暗号化を無効化する設定では rc4_128 の無効化も推奨しているが、Mozillaで弱い暗号を使わない設定と銀行サイトで利用可能な暗号を見る限りではちょっと厳しいかな、と思ったのでやめておいた。
》 侵入傾向分析レポート Vol.5 (LAC JSOC) が出ています。
》 メールアドレスの偽装 (葉っぱ日記, 2/7)。もちろん欠陥ではありませんね。 『宛先欄が「表示名」のみでメールアドレスが表示されない MUA 』の代表例が Outlook Express というだけで。(笑)
》 セキュリティ製品「FortiGate」がバージョンアップ,Winnyや"IMウイルス"に対応 (日経 IT Pro, 2/7)
》 Microsoft Developer Security Day (Microsoft)。2006年03月02日、東京都品川区、無料。
》 次期Webブラウザ「Opera 9」にBitTorrentプロトコルを搭載 (日経 IT Pro, 2/7)。うーむむむ......。BitTorrent ってコネクション張りまくるみたいなので、proxy 型とか NAPT 型とかの firewall とは相性よくないと思うんですよね。
》 The Nyxem Email Virus: Analysis and Inferences (caida.org)
》 教訓はなぜ生かされなかったのか (日経 IT Pro, 2/6)。ワコール話。というか、NEC ネクサソリューションズのすごい対応話。いやはや。
[引用] ワコールはECサイト再開にあたり,システムに運用委託先をNECネクサソリューションズから親会社のNECに変更した。アプリケーションの入力データ・チェックの強化,侵入検知ソフトのバージョンアップなどを実施,セキュリティ専門企業ラックのセキュリティ診断を行った。今後も第3者による定期的なセキュリティ診断を行うとともに,情報セキュリティ専門部署を新設した。》 VMware、仮想PC作成・実行ソフトのサーバー版「VMware Server」を無償公開 (窓の杜, 2/6)
》 ウイルス検索エンジン VSAPIに関するサポート提供期間の変更予定と今後の製品提供予定 (トレンドマイクロ, 1/30) について、まっちゃさんから情報をいただきました (ありがとうございます)。以前の状況は、webarchive.org で知ることができるそうです。昔の状況:
[引用] 最新バージョンのリリース日から、過去1年未満にリリースされたものがサポート対象となります。》 携帯違法貸借 身元を確認せず携帯貸与に有罪〜〜名古屋地裁判決 (毎日, 2/3)
》 米盗聴問題 民間団体、通信大手を提訴 (毎日, 2/3)
》 周産期医療の施設格差が明らかに 37施設のうち5施設で死亡率が20%超える (日経 MedWave, 1/31)
》 知的財産本部 著作権法改正など提言 (毎日, 2/2)
[SA18740] Microsoft HTML Help Workshop ".hhp" Parsing Buffer Overflow
[SA18733] Heimdal rshd Server Privilege Escalation Vulnerability。 Heimdal 0.7.2 / 0.6.6 で修正されているそうです。
KDE Security Advisory: kpdf/xpdf heap based buffer overflow (KDE) が改訂され、影響範囲が KDE 3.4.0〜3.5.1 から KDE 3.3.0〜3.5.1 に変更されている。patch は KDE 3.3.x にも適用できる。
閲覧しているページのURLを送信するツールバー類のリスクとその機能説明 (高木浩光@自宅の日記, 2006年02月05日) のうしろの方に、関連情報がある。 ウイルスバスター 2006 に、いつのまにか、記述が少し追加されたようだ。 しかしこれでは、販売当初から使っている人には伝わらないし......。
関連:
》 適切な脆弱性修正告知の習慣はなんとか広まらないものか (高木浩光@自宅の日記, 2/5)
[引用] どんな情報を公表するのが推奨されるかは、上のように一応書かれてはいる。だが、これではわからないベンダーも少なくないのではないか。なぜその情報の公表が求められるのか理由を示しつつ、具体的なお手本例を示すなどしないと、慣れていない人にはパッと見でわからないのだろうと思う。そんなバカな、そこまで無知無教養なベンダー担当者が「少なくないのではないか」だって?! と思うのだが、少なくとも実例は存在するようですね。 しかし、Microsoft Security Advisory を読んだこととかないのかなあ。
》 「南京虫」急増で観光業界に打撃、年間被害額88億円 豪州 (CNN, 2/6)
》 東芝:米WH社の全株式取得契約 原子力で世界戦略を展開 (毎日, 2/6) だそうです。 そういえば [AML 5834] ◆だいやまーく【特集】空母原子炉の危険『核兵器・核実験モニター 251 号』発行! というのもあった。
》 重大インシデント報告遅れ 国がJR東日本に厳重注意 (asahi.com, 2/6)
》 東横イン、60件で法令違反 (読売, 2/6)、全国の東横インの施設改造状況等の調査結果(2月6日) (国土交通省, 2/6)
》 東横イン刑事告発、各自治体へ要請...国交省方針 (読売, 2/6)、 東横イン社長謝罪「全部私の責任」 改造経緯、言葉濁す (asahi.com, 2/6)、 東横イン偽装工事問題 命令出さぬ行政に限界 (asahi.com, 2/6)
》 WMF脆弱性を狙う攻撃コードは闇取引の「商品」だった——Kaspersky Lab (ITmedia, 2/6)
》 カード情報流出のワコールサイト再開 再発防止へ管理強化 (ITmedia, 2/6)、 今回実施したシステム上のセキュリティ強化策・ 情報管理体制強化策について (ワコール, 2/6)。LAC 印。
》 アメリカの国家犯罪全書 という書籍があるんですね。
》
SMTPCommander。
Multipurpose Remote Administration Tool via SMTP Email
だそうです。
》
Medusa (foofus.net)。speedy, massively parallel, modular, login brute-forcer for network services
だそうです。
》 Tools (Information Security Arhont)。こんなツールが掲載されている。
》 【MDC2006】どんなソフトが動かなくなる?---Vistaの重要な仕様変更点が明らかに (日経 IT Pro, 2/3)
》 VMware GSX Server無償化か? (slashdot.jp, 2/4)
》 JAL、キャンペーン応募者全員22,673名に当選メールを誤送信 (Internet Watch, 2/6)。オペミスだそうです。でもなぜオペミスしたのだろう。 日本航空グループ関西地区限定キャンペーンにおける当選メールの誤送信につきまして (JAL, 2/4)
》 ACCSの個人情報流出事件、ファーストサーバと和解し「すべて終了」 (Internet Watch, 2/6)
》 System Virginity Verifier 2.2(SVV 2.2) (tessyの日記, 2/1)
》 Hitachi Incident Response Team のページができています。 最新のセキュリティ情報 に、JVNRSS 形式の RSS 配信があるのがおもしろいですね。
》 [ウイルスバスター2006 迷惑メール対策ツール(OutLook Express版)]がインストールされていると、ラベルマイティのインストールができない (トレンドマイクロ, 2/6)
》 WSUSサーバでクライアントが表示されない場合の対処法 (@IT, 2/4)
[引用] ディスク・クローン・ツールで作成したクローン・イメージ・データを元にして複数のクライアント・コンピュータを展開した場合など、WSUSが管理用として使用するレジストリ値に同じクライアントIDが使用されていると、WSUSサーバ側でクライアントが正しく表示されないという障害が発生する。(中略) この問題を解消するには、クライアント・コンピュータ側で当該レジストリ値を削除して、コンピュータを再起動してみる。》 セキュリティ要件をどうRFPに盛り込むか (@IT, 2/4)
》 不発に終わった「Kama Sutraワームの大流行」--専門家の反応に隔たり (CNET, 2/6)
》 政府のセキュリティ戦略「第1次情報セキュリティ基本計画」が正式策定 (MYCOM PC WEB, 2/3)
》 ニューヨークの会社、偽スパイウェア対策ソフト販売で告訴される (Sophos, 1/25)
》 ジャパンネット銀行、「全顧客にSecurID配布」の理由 (ITmedia, 2/3)
》 ロシア証券取引所がウイルス感染でダウン (ITmedia, 2/4)。すごいな。 Computer virus forces suspension of Russian stock exchange (Sophos, 2/3) の件。
》 Norton AntiVirusがSleipnir 1.66を誤検出、すでに修正済み (Internet Watch, 2/6)。 2006年02月01日 rev.21 で問題が発生、2006年02月02日 rev.23 で修正されたそうです。
》 ロジテック、2系統入力19型液晶 「LCM-T193AD/S(S)」に不具合 (PC Watch, 2/6)
》 米駆逐艦爆破テロの主犯格ら23人脱獄 インターポール (CNN, 2/6)
》 番組不正コピーのネット流出防止、監視組織発足で合意 (読売, 2/5)
》 預言者の風刺漫画への抗議が過激化、大使館放火相次ぐ (読売, 2/5)。戦火がどんどん拡大しているようです......。
》 DShield is Famous (SANS ISC, 2/6)。わはは、確かに Talisker Computer Network Defense Operational Picture (securitywizardry.com) が 写ってますね。
》 Trojan.Vundo の駆除ツール(Symantec 駆除ツール & VundoFix)の使い方 (アダルトサイト被害対策の部屋)
続報:
More on the workaround for the unpatched Oracle PLSQL Gateway flaw (bugtraq)。上記の mod_rewrite 設定には副作用があったそうで、改良版が示されている。
[引用]
RewriteEngine on
RewriteCond %{QUERY_STRING} ^.*\).*=|.*%29.*=$
RewriteRule ^.*$ http://127.0.0.1/denied.htm?attempted-attack
RewriteRule ^.*\).*|.*%29.*$ http://127.0.0.1/denied.htm?attempted-attack
関連:
SYM06-002: Symantec Sygate Management Server : SMS 認証サーブレットに SQL 挿入の脆弱性 (シマンテック)。マクニカ経由で patch を入手できるようです。
IronMail 5.0.1 Denial of Service Protection Lets Remote Users Deny Service。直ってません。
FreeBSD-SA-06:08.sack - Infinite loop in SACK handling。 FreeBSD 5.3, 5.4 の欠陥。 SACK (Selective Acknowledgement) の処理に欠陥があり、TCP/IP スタックが無限ループに入ってしまうことがある。
patch があるので適用すればよい。 また、FreeBSD 5.4 では、sysctl net.inet.tcp.sack.enable=0 することで回避できる。 CVE: CVE-2006-0433
KDE Security Advisory: kpdf/xpdf heap based buffer overflow (KDE)。 KDE 3.4.0〜3.5.1 に影響。patch があるので適用すればよい。
VSR Advisory: IBM Tivoli Access Manager - Web Server Plug-in File Retrieval Vulnerability。 CVE: CVE-2006-0513。 patch があるそうです。
[SA18681] CA Products Message Queuing Denial of Service。patch があるそうです。
KDE Security Advisory: kpdf/xpdf heap based buffer overflow (KDE) が改訂され、影響範囲が KDE 3.4.0〜3.5.1 から KDE 3.3.0〜3.5.1 に変更されている。patch は KDE 3.3.x にも適用できる。
はてなにおいて、<table> の background 属性に javascript: URI を指定できてしまったそうで、それを利用した罠ページによる攻撃が一時的に流行ったようです。 既に修正されているそうです。
関連: はてなダイアリー本体のXSS脆弱性 (hoshikuzu | star_dust の書斎, 2006年02月04日)
》 【NET&COM2006速報】「このファイルは自動的に消滅する」,エヌ・エス・イーなどが情報漏えい防止製品の新版を発売 (日経 IT Pro, 2/1)。早撃ち 0.3 秒のプロフェッショナル......(それは次元)
》 だれも得をしない「Windowsソース・コード開示ライセンス」 (日経 IT Pro, 1/30)
[引用] EUの制裁措置で規定された文書は,Windowsとの通信方法について開発者の理解を助けるものである。つまり,Windowsのプロトコルおよびインタフェースとどうやり取りするかが記述された文書だ。しかしWindowsのソース・コードは極めて複雑であり,一部分だけを切り出したソース・コードでは,ほとんど理解の助けにならない。MicrosoftはWindowsのソース・コード開示に関する今回の大きな発表によって,壮大な提案が実はEUの要求を満たしていないという事実を覆い隠そうとしているのだろう。》 任意の時点のデータを復元できる高信頼性Linux用ファイル・システム「NILFS」,NTTが無償公開 (日経 IT Pro, 2005年09月26日)。 NILFS (nilfs.org) をみてみると、version 1.0.5 が 1/30 に出ていますね。
》 中国上空を覆う煙霧が悪化:日射量が減少 (WIRED NEWS, 1/31)
》 間違いだらけの個人情報保護、 書籍が発売されたようですね (インプレスダイレクト)。いろいろと話題になっていた部分は、結局どのように記述されているんだろう。
》 オープンソース・ソフトウエアの流用を検出するツール,バイナリの検査も可能に (日経 IT Pro, 1/30)。protexIP (テンアートニ) だそうです。
》 経産省がシステム障害防止の指針作成、東証などのトラブルを受け (日経 IT Pro, 1/30)
》 静かなオフィスに突然訪れる危機 (日経 IT Pro, 1/31)
》 L2Blocker という製品があるのですね。非登録 MAC アドレスからの接続を妨害するそうです。L2Blocker の箱自体は OpenBlockS だそうです。スタータキット 38 万円。
》 個人情報漏えい事件を斬る(28): 「個人情報漏洩罪」の新設で,従業者の不注意は防げるか? (日経 IT Pro, 2/2)
Windows Access Control Demystied (princeton.edu) の話。 Windows XP において、local の guest user や制限ユーザが local SYSTEM 権限などの上位の権限を取得する方法が、OS そのものや、よく利用される 3rd パーティツールに複数存在するそうだ。たとえば Authenticated Users グループは SSDP Discovery Service や Universal Plug and Play Device Host Service の「サービスを設定する権限」を所有しているので、次のようにすれば local SYSTEM 権限で c:\attack.exe を実行できるのだそうだ。
[引用]$ sc config weakService binPath=c:\attack.exe obj=".\LocalSystem" password="" $ sc stop weakService $ sc start weakService2006年02月08日 追記:
Microsoft Security Advisory 登場: Microsoft Security Advisory (914457): Possible Vulnerability in Windows Service ACLs (Microsoft)。Windows XP SP1 / Server 2003 gold には影響するが、XP SP2 / Server 2003 SP1 には影響しないそうだ。 Suggested Actions → Workarounds に、回避方法が記載されている。
CVE: CAN-2006-0023
2006年02月10日 追記:
日本語版: マイクロソフト セキュリティ アドバイザリ (914457): Windows ACL に関する脆弱性の可能性について (Microsoft)
2006年02月17日 追記:
マイクロソフト セキュリティ アドバイザリ (914457): Windows ACL に関する脆弱性の可能性について (Microsoft) が更新されている。
[引用] 2006年2月15日: Windows XP Service Pack 2 および Windows 2000 で特定されたサービスの詳細が追加されました。これによると、次のサービスが該当する (欠陥がある) そうだ。
Windows XP SP2 / Windows Server 2003 SP1 の場合は何も該当しない (OS には欠陥はない)。
アドバイザリが改訂されました。
[引用] ソフトウェアの開発者に、サービスのためのセキュアなアクセス管理の適用方法の追加情報および最善策に関して、サポート技術情報 914392 (中略) をご覧になることを推奨します。だそうです。sc sdshow service_name なんてコマンドがあったのね。
patch 出ました: 制限の少ない Windows サービスの DACL により、特権が昇格される (914798) (MS06-011) (Microsoft)。 これにあわせて、 マイクロソフト セキュリティ アドバイザリ (914457): Windows ACL に関する脆弱性の可能性について (Microsoft) も更新されています。
制限の少ない Windows サービスの DACL により、特権が昇格される (914798) (MS06-011) の Windows XP SP1 / Server 2003 gold 用 patch が改訂されたそうです。
[引用] Windows XP Service Pack 1 では、この更新プログラムはサービスの随意アクセス制御リスト (DACL) を Windows XP Service Pack 2 と同じ設定にします。どのサービス パックもインストールされていない Windows 2003 では、選択されたサービス ACL を Windows 2003 Service Pack 1 と同じ設定にします。914798 - [MS06-011] 制限の少ない Windows サービスの DACL により、特権が昇格される (Microsoft) も参照。
ファイルパーミッションの脆弱性に関するセキュリティ情報(Creative Suite 2.0) (Adobe) の話。Windows および Mac OS 版の Adobe Creative Suite 2.0、Adobe Photoshop CS2、Adobe Illustrator CS2 に、不適切なファイルパーミッションが設定されるため、権限のないユーザによってファイルが改変され得る欠陥がある。 patch が公開されているので適用すればよい。
》 反発強めるイスラム諸国 預言者の漫画掲載問題 (CNN, 2/3)、ムハンマドの風刺画、波紋さらに広がる (TBS, 2/3)
[引用] サウジアラビアがデンマークに駐在する大使を召還したほか、リビアではデンマークの大使館が閉鎖されるなど、外交問題にまで発展しています。》 ラニーニャ発生発表、大型ハリケーン予想も (CNN, 2/3)
》 移動制限をすべて解除 鳥インフルエンザで茨城県 (asahi.com, 2/3)。やっとのことで終息したようです。
[引用] 最初に発生が確認された昨年6月以降、県内12区域の発生養鶏場を中心とした半径5キロ圏内の鶏の移動が制限され、計216万羽が対象になった。(中略) 県畜産課によると、家畜伝染病予防法に基づき、蔓延(まんえん)防止のために殺処分命令を受けた鶏は37養鶏場の326万羽に上り、3日現在で経営を再開できたのは7養鶏場にとどまっている。とんでもない数だよなあ。
》 Microsoft Learning Path for Security (Microsoft)、Learning Path サイトをオープンしました (日本のセキュリティチームの Blog, 2/3)
》 ウェブアプリケーション開発者向けセキュリティ実装講座の開催について (IPA, 2/3)。2006年02月28日 (火)、東京都文京区、無料。 事前予約 80 名限りなので、興味のある人は急げ。
》 鵜飼裕司の Security from USA (日経 IT Pro)。新連載のようです。 高橋さん情報ありがとうございます。
個人的には、星澤裕二のSecurity Watch の更新されなさ加減の方が気になっていたりしますが......。お忙しいのだろうか。
》 Secure Shellが標準化に向けて一歩前進 (ITmedia, 2/2)。RFC 出た話。
OpenSSH 4.3 / 4.3p1 も出てます。 iida さん情報ありがとうございます。 [SA18579] OpenSSH scp Command Line Shell Command Injection が修正されてます。
》 CA、最も軽快なウイルス対策ソフト「eTrust イージーアンチウイルス 2006」 特別優待価格1,980円で販売開始 (CA, 2/2)。今日から。
》 企業データの情報漏洩・セキュリティ対策に テープメディアのデータを一瞬で消去する 「 高抗磁力メディアイレーサー ME19 」 2006年2月6日より新発売! (イメーション, 2/3)。 イレーサー/マルチメディアシュレッダーに、イメーションのそれ系製品の一覧がある。
》 議会で逮捕の戦士米兵の母、警察が謝罪、訴追せずと (CNN, 2/2)
》 安全管理のずさんさ指摘 米監査機関、BSE対策で (京都新聞, 2/3)、牛肉輸入は査察施設に限定を (NHK, 2/3)。
松田食品安全相が迷走答弁、参院予算委が断続的中断 (読売, 2/2) という話もあったそうで。
》 05年の通信傍受は5件 初めて殺人事件でも (産経, 2/3)
Firefox 1.5.0.1 登場 (リリースノート)。8 種類のセキュリティ欠陥が修正されている。いくつかの問題は Firefox 1.0 や Mozilla 1.7 にも影響する。 Firefox 1.0 については、1.0.8 というバージョンで修正される予定のようだ。 Mozilla 1.7 については、後継バージョンである SeaMonkey 1.0 で修正されている (リリース日が「2005 年 1 月 30 日」になっているが、2006 年の間違い)。 全ての問題は Thunderbird 1.5 にも影響するが、Thunderbird 1.5 ではデフォルトで JavaScript は無効になっているため、MFSA 2006-07 を除いては回避できている。
| 欠陥 | CVE | 他への影響 | 回避方法 | ||
|---|---|---|---|---|---|
| Thunderbird 1.5 | Firefox 1.0 | Mozilla 1.7 | |||
| MFSA 2006-01 | CVE-2006-0292 CVE-2006-0293 |
有 | 有 | 有 | JavaScript を無効にする |
| MFSA 2006-02 | CVE-2006-0294 | 有 | なし | なし | JavaScript を無効にする |
| MFSA 2006-03 | CVE-2005-4134 | なし | 有 | 有 | ブラウズ履歴の保存を無効にする |
| MFSA 2006-04 | CVE-2006-0295 | 有 | なし | なし | JavaScript を無効にする |
| MFSA 2006-05 | CVE-2006-0296 | 有 | 有 | 有 | JavaScript を無効にする |
| MFSA 2006-06 | CVE-2006-0297 | 有 | なし | なし | JavaScript を無効にする |
| MFSA 2006-07 | CVE-2006-0298 | 有 | なし | なし | なし |
| MFSA 2006-08 | CVE-2006-0299 | 有 | なし | なし | JavaScript を無効にする |
MFSA 2006-04 の攻略コードが公開 (Linux 用、Mac 用) されたため、MFSA 2006-04 の重要度が「中」から「高」に引き上げられました。
》 ライブドア—武富士—崇仁協議会 (ESPIO!, 2/1)
》 再生インク・カートリッジ訴訟、なぜキヤノンが逆転勝訴したのか (日経 BP, 2/1)
》 「ようやくRed Hat Enterprise Linux 4を基幹システムへ適用可能に」,NECがExpress 5800での拡張サポート開始 (日経 IT Pro, 1/31)
[引用] 米国での発売から1年弱という時間がかかったのは,ext3ファイル・システムを利用している際,高負荷状態で3日程度継続運用すると,メモリー・リークが発生し停止する場合があるという問題を完全に解決できなかったためだ。RHEL というのはそういう品質で、NEC はそれをちゃんとみつけてダメを出せるということなのか、「要求キツすぎ、ふつーはそんなこと気にしないで済む程度の負荷になるように構成するもんだろ」ということなのか。
》 BlackHole DNS for Spyware (bleedingsnort.com) というものがあるのですね。
》 横浜市などで震度4、東海道線など4時間ストップ (読売, 2/1)。ひっかかった人はたいへんだったみたいですね。 (ひっかからなくてたすかった......)
》 Two-Way Firewall in Windows Vista and Microsoft OneCare (SANS ISC, 1/31)。Windows Vista の firewall は外向きについても制限できるものになるそうです。
》 青土社 から、現代思想 2006年2月増刊号「総特集 フランス暴動 階級社会の行方」という本が出るそうです。 (なぜか説明が掲載されていないのですが......。amazon では予約受付中になってました)
はてなツールバー 1.5.4 以前に欠陥。
[引用] 利用者が、セッション管理情報などの機密情報を URL に含むウェブページにアクセスした際に、その機密情報を含む URL 情報が、保護されない状態で「はてなサーバ」へ送信されてしまう問題がありますはてなツールバー 1.5.5 で修正された。
[引用] 2006年1月27日・・・v1.5.5関連:
まあ、そういうことで。2005 年の状況についても追加報告してほしいなあ。
Windows OneCare のファイアウォール、というものがあったんですね。
[引用] 「確かに、OneCareのファイアウォールは、ユーザーに通知せずにデジタル署名付きのアプリケーションとJVMの通信を許可する。だが、これはセキュリティリスクにはならないはずだ」というのがMicrosoftがブログで記した趣旨だ。当該ブログを見ると、このデフォルト動作を変更する方法はあるようです。
》 Breplibot.ae というウイルスが F-Secure の名でばら撒かれているらしい (もちろん F-Secure は無関係)。
》 おススメの本 その1 (高木浩光@自宅の日記, 1/29)。 これならわかる不正アクセス対策 入門の入門 (翔泳社) がおすすめだそうです。
》 米エンロン社の電子メール150万通:その利用法 (WIRED NEWS, 2/1)
[引用] スパム対策プログラムを販売している米インボクサー社は、この電子メールのアーカイブを新製品のテストに利用している。ライブドアのメールが公開される......ことは、ないんだろうなあ。
》 「南極巨大氷床の崩壊」が現実に? 英政府が警告 (WIRED NEWS, 2/1)
》 IE 7 Beta 2が公開ベータテスト、一般利用者もダウンロード可能 (Internet Watch, 2/1)。
[引用] IE 7のユーザーエージェントストリングとして「MSIE7.0」と表示されることから、多くのサイトで表示できなくなる問題が予想されており、そうした単純な問題への対処は重要になるだろう。》 大豆イソフラボン過剰摂取でホルモンバランスを崩すおそれ 食品安全委の報告書案 (FNN, 2/1)。食品安全委員会のページにはそんな話はないようだけど......?
》 匿名発表:大麻で逮捕した市議長の二男伏せる 鹿児島県警 (毎日, 2/1)
》 NEC:「バリュースター」無償修理 静音のはずが異音 (毎日, 2/1)、 お知らせ (121ware.com, 2/1)。
》 東横イン 78のホテルで改造 (NHK, 2/1)
[引用] これまでに全体の60%を超える78のホテルで改造などが行われていたことがわかりました。フツー無断改造、ですか......。
》 イラクの陸上自衛隊、政府が3月中旬撤収開始で調整 (読売, 2/1)
》 岡山大などで大量不正コピー (NHK, 2/1)。 新潟大学もだったのね。 中国地方の国立大学に証拠保全を実施 (BSA, 2005年09月15日) の件だと思います。
》 生徒196人分の個人情報、ネットに流出 神戸 (asahi.com, 2/1)。またまた Winny。
》 「情報セキュリティ読本- IT時代の危機管理入門 -」 教育用プレゼン資料・まとめと演習 (IPA, 2/1)