Last modified: Wed Jan 31 19:27:55 2007 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 Metasploit Framework 2.7 が出たそうです。
》 Seagate,ハードディスク上でデータを暗号化する技術を発表 (日経 IT Pro, 10/31)。そういうチップ一式がついてくる HDD、ということでいいのかなあ。耐タンパ性とかだいじょうぶなんだろうか。 元ねた (Seagate) を見てもよくわからん……。
》 Binary Hacks -- ハッカー秘伝のテクニック100選 (オライリー) という本が出るそうです。 目次を見ると、「セキュアプログラミングHack」という項目もありますね。
》 高知医療センター、26万人分の患者情報流出〜職員のPCがウイルス感染か (Internet Watch, 10/31)。うわ……
》 アップル、MacBookの新ファームウェアを公開 (ITmedia, 10/30)。突然 shutdown する話が修正されているそうです。
》 長波標準電波停波のお知らせ -- 送信アンテナ用鉄塔の航空障害灯更新作業を実施 -- (情報通信研究機構, 10/25)
》 デザイン・テンプレートを変更しました (slashdot.jp, 10/30)。なんだか、昔の Kaspersky AntiVirus みたいな気色悪さを醸し出しているような……。ユーザー定義スタイルシートでごりごりいじるしかないのかな。
New PostgreSQL Minor Versions Released (PostgreSQL, 2006.10.16)。 PostgreSQL 8.1.5, 8.0.9, 7.4.14, 7.3.16 が登場。 セキュリティ修正あり。 NVD: CVE-2006-5540 CVE-2006-5541 CVE-2006-5542
SSH Tectia 話: RSA Signature Forgery Vulnerability in SSH Tectia。 CVE-2006-5484
Adobe の日本語版アドバイザリが出てました。
Kespersky の話、exploit が公開されてます: Kaspersky Internet Security 6.0.0.303 IOCTL KLICK Local Exploit (milw0rm)
Trend Micro Client/Server Security 6.0, ウイルスバスターコーポレートエディション 6.5 / 7.0 / 7.3, ウイルスバスタービジネスセキュリティ 3.0 に欠陥。
ウイルスバスター Corp.サーバの管理コンソールにログイン後、ユーザーがリモートインストールウィンドウで、コンピュータ名としてある文字列を入力して検索を行うと、ダイアログボックスにプログラムの内部データの一部がポップアップ表示されてしまう問題が確認されました。このデータはブラウザをクラッシュさせるために悪用される可能性があります。
サポートから patch を入手できるそうです。
少なくとも Windows XP SP2 (+ patch 全部) のインターネット接続共有に欠陥があり、DoS 攻撃を受ける。 Exploit 1, Exploit 2 を見ると、ICS の内側から ICS なマシンの port 53 をつついているようです。
Windowsインターネット接続共有サービスの脆弱性に対する、0day Remote DoS Exploitを検証してみました (Nutsecurity, 2006.11.01)。nutsec さん情報ありがとうございます。
》 海外情報セキュリティ関連文書の翻訳・調査研究(NIST文書など) (IPA ISEC)。
が登場しています。
》 WebShield Appliance 3.0: WS_HTTPプロセスがスタックしCPU使用率が100%に上昇してシステムが高負荷になる (マカフィー, 10/30)。hotfix があるそうです。
》 致命的な後遺症を残したイスラエル・レバノン紛争 (JANJAN, 10/28)
》 ユニセフ(国連児童基金)シンポジウム 守ろう子どもの権利 STOP!子どもポルノ 〜サイバースペースに潜む危険から子どもたちを守るために〜 話
「パネルディスカッション」の部分は、Internet Watch には紹介されていないみたい。
》 InterScan Web Security Suite 2.5 Windows版 Patch 2 公開のお知らせ (トレンドマイクロ, 10/30)
》 星野君のWebアプリほのぼの改造計画 最終回 安全なWebアプリケーションの実現に向けて (@IT, 10/28)。Webアプリセキュリティに終わりはない。 働けど働けど、セキュリティホールはなくならず。
星野君「くそっ、いつになったら終るんだ!?」
ブラック赤坂さん「……星野君、ノーガード戦法って言葉、聞いたことある?」
……という後日談があったら恐い。
》 アラン・コックス氏、オープンソースコードのセキュリティに警鐘 (CNET, 10/27)
》 You receive an error message after you add a Samba Linux server to a Windows Server 2003 domain or to a Windows 2000 domain (Microsoft)
》 Common Mistakes When Upgrading a Windows 2000 Domain To a Windows 2003 Domain (Microsoft)
》 またもヤフーをかたるフィッシング,国内ユーザーを標的に (日経 IT Pro, 10/28)
》 共謀罪、米国留保の分析 (議事録付) (保坂展人のどこどこ日記, 10/29)。喜田村洋一弁護士による分析 + 議事録
つまり、この米国の留保が述べているのは、「米国は、この条約の適用にあたっては、州を単位として越境性を要件とします」ということに他なりません。したがって、日本がこの条約を批准するにあたって、「日本は、この条約の適用にあたっては、国を単位として越境性を要件とします」という留保をつけても、何ら問題がないことになります(完全にそう言うためには、条約の条文を全部再検討する必要がありますが、基本的な考え方はこれでいいと思います)。喜田村洋一
共謀罪、地下水道の音を聞く (保坂展人のどこどこ日記, 10/28) も参照。
来週の31日位に、与党は「信託法」の修正協議と採決日を提案し、その後で審議する法案として「共謀罪」を捨ててはいない。来週末の2日か、再来週の7日に教育基本法と共謀罪のダブルスイッチを押す可能性だってある。新聞各紙は「共謀罪は見送りへ」と書いているが、法務委員会の現場では「あくまで今国会で成立をさせたい」と言い続けていることを軽視してはならないだろう。
》 TRUSTeマークは信頼できる? (slashdot.jp, 10/28)
個人情報保護への取り組みが「悪い」と評価する判断基準として SiteAdvisor を用いたところ、
SiteAdvisor をそういう指標として使っていいとは思えないんだがなあ。 TRUSTe ロゴは信頼できるのか (japan.internet.com, 10/27) にある TRUSTe 側の「反論」はそのとおりだと思うし。
Sophos の AntiVirus 製品に 4 つの欠陥。
Petite 圧縮プログラムに関する欠陥については、11 月版の更新で対応されているそうな。
CHM name length memory consumption vulnerabilit については、12 月版の更新で対応される予定だそうな。
その他については、おいおい対応されるそうな。
関連:
[Full-disclosure] iDefense Security Advisory 12.08.06: Multiple Vendor Antivirus RAR File Denial of Service Vulnerability。 2006 年 11 月版の Sophos AntiVirus で修正されているようだ。
CHM 話の詳細が公開されました:
》 EV死亡事故シティハイツ竹芝: トラブル続発、発表せず (東京新聞, 10/24)
トラブルは、今月十五日からの四日間で四件発生。ドアが開かない、段差がついた状態でドアが開くといった内容で、同様のトラブルは、死亡事故以来、七、八月に一件ずつ、九月に二件起きており、月を追うごとに増えている=表参照。
それだけでも十分問題なのだが、さらに、
ところが、区は九月までのトラブルはそのたびに報道発表で公表してきたが、十月に入ってからは住民用にハイツに紙を掲示し、二十一日になって説明しただけだった。頻発するトラブルの原因は不明。
報道発表について、シティハイツ竹芝を管轄する区都市計画課は「危機管理担当の防災課が、報道担当の区長室と調整したはず」とするものの、区長室は「連絡がなく、知らなかった」。その防災課は「都市計画課が区長室に連絡すべきもの」とし、「縦割り」ぶりを際だたせた。肝心のトラブルの内容も、部署間で具体的な情報を共有している様子はなかった。
こうした状況に日詰由三区長室長は、「トラブルが続き、逆に慣れてしまったのかもしれない。よくないことで、しっかり対応したい」とした。
4 か月で危機感が消滅しますか……。 東京都港区って素敵な行政やってますね。 自分が住んでいれば、そんな意識にはならないんだろうけど。
現在、エレベーターは順番に他社製に交換作業中だが、最初に交換している事故機の作業が終了するのは来月二十日の予定で、まだ一カ月先。事故機隣のエレベーターの交換はその次になる。
まだまだ続きますね……。
》 TidBITS#852/23-Oct-06 (TidBITS, 10/28)。spamhaus ねた (イリノイ州は spammer の味方ねた) あります。
》 アフガン派遣ドイツ兵の不適切な写真、独大衆紙が掲載 (読売, 10/27)。自衛隊員もそのうちこうなるのかなあ。 今はまだ、ガソリンスタンドを経営したりするくらいが関の山だけど。
》 「国内でもリバース・エンジニアリングの議論を」,米eEyeの鵜飼氏 (日経 IT Pro, 10/27)
》 EFF Releases Bloggers' Guide for Investigating Government Agencies (EFF)
》 この国の将来を委ねた安倍総理一族の魑魅魍魎 (日経 BP, 10/27)。すごい話だなあ。「統一協会に祝電」なんて、まだかわいい方だったんですね。
》 相次ぐ製品リコールの裏にあるもの: 「継承できる力」と「できない力」 (日経 BP, 10/27)
》 「レッシグの思想や哲学を大手メディア企業が受け入れた」ってほんとう? (CNET, 10/26)
》 JEITA、リチウムイオンの安全利用に関する特別委員会を設置 (PC Watch, 10/27)
》 JPCERT/CCは中立・民間組織として政府機関と緊張感のある関係を (Internet Watch, 10/26)
ソニー製電池、富士通パソコンでも発火 (asahi.com, 2006.10.27)
IBM / lenobo ドライバ、2006/10/24 版が出ました。すずきさん情報ありがとうございます。メモリリーク話が修正されているそうです。
関連情報:
関連:
Vulnerabilities in First-Generation RFID-enabled Credit Cards (umass.edu) の話だそうで。米国の複数のRFIDクレジットカードに欠陥:暗号処理なしにカード情報が読み取られ、傍受されるほか、リプレイ攻撃も可能 (高木浩光@自宅の日記, 2006.10.24) に関連リンクあり。
LZH 書庫のヘッダ処理において、メモリ管理をサボっているソフト、一部のヘッダにしか対応していないソフトがけっこうある、という話。 困ったことに、そのようなソフトの中に Norton AntiVirus 2006 や McAfee VirusScan Enterprise 8.0i といったものが含まれているそうな。
上記の例を組み合わせるだけでも, 『少なくとも McAfee, Symantec 双方の多くの対策ソフトの検疫をすり抜ける, バッファオーバフローと格納ファイルによる二通りの攻略方法を施した書庫』が出来上がってしまいます。 (中略) Symantec には報告を行ってあるのですが, 今のところ回答がありません。
UNLHA32.DLL, UNARJ32.DLL については最新版で対応済、LHMelt (LMLzh32.dll) については 1.53 (β版) で対応されているようです。
Internet Explorer 'ADODB.Connection' object 'Execute' Function Vulnerability POC (milw0rm) のことみたい。 関連:
AOL ねた
AOL 9.0 で AOL にログインすると、自動的に patch が適用される模様。
screen vulnerability in UTF-8 combining characters handling CVE-2006-4573。 screen 4.0.2 以前における UTF-8 な文字列の処理に問題がある模様。 screen 4.0.3 で修正されている。CVE: CVE-2006-4573
wvWare ねた
wvWare 1.2.3 で修正されている。 CVE: CVE-2006-4513
[Full-disclosure] ZDI-06-035: Novell eDirectory NDS Server Host Header Buffer Overflow Vulnerability
[SA22590] Wireshark Multiple Denial of Service Vulnerabilities。Wireshark 0.99.4 で直っているそうです。 NVD: CVE-2006-5595 CVE-2006-5469 CVE-2006-4574 CVE-2006-5740 CVE-2006-5468 CVE-2006-4805
[SA22419] NVIDIA Binary Graphics Driver for Linux Buffer Overflow Vulnerability。 少なくとも、Linux 用の NVIDIA Drive v8774 / v8762 に欠陥がある模様。 root 権限での任意のコードの実行が可能。 PoC コードあり。 NVD: CVE-2006-5379。
BETA Drivers (nVidia) にある 1.0-9625 では修正されているそうだ。
CVE-2006-4811。 Qt 3.3.x < 3.3.7 / 4.1.x < 4.1.5, 4.2.x < 4.2.1 に interger overflow する欠陥があり、 kdelibs 3.1.3 にも欠陥のある Qt が含まれている模様。 NVD: CVE-2006-4811。 CVSS Severity: 8.0 (High)
RHSA-2006:0720-5 などで修正されている。
Bugzilla ねた: CVE-2006-5455 (CSRF) CVE-2006-5454 (情報漏曳) CVE-2006-5453 (XSS)。 patch はあるみたい。
[SA22371] McAfee Network Agent Invalid String Position Denial of Service。 NVD: CVE-2006-5417
》 SMS8200 導入事例 (立教大学) (シマンテック)。「従来使用していたベイジアンフィルタリングベースの他社製品」はバラクーダのようだ。
》 2月2日を「情報セキュリティの日」に、内閣官房の政策会議で決定 (Internet Watch, 10/26)。 2月2日は「第1次情報セキュリティ基本計画」を決定した日、なんだってさ。 どうせなら1月24日にすればいいのに。 6 年前の話をすっかり忘れてるんですかね……。
》 AkamaiへのDDoS攻撃で,フロリダ州在住の男性を起訴 (日経 IT Pro, 10/26)。このあたりの話のようで:
》 Vista と Office 2007 の価格 (Microsoft)
》 セキュリティの「これから」を専門家3人が語る---JPCERTの10周年セミナー (日経 IT Pro, 10/25)。/CC を忘れちゃだめ。
》 「ひかり電話」等の通話状況について (NTT 西日本, 10/26)。今日は大丈夫のようです。
ところで、先月の東日本の話 (Benjamin さん情報ありがとうございます):
IP電話、通話分散策を検討 NTT東社長 (asahi.com, 9/30)
通話障害は19日朝、サーバーの一つに通話が集中したのがきっかけで発生。高部社長は、コールセンターを持つ新規加入の法人1社による大量通話だったことを明らかにした
たった 1 社……。NTT東日本、ひかり電話の通話規制を解除 (Broadband Watch, 9/22)
NTT東日本のひかり電話では、9月19日に通常の連休明けと比べて約3倍のトラフィック増加が発生しており、通話集中によって通話がつながりにくい事態が発生
その 1 社だけで「通常の連休明け」の倍のトラフィックを発生させた (合わせて 3 倍) ってこと?! もともと空き気味のサーバだったのか、新規顧客のパワーがやっぱりすごいのか。
》 ライセンスparanoiaのために (slashdot.jp, 10/25)。Firefox 2 のライセンス変更部分の解説。
》 コミュニティー コラム (日本のセキュリティチームの Blog, 10/26)
》 Microsoft Security Intelligence Report (日本のセキュリティチームの Blog, 10/26)
》 第25回 NT-Committee2関東勉強会ご案内。 2006.11.25、東京都渋谷区、1000円。 無線 LAN セキュリティ話。
》 急増する“画像スパム”,1年で全体の1%から40%に (日経 IT Pro, 10/25)。 手元の SpamAssassin では、 FuzzyOcrPlugin を入れて以来、とりあえず無問題になっている。
》 National Reconnaissance Office: Reports (The Memory Hole)
♪車にポピー
Secunia の中の人、いろいろつつきまわっているようですね。
米SANS Instituteでは,ポップアップ・ウインドウを新しいタブで表示させるように設定すれば,今回の偽装を防げるとしている。
具体的には,IE 7の「Tools」メニューの「Internet Options」を選択し,「General」タブ中の項目「Tabs」の「Settings」をクリックして表示される「Tabbed Browsing Settings」中の「When a pop-up is encountered:」で,「Aways open pop-ups in a new tab」をチェックする(デフォルトは「Always open pop-ups in a new window」)。
他の IE7 ねた:
Cisco Security Advisory: Cisco Security Agent for Linux Port Scan Denial of Service
[SA22575] Sun Java System Messaging Server Webmail Script Insertion。patch あり。
[SA22543] FreeBSD "/dev/crypto" Local Denial of Service Vulnerability 。FreeBSD 6 話。 NVD: CVE-2006-5550
iDefense Security Advisory 10.25.06: AOL Nullsoft Winamp Ultravox Lyrics3 v2.00 tags Heap Overflow Vulnerability、 iDefense Security Advisory 10.25.06: AOL Nullsoft Winamp Ultravox 'ultravox-max-msg' Header Heap Overflow Vulnerability。 Winamp 5.31 で修正されているそうで。 フロートさん情報ありがとうございます。
NVD: CVE-2006-5567
》 イスラエル軍、ヒズボラとの戦闘で白リン砲弾使用 (産経, 10/23)
》 【CRYPTO-GRAM日本語版】ヒズボラはイスラエルの暗号無線を解読したのか? (日経 IT Pro, 10/21)
私はもっと懐疑的な立場をとる。ヒズボラがイスラエルの無線通信を傍受できたとしても,その事実を報道メディアに伝えるはずなどない。反対に解読できる能力がヒズボラになければ,誤った情報を流すことはヒズボラの利益になる。
》 いじめ自殺「0」、遺族に苦しみ 娘亡くした両親が心境 (asahi.com, 10/25)。死んだ理由すら否定される世界。
》 「ひかり電話」等のつながりにくい状況について 第7報 (NTT 西日本, 10/25)。昨日までとは別の原因です、と言われても、利用者が納得できる話ではないよなあ。 おおもとの原因は、加入者増えすぎらしいですが……。
》 新型インフルエンザ流行防止、ワクチン生産大幅増強へ (読売, 10/24)
》 足立区 住基ネット窓口の民間委託、来年度実施を断念 (まるちゃんの情報セキュリティ気まぐれ日記, 10/25)
》 警察支配社会の恐怖を描く〜映画「ポチの告白」 (JANJAN, 10/24)
》 情報の海であっぷあっぷ という文章を Microsoft セキュリティニュースレター に書いたのですが、「Windows Update失敗したらageるスレ」は既に 13 になってますね。 Windows 板へのリンクをつくっておくべきだった……。
同じ号に、はなずきんさんが、 たまには、パソコンから離れてセキュリティについて話してみよう を書いているなあ。
一方、自民党の片山参院幹事長は記者会見で、「命令という形式でなくても意志がきちんと伝わればいいのではないか。私の(総務相の)時だったら、『事実上の要請』にした」と述べ慎重な対応を求めた。つまり、これまでもそうやって強制してきた、ということか。
NHKのガバナンス強化に向け、経営委員会の抜本的な改革を行うこととし、一部委員の常勤化、事務局の抜本的強化、コンプライアンス組織の設置、メンバー構成の再検討などを早急に行い、措置する。
ぶっちゃけ、NHK の拉致ねた報道は現状でも異常に多いと思うんですけどねえ。
それにしても、敵って本当に便利ですね。
》 僕のPCでiTunesが重いわけ (A tout le monde, 10/23) (まっちゃさんち経由)。NOD32 の事例。 一時ファイルをこまめに検査している模様。
》 InterScan Web Security Suite 2.5 Windows版 Patch 2 (Build_2023)の概要および適用方法 (トレンドマイクロ, 10/24)
》 ウイルスバスター2007 トレンド フレックス セキュリティ 新規ユーザ登録が完了しない現象について (トレンドマイクロ)。ウイルスバスター2007 優待 3年版の新規インストールでだけ発生している模様。
》 IBM、Amazonを特許侵害で提訴 (Open Tech Press, 10/24)。ぜんぜん関係ないですが、Windows Server World 2006年12月号 で「システム管理者の眠れない夜 アマゾン」という新連載がはじまってますね。雑誌自体がいつまで保つのやら、という気もしますが。
》 Internet Explorer 7 にMicrosoftサイト内向けの検索プロバイダを追加できます (葉っぱ日記, 10/24)。便利そう。
Mozilla Firefox 2.0 も OpenSearch AutoDiscovery に対応しているので、上記検索プロバイダを簡単に組み込めることを確認しました。
おぉ。
》 「Windows Defender」正式版がリリース,日本語バージョンも近日公開 (日経 IT Pro, 10/25)
同社開発者の情報によれば,Windows Defender正式版では,ベータ2で見つかった安定性および信頼性に関するバグが400件以上修正されているという。(中略) Windows Defenderベータ2の有効期限は2006年12月31日なので,年内には日本語版の正式版がリリースされると予想される。
なお、β2では対応していたWindows 2000が対応から外れて (slashdot.jp) いるそうです。
》 Malware Analysis: Tools of the Trade (SANS ISC, 10/24)
》 不正指令電磁的記録作成罪 私はこう考える (高木浩光@自宅の日記, 10/22)。くぅ、じっくり読みたい内容なのだが…… orz
》 米Microsoft:メール認証技術「Sender ID」仕様をライセンスフリーに (Open Tech Press, 10/24)、米Microsoft、OSPを介して「Sender ID Framework」仕様を無料公開 (MYCOM ジャーナル, 10/24)。今ごろになって、ですか……。
》 「ひかり電話」等の安定提供に向けた 通話の事前制御の実施について (NTT 西日本, 10/24)。09:06 AM から実施中だそうです。 「ひかり電話(オフィスタイプ、ビジネスタイプ含む)」が つながりにくい状況について (NTT 西日本, 10/24)
》 InterScan Messaging Security Suite 5.x 話。
いずれも、サポートから修正モジュールを入手できるそうです。
》 Be careful when visiting the Zone-h web site!!! (McAfee Avert Labs blog, 10/23)。 crack されたサイトに仕掛けられていたマルウェアも一緒に mirror されていたようで。
CruiseWorks 1.09c, 1.09d 以前に欠陥。 buffer overflow が発生するため、remote から任意のコードを実行可能。 「遠隔の第三者により」なので、無認証で攻撃できると思われ……るのだが、 Ver1.09eでの改訂内容: クルーズワークスの脆弱性について (キーノスロジック) によると、
(1) ディレクトリトラバーサルの脆弱性
(2) バッファオーバフローの脆弱性
の 2 つが存在し、
いずれも、ログインした後のユーザーに限定されます
とされている。 さらに不思議なことに、IPA の「脆弱性関連情報の取扱い」ページには、「JVNVU#338652: CruiseWorks にバッファオーバーフローの脆弱性」はいまだに掲載されていないのだ。
これは一体どういうことなのか。見解の相違があるんですかね。
desknet's V4.5J R2.4 以前に欠陥。 buffer overflow が発生するため、remote から任意のコードを実行可能。 「遠隔の第三者により」なので、無認証で攻撃できると思われ。
desknet's 5.0J R1.0 以上で修正されている。
Flash Player 7.x / 8.x / 9.x に欠陥。 ヘッダ挿入攻撃が可能となる欠陥がある。現時点では正式な修正版はない。 NVD: CVE-2006-5330。 cadz さん、coyote さん情報ありがとうございます。
詳細: Rapid7 Advisory R7-0026: HTTP Header Injection Vulnerabilities in the Flash Player Plugin。Flash Player のβ版 9.0.18d60 では修正されている、としている。
日本語版: APSA06-01: Adobe Flash Player HTTPヘッダ・インジェクションの脆弱性 (adobe)。coyote さん情報ありがとうございます。
いろんな場所で追試されています。
APSB06-18: Update available for HTTP Header Injection Vulnerabilities in Adobe Flash Player で対応された。
Symantec AntiVirus Corporate Edition 8.1 / 9.0.3 以前、 Symantec Client Security 1.1 / 2.0.3 以前に欠陥。 SAVRT.SYS に欠陥があり、local user による権限上昇が可能。 NVD: CVE-2006-3455
SAVCE 9.0.5 MR5/SAVCE 10.x, SSCS 2.0.5 MR5/SCS 3.x へのアップグレードが推奨されている。
》 MS、ハッカーイベント「BlueHat」でrootkitのデモ実演 (ITmedia, 10/20)
》 業績低迷の中でウイルス感染--ベクター社長が明かす次の一手 (CNET, 10/23)
》 DeNA子会社が1,647人の会員情報流出、サーバー設定ミスに7年間気付かず (Internet Watch, 10/23)。どうやって気がついたのだろう。
》 NTT西の「ひかり電話」でつながりにくい状況 (ITmedia, 10/23)。今度は西ですか。
》 スキャンエンジンを4.4.00から5.1.00へダウングレードする方法 (マカフィー, 10/23)。タイトルが逆になってるし……。中身はダウングレードの話です。
》 An overview of unsafe file types in Microsoft products (Microsoft)
》 JASRACやテレビ局などが共同でYouTubeに削除要請、約3万ファイルを削除 (Internet Watch, 10/20)
》 FSFはGPLv3の変更を分割すべし (Open Tech Press, 10/20)
》 商品代引き詐欺、「Yahoo!ショッピング」を騙る事例も発生 (Internet Watch, 10/23)
》 「Firefox 2」正式版リリースは日本時間10月25日早朝 (Internet Watch, 10/23)。ところで、Firefox 1.5 はいつまで維持されるのでしょう。
》 「F-Secureインターネットセキュリティ2007」を販売開始 - F-Secure DeepGuardを搭載 - (F-Secure, 10/23)。ムーミンじゃない UI も用意されています。
「F-Secureインターネットセキュリティ2007」の希望小売価格は、ダウンロード版5,775円、インストールCD付のパッケージ版6,720円で、1ライセンスで3台のPCまでインストールすることができます。
ウイルスバスターとは違って、法人でも 3 台まで ok のように見えます。
》 [WSJ] P2Pサイトも宣伝利用、強硬策から転じる音楽業界 (ITmedia, 10/23)。ようやく気がつきはじめている、ということでしょうか。
》 セキュリティ分野の注目すべき10大トレンド (Open Tech Press, 10/20)
》 きょうは、国会図書館、公文書館などをはしごした (関組長の東京・永田町ロビー活動日記blog版, 10/20)。 国会図書館にもないんですね。
》 Dell製 PCのEmbassy Trust Suiteとバッファオーバーフロー保護のコンフリクト (マカフィー, 10/20 更新)。patch 13 で対応されているそうです。
このあたりの話のようです。XOOPS 的には「session.use_only_cookies 1 で運用してね」ということのようです。
こんなのを今さら「XOOPSの脆弱性」として連絡してくるあたり、JPCERTという組織のレベルの低さを証明しているわけですが、ちゃんと対応するコアチームは素直に偉いと思います。JPCERT/CC はコーディネーションを行う組織であって、それ以上でもそれ以下でもない、ということは理解されないことが少なくないようです。 /CC が重要なので、略さないようにしませう。
PHP とセッション固定攻撃 (Session Fixation attack) については、このあたりでしょうか:
PHP の他に、Struts にも同様の話があるようです。
……高木さんから mail をいただきました (ありがとうございます):
やはり、「Session Fixation脆弱性の責任主体はWebアプリかWebブラウザか」に書いた通り、
ところで、Session Fixationが、Webアプリサーバ製品の脆弱性を指すものと、 誤解している人が少なくないような気がする。 Session Fixationという名前を付けたACROS Securityの論文「Session Fixation Vulnerability in Web-based Applications」では、「Session Adoption」という用語を定義している。 PHPにはこの脆弱性があり、設定で回避できるのだが、PHPプログラマ界隈では、 このことばかりが注目され、「Sesssion FixationといえばこのSession Adoptionのことを指す」という誤解があるように思われる。
という誤解があるようです。
つまり、http://www.xugj.org/modules/bulletin/article.php?storyid=24 の主張では、「session.use_only_cookies 1」の設定をすればこの問題の対処をする必要がないかのようなことが書かれていますが、次のいずれかの場合等では、Session Fixation攻撃が成功してしまいます。
使用するサイトのドメイン名が汎用.jpドメイン以外の場合(.ne.jpや .co.jp、その他地域ドメイン等などの場合)、ユーザのブラウザが Mozilla系の場合には、ブラウザのCookie Monsterバグにより、 Set-Cookie: sessionid=XXXXXX;domain=.ne.jp などの方法でセッション IDの固定化ができてしまう。
使用するサイトのドメイン名が地域ドメインの場合(metro.tokyo.jp、 pref.ibaraki.jp、city.tsukuba.ibaraki.jp等の場合)、ユーザのブラウザが、 Mozilla系ブラウザだけでなく Internet Explorerを使用する場合でも、 同様に、Set-Cookie: sessionid=XXXXXX;domain=metro.tokyo.jp などの方法でセッションIDの固定化ができてしまう。
これを「ブラウザの脆弱性だ」と主張するならまだわかりますが、「PHPの設定の問題だ」というのは誤った主張です。
そして「ブラウザの脆弱性だ」と言ってよいかについては、「Session Fixation脆弱性の責任主体はWebアプリかWebブラウザか」に書いた通りです。
加えて、 http://xoopscube.jp/modules/cubeNews/index.php?action=detail&id=59 には、
このアップデートにより、PHPの環境設定などサーバーの設定に不備があった場合の問題を一部回避出来る可能性がありますが、環境設定に不備のあるサーバーでのWebアプリケーションの利用が推奨されるものではありません。Webサイト運用上のセキュリティリスク軽減のためには、XOOPSのアップデートだけではなく、Webサイトの環境設定に問題がないか、十分ご注意ください。
とあり、「session.use_only_cookies 1」の設定をしていない場合はこのパッチを適用してもSession Fixationが解決しないかのように書かれていますが、そんなことはありません。ログイン成功後にセッションを新たに作り直すWebアプリケーションはこの問題の影響を受けません。
Session Fixationの問題は、Webアプリで対応するか、ブラウザをどうにかするかのどちらかです。
PHPのSession Adoptionは瑣末な問題です。もしブラウザがすべて対処という未来が来たならば、Webアプリで対応する必要がなくなり、そのとき初めて問題となるのが、Session Adoptionということです。
》 10・29共謀罪を廃案に! 講演会。 2006.10.29、東京都渋谷区、500円。
》 ソニー 業績下方修正 トラブル続発、士気低下 (毎日, 10/20)
》 匿名アクセス・ソフト「Tor」による匿名性を無効にする方法が公開 (Open Tech Press, 10/21)。 Practical Onion Hacking の話。JavaScript で port scan とかする話と中身的には同じ?
》 ディック、顧客債務1億9千万円水増し 記録改ざん (asahi.com, 10/22)。 ディックの web ページには何の情報もないみたい。
》 福岡県教委、いじめ把握を見直し 少ない報告を疑問視 (asahi.com, 10/21)
生徒が通っていた三輪中では過去数年間で7、8件のいじめがあったにもかかわらず、解決済みとして「0件」と報告していた。合谷智校長は16日の記者会見で、「あるよりない方が、頑張っているんだな、とみられるということはある」と話した。
なにそれ……
》 ネットカフェ急増、「危ない場所」からイメチェン図る (asahi.com, 10/22)
》 エチゼンクラゲ、予想外の大量出現 海流影響か (asahi.com, 10/22)。チャイナクラゲって呼んだ方がいいと思うし。
》 北海道警の捜査情報Winny流出事件の国家賠償請求訴訟で最高裁が上告を棄却 (slashdot.jp, 10/20)。最高裁も認めたノーガード戦法、これ最強。
iDefense Security Advisory 10.19.06: Kaspersky Labs Anti-Virus IOCTL Local Privilege Escalation Vulnerability。 Kaspersky AntiVirus 5.0 / 6.0 for Windows 話。 CVE: CVE-2006-4926。 2006.10.12 以降にウイルス定義を更新していれば修正されている。 関連: Vulnerability in the IOCTL for the Klin.sys driver (Kaspersky)
Drupal 4.6.10 / 4.7.4 で修正されたもの:
Security-Assessment.com Advisory: Asterisk remote heap overflow。 Asterisk 1.0.12 / 1.2.13 で修正されている。
[KAPDA::#60] Mambo V4.6.x vulnerabilities。 patch はまだない模様。
Novell eDirectory 方面
Kespersky の話、exploit が公開されてます: Kaspersky Internet Security 6.0.0.303 IOCTL KLICK Local Exploit (milw0rm)
》 【WPC TOKYO】辛口評価の戸田氏による雑誌に“絶対”書けないノートPCの選び方 (日経 IT Pro, 10/19)
雑誌で書けないというだけあって、本記事でも書けないきわどいポイントを次々と説明する戸田氏。
逆に言うと、大手メディアの「記事」はしょせんその程度、ってことだよな。 だからどんどん雑誌がなくなるんだろうけどさ。
》 データベースに必要なセキュリティ対策を一望できるドキュメント,ラックが無償公開 (日経 IT Pro, 10/19)
》 マカフィー VirusScan Enterprise ねた
》 チェチェンニュース Vol.06 No.22 2006.10.20 (chechennews, 10/20)
今日の集会で、ジャーナリストの大谷さんが、今週末には予備選だけでなく、核実験もありうることを指摘し、二度目の核実験を背景に、安部政権による国内には北朝鮮の工作員が3万人もいるのだから、共謀罪は当然必要だ、不要だなんて言う奴は非国民だというムードが作られ、一気に共謀罪を成立させようとしてくる可能性があるという予言をされていた。「敵」とか「脅威」って本当に便利なんですよね。
大谷さんは10月15日に予定されていたサンデープロジェクトの共謀罪特集が北朝鮮特集に飛ばされ、放映が11月に延期されたという事実も報告された。北朝鮮情勢は、補選にも共謀罪の行方にも大きな影を投げかけている。
共謀罪関連:
》 犯罪収益流通防止法案(仮称)の検討状況について(弁護士規定関係) (警察庁, 10/20)、 「犯罪収益流通防止法案(仮称)への業務付け対象事業として郵便受取代行業及び電話受付(電話秘書)代行業を追加することについて」に対する意見の募集結果について (警察庁, 10/20)
》 Windows XP SP3、2008年に延期 Windows Server 2003のSP2のリリース予定も延期された (ITmedia, 10/20)
》 【夕刊JanJan】疑惑ふかまるチベット人への発砲事件 (JANJAN, 10/19)。中国ですから。
》 米国:テロの首謀はテロリストではないのか (JANJAN, 10/19)。USA ですから。
》 A Windows Server 2003-based DNS server stops responding, and an access violation is generated (Microsoft)。Windows Server 2003 SP1 で直っているようです。
》 Webブラウザ攻撃検知を防ぐ技術の開発を進めるクラッカーたち (Open Tech Press, 10/19)
》 全盲読者に配慮したWebページ作りを妨げる文部科学省と環境省と地方自治情報センター (高木浩光@自宅の日記, 10/19)
第1回「リンクポリシー」大賞 受賞者決定 (高木浩光@自宅の日記, 10/19) も参照。
》 The Myth of Delusion: Exposing the American Intelligence (cryptome, 10/19)
》 「パッチの火曜日」の次は「ゼロデイの水曜日」? (日経 IT Pro, 10/19)。当初からあった懸念が現実になってきている、というところかなあ。
Symantec Mail Security for Domino 5.1.0 に欠陥。Premium Antispam 機能を利用して 3rd party relay を実行できてしまう。 Symantec Mail Security for Domino 5.1.2.28 で修正されている。
SONY が機種情報を公開しました: パーソナルコンピューター VAIO のバッテリーパック自主交換プログラムについて (SONY, 2006.10.17)
日立が交換作業を開始しました: ソニー株式会社のバッテリーパック「自主交換プログラム」に関するお知らせ (日立, 2006.10.19 更新)
そもそもリチウムイオンバッテリは燃えるもの (PC Watch, 2006.10.19)。だからこそ精密な取扱いが必要なわけで。 もともと燃えるんだから仕方がない、では済まんでしょう。 2001.09.11 以降は特に。
●無用な不安を煽る報道は避けるべき
ワールドワイドで該当バッテリセルの自主的な交換が発表されている一方、ヒューレット・パッカードのように、安全が確認されたとの宣言を出しているベンダーもある。ところが、そうした話はあまり強くは報道されていない。
IBM / レノボの回収が衝撃的だったのは、IBM / レノボが一旦は安全宣言を出したにもかかわらず、実際に燃えてしまい、結局は回収に追いこまれてしまったからなんですけどねえ。 そういう状況ですから、HP の安全宣言も「いつ覆されるか」と思われているのが実態だと思いますけど……。
Information on Reports of IE 7 Vulnerability (MSRC blog, 2006.10.19) 出ました:
These reports are technically inaccurate: the issue concerned in these reports is not in Internet Explorer 7 (or any other version) at all. Rather, it is in a different Windows component, specifically a component in Outlook Express. While these reports use Internet Explorer as a vector the vulnerability itself is in Outlook Express.
欠陥があるのは事実だけど、それは IE じゃなくて Outlook Express のコンポーネントだよん、だから IE7 は無罪、ということみたい。
MS06-061 が更新された。
マイクロソフトは Windows 2000 Service Pack 4 を使用するお客様にセキュリティ更新プログラムを再提供するためにこのセキュリティ情報を再リリースしました。以前、このセキュリティ更新プログラムは Microsoft XML Parser 2.6 に正しく Kill Bit を設定しませんでした。また、Microsoft XML Core Services 4.0 および Microsoft XML Core Services 6.0 用のセキュリティ更新プログラムを削除したいお客様のための追加情報も記載しました。
kill bit を設定していたのか……見逃していた……
この更新プログラムは Microsoft XML Parser 2.6 のクラス識別子 (CLSID) の一覧に Kill Bit を設定します。これは Microsoft Internet Explorer 上でのサポートを削除します。
Parser CLSID および Microsoft XML Parser 2.6 の機能が含まれている対応するファイルは次の通りです。
クラス識別子 ファイル ----------------------------------------------- f5078f22-c551-11d3-89b9-0000f81fe221 Msxml2.dll f5078f1b-c551-11d3-89b9-0000f81fe221 Msxml2.dll f5078f1c-c551-11d3-89b9-0000f81fe221 Msxml2.dll f5078f1d-c551-11d3-89b9-0000f81fe221 Msxml2.dll f5078f1e-c551-11d3-89b9-0000f81fe221 Msxml2.dll f5078f21-c551-11d3-89b9-0000f81fe221 Msxml2.dll f5078f1f-c551-11d3-89b9-0000f81fe221 Msxml2.dll f5078f20-c551-11d3-89b9-0000f81fe221 Msxml2.dll f5078f28-c551-11d3-89b9-0000f81fe221 Msxml2.dll f5078f29-c551-11d3-89b9-0000f81fe221 Msxml2.dll f5078f26-c551-11d3-89b9-0000f81fe221 Msxml2.dll
Windows 2000 な人は適用しなおそう。あと、「Microsoft XML Core Services 4.0 および Microsoft XML Core Services 6.0 用のセキュリティ更新プログラムを削除したいお客様のための追加情報」は、「セキュリティ更新プログラムに関する情報」に記載されている。
関連: MS06-061の再リリース (日本のセキュリティチームの Blog, 2006.10.20)
NEC MultiWriter に 2 つの欠陥。
JVN#63999575: NEC MultiWriter1700C の Web サーバに認証回避の脆弱性
MultiWriter 1700C / MW1700C ネットワーク拡張カード ファームウェアの web サーバ機能に欠陥。システム設定における認証を回避できる。 CVE-2006-6946
JVN#85996645: NEC MultiWriter1700C/7500C の FTP サーバにおける脆弱性
MultiWriter 1700C / MW1700C ネットワーク拡張カード ファームウェア / ColorMultiWriter 7500C に欠陥。 FTP サーバ機能に欠陥があり、PORT コマンドを利用した FTP バウンス攻撃を実行可能。 CVE-2006-6947 関連: RFC2577: FTP セキュリティについての考察 (IPA ISEC)
どちらについても patch が公開されているので、適用すればよい。
》 Winnyだけじゃない、YouTubeやWikipediaも遮断する「OnePointWall」 (Internet Watch, 10/19)。着実に進化してますね。
》 カナダ:「テロとの闘い」で誤認逮捕 (JANJAN, 10/16)
》 「運び屋」--フィッシングの隠れた側面 (ITmedia, 10/18)
》 1億台のノートPCを守る最適の手段とは? (ITmedia, 10/17)。 1億台ですか……。Windows XP に匹敵する数字ですね……。
デイブ・アイテル氏は、OLPCによるモノカルチャーが深刻なセキュリティリスクをもたらすという懸念は、やや誇張されていると指摘する。「そもそも、途上国の子供たちを誰がハッキングしたいと思うのだろうか。
今そこにいる敵は、利用できるものなら何でも利用すると思うし。 注意するに越したことはない。
》 Internet Explorer 7 for Windows XP Available Now (IEblog, 10/18)。もういくつ寝ると日本語版。
なお、「ぱちんこ IE 7」(誤リンク) は出ません。
》 EFF、個人情報DBをめぐりFBIを提訴 (ITmedia, 10/19)
》 【夕刊JanJan】耐震強度偽装問題、第二幕へ〜藤田被告「隠ぺいのための逮捕だった」 (JANJAN, 10/18)。きっこの日記はともかくとして、「アパグループ 偽装」でぐぐるといろいろ出てくるんですね。 安晋会ですか……。
》 「ずさんの連鎖」と結論 プール死亡事故で市調査委 (東京新聞, 10/17)、 ふじみ野市大井プール事故調査報告について (ふじみ野市, 10/17)
》 ワクチン用ウイルス変更へ 厚労省、新型インフルで (東京新聞, 10/17)
》 テロ特改正案が衆院通過へ 他国艦船への給油1年延長 (東京新聞, 10/19)。無料ガソリンスタンド経営続行。原資はもちろん、日本国民の血税です。
》 シ社製昇降機で閉じ込め 神奈川県営団地で1時間 (東京新聞, 10/18)
》 検事の不当発言で賠償命令 「妻通じ自白強要」認定 (東京新聞, 10/17)
》 FIX: Internet Explorer responds very slowly when you scroll through a Web page that contains more than 50 ActiveX controls (Microsoft)。なんだか状況自体がギャグっぽい気がするのだが、サポートから修正プログラムを入手できるそうです。
》 You may receive a Stop error message on a Windows XP-based computer that has the ConnectMultiplePorts registry entry configured: "Stop 0x7E" (Microsoft)。SMS2003 client 話。サポートから修正プログラムを入手できるそうです。
》 IPAセキュリティセンターさえディープリンク禁止などとしているわけだが (高木浩光@自宅の日記, 10/18)。へぇ〜。 するとたとえば、JVN#90815371 (JVN) にある JVN#90815371 「一太郎」におけるバッファオーバーフローの脆弱性 (IPA) へのリンクは不適切なものってことになるなあ。
既知の欠陥について確認してみたら、これは残っていた、という感じでしょうか……。ana-log さん情報ありがとうございます。
Information on Reports of IE 7 Vulnerability (MSRC blog, 2006.10.19) 出ました:
These reports are technically inaccurate: the issue concerned in these reports is not in Internet Explorer 7 (or any other version) at all. Rather, it is in a different Windows component, specifically a component in Outlook Express. While these reports use Internet Explorer as a vector the vulnerability itself is in Outlook Express.
欠陥があるのは事実だけど、それは IE じゃなくて Outlook Express のコンポーネントだよん、だから IE7 は無罪、ということみたい。
関連:
関連:
Oracle の季節 patch 最新版。例によって山のように修正されているので、Oracle な方はがんばってください。
関連:
Windows Server 2003 SP2 のワイヤレスネットワークグループポリシーで WPA2 がサポートされるのに伴い、XP を同調させるための patch、917021 が登場。この patch にはいくつかの仕様変更が含まれ、その中には WindowsにWi-Fi接続関連の脆弱性--研究者が警告への対応も含まれるようだ。
さっき気がついたのですが、日本語版アドバイザリって「公開日: 2006年Oct月18日」とか表示されちゃうんですね……。
》 IPAとJPCERT,ソフトウエアとWebサイトの脆弱性届け出状況を公表 (日経 IT Pro, 10/17)
》 マカフィー VirusScan Enterprise ねた
》 Errors are logged in the Secedit.log file when you use the Secedit.exe command-line utility to apply a local Group Policy object in Windows 2000 (Microsoft)。サポートから修正プログラムを入手できるそうです。
》 Intermittent memory corruption occurs in the binary data that is stored on a compressed NTFS file system drive on a Windows XP-based computer (Microsoft)。NTFS 圧縮話。ぐはぁ、XP もですか (吐血)。有償サポートから修正プログラムがもらえるそうです。
》 パーソナルコンピューター VAIO のバッテリーパック自主交換プログラムについて (SONY, 10/17)。交換開始については 11/7 に追って公開。
》 分べん中意識不明:18病院が受け入れ拒否…出産…死亡 (毎日, 10/17)、 分べん中意識不明:受け入れ拒否19病院以上か 奈良 (毎日, 10/17)。病院に行って不具にされたり殺されたりすることは、けっこうある。
一太郎 2006 に新たな欠陥。buffer overflow が発生するため、攻略一太郎ファイルによって任意のコードを実行可能な模様。
遠隔の第三者によって細工された一太郎の文章ファイルを送付され、それを利用者が閲覧し特定の操作を行なうことにより任意のコードを実行される可能性があります。
「それを利用者が閲覧すると」ではなく「それを利用者が閲覧し特定の操作を行なうことにより任意のコードを実行される」なので、ファイル中のリンクをクリックするとかいった話だろうか。いや、一太郎 2006 は持ってないので、そういう機能があるのかどうか知らないけど。
修正プログラムは http://www.justsystem.co.jp/info/pd6004.html で公開されています。一太郎 2006 の利用者は適用しましょう。
関連:
NVD: CVE-2006-5424
ぷっくり膨れるだめだめな電池があるようです。
ドコモでは使用開始後1年以内にそうした事象が発生して相談に訪れたユーザーに対し、アフターサービスとして昨年10月から電池を無償交換しているが、同社広報部によると「あくまでアフターサービスであり、不具合ではない」ために公表していなかった。
交換の対象としている機種は、パナソニックモバイルコミュニケーションズ製の電池パック「P−06」を搭載している7機種、シャープ製の「SH−04」「SH−05」を搭載する計4機種、NEC製の「N−09」を搭載する1機種。この12機種あわせて、すでに数百万台から1000万台が普及しているとみられる。これまでに電池パックを交換した台数についても明らかにしていない。
しかし全てのショップにきちんと知れ渡っているわけではないようで。事例:
「電池の膨らみについて、この機種でのそういった報告がありませんので、購入しかないです。」 と。素敵ですね。おまけに、
現在、電池パックの妊娠が発覚した「SH04・SH05」ですが、 ドコモショップ新大阪店へ相談に行くと 「1ヶ月以上在庫が入らない。それ以上かもしれない」 と。きっぱり。実は交換もそう簡単にはできないようで。
リチウムイオン二次電池 (ウィキペディア) によると、
また、時期を同じくしてNTTドコモの携帯電話に採用されている電池パックが膨れて、ひどい物では電話機本体に装着できないほど変形するという報告も12機種の携帯電話で発生している。交換対象は数百万台から1000万台と膨大である。新聞報道ではNTTは不具合ではなく、アフターサービスによる交換対象と非常に苦しい言い回しの発表を行っている。これらの電池の大半は、三洋電機および三洋GSソフトエナジー製のものであり、充電電圧を高くすることと、電極の材料組成を変更することで高容量化を行っていたが、膨れの原因となるガスが発生しやすく、従来の電池と比較して寿命が短く、また充電時に電池が高温になりやけどするなどのクレームがあった。NTTドコモは今後これらの電池をできるだけ採用しないよう、メーカに働きかけている。
一方、今回の騒動との関連は不明であるが、同電池を大量にNTTドコモの携帯電話向けに供給する三洋電機は機密保持及び品質・安全性を維持するため同電池の工場を海外も含め国内の徳島・京都のみに集約する動きを始めた。
だそうなのですが、本当だとすると、ただでさえ経営がヤバいという三洋さんはだいじょうぶなんでしょうか。
その他の事例:
関連:
マクドの MP3 プレイヤーのときには「そんなタイトルをつけると Apple の iPod と誤解するやないけ」といちゃもんつけられてましたが、実は iPod にも入っていたそうで。
アップルは 2006 年 9 月 12 日以降に販売された一部(1 % 未満)の Video iPod に、契約製造会社による Windows ウイルス "RavMonE.exe"の混入を確認いたしました。
総販売台数は何台なのよ?
アップルがこの問題についてこれまで受けている報告は 25 件 未満です。
ふつうは「xx 時点で xx 台」と言うと思うのだが、「25 件 未満」という数字はどこから出てきたものなのだろう。
iPod nano、iPod shuffle、Mac OS X にはこの問題による影響はありません。 また現在出荷されている Video iPod はウイルスの影響はありません。
今買おうとしている Video iPod が無問題であることを確認するにはどうすればいいのかがさっぱり書かれてませんね……。アンチウイルスで自衛するしかないようで。
アップルは、Windows がこのようなウイルスに対して脆弱であることや、出荷前に問題を把握できなかったことを大変遺憾に思います。
この状況で Windows がどうこうと言いますかふつう……。
いろんな意味で Apple らしいというかなんというか。
関連:
関連:
》 YouTube動画再生ページにスパイウェア「SystemDoctor」 (星を観る人, 10/16)。ニセ医者さん、どこにでもいますねえ。 Pasiri さん情報ありがとうございます。
》 中川翔子以外の何かwithウイルス (Snow Flake, 10/15)。 しょこたんのデスクトップツールをインストールすると NOD32 が反応する模様。 Pasiri さん情報ありがとうございます。
》 ModSecurity 2.0 with Ivan Ristic (securityfocus, 10/16)
》 【CRYPTO-GRAM日本語版】記録媒体のサニタイズと暗号化 (日経 IT Pro, 10/17)
》 マカフィー 5100 エンジンですが、
自動更新につきましては日程が変更になりました、10月31日火曜日開始予定です。
だそうです。関連 (Cynos さん情報ありがとうございます):
》 GeoTrust を買収した VeriSign に競合するのは、新生 GeoTrust ? (japan.internet.com, 10/16)。 ChosenSecurity ……うーん、ローマ字読みしたときの響きが……。 「朝鮮セキュリティ」じゃなくて「選ばれたセキュリティ」なんでしょうけど。 「(VeriSign に) 挑戦セキュリティ」ってことで我慢してもらうのかなあ。
》 【北朝鮮】<周辺事態>の6類型について ※重要 (関組長の東京・永田町ロビー活動日記blog版, 10/16)。 ふぅむ……。
政府統一見解「周辺事態について」の全文ってどこかにないのかなあ。
》 Video - Your Marriage is in Danger! (F-Secure blog, 10/13)。 DriveCleaner 話。VIDEO あり。
》 「確率は低いが被害は甚大」--脅威を増す標的型攻撃 (CNET, 10/16)。VB2006 での targeted attack 話。
VB2006 方面:
》 ソニー製バッテリーの自主交換プログラムに関するお知らせ (シャープ, 10/13)
■対象機種
<PC-MRシリーズ>
PC-MR40J/PC-MR50H/PC-MR60HS/PC-MR80H/PC-MR80HU
PC-MR80J/PC-MR8BH7
及び、バッテリーパック CE-BL44
また、こんな一言が:
多くの会社がソニー製バッテリーの自主交換プログラムへの対応を表明しているため、バッテリーパックの供給はかなり厳しい状況にあります。このため、具体的なご案内につきましてはいましばらくお時間をいただきますようお願い申し上げます。
う〜む……。
CVE-2006-4813。 Linux 2.6.13 以前の 2.6.x の話。
[NT] ISS BlackICE PC Protection Filelock Protection Bypass (securiteam)
Cisco Security Advisory: Default Password in Wireless Location Appliance
SecureWorks Research Client Advisory: Multiple Vendor Bluetooth Memory Stack Corruption Vulnerability。 東芝と、東芝から OEM 供給を受けている DELL、SONY、ASUS 等が該当、とされている。 patch がある。Multilanguage とか Japanese とかある奴は、日本のものに入れていいのかな。
NVD: CVE-2006-5405
Open Conference Systems <= 1.1.3 Remote File Inclusion の話。こういうのがみつかると、すぐに利用されてしまう時代なのですね。 r57shell.php の修正版ですか……。
》 ソニーへの賠償請求は「さまざまな可能性を検討している」--東芝、電池回収問題で (CNET, 10/16)
》 セキュアOS「TOMOYO Linux」を用いた 柔軟かつ強固な利用者認証方式のプロトタイプを開発 (NTT データ, 10/13)。TOMOYO ちゃん話。
》 リスクは突然やってくる -- SARSや鳥インフルエンザの危機にどう立ち向かったか (日経 IT Pro, 10/16)
》 GPLv3第2ディスカッション・ドラフト 趣旨説明書 (Rationale) (Open Tech Press, 10/16)
》 メールの0.71〜1.02%は「ただ消えて無くなる」〜Microsoft研究者らが論文 主な原因はスパムフィルター (Internet Watch, 10/16)
》 インターネットの「脅威レベル」を解説する (日経 IT Pro, 10/11)
》 You may be unable to use a Nortel VPN client and IPsec at the same time in Windows XP or in Windows 2000 (Microsoft)
関連: You may be unable to use an AT&T Global Network VPN client and IPsec at the same time in Windows XP or in Windows 2000 (Microsoft)
》 A new version of the Windows Update offline scan file is being released (Microsoft)
》 FIX: You receive stop error 0x7E on a Windows Server 2003 computer that is running the Server for NFS service and that has McAfee VirusScan Enterprise 8.0i installed (Microsoft)。サポートから SFU 3.5 の修正プログラムを入手できるそうです。
》 Changes in PMTU black hole router detection in Windows Server 2003 and in Windows Vista (Microsoft)。Windows Server 2003 SP2 / Vista での仕様だそうで。
》 FIX: The computer may stop responding for 40 or more seconds when you run a scan for updates or when you try to apply an update on Windows Server 2003, on Windows XP, or on Windows 2000 (Microsoft)。仕様じゃなくてバグだったのか。
This problem may occur when you have Microsoft Office installed and the Windows Update Agent tries to scan for Windows Installer updates.
サポートから修正プログラムを入手できるそうです。
》 マイクロソフト初の PC用 Web カメラ「Microsoft LifeCam」シリーズ 4 機種11 月 2 日(木)より順次発売 (Microsoft, 10/16)。「ワンタッチ ブログ投稿」は Microsoft Ubuntu ではありません、多分。
》 Vistaの新機能をめぐるMSとセキュリティ企業の不協和音 (Enterprise Watch, 10/16)。 Brad Smith Press Conference Transcript: Announcement Regarding Release of Windows Vista in Europe and Korea (Microsoft, 10/13)
With this new API, Windows Security Center will not send an alert to a computer user when there is an alternative security console installed on a PC, and when that security console is sending that same alert itself.
(中略)
We devised a new engineering approach that will create and extend new kernel level APIs so that PatchGuard will be retained, the security of the kernel will be protected, and yet security vendors will have an opportunity to meet their needs through these kernel level API extensions. We felt that this was again the right kind of solution that meets the needs and obligations that we have under competition law, whilst also meeting the needs of computer users around the world.
しかし、今から間にあうのかなあ。それとも、既に作業済みだから発表しているのか。
》 危ないのは“怪しいサイト”だけではない,一見“無害な”サイトにも罠 (日経 IT Pro, 10/16)
SANS Instituteでは,馴染みのない(よく知らない)サイトへアクセスする際には十分注意するよう呼びかけている。
もちろんそうなのだが、馴染みのあるサイトでも危ないという教訓を、MSN やカカクコムが示したと思うし……。
関連: 「DVDirect」など閲覧のユーザーにウイルス感染の疑い (ITmedia, 10/14)、DVDirectウィルス感染に関するご報告とお願い (DVDirect, 10/13)。Benjamin さん情報ありがとうございます。
》 首都大・総合危機管理講座で情報セキュリティについて講演 (武田圭史, 10/15)。確かに豪華な顔ぶれですね。
》 「C/C++セキュアコーディング」が amazon で予約できる ようになったようなので、発注してみた。
》 テレビ番組が地域や国境の壁を越える ネットに揺れる放送局 (asahi.com, 10/14)。ロケーションフリーのハウジングサービスをしているまねき TV に対する仮処分を放送局が申請したが却下された話方面。
永野商店側の代理人・小倉秀夫弁護士は、「テレビ局は、系列地方局を支えられなくなるから、番組を放送エリアを超えて視聴されたくないのでしょう」とみる。
確かに、龍大瀬田学舎のあたりではテレビ大阪が入らないのでそれを見たいという俺的要求はあるのだが、一方で、
懇談会の座長でエコノミストの松原聡さんは「例えば九州出身で北海道で暮らす人が、故郷の番組が見たいというニーズもある。今、地方局が独自で制作している番組が少ない現状を考えても、地域制限の撤廃は、地方局の番組制作力や経営基盤の強化に資する要素もある」と語る。
》 [Clamav-announce] announcing ClamAV 0.90RC1 というのも出てます。
》 Microsoft Forefront Client Security (Microsoft)。 public beta は COMING SOON になってるけど、WSUS には定義ファイルの更新が流れてきてるなあ……。
》 ディサスターリカバリーについて考える (日経 IT Pro, 10/16)
そう考えると必然的にレベル3、すなわちデータセンターだけでなく組織も東京以外、理想的には大阪にも置く必要があります。そこまで行ってやっと「当社は万全なディサスターリカバリー対策をしています」と言えるのではないでしょうか。
大阪でもいいのですが、東海・東南海・南海同時発生シナリオに耐えられることは確認しましょう。長周期地震動への対応も要確認。
》 マクドナルド、賞品のMP3プレイヤーをウイルス感染で回収 (slashdot.jp, 10/13)。 キャンペーン賞品「MP3プレーヤー」の ウイルス感染に関するお詫びとお願い (マクドナルド, 10/13) から引用:
- トレンドマイクロ株式会社の「トレンド フレックス セキュリティ™」を実行して下さい。
- 実行後に”WORM_QQPASS.ADH”が検出された場合は、駆除ツール「Fix-QQPAS.exe」を実行して下さい。
- 最後に改めて「トレンド フレックス セキュリティ™」を実行し、ウィルスが検出されないことをご確認頂き、全ての作業が終了となります。
尚、「トレンドフレックスセキュリティ™」を再実行した時にウィルスが検出された場合は
下記事務局にお問いあわせ下さい。
オンラインスキャンを実行してくれ、と言いたいのかな。 フレックスセキュリティの30日期間限定版なら自力で駆除できるような気が……。
例によって 0-day だそうです。
これですが、任意のコードを実行できる欠陥ではないことがわかったそうです。
ClamAV 0.88.5 登場。from Changes:
Bugfixes:
- libclamav/rebuildpe.c: fix possible heap overflow [IDEF1597]
- libclamav/chmunpack.c: fix possible crash [IDEF1736]
- freshclam/manager.c: "Cache-Control: no-cache" is now disabled by default. If you're behind a broken proxy you can recompile freshclam with --enable-no-cache.
》 アンナ・ポリトコフスカヤさん追悼集会〜プーチン政権とチェチェン戦争〜 (JANJAN, 10/13)
》 Linuxサーバ Hacks 2 (オライリー)
》 マイクロソフト、セキュリティ関連部署をWindows部門傘下に統合 (CNET, 10/13)。セキュリティは OS 本体に組み込まれた、ということかな。
》 SpamAssassin 3.1.7 が出てますね。web ページはまだ更新されてないっぽいですが。
》 損保、不作為の40年: 不払い26万件に拡大、収束はなお遠く (日経 BP, 10/12)
「契約者から請求がなければ、以前は保険金を払わなくてもよかったが、今はこちらから調べなければいけない時代だ」。東京海上日動の首脳は時代の変化をこう受け止めるが、別の大手損保首脳は、今なお周囲にこう漏らしている。
「請求がないのに、なぜ保険金を払わなければいけないんだ」。この言葉こそ業界の「本音」であり、契約者軽視の文化を象徴するものと言える。
》 廉価版DVD:「ローマの休日」DVD裁判、一時退却 パラマウント「負け」続き (毎日, 10/11)
》 バイタルサインを記録する「ヒューマンレコーダ」の開発に着手! (日経 IT Pro, 10/13)。 川崎・女性刺殺:発生1週間 金曜深夜の現場、逃げ場がない… /神奈川 (yahoo / 毎日, 10/1) のような話への対策ではないので注意。
》 チェチェン+カザフスタンの石油+【テロ特措法】の1年延長 (関組長の東京・永田町ロビー活動日記blog版, 10/12)
》 シマンテック調査:各企業はアプリケーションセキュリティの重要性を認識しながらも、開発プロセスでの取り組みに遅れ (シマンテック, 10/12)
》 マカフィー、Citadel社を買収 (マカフィー, 10/13)。Citadel Security Software ですか。製品 (Citadel)。
》 MySQL 5.0.26 - 文字エンコーディング指定の新構文、致命的なバグ修正も (MYCOM ジャーナル, 10/13)
》 ラック、2006年上半期のセキュリティ動向調査を公表 (Internet Watch, 10/11)
》 総務省、屋外でも利用できる5GHz無線LANの開放に向けた意見募集 (Internet Watch, 10/11)
》 シマンテックだけじゃない--MSのセキュリティ分野参入に警戒強める欧州ベンダー勢 (CNET, 10/6)。 そもそもアンチウイルスベンダーは、Microsoft が無策だったことにあぐらをかいていただけなんじゃないの? って気がするんだが……。 Microsoft がアンチウイルスに本腰を入れた理由の一つは、Exchange などの自社中核製品への 3rd party アンチウイルス製品の対応が遅いこともあると思うんですけどねえ。
》 庶民いじめの増税を隠そうとする政府の圧力 〜「増税潜水艦」は参院選の後に浮上〜 (日経 BP, 10/6)
わたしがあちこちから裏を取った情報では、どうやら中期答申の発表は1年後のようだ。なぜ税調メンバーが入れ替わる1年後なのか。答えは一つだ。参議院選挙が終わっているからである。それまでは中期答申の中身をオープンにできない理由があるのだ。
》 Vectorサイト ウィルス感染情報。 Vector におけるウイルスつきファイル配布話のまとめ。 Aisoraさん情報ありがとうございます。
まとめておきます。
ASP.NET 2.0 の脆弱性により、情報漏えいが起こる (922770) (MS06-056)
対象: .NET Framework 2.0
関連:
Windows Explorer の脆弱性により、リモートでコードが実行される (923191) (MS06-057)
対象: Windows 2000 / XP / Server 2003
関連:
Microsoft PowerPoint の脆弱性により、リモートでコードが実行される (924163) (MS06-058)
対象: PowerPoint 2000 / 2002 (XP) / 2003, PowerPoint 2004 for Mac, PowerPoint v. X for Mac。PowerPoint 2003 Viewer は影響なし。
関連:
Microsoft Excel の脆弱性により、リモートでコードが実行される (924164) (MS06-059)
対象: Excel 2000 / 2002 (XP) / 2003, Excel Viewer 2003, Works Suite 2004 / 2005 / 2006, Office 2004 for Mac, Office v. X for Mac。
関連:
Microsoft Word の脆弱性により、リモートでコードが実行される (924554) (MS06-060)
対象: Word 2000 / 2002 (XP) / 2003, Word Viewer 2003, Works Suite 2004 / 2005 / 2006, Office 2004 for Mac, Office v. X for Mac。
関連:
Microsoft XML コアサービスの脆弱性により、リモートでコードが実行される (924191) (MS06-061)
対象: XML Parse 2.6 / XML コアサービス 3.0 / 4.0 SP2 / 5.0 SP1 (Office 2003), XML コアサービス 6.0。 XML コアサービス 2.5 にはこの欠陥はない。
関連:
Microsoft Office の脆弱性により、リモートでコードが実行される (922581) (MS06-062)
対象: Office 2000 / 2002 (XP) / 2003, Project 2000 / 2002, Visio 2002, Office 2004 for Mac, Office v. X for Mac。
関連:
Server サービスの脆弱性により、サービス拒否およびリモートでのコードの実行が起こる (923414) (MS06-063)
対象: Windows 2000 / XP / Server 2003
関連:
TCP/IP IPv6 の脆弱性により、サービス拒否が起こる (922819) (MS06-064)
対象: Windows XP / Server 2003
関連:
Windows オブジェクトパッケージャの脆弱性により、リモートでコードが実行される (924496) (MS06-065)
対象: Windows XP / Server 2003
関連:
Sage 1.4にもスクリプトインジェクション脆弱性があります (ひぐまのひまグ, 2006.10.11) だそうです。 Firefox/Sage++ (Higmmer's Edition) では直っているそうです。
Adobe 方面
SYM06-019: Symantec Automated Support Assistant :サポート・ツール ActiveX コントロールの脆弱性 (シマンテック)。LiveUpdate すれば ok。
Adobe の日本語版アドバイザリが出てました。
Adobe の日本語版アドバイザリが出てました。
掲載した画像のURL をログアウトした状態でクリックしても、画像を見ることができる? (mixi ヘルプ) の話。
mixi は会員のみが見ることの出来る招待制サイトですが、mixi にアップした画像は、そのURLからmixi の外でも画像を見ることが出来てしまいます。ブロック機能実装に向け改善と検証を重ねている状況ですが、他人と共有する可能性のある画像を、100%外部から保護することはできないというのがインターネットの現状とも言えます。
「インターネットの現状」じゃなくて「mixi の現状」だと思うよ。インターネットのせいにするのはやめようよ。
しかし、これが「脆弱性」だとすると、マカフィーのアレとか、IPA に届けた方がいいんですかね。今でもそうなのか確認してないですけど。
(link fixed: itochan さん感謝)
関連:
関連:
mixiの画像URLの取扱いの変更 (葉っぱ日記, 2006.11.09)。画像 URL に時間制限ですか。 掲載した画像のURL をログアウトした状態でクリックしても、画像を見ることができる? (mixi ヘルプ) も、なくなってますね。なくさなくてもいいのに。
》 Dr.WEB リンクチェッカー (drweb.jp)。藤井さん情報ありがとうございます。 virustotal なものがほしいなあ。
》 ワンクリック詐欺、芸能人ゴシップサイトからの誘導が急増 (Internet Watch, 10/12)、 ワンクリック詐欺、芸能ゴシップサイトからの誘導が5割に急増 (ネットスター, 10/12)
》 JNSA 脆弱性定量化に向けての検討WG アンケート (JNSA)。対象に該当するのでちょっと見てみたのだが、なんじゃこれ……。
Q1: Windows Kernel
- Microsoft社のWindows Kernelに脆弱性が発見されました。
- この脆弱性により、管理者の権限が第三者により取得される可能性があります。しかし、この脆弱性は、ネットワークを介して、認証を経ずして利用することはできません。
- 現在、この脆弱性を悪用するウイルスやワームが存在します。
- 対策として、Microsoft社よりパッチは提供されていませんが、回避策が提示されています。
- また、関連する社会的状況として以下の情報があります。
- インターネット上の危険度を示すInfoconは赤(4段階中の上から1番目)
- インターネット上のトラフィック状況を示すITRでは日本は緑(3段階中の上から3番目)
- 米国の国土安全保障省のセキュリティレベルはHigh(5段階中の上から2番目)
脆弱性の状況と、Infocon が赤という状況が整合しないように感じるのだが。ISC Infocon って、そうそうのことでは黄色にすら変わらないのに、赤?!
Infocon 解説ページ
では、赤は Loss of connectivity across a large part of the internet
というとんでもない状況なわけですが、想定状況では ITR は緑だというし。
わけわからん。
Infocon 解説ページ
にある (Partial) INFOCon History も参照。
Infocon の値だけが他と乖離しているという感じがするなあ。
なお、現在の状況についてはこのあたりでも見てください。
》 ICANN ordered by Illinois court to suspend spamhaus.org (securiteam blog, 10/7)。イリノイ州は spammer の味方?! 関連:
MS06-051 副作用話、サポートから patch を入手できるようになった模様です。
NEC の情報:
IBM / lenobo の情報 (すずきさん情報ありがとうございます、紹介が遅くてすいません):
ただし、すずきさんは「CNET の記事 (7月末 Intelリリースの脆弱性修正 patch に別の不具合がある=メモリリーク云々) の方には未対応のようです。 (中略) 当面 Intel 純正モジュール (メモリリークの件が修正された S24EvMON.exe を含む) を使用した方が良さそうですね」とおっしゃっています。 また、すずきさんがおっしゃるには、インストールに際しては、IBM 版ドライバをアンインストールするのではなく、IBM 版ドライバの上に「上書き更新」するのがよいそうです。
》 セキュリティのためなら,多少使いにくくてもいいじゃないか (日経 IT Pro, 10/5)
MicrosoftはUACを簡単に無効にできる方法を用意してしまった。「コントロールパネル」の「ユーザーアカウント」を開くと,「ユーザーアカウント制御の有効化または無効化」という設定項目がある。ここを開いてチェックボックスをオフにしてパソコンを再起動すれば,UACはまったく働かなくなる。
あらららら……。そんなに簡単に無効にできちゃうのですか。
》 総務省のコンテンツ流通促進検討会,私的複製の現状を議論 (日経 IT Pro, 10/6)
》 ベクターのウイルス問題--専門家が斬る再発防止の策 (CNET, 10/6)、 今回の問題点と暫定措置、今後の対策 (ベクター, 10/5)
》 いよいよ「ボリューム・ライセンス版Windows」にもアクティベーションが必要に (日経 IT Pro, 10/6)
》 Microsoft,「Windows Live OneCare」の新版をベータ運用開始,米国外でも利用可能に (日経 IT Pro, 10/11)
》 携帯電話ウイルスからスマートフォンを守る 「Trend Micro ウイルスバスターモバイルセキュリティ」を提供 (トレンドマイクロ, 10/11)。Windows Mobile 5.0 用。
シマンテックも: シマンテック、ソフトバンクモバイル初の Windows Mobile 5.0 搭載携帯電話「SoftBank X01HT」にウイルス対策ソリューションを提供 (シマンテック, 10/11)
》 スイス政府、IP電話の盗聴実験を実施 (ITmedia, 10/11)
》 マイクロソフト、OKWaveと連携したQ&Aサイト「MSN相談箱」 (Internet Watch, 10/10)。 答えてねっとより先に来ましたね。
》 Microsoft セキュリティ更新プログラムに関するサマリを表示するスクリプト (葉っぱ日記, 2006.10.11)
》 緊急追悼集会「アンナ・ポリトコフスカヤの暗殺とロシア・チェチェン戦争」に、ぜひご参加を!! (チェチェンニュース)。2006.10.12、東京都文京区、300円。 (転載する際は、くれぐれもチェーンメール化しないように気をつけましょう)
》 Konsoleライセンス違反問題で表面化したGPLの曖昧さ (Open Tech Press, 10/11)。 GPL だけで解決しようとするほうが悪いんじゃないの?
》 C/C++ セキュアコーディングセミナーのご案内 (JPCERT/CC)。 2006.11.09 / 10、東京都中央区、早期割引40,000円。 アスキービジネスの案内の方がちょっとグラフィカル。
著作物 "Secure Coding in C And C++(SEI Series in Software Engineering)" など ※昨年出版された上記英語著作物を2006年11月7日に日本語版を出版予定
JPCERT/CC訳、ASCII刊(2006年11月7日発売予定)
C/C++ セキュアコーディング という本が出るようです。Secure Coding in C and C++ に関する情報交換のためのページ というサイトもあるのですが、
forward and backward pointers は「前方後方ポインタ」と訳している。
何それ……。
「順方向および逆方向のポインタ」が一番無難だが、文章のリズムがくずれてしまう。
リズムがくずれてもいいから、まずは素直に訳そうよ。 今言っても遅いだろうけど。
》 パッチ配布ツール「SUS」は12月6日にサポート終了,「WSUS」への移行を (日経 IT Pro, 10/11)。そうなんだよねえ。
Panasonic から情報が (やっと) 公開されました。 Pasiri さん情報ありがとうございます。
Windows Explorer の脆弱性により、リモートでコードが実行される (923191) (MS06-057) (Microsoft) で修正されました。
Microsoft PowerPoint の脆弱性により、リモートでコードが実行される (924163) (MS06-058) (Microsoft) で修正されました。
Microsoft Word の脆弱性により、リモートでコードが実行される (924554) (MS06-060) (Microsoft) で修正されました。
日立からも予告出てます:
ソニー株式会社のバッテリーパック「自主交換プログラム」に関するお知らせ (日立, 2006.10.06)
自主交換プログラムの対象となるソニー製バッテリーを搭載した機種
1.FLORAシリーズ
・ FLORA 210W (NL6、LL1)
・ FLORA Se210(SL6、SL7)
Prius は該当しないそうです。
あと、東芝が交換作業を開始しました。
ソニー株式会社のバッテリパック自主交換プログラムに関するお知らせ (東芝, 2006.10.10 更新)
9/29 時点において対象とされていた
dynabook SS MXW、dynabook TX2、TX3、TX4、Satellite T10、T20、 PORTEGE M500、Satellite A50、TECRA M7、S3
は、対象外に訂正されています。
上記ページで「判定プログラム」が配布されていますが、「対応機種以外にはご使用になれませんのでくれぐれもご注意ください」という、便利なんだか不便なんだかよくわからないものです。
東芝は、これとは別に、 dynabook AX/8、dynabook CX/8、dynabook TX/8、dynabook VX/7、 Satellite CW1、Satellite AW4、Satellite AW5、Satellite A100シリーズの バッテリパックに関する重要なお知らせ(お詫びとお願い) (東芝, 2006.09.19) というのもやっているんですね。利用者はご注意を。
日本語版が出てました。
CVE-2006-3845 の件、悪用事例が発生したようで:
総務ワークフローシリーズにおける認証バイパス等の脆弱性に関するお知らせ (日立, 2006.10.11)
CA製品に脆弱性、パッチの適用を (ITmedia, 2006.10.07)。このへんの話:
Cisco Security Advisory: Limitations in Cisco Secure Desktop
PHP 方面
[SA22280] PHP "_ecalloc" Integer Overflow Vulnerability。 対象: PHP 5.1.x
Advisory 08/2006: PHP open_basedir Race Condition Vulnerability。 対象: PHP 4/5。 PoC コード。
Suhosin extension 0.9.6 を利用している場合はこの問題を回避できている。 また、php.ini で
disable_functions=...,symlink
と設定することでも回避できる。
Advisory 09/2006: PHP unserialize() Array Creation Integer Overflow。 対象: PHP 5.1.6 以前 / 4.3.0 より前。 PHP 4.3.0 以降にはこの欠陥はない。 PHP 5 については PHP 5.2.0 で修正される予定。CVS 版は既に修正されている。
[SA22367] FreeBSD "PT_LWPINFO" Ptrace Command Denial of Service。 FreeBSD 6.0 は影響するが、FreeBSD 6.1 は影響しないそうだ。
[SA22324] OpenBSD systrace "systrace_preprepl()" Integer Overflow Vulnerability
Microsoft 2006.10 版 patch 出ました。 予定より 1 つ少ないです。
まとめておきます。
ASP.NET 2.0 の脆弱性により、情報漏えいが起こる (922770) (MS06-056)
対象: .NET Framework 2.0
関連:
Windows Explorer の脆弱性により、リモートでコードが実行される (923191) (MS06-057)
対象: Windows 2000 / XP / Server 2003
関連:
Microsoft PowerPoint の脆弱性により、リモートでコードが実行される (924163) (MS06-058)
対象: PowerPoint 2000 / 2002 (XP) / 2003, PowerPoint 2004 for Mac, PowerPoint v. X for Mac。PowerPoint 2003 Viewer は影響なし。
関連:
Microsoft Excel の脆弱性により、リモートでコードが実行される (924164) (MS06-059)
対象: Excel 2000 / 2002 (XP) / 2003, Excel Viewer 2003, Works Suite 2004 / 2005 / 2006, Office 2004 for Mac, Office v. X for Mac。
関連:
Microsoft Word の脆弱性により、リモートでコードが実行される (924554) (MS06-060)
対象: Word 2000 / 2002 (XP) / 2003, Word Viewer 2003, Works Suite 2004 / 2005 / 2006, Office 2004 for Mac, Office v. X for Mac。
関連:
Microsoft XML コアサービスの脆弱性により、リモートでコードが実行される (924191) (MS06-061)
対象: XML Parse 2.6 / XML コアサービス 3.0 / 4.0 SP2 / 5.0 SP1 (Office 2003), XML コアサービス 6.0。 XML コアサービス 2.5 にはこの欠陥はない。
関連:
Microsoft Office の脆弱性により、リモートでコードが実行される (922581) (MS06-062)
対象: Office 2000 / 2002 (XP) / 2003, Project 2000 / 2002, Visio 2002, Office 2004 for Mac, Office v. X for Mac。
関連:
Server サービスの脆弱性により、サービス拒否およびリモートでのコードの実行が起こる (923414) (MS06-063)
対象: Windows 2000 / XP / Server 2003
関連:
TCP/IP IPv6 の脆弱性により、サービス拒否が起こる (922819) (MS06-064)
対象: Windows XP / Server 2003
関連:
Windows オブジェクトパッケージャの脆弱性により、リモートでコードが実行される (924496) (MS06-065)
対象: Windows XP / Server 2003
関連:
MS06-061 が更新された。
マイクロソフトは Windows 2000 Service Pack 4 を使用するお客様にセキュリティ更新プログラムを再提供するためにこのセキュリティ情報を再リリースしました。以前、このセキュリティ更新プログラムは Microsoft XML Parser 2.6 に正しく Kill Bit を設定しませんでした。また、Microsoft XML Core Services 4.0 および Microsoft XML Core Services 6.0 用のセキュリティ更新プログラムを削除したいお客様のための追加情報も記載しました。
kill bit を設定していたのか……見逃していた……
この更新プログラムは Microsoft XML Parser 2.6 のクラス識別子 (CLSID) の一覧に Kill Bit を設定します。これは Microsoft Internet Explorer 上でのサポートを削除します。
Parser CLSID および Microsoft XML Parser 2.6 の機能が含まれている対応するファイルは次の通りです。
クラス識別子 ファイル ----------------------------------------------- f5078f22-c551-11d3-89b9-0000f81fe221 Msxml2.dll f5078f1b-c551-11d3-89b9-0000f81fe221 Msxml2.dll f5078f1c-c551-11d3-89b9-0000f81fe221 Msxml2.dll f5078f1d-c551-11d3-89b9-0000f81fe221 Msxml2.dll f5078f1e-c551-11d3-89b9-0000f81fe221 Msxml2.dll f5078f21-c551-11d3-89b9-0000f81fe221 Msxml2.dll f5078f1f-c551-11d3-89b9-0000f81fe221 Msxml2.dll f5078f20-c551-11d3-89b9-0000f81fe221 Msxml2.dll f5078f28-c551-11d3-89b9-0000f81fe221 Msxml2.dll f5078f29-c551-11d3-89b9-0000f81fe221 Msxml2.dll f5078f26-c551-11d3-89b9-0000f81fe221 Msxml2.dll
Windows 2000 な人は適用しなおそう。あと、「Microsoft XML Core Services 4.0 および Microsoft XML Core Services 6.0 用のセキュリティ更新プログラムを削除したいお客様のための追加情報」は、「セキュリティ更新プログラムに関する情報」に記載されている。
関連: MS06-061の再リリース (日本のセキュリティチームの Blog, 2006.10.20)
[セキュリティ診断]を実行すると毎回MS06-061が検出される (トレンドマイクロ)
弊社では、マイクロソフト社から提供されている下記のいずれかのセキュリティ更新プログラムを適用することで、本現象が回避されることを確認しています。
[MS06-061] Microsoft XML コア サービス 6.0 用のセキュリティ更新プログラム
[MS06-061] Microsoft XML コア サービス 4.0 SP2 用のセキュリティ更新プログラム
うーん……。MS06-061 の「このセキュリティ更新プログラムに関するよく寄せられる質問」にある、「使用しているコンピュータにはどのバージョンの Microsoft XML コア サービスがインストールされているのですか?」をよく読んで対応してください、と言うべきなんじゃないのかなあ。まあ、確かにわかりにくいんだけどねえ。
Microsoft Excel の脆弱性により、リモートでコードが実行される (924164) (MS06-059) が改訂されています。KB924164 によると、Excel 2002 + Windows Installer 2.0 な環境では execl.exe が正常に更新されなかったのだそうだ。この問題は、新版の修正プログラムでは修正されているそうだ。
》 FuzzyOcrPlugin (SpamAssassin) をインストールしてみた。 最近、メール本文はどーでもいいテキストで、添付されている画像が spam、という奴があるが、そういう奴に効果がある。こんな感じで評価される:
18 FUZZY_OCR BODY: Mail contains an image with common spam text inside
Words found:
"alert" in 1 lines
"news" in 4 lines
"breaking" in 1 lines
"alert" in 1 lines
"stock" in 1 lines
"million" in 1 lines
"buy" in 1 lines
"price" in 2 lines
"trade" in 2 lines
"target" in 1 lines
"banking" in 1 lines
(16 word occurrences found)
》 今度は「DriveCleaner」 (インフラ管理者の独り言, 10/10)。いろいろありますねえ。
》 【CRYPTO-GRAM日本語版】人とクマのセキュリティ・トレードオフ (日経 IT Pro, 10/10)
ある公園管理人は『最も賢いクマと最も愚かな観光客の知能レベルは,ほぼ一致する』と語った」
わははは。知性だけでは区別できない、と。
》 答えてねっと ですが、ようやく (制限つきで) 再開されるようです。Laut さん情報ありがとうございます。
2006 年 10 月 13 日午前 9 時より、「答えてねっと」(ベータリリース)を再開いたします。
本リリースでは下記の通り運用時間と同時接続ユーザー数およびマイコレクション機能の利用を制限しているため、ベータリリースといたしました。マイコレクション以外の機能は、全てご利用いただくことができます。
ポイントの取得や景品サイトへの応募も可能です(景品応募サイトでの応募受け付けについては、景品応募サイト (http://www.uriage-up.com) にてご確認ください)。
また、ベータ解除後もすべての情報は引き継がれますので、ご安心ください。 (中略) 運営時間および同時接続ユーザーの制限は、利用状況を元に段階的に緩和を行う予定です。 (中略)
利用時間:土曜日、日曜日および祝祭日を除く毎日午前 9 時〜午後 7 時
同時接続ユーザー数:最大 200 人
制限機能:マイコレクションはご利用いただけません
》 北朝鮮、地下核実験に成功か? (slashdot.jp, 10/9)。スラドクオリティに飽きた方はこちらを: 核実験実施は、日本のターニングポイントになる 武貞秀士・防衛庁防衛研究所主任研究官に聞く (日経 BP, 10/10)
ちり収集、分析急ぐ 対応に追われる国内関係機関 (asahi.com, 10/10)
篠原伸夫主任研究員は「風向きや風力によって異なるが、核実験の影響を受けた微粒子が大気に含まれているとしても、それが到着するのに3日から1週間、分析に3日かかる」と話した。
つまり、最短でも 6 日はかかる、ということか。
関連:
》 共謀罪:創設、攻防再び 条約批准に必要か (毎日, 10/9)
条約批准にあたり、日本のように600以上の犯罪を対象に共謀罪を新設するといった大掛かりな国内法整備をした国はほとんどない。(中略) 米国が「一部の州には極めて限定された共謀罪しかない」として、条約批准の際に留保(特定の規定を自国に適用しない意思表示)していたことも判明した。日弁連は「政府は留保はできないと言ってきたが、日本も米国と同様に留保することで、現行法のままでも条約違反を回避できるはずだ」と指摘する。
さらに、カリブ海の島国セントクリストファーネビスが、共謀罪の対象を国際犯罪に絞ったまま条約を批准していることが日弁連の調査で分かった。共謀罪の対象を国際犯罪に限定した民主党の修正案について、政府は「条約違反で批准できない」としてきたが、この説明も怪しくなってきた。(中略) 日弁連関係者は「外務省はこれらの情報を隠してきたとしか思えない。国民に対する背信行為だ」と批判したうえで、「刑法の原則を大転換するような法改正をしようとしているのは日本だけで、異常さが際立っている」と指摘している。
》 セキュリティベンダー各社、MSの呼び掛けを拒否 (ITmedia, 10/10)。守りたいのはセキュリティよりも金。
》 東北電力の送電支援システム設計書がWinnyで流出 (Internet Watch, 10/10)。 当社システム開発に関する資料の情報流出について (東北電力, 10/6) を見ると、
今回の流出は、当社が当該システム設計を委託した会社(東北インフォメーション・システムズ株式会社)の再委託先(株式会社ジャステック)に対し第三者から連絡があり判明したものです。
再委託 ok な契約だったのかな。 東北インフォメーション・システムズ と ジャステック のページには何も書かれてませんね。
》 個人のセキュリティ意識向上が重要〜セキュアブレイン星澤氏講演 (Internet Watch, 10/6)。CEATEC JAPAN 2006 話。
Webサイト側は、アクセス者の入力に対して「Rock Solid Input Validation」を導入するよう進めている。そういう書かれ方をすると「Rock Solid Input Validation」というソフトウェアが存在するのかと思っちゃったりするのですが、単に「堅実な入力値検証」という一般論を言っているだけなんじゃないんですか?
》 GoogleがYouTubeを16億5000万ドルで買収へ (日経 IT Pro, 10/10)。つまり、Google Video は負けたってことだよな。 敵に勝てなかったので味方にしちゃった、と。
》 マラリア対策にDDT復活論 (JANJAN, 10/7)。DDT ですか……。
》 オーマイニュースは「崩壊ニュース」からの脱却を (JANJAN, 10/7)
》 慶良間諸島の集団自決は日本軍の命令〜米軍公文書発見 (JANJAN, 10/7)
判決は「53年公開作品の著作権は03年12月31日で終了し、04年1月1日に施行された改正法は適用されない」と述べた。
ふつうに考えればそういう判決になるのはあたりまえだと思うのだが……。
自分の頭で考えろよ……。
》 アンナ・ポリトコフスカヤ女史が暗殺された!! なんてこったい……
命日となった10月7日はプーチン大統領の誕生日でもあります。
絶滅危惧種「プーチンを批判するメディア人」は、種の代表でもあった女史の暗殺により、いよいよヤバい状態か。
》 海岸ゴミを拾った後に散乱 「過剰な演出」フジ収録中止 (asahi.com, 10/7)。素直にヤラセって言おうよ。 フジ、バラエティー番組でやらせ…拾ったゴミ置き直す (読売, 10/7)
》 Google八分を批判する情報大航海プロジェクト (slashdot.jp, 10/6)。おもしろいところを突きますね。 もっとも、「情報大航海プロジェクト八分」だって発生するかもしれないんですけどね。
あいかわらず Google 八分ってつづいているんですか……。
まあ、八分を要請する人はスルー力が足りない、のは事実なのだろうなあ。
しかし、Google 八分というのはある意味とてもわかりやすいわけで。これはつまり、「Google としては別に載せてもいいと思うんですけど、法的にあだこだ言われたので仕方なく削除しました」というマークなわけで。「他人に言われなくても、Google の方で勝手に消しました」という場合には、八分のしるしすら出ません。 そういうのは、たとえば Yahoo! と同時に検索してみると結果があまりにも違う (一方でだけ結果が異常に少ない)、といった形で判明したりします。 またそういう意味で、情報大航海プロジェクトには一定の期待はしておきます。
》 Microsoft Impossible 第2話: システム・エラーと闘う人々 (@IT)。たとえばアンチウイルス系のプログラムはシステムの奥底に入り込むことが多いので、ブルーなトリガになったりすることもあるらしい。
》 カザフスタンの石油は、どこを経由して輸送するのか? (関組長の東京・永田町ロビー活動日記blog版, 10/6)
》 MS、Word文書に電子的な“墨塗り”を施せる「Word 2007」用アドオンを公開 (窓の杜, 9/15)。β版だそうです。
》 週内に検査開始 カボチャ残留農薬でホクレン (北海道新聞, 9/12) の件で、Jubilee さんから (ありがとうございます、紹介が遅くてすいません)。
この件に関する専門ジャーナリストによる記事です。
http://biotech.nikkeibp.co.jp/fsn/kiji.jsp?kiji=708
これが建築であれば、基準が厳しくなってもそれを満たさない既存建築物が取り壊しや改修を命じられることはないのですが、食べ物は厳しいです。
現実には健康には何一つ影響を及ぼすことが予測されないレベルでも、回収・廃棄が「食の安心」のために市場から要求されています。もったいない話です。もっともったいない話もあります。種苗会社が種子消毒用に「1回だけ使用可」とされる農薬をうっかり2回使ってしまったことが明らかになって、その種から育てたメロンが全部廃棄されたという事件もあります。同サイトに掲載されています。
すべてはセキュリティのため?それとも市場の要求に応えるため?マスコミに叩かれないため?消費者の安全のため「泣いて馬謖を斬る」姿勢を見せることでPRを行うための投資?市場の要求は本当に消費者の要求?消費者は自分が何を要求しているのか本当にわかっているのか?考えてしまいます。
で、紹介されている、松永和紀のアグリ話●ポジティブリスト問題再燃!制度揺るがす基準値違反 (9/13) を読んでみると、
なぜ、今になって問題化したのか? ポジティブリスト制開始に伴い、残留基準が設定されたからだ。これまでは基準がなかったため、多少残留していても問題とはならず、公表されることもなかった。 (中略) ことさらに北海道産カボチャを危険視するのではなく、この際、さまざまな農産物や土壌について全国的に調べる必要があるだろう。
昔使っていたものが分解されずに残留しており、それが検出された、ということですか……。これは確かに、対応が難しいですね……。
》 Windows VistaとLonghorn Serverに新たな海賊版ソフト対策技術 (日経 IT Pro, 10/6)、 Windows Vistaでアクティベーションはどう変わるか (ITmedia, 10/5)。ramsy さん情報ありがとうございます。
》 IHSに対するWindows Vista上のIE 7からのHTTPSリクエストが失敗する問題への対応 (WAS-06-018) (IBM, 9/28)。XP SP2 の IE7 ではだいじょうぶだけど、Vista の IE7 ではだめなのだそうで。patch が用意されている。
》 Windows XP SP1 および SP1a のセキュリティ更新プログラムのサポートが 2006 年 10 月 10 日に終了します (Microsoft)。で、それってどこ時間? 「明確な記述とは何か」を学習できないのか?
》 ノートパソコンから「シュー」という音が聞こえたら発火直前? (Nutsecurity, 10/5)。nutsec さん情報ありがとうございます。
「安全弁」で思い出した会話:
Ripley: It's very pretty, Bishop, but what are we looking for?
Bishop: That's it. Emergency venting.
Hudson: That's beautiful, man. That just beats it all.
Hicks: How long until it blows?
Bishop: Four hours, with a blast radius of 30 kilometers, equal to about 40 megatons.
Hicks: We've got problems.
》 早速、Google Code Searchで脆弱そうなソースコード探し (うさぎ文学日記, 10/6)。さっそくやるのは根が黒い人だと思うし。
》 EC-02、Passol-Lに関するリコール情報をご案内します (ヤマハ発動機, 10/5)
》 米Microsoft,EUの制裁金に対し控訴 (日経 IT Pro, 10/6)
》 『共謀罪』の成立 今国会見送りへ (東京新聞, 10/6)
自公両党が今国会成立を目指す方針を決めたのは、教育基本法改正案のほか、(1)テロ対策特別措置法改正案(2)防衛省昇格法案(3)国民投票法案(4)北海道道州制特区推進法案−の合わせて五法案。
共謀罪関連:
その他:
》 プログラミング情報誌受難の時代 (日経 IT Pro, 10/4)。 関連: オープンソースマガジンも休刊に (slashdot.jp, 10/5)。要は、ネットに近い (= ネットで代替できる) 雑誌ほど死滅している、ということなんじゃないのか。 blog とかの記事が雑誌記事のもとネタになっていた事例も少なくなかったし、 @IT のように、良質なコンテンツを豊富に掲載するサイトも出てきて久しいわけで。 「日経コンピュータ」のような独自取材・分析系のモノはちゃんと生き残ると思うけど……。
「UNIX USER & OSM 創刊号〜最終号全記事入り DVD」なんて出たらソッコーで買うけど……。
Norton AntiVirus / Symantec AntiVirus / Symantec Client Security 等に含まれる 32/64bit Windows 用のデバイスドライバ、 NAVEX15.SYS と NAVENG.SYS に欠陥。権限上昇が可能であり、local user が kernel 権限で任意のコードを実行できる。 Windows 9x/Me および Macintosh 版の AntiVirus / Symantec AntiVirus / Symantec Client Security 等にはこの欠陥は影響しない。
対応するには、LiveUpdate や Intelligent Updater を使って、 ウイルス定義ファイルを 2006 年 10 月 4 日付 revision 9 以降に更新すればよい。
Windows: 6 個。「緊急」を含む。
Office: 4 個。「緊急」を含む。
.NET Framework: 1 個。「警告」。
「悪意のあるソフトウェアの削除ツール」の更新版。
「セキュリティ以外の優先度の高い更新プログラム」
MS06-xxx は 11 個出るということか…… orz
関連: 10 月のリリース予定 (日本のセキュリティチームの Blog, 2006.10.06)
MS06-053 関連:
MS06-053 の回避策になぜか
Internet Explorer のページのエンコードの自動検出を無効にする
Internet Explorer のページのエンコードの自動検出を無効にすると、この脆弱性の悪用から影響を受けるコンピュータを保護する手助けとなります。
なんて書かれている事、そして Microsoft Internet Information Services UTF-7 XSS Vulnerability (PTRS) によって明らかにされた本当の問題。 それはもちろん、IE の「機能」なのであった……。
》 次世代DVD どうしたソニー 録画時間短く、他社に見劣り (毎日, 10/5)。It's a SONY. でも、SONY に元気がないと、ちょっと困るんだよねえ。
》 住基ネット侵入実験講演中止事件、国への賠償請求棄却 (slashdot.jp, 10/4)
》 新しいMicrosoft COA(Certificate of Authenticity)ラベルについて:Dell (インフラ管理者の独り言, 10/5)。ナウでヤングな Microsoft COA は破れているものらしい。
マイクロソフト社が決めた仕様のシールで、かつ世界基準の破れ方を採用しているので問題無い
世界基準の破れ方…… (笑)。
》 核実験宣言、金正日が「今だ」と考えた理由: 事態を予見していた防衛庁防衛研究所主任研究官・武貞秀士氏に再びインタビュー (日経 BP, 10/5)
》 電子署名付のメール受信時に「メールが改ざんされました」とメッセージが表示される現象について (トレンドマイクロ, 10/4)
「迷惑メール対策ツール」が有効になっていることで現象が発生することを確認しています。
つまり、「迷惑メール対策ツール」はメールを改ざんする、と……。
》 大浦博久氏のマイクロソフト退社と昨今のマイクロソフト事情 (古川 享 ブログ, 10/4) (info from 葉っぱ日記)
Windows Live Spaceの担当者に月曜日のパーティで...「あのさぁ、いつまでも私のブログがMacで読めませんってのは会社の姿勢として如何なものか、と思わないのかい」と聞いたら...本当にスタッフは泣きそうな顔をして「MacのIEは今後改修もしない、収束ターミネーションしていく方向で、何を改修依頼しても、本社は何の対応もしてくれません」「でも、サファリなら読めるでしょ」という返答が返ってきて、私はブチ切れてしまいました。
ブチ切れるもなにも、2003 年に決まった話なのに……。 今ごろブチ切れて頂いても虚しいのですが。
わたし:「もう、MacのIEは改修も修正もしません、っていうならそれを社会に責任を持って告知すべきだし...ネット経由のアップデート機構で自らを抹消し推奨ソフトを無償ダウンロードするぐらいの責任を取れってば!!!」
Mac 版 IE については Internet Explorer 5 for Mac (Microsoft) とか http://support.microsoft.com/gp/lifemacfaq に明記されてますよね。前者の日本語版がないのは MSKK の責任でしょう。 あと、推奨ソフトは Safari なので、Microsoft にはどうにもなりませんね。
「それ以降のブログや社内ホームページでは、サファリで読めることを保障してから掲示するぐらいのことをしてくれって」...「現在でもサファリで..私のブログが読めない..具体的には添付した写真が意味の無い文字列を吐き出す」ってことはMacではWindows Live Spaceのブログを読むことを保障してませんって、ことだぜ!!!」
実際、そうなのでしょうね。昔と比べれば、.microsoft.com 方面の Firefox への対応は進んでいる気がしますが……。
「Windows のIEでも、私のブログバックナンバーの2005年9月をクリックするだけで、IEが暴走して死ぬって事実を3ヶ月も放置したままってのは、あまりにも不誠実でないかい」
先ほど試したら、IE 6 SP1 は確かに落ちました。IE 7 RC1 ではだいじょうぶのようです。
そして最後にさらに絶句したのは、「古川さん、そんなことを問題にしないでくださいよ..Windows Vistaの品質なんてRC1(出荷予定版の第1版)がレリースされたのに、もっとヒドイんですから...多分過去出荷した Windowsの各バージョンに比べて最低の品質だと思います。だって、出荷版のビルドエラーを起こして、マスターソースがコンパイル・リンクができなくなっちゃたけど、まぁ、良いかってノリでレリースしてしまってるんですから」なんて話を聞くにつけ、さらに寒いっ...
へぇ〜……。
》 馴れ合い同然の「完全情報開示」がユーザを危険にさらす (Open Tech Press, 10/4)。発見者側は好きで「馴れ合い」だの「共謀」だのしているわけじゃないと思いますけど……。Joe-Barr 氏なので仕方ないのでしょうが。
》 セキュリティとリバース・エンジニアリング (日経 IT Pro, 10/4)
》 米国の先願主義移行でいよいよ始まる「世界特許制度」 (日経 IT Pro, 10/3)
》 日本公認会計士協会 監査基準等が一般の人もダウンロードできるようになりました (まるちゃんの情報セキュリティ気まぐれ日記、 10/4)
》 日本学術会議 声明 科学者の行動規範について (まるちゃんの情報セキュリティ気まぐれ日記、 10/4)
Skype for Mac 1.5.0.79 以前に欠陥。format バグがあり、細工された Skype URL をクリックすると任意のコードが実行される。 CVE: CVE-2006-5084
Skype for Mac 1.5.0.80 で修正されている。
一太郎の脆弱性を利用した不正なプログラムの実行危険性について (ジャストシステム) が改訂されていました。一太郎 for Linux も欠陥の対象となるそうです。 一太郎 for Linux セキュリティ更新モジュール (ジャストシステム) も公開されています。
Sage 1.3.7 でオフィシャルに修正されたようです。Bugzilla Bug 15101: sage fails many of the tests in the feed reader XSS test suite も参照。早田さん、おおやまさん情報ありがとうございます。
》 弊社サイトのウイルス感染に関するお詫びとご説明 (vector, 10/2)
》 mixiでまた「善意のチェーン日記」騒動 (slashdot.jp, 10/1)。mixi の場合は、汚染状況を容易に追跡できるのがおもしろいですね。#1029959 参照。 行方不明の増田剛さん (チェーンメール観察会2.0) の 122 番に発端が分析されています。
》 ジャストシステム、ロシアKaspersky製ウイルス対策ソフトを国内で販売 (Enterprise Watch, 10/3)。おぉっ!! ジャストが Kaspersky を売るそうな。
》 松村宏のNEWSな顔: 天下り救援CMに騙されてはイカン! (JANJAN, 10/3)
》 クリエイティブ・コモンズ改訂に立ちはだかるGPLと同種の問題 (Open Tech Press, 10/3)。
一方、Debianディストリビューションのメンバーたちを満足させるための対処は、(不可能とまでは言わないが)より困難であるということが判明しつつある。
とっとと不可能と判断した方がいいと思うし。
》 意外と知らない?NICを冗長化するボンディング(bonding) (うさぎ文学日記, 10/2)。 へぇ〜。ぐぐってみたら、複数のネットワーク I/F を束ねて負荷分散と可用性向上を行う方法 には FreeBSD の場合の事例もリンクされてました。専用モジュールな分、Linux の方が容易ですね……。 sguil なページにも載っていますし、FreeBSD の netgraph が安定していないということはないと思います。
》 【CRYPTO-GRAM日本語版】ユーザー教育 (日経 IT Pro, 10/3)
Update: Possible Vulnerability Reported at Toorcon (mozilla.org)。 実は、crash はしたけど任意のコードの実行の実証はできていなかった、ということですか。
「HPは大丈夫」、ソニーのバッテリー問題で声明 (ITmedia, 2006.10.03)
ePolicy Orchestrator 3.5 Patch 6 / Protection Pilot 1.1.1 Patch 3 で脆弱点を修正 (マカフィー, 2006.10.02) だそうです。
いよいよ「ガイア—母なる地球—」で描かれた世界が現実のものとなりますか。 監視カメラが自由を守る未来社会 (WIRED NEWS, 1999.09.22) も参照。
人間は常にセキュリティホール。Miki さん情報ありがとうございます。
》 【初級】暗号・認証技術を基礎から理解する 前編 (日経 IT Pro, 10/2)
》 チャベス大統領が国連で「推薦」の本、ベストセラーに (CNN, 9/25)。このニュース、「エンタテインメント」分類でいいんですか? > CNN。 チャベス氏が推薦しているのは、チョムスキーの 「覇権か、生存か——アメリカの世界戦略と人類の未来」 なんだし。
21世紀の潮流 ラテンアメリカの挑戦 第1回「脱アメリカ宣言 ベネズエラ 7年目のチャベス革命」 (NHK) では、クーデターの話はあまりつっこんで語られていませんでしたが、 「チャベス政権 クーデターの裏側」 という番組が既にあったのですね。やっぱ BS アンテナ必要か。
》 インターネットバンキングでの不正取引について (埼玉りそな銀行, 9/28)。
最近、インターネットバンキングをご利用されているお客さまのパスワード等が不正に盗まれ、お客さまの預金口座から身に覚えのない振込がなされるという事件が発生しており、今般、同様の被害と疑われる事象が1件判明いたしました。
》 European Open Source Convention 2006 - 欧州ソフトウェア特許問題、新たなラウンドへ (MYCOM ジャーナル, 9/25)
》 HPの通話記録入手スキャンダル:シンギュラーが調査会社らを提訴 (CNET, 10/2)
》 金子氏がP2Pをテーマに講演「従量制にしたらP2Pは潰れる」〜ICPFセミナー (Internet Watch, 10/2)。確かに……。
》 山谷剛史のマンスリー・チャイナネット事件簿 2006年9月 (Internet Watch, 10/2)
》 コピーワンスを見直しへ,総務省のコンテンツ流通検討会 (日経 IT Pro, 9/29)
》 「しんちゃん」グッズ販売できず=国内企業の商標登録を認定−中国裁判所 (時事 / Yahoo, 9/30)。 『クレヨンしんちゃん』を中国で商標登録された教訓 (日経, 2005.03.15) の件、訴えが退けられたそうです。 で、控訴したそうです。
》 テポドン2号:発射失敗の原因はミサイルの腐食 (毎日, 10/2)。 クロトワ「腐ってやがる……遅すぎたんだ」
》 パターンファイル情報 (トレンドマイクロ)。パターン番号が、なぜか 3.803.00 から 3.413.00 に戻っています。 証拠画像。 ちいちゃんさん情報ありがとうございます。
……3.413.00 はさきほど消えたようです。
2006 年 9 月 29 日 更新
答えてねっとサービスの再開に向けて、現在、社内限定でのテスト運用を行っております。社内限定運用における稼働状況の確認を行った上で、一般公開の予定日を本サイト上で案内させていただきます。
ご迷惑をおかけしており申し訳ございませんが、今しばらくお待ちいただけますようお願いいたします。
まだテスト中なのだそうです。
》 mixi のプライバシーポリシー話ですが、9/29 には再びトップから消えてしまっていたようですね。にべさん情報ありがとうございます。おまけに、
追記:
9月28日より、新しいプライバシーポリシーが施行されました。皆さまのご理解とご協力、ありがとうございました。
この程度の案内で「皆さまのご理解とご協力」が得られたことにしてしまうのですね……。いやはや。
》 中国:商標登録の異議申し立てをめぐる二つの「事件」 (日経 BP, 9/28)
》 An analysis of Microsoft Windows Vista's ASLR (sysdream.com)
》 Power Usersアカウントが持つ恐ろしい「力」 ---セキュリティ保護にならないPower Users (日経 IT Pro, 9/29)。なるわけないじゃん……。
Mac OS X 10.4.8 と Security Update 2006-006 が登場。15 種類の欠陥が修正されている。関連:
TeraStation HD-HTGL シリーズに欠陥。 Web 設定画面に欠陥があり、CSRF が発生。罠 web ページ上の罠リンクをたどると、設定を変更される等されてしまう。
ファームウェアバージョン 2.08 以降で修正されている。しかしそこには
●Ver.2.07 -> Ver.2.08 [2006.4.10]
[SYSTEM]
・以下の操作の際、誤操作を防止の為、確認用ページを追加しました。
- RAIDアレイの構成変更(作成/削除)
- フォーマット
- 共有フォルダの削除
- TeraStationの初期化
としか書かれておらず、セキュリティのセの字もない。さすがは BUFFALO。
ePolicy Orchestrator 3.5.0 / Protection Pilot 1.1.0 に欠陥。HTTP リクエストにおける Source= ヘッダの処理に欠陥があり、buffer overflow が発生、任意のコードを実行可能。Metasploit Framework なソース。
ePolicy Orchestrator 3.5 Patch 6 / Protection Pilot 1.1.1 Patch 3 で脆弱点を修正 (マカフィー, 2006.10.02) だそうです。
Breaking AJAX Web Applications: Vulns 2.0 in Web 2.0 (ToorCon 8) において、Firefox の JavaScript 実装における欠陥が発表された模様。
関連:
Update: Possible Vulnerability Reported at Toorcon (mozilla.org)。 実は、crash はしたけど任意のコードの実行の実証はできていなかった、ということですか。
WINDOWS スタック防御の失敗:WIN 2k3 SP0上のMS06-040 (zone-h.jp, 2006.09.27)
SONY の発表を受けて、富士通、東芝、SONY から交換予告が発表されています。
ソニー株式会社のバッテリーパック自主交換プログラムについて (富士通, 2006.09.29)
対象機種
FMV-BIBLO LOOX Pシリーズ P70R, P70S
FMV-BIBLO LOOX Tシリーズ T50M, T50R, T50RN, T50S, T50SN, T70M, T70M/T, T70MN, T70R, T70R/T, T70RN, T70S, T70S/V, T70SN
ソニー株式会社のバッテリパック自主交換プログラムに関するお知らせ (東芝, 2006.09.29)
対象機種
* dynabook SS LX、L10、L11、M10、M11、M35、MX、MXW
* dynabook R10
* dynabook TX/2、TX/3、TX/4
* Qosmio G30、F30
* Satellite T10、T11、T12、T20
* TECRA M3、M4、M5、M7、S3
* PORTEGE S100、M300、M400、M500
* Satellite A50
ソニー製パーソナルコンピューター VAIO のバッテリーの安全性について (SONY, 2006.09.29)。 機種情報なし (苦笑)。
》 UPKIイニシアティブ というサイトがあるそうです。 また、関連サイトとして Eduroam.jp というサイトがあるそうです。 後藤さん情報ありがとうございます。
》 Access over Ethernet: Insecurities in AoE (securiteam)
》 もう「ググる」と言わないで! ブランド消失の危機に恐れる米グーグル (日経 BP, 9/28)
》 国防長官更迭を2度進言も失敗と、米大統領の前首席補佐官 (CNN, 9/30)
》 9月27日(水)1:00〜13:30 に弊社サイトよりソフトウェアをダウンロードされた方へ (Vector, 9/29)
調査の結果、9月27日(水)1:00〜13:30の間、弊社サイトにウイルスに感染したソフトが掲載されていたことが判明しました。 (中略)
ソフトウェアライブラリで公開していたタイトルのうち、ウイルスに感染したタイトルは3,986タイトルでした。
うち、3,179タイトルは問題となっている期間中、1回もダウンロードされておりません。
実際にダウンロードされたものは807タイトルで、計7,873回ダウンロードされた恐れがあります。ダウンロードされた可能性のあるソフトの一覧はこちらをご覧ください。
関連:
![[セキュリティホール memo]](/%7Ekjm/security/memo/sechole-memo.gif){kind=small}
私について
