Last modified: Mon Jun 2 18:10:55 2008 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 <訃報のご連絡>萩野純一郎(享年三十七歳)が10月29日、夜に永眠致しましたので慎んでご通知致します (hoge.org)。そ、そんな……若すぎる……。残念です。合掌。 関連:
》 友達の友達はアルカイダ ? 鳩山法務大臣文書で報告へ (保坂展人のどこどこ日記, 10/31)
》 不正を起こせる環境にした責任 (まるちゃんの情報セキュリティ気まぐれ日記, 10/31)
》 出会い系サイト、子供の被害防止へ警察庁が研究会 (読売, 10/31)
》 東電:950億円の最終赤字見通し 柏崎刈羽復旧などで (毎日, 10/31)
》 猛暑で養殖カキ9割死滅 風物詩の焼き小屋ピンチ 長崎 (asahi.com, 10/31)
》 広島に1メガトン核爆発 「83万人死傷」予想 市算定 (asahi.com, 10/31)。 核クライシス 第1集 都市を襲う核攻撃 〜地表爆発と高度爆発〜 (NHK スペシャル, 8/5) で放送されていた話ですね。 今日開かれた、 第4回核兵器攻撃被害想定専門部会 (広島市) で最終報告書が決まったのかな。
》 愛知県豊山町の県営名古屋空港で、航空自衛隊のF2支援戦闘機が離陸に失敗、炎上 (毎日, 10/31)、F2戦闘機事故:離陸直後にバランス崩す (毎日, 10/31)、「機体ごと垂直に落ちた」炎上自衛隊機の機長 (読売, 10/31)。F2 って 1 機いくらだっけ? 100 億円?
》 いまどきのサーババックアップ戦略入門(3)バックアップのあり方を変える新技術 (@IT, 10/26)
》 ネット犯罪のサプライチェーンが構築されている (日経 IT Pro, 10/31)
》 深く静かに広まる「ボットネット」の恐怖 第3回 ボットによる攻撃を実験で再現,ユーザーを襲った七つの災厄 (日経 IT Pro, 10/31)。bot をつかってできる、あんなことやこんなこと。
本誌では、読者のみなさんに代わり、Telecom-ISAC Japanと、そこに参加しているラックの監修の下、本誌編集部内にボットネットを構築し、ボットの攻撃を実際に試してみた。
》 権利者不明の著作物利用円滑化などについて議論、文化審小委 (Internet Watch, 10/31)
》 届出状況2007Q3 (水無月ばけらのえび日記, 10/29)。 ソフトウエア等の脆弱性関連情報に関する届出状況 [2007年第3四半期(7月〜9月)] (IPA ISEC, 10/22) 話。 1 年経過しても直らないようなところは、名前を公表した方がいいと思うんですけどねえ。
》 総務省、事前承認なしの広告メール送信禁止などに意見募集 (Internet Watch, 10/30)、「迷惑メールへの対応の在り方に関する研究会」 中間とりまとめ案に対する意見募集 (総務省, 10/30)
》 [update]個人でもできる情報漏洩対策 (Open Tech Press, 10/31)
》 警察の真実−捜査費横領システムの闇−(下) (JANJAN, 10/31)
》 「DRMあれば録音録画補償金は不要では」——JEITAが立場を説明 (ITmedia, 10/30)。しかし世の中は「DRM こそ不要」の方に舵を切っているような。
》 大日本印刷が個人情報保護体制の強化内容を公開 (slashdot.jp, 10/31)。関連: 大日本印刷の“情報窃盗”事件、元社員に有罪判決 (読売, 10/31)
》 カエル絶滅の脅威『ツボカビ症』に画期的治療法? (WIRED NEWS, 10/31)
》 国際宇宙ステーションで事故、ソーラーパネルの展開中に亀裂 (technobahn, 10/31)
》 やじうまミニレビュー アサヒペン「UVカット超強プラスチック障子紙」 〜猫の爪に耐える障子紙を探す (家電 Watch, 10/31)
》 Medusa Parallel Network Login Auditor 1.4 が出ています。
》 「植草事件」の東京地裁・判決要旨を読んで (JANJAN, 10/31)
不思議なのは、これまで裁判の審理を正しく報道してきたとはとても言い難い産経新聞のWebサイトが、判決の出たその日に判決要旨の全文を掲載したことである。今回の事件については、当初から植草さんを犯罪者と決め付け、異常ともいえるようなマスメディアによる情報操作があったとの印象があった。
》 ゲンバ検証隊が耐震診断に挑戦。診断結果が正しいとは限らない? (日経 KEN-Plats, 10/30)
》 迷惑メール:発信国のブラックリスト、中国が急改善 (Open Tech Press, 10/30)。 Sophos reveals "dirty dozen" spam-relaying countries for Q3 2007 (Sophos, 10/24) の話。
》 「志布志事件」はなぜ起きたのか ─取調べの「可視化」を求めて─ (JANJAN, 10/31)
》 出生前診断による選択的中絶がアジアで増加 (国連情報誌SUNブログ対応版, 10/30)
》 合衆国にキューバへの禁輸解除を要請 (国連情報誌SUNブログ対応版, 10/31)
》 ドイツ:アフガン介入に疑問の声(全訳記事) (JANJAN, 10/31)
》 パキスタン・アフガニスタン:空爆から逃げる民間人 (JANJAN, 10/31)
》 市販GPUを使ってパスワードを高速クラック (engadget, 10/29)
例として挙げられているWindows Vistaのログインパスワードでは、一般的なデュアルコアPCでブルートフォースクラックをおこなう場合平均約2カ月かかるところ、150ドル程度の市販GPUを加えることで3日から5日程度に短縮できるとしています。(デフォルトのNTLMハッシュ時。アルファベット大小文字8文字、55兆の組みあわせ)。
》 第1回神戸情報セキュリティ勉強会 (武田圭史, 10/30)。 2007.11.17、兵庫県神戸市、無料。 申込はこちら。 BGM: そして神戸
》 Black Hat Japan 2007 Briefings 関連
》 中国海軍の最新鋭原子力潜水艦のスクープ画像 (technobahn, 10/31)。 関連:
》 FIX: Error message when IIS 6.0 receives the entity body for an HTTP POST request while an application pool is recycled: "The underlying connection was closed" (Microsoft KB943240)。有償 patch あり。
This problem occurs because the Http.sys driver stops processing requests for the application pool that is recycled.
》 Batch files for which you create a hash rules do not work on a Windows XP-based client computer (Microsoft KB943854)。ポリシー話。
》 RIS service cannot start after installing Windows Server 2003 Service Pack 2 (Microsoft KB944350)。Windows Server 2003 SP2 を適用後に RIS サービスを起動しようとすると失敗する話。SP2 を適用すると Remote Installation Service は Windows Deployment Services Server に置きかえられるのだけど、 それがうまくいかないことがあるみたい。 RIS リモートインストールフォルダのあるドライブに CD して risetup -upgrade を実行すると解決する模様。
》 Mass storage device cannot be recognized in WinPE2.0 (Microsoft KB944348)。WinPE 2.0 に非標準の大容量記憶装置用ドライバを追加する方法。
KB911564 日本語版 にも、上記と同様の内容が追加された模様。
Microsoft Windows Sever 2003 Service Pack 2 を実行しているコンピュータにセキュリティ更新プログラム MS06-006 を展開すると、問題が発生することがあります。コンピュータにマイクロソフト以外のインターネット ブラウザ用の Microsoft Windows Media Player プラグインがインストールされていると、Windows Update、Windows Server Update Services、Systems Management Server、および Microsoft Baseline Security Analyzer の検出ロジックでセキュリティ更新プログラム MS06-006 が提供されません。セキュリティ更新プログラム MS06-006 を手動でインストールすることはできます。
Windows Updateで発生している不具合,Microsoftが初めてミスを認める (日経 IT Pro, 2007.10.30)。Windows IT Pro の翻訳記事。
一太郎plug-inをIEとFirefoxで無効に 〜 ジャストシステムは本当の脅威を教えてくれない (高木浩光@自宅の日記, 2007.10.30)。 個人的には、ジャストシステムはもはや単なるアプリケーションベンダーではなく、アンチウイルスソフトを扱うセキュリティベンダーとなったにもかかわらず、こういう態度だという点が一番の問題だと思う。
手元の Windows XP / IE 7 / Firefox 2 には一太郎 2005 が入っていて、念のため JS文書ビューア ActiveXプラグイン (ジャストシステム) もインストールしてみたのだけど、 プラグインがまともに動作していないようなのだよなあ。うーん。喜んでいいのやら悲しむべきなのやら。
……さきほど「ジャストシステム ユーザーズ・インフォメーション」 が流れてきた。
Date: Wed, 31 Oct 2007 13:57:04 +0900 To: users-information@justsystem.co.jp From: Justsystem <users@justsystem.co.jp> Subject: UsersInfo【一太郎の「セキュリティ更新モジュール」公開のお知らせ】10/31 (中略) ──────────────────────────────────── ▼一太郎 のセキュリティ更新モジュール▼ http://www.justsystems.com/jp/info/pd7004.html?m=jui31c01 ──────────────────────────────────── 【想定される悪影響】 ………………………………………………………………………………………… 悪意のある第三者に不正に改ざんされた一太郎文書を読み込むことによって、 任意のコードが実行され、パソコンが不正に操作される危険性があります。 悪意の攻撃者はそのようなファイルを電子メールの添付ファイルにして 送りつけたり、WEBサイトに置くことで攻撃を仕掛けます。 そしてお客様がそのようなファイルを開いたり、リンクをクリックしたり することで意図せず不正な一太郎文書を読み込み、 悪意の攻撃を実行させてしまう恐れがあります。 …………………………………………………………………………………………(後略)
一太郎の脆弱性を悪用した不正なプログラムの実行危険性について (ジャストシステム) も改訂されており、一太郎 2004 / 13 / 12 / 11 についても修正プログラムが用意されている。
CVE-2007-4600。MathCAD ねた。
[SA27384] RSA KEON Registration Authority Cross-Site Scripting Vulnerabilities、RSA KEON Registration Authority の Web インターフェイスに複数のクロスサイトスクリプティングの脆弱性 (JPCERT/CC)。 CVE-2007-5703
APPLE-SA-2007-10-30 Xcode 2.5 Developer Tools (Apple, 2007.10.30)
Django 0.96 (stable) Admin Panel CSRF。 Python による Web フレームワーク Django をデフォルトインストールした状態では CSRF 防御機能は有効にならないという話。 Cross Site Request Forgery protection (Django) にあるようにプログラミングすれば ok だそうだ。 CVE-2007-5828
Security fix released (djangoproject.com, 2007.10.26)。 Python による Web フレームワーク Django において USE_I18N が真の場合に、長大な Accept-Language ヘッダによって DoS 攻撃が可能。Django 0.96.1 / 0.95.2 / 0.91.1 で修正されている。 patch (Django) も公開されている。 CVE-2007-5712
Sun Alert 103127: Sun Fire X2100/X2200 M2 Servers ELOM Software is Vulnerable to Arbitrary Command Execution (Sun Security Blog, 2007.10.29)
Sun Alert 103087: Security Vulnerability in the Solaris 10 Internet Protocol (ip(7P)) may Lead to a Denial of Service (DoS) Condition (Sun Security Blog, 2007.10.29)
》 不適正賞味期限で指導 老舗和菓子「川上屋」委託店に岐阜県 (中日, 10/30)。続々出ますな。
》 「安曇野産」トマトジュース 実は別の産地も (asahi.com, 10/30)
》 赤福に続き「御福餅」、表示不正の疑い 農水省が調査 (asahi.com, 10/30)、赤福と御福餅、ダブルパンチの伊勢「またかという感じ」 (asahi.com, 10/30)。あらら、互換製品も消滅ですか。 関連:
》 金大中事件で韓国政府陳謝 高村外相に 日本の主権侵害 (asahi.com, 10/30)
》 ニチアスが耐火材偽装 01年から10万棟分 公表せず (asahi.com, 10/30)
住宅の軒裏などに使われる耐火材(01年以降の製造)の性能試験に臨む際、試験体に水を含ませたり、実際に販売するものより性能の高い材料を使ったりする偽装を施し、国土交通相の認定を受けていたことが30日、わかった。(中略) 耐火性能基準を満たしていない約4万棟の大半は、旭化成の「ヘーベルハウス」「ヘーベルメゾン」シリーズとされる。
関連:
》 著作権の非親告罪化でパロディに危機? 「告発マニア生み出す」 (Internet Watch, 10/29)
》 深く静かに広まる「ボットネット」の恐怖 第2回 変幻自在で他人のパソコンを勝手に操る,ボットの恐るべき正体とは? (日経 IT Pro, 10/30)
》 ママの特技はテロ撲滅:ネットでテロリストに接近、逮捕に貢献 (WIRED NEWS, 10/29)
》 守屋前次官、証人喚問で見えてきた「防衛利権の闇」(上) (保坂展人のどこどこ日記, 10/29)、 守屋前次官、証人喚問で見えてきた「防衛利権の闇」(下) (保坂展人のどこどこ日記, 10/30)
》 「企業が恐れるのは『ウイルス』よりも『内部犯罪』」、ウェブルート (日経 IT Pro, 10/30)
》 Upcoming Advisories (フォティーンフォティ技術研究所)。 [FFRUA-20070720] ファイル圧縮展開ソフトウエア(A)の脆弱性 はついに 100 日を越えてしまいましたね。
》 雑記帳:「DS」機内使用自粛の垂れ幕 (毎日, 10/29)、航空機内でニンテンドーDS/DS Liteを使用する場合のご注意 (任天堂)。これはつまり、DS には無線を常に OFF にするための (ハード/ソフト) スイッチがないということなのかな。
》 ユーチューブとJASRAC、楽曲利用に向け協議へ (asahi.com, 10/30)、ニコニコ動画とYouTubeもJASRACと契約か (栗原潔のテクノロジー時評Ver2, 10/30)
》 ロサンゼルス郡、指向性エネルギー兵器などの導入を検討 (WIRED NEWS, 10/30)。非殺傷兵器ねた。
》 初めて責任者が語る!全日空システム障害の対策と教訓 (日経 IT Pro, 10/30)
》 「不快な思いは我慢するのが、正しい日本人 by小倉秀夫」? (悪徳商法?マニアックス ココログ支店, 10/30)
》 言語設定により活動内容を変化させる不正プログラム (トレンドマイクロ セキュリティ blog, 10/29)
》 【カブール発】アフガニスタン 首都も危うく (JANJAN, 10/30)。現地レポート。
》 阿曽山大噴火コラム「裁判Showに行こう」 (ニッカンスポーツ)。 こんなコーナーがあったとは。
このコーナー、先週はトンボ鉛筆会長の覚せい剤所持事件の裁判を取り上げていたのですが、 ふと asahi.com を見ると、元光GENJIの赤坂晃容疑者を逮捕 覚せい剤所持 (asahi.com, 10/30) なんてニュースが出てますね。 ジャニーズの他の人達はだいじょうぶなのでしょうか。
薬物乱用防止「ダメ。ゼッタイ。」ホームページにはタッコングみたいなのがいるなあ。
主要国でのインド大麻の相場一覧グラフ (gigazine, 10/30)。日本に持ち込めればめちゃ儲かるということですか。
》 「友人の友人はアルカイダ」 鳩山法相、外国人記者らに (asahi.com, 10/29)。この人の失言癖も直らないねえ。 関連:
》 警察官ら200人分の住所、ネットに流出 大阪府警 (asahi.com, 10/29)。また Winny。
》 TBSラジオ:イベント応募者の情報がネット流出 (毎日, 10/29)。まる見え系。
》 日本のタンカー、海賊がソマリア沖で乗っ取る (読売, 10/29)。海自、インド洋にいても意味ないし。 関連: 海賊に乗っ取られた日本のタンカー、米駆逐艦が追跡中 (CNN, 10/30)
》 ギャップの下請け工場で児童労働 英紙が指摘 (CNN, 10/29)
》 大規模システム障害の舞台裏 (日経 IT Pro, 10/30)
[Full-disclosure] Secunia Research: IPSwitch IMail Server IMail Client Buffer Overflow。ベンダーは「IMail Client を削除しろ」と言っている模様。 CVE-2007-4345
[SA27429] Symantec Mail Security for Exchange File Parsing Vulnerabilities。
[SA27270] Sony CONNECT Player M3U Playlist Processing Buffer Overflow、 ソニーウォークマン向けソフトに脆弱性 (ITmedia, 2007.10.30)。 CONNECT Player に欠陥があるという話。 patch はまだない。 CVE-2007-5709
[SA27407] WordPress "posts_columns" Cross-Site Scripting。 WordPress 2.3.1 で修正されている。 CVE-2007-5710
[SA27418] GOM Player GOM Manager ActiveX Control Buffer Overflow
Windows 版のバイナリに古い zlib がリンクされている話
SonicStage Ver.4.0以降をご使用のお客様へ重要なお知らせ (SONY, 2007.11.06)。CONNECT Player の件と思われ。
SonicStage の件、修正プログラムが公開されました: SonicStage CP(SonicStage Ver.4.0/4.1/4.2/4.3) セキュリティ脆弱性対策アップデートプログラムご提供のお知らせ (SONY)。 匿名希望さん情報ありがとうございます。
再インストール用ソフトウェア一式が公開されています。
いいわけ: 「メンテに煩わされたくない人向け」、OneCareの設定変更問題でMSが釈明 (ITmedia, 2007.10.29)
RealPlayer 10.5 以前、Mac 用 RealPlayer 10.1 以前、Linux 用 RealPlayer 10.0.8 以前、Helix Player 10.0.8 以前に複数の欠陥。攻略 mp3 / rm / SMIL / swf / ram / pls ファイルによって任意のコードが実行される。 CVE-2007-5080 CVE-2007-5081 CVE-2007-3410 CVE-2007-2263 CVE-2007-2264 CVE-2007-4599
RealPlayer 11 / 10.5 (6.0.12.1662)、 Mac 用 RealPlayer 10.0.0.503、Linux 用 RealPlayer 10.0.9、Helix Player 10.0.9 で修正されている。なお、今 RealPlayer 10.5 をダウンロードしたり、RealPlayer を起動して「アップデートをチェック」したりすると 6.0.12.1665 になるようだ。
この欠陥を攻略する Web ページが登場しているようです。
なお、さきほど RealPlayer 11 にアップグレードしてみたら、ビルド番号は 6.0.14.748 でした。
》 IT統制やITガバナンスの“教科書”が相次ぎ登場、ITGI Japanから (日経 IT Pro, 10/26)
》 群衆の叡智サミット2007。2007.11.01、東京都千代田区、3000円。岡田さん情報ありがとうございます。
》 日本における電子投票のセキュリティ (武田圭史, 10/29)
》 サルコジ大統領の最初のつまずき 「ギイ・モケの手紙」 (保坂展人のどこどこ日記, 10/29)
》 アフガン部隊:増派めぐり不協和音 NATO会議 (毎日, 10/25)
北部で約3000人を展開するドイツは「我々は十分な貢献をしている」として、米国などが求めている南部への展開を拒否した。北部は比較的平安だが、南部では旧支配勢力タリバンとの激戦が続いている。また、南部で約1500人を展開し、10人ほどの戦死者を出しているオランダは、来年8月の第1次展開期限について、その後の「延長」を明言しなかった。
》 テロ戦費:総額274兆円に 米議会予算局が試算 (毎日, 10/25)。すごいね。
》 ブッシュ大統領を守るために必要なモノ一覧 (gigazine, 10/29)
》 DNSサーバーは絶対に信頼できるのか (日経 IT Pro, 10/29)。答えは、NO〜 (声: 天才博士)。
》 深く静かに広まる「ボットネット」の恐怖 第1回 ひそかに活動,気付かないうちに被害に遭う (日経 IT Pro, 10/29)
》 富士フイルム: 段階的に進めたクライアント管理,検疫ネット自作の次はvPro導入 (日経 IT Pro, 10/29)
》 中国:三峡ダムで新たに移住させられる住民(全訳記事) (JANJAN, 10/29)
》 中山「著作権法」ほぼ読了 (栗原潔のテクノロジー時評Ver2, 10/28)
》 ボンバル機、使用中止 故障相次ぎ スカンジナビア航空 (asahi.com, 10/29)。スカンジナビア航空が DHC8-400 の運行停止を決断。 SAS removes Dash 8 Q400 from service permanently (SAS, 10/28)。 三菱ジェット (MRJ) には追い風か?!
関連: 「安全確認」とボンバル社 SASの運航中止に反論 (中日, 10/29)
》 「吉兆」菓子、偽装表示 福岡天神店 消費期限切れ販売 (asahi.com, 10/29)。凶兆。
本来の消費期限を何日も過ぎてから販売されたケースも確認されただけで約100個あり、期限を2週間以上すぎていたものもあった。
すげぇ。これが高級料亭の真実ですか。
各店舗ご案内 (吉兆)。船場吉兆にだけリンクがないけど、 船場吉兆ホームページは今のところ動いている (ただし、ものすごく重い)。この件に関する情報提供は 11:00 現在ないようだ。
関連:
5台ある改札機すべてが正常に動かなかった。(中略) JR東海によると、同日未明、5台の改札機を動かすソフトウエアを更新したという。更新前のものに戻したところ、午前8時半に正常作動するようになった。ソフトウエアに何らかの不具合があったらしい。
いきなり全部変えますか……
》 グルジア:ソチ冬季五輪ボイコットを 前大統領が呼びかけ (毎日, 10/29)。中国五輪の話ではありません。
80年代後半に旧ソ連外相として冷戦終結に貢献したグルジアのシェワルナゼ前大統領が、グルジア国内の分離独立派勢力をロシアが軍事支援しているとして、2014年にロシア・ソチでの開催が決まった冬季五輪のボイコットを呼びかけ、波紋を呼んでいる。
》 【事故】エスカレーター保護板の“20cmルール”、改善対象の建物が続出? (日経 KEN-Plats, 10/26)。これまた「悪いのはシンドラーやイーホームズだけでは全くない」模様。わかりやすい説明を怠った行政側の不備であろ。
》 ミネアポリスの橋梁崩壊に関する技術調査団の調査報告がまとまる (日経 KEN-Plats, 10/24)、 米国橋梁崩壊事故に関する技術調査団の調査結果について (国土交通省, 10/23)
》 噴出する防衛省スキャンダル 検察が狙う本当のターゲット (日経 BP, 10/25)
》 【緊急特別寄稿】 小松秀樹が語る「医療に司法を持ち込むことのリスク」 (日経 Medical Online, 10/25)
》 明るい警察を実現する全国ネットワーク主催・シンポジウム 『立川署ストーカー殺人事件にみる日本の警察のいま』。 2007.11.17、東京都新宿区、無料。
》 「GPLv3が,MicrosoftによるNovellへの特許保護を全ユーザーに広げる」 FSF Richard Stallman氏 (日経 IT Pro, 10/25)。ストールマン師のおことば。
》 小泉改革の目玉「郵政民営化」のなれの果て (日経 BP, 10/24)、 郵政民営化の先にある恐怖のシナリオ (日経 BP, 10/22)
Fedora Core 6 の openssh パッケージに欠陥。Fedora Core 6 での独自拡張部分 (openssh-4.3p1-audit.patch) に欠陥があり、細工したユーザ名を用いて audit log に任意の文字列を挿入できる。 CVE-2007-3102
openssh-4.3p2-25.fc6 で修正されている。同じ問題は RHEL / CentOS 5 の openssh パッケージにもあるような気が。
RHEL 5 fix 出ました: RHSA-2007:0540-3 - Moderate: openssh security and bug fix update
[Full-disclosure] Secunia Research: IBM Tivoli Storage Manager Client CAD Service Script Insertion
TikiWiki <= 1.9.8.1 話
EEYEB-20071024: BitDefender (eEye, 2007.10.24)。 BitDefender に任意のコードの実行を許す欠陥があるそうで。 CVE-2007-5775
[SA27367] Symantec Mail Security for SMTP File Parsing Vulnerabilities。 Symantec Mail Security for SMTP 4.x / 5.x で DoS 話。
RealNetworks RealPlayer/RealOne Player/Helix Player Remote Heap Corruption (Piotr Bania)。.mov ファイルの処理において欠陥があり、攻略 .mov ファイルによって任意のコードを実行できる模様。
IBM Lotus Notes / Domino 方面
関連:
いずれもリッチテキストファイルの処理における buffer overflow 欠陥。
上記 patch では、MPAMedia.dll の欠陥も修正されていた模様:
》 もいちどイチから! HTTP基礎訓練中(2)リクエストをいじれば脆弱性の仕組みが見えるのだ! (@IT, 10/26)
》 親指シフト専用PCで今朝は好調に再起動 (保坂展人のどこどこ日記, 10/28)。どこどこ日記を支えていたのは親指シフトだったのね。
》 自分の無線LANがPlaceEngineに登録されていないか確認する方法 (高木浩光@自宅の日記, 10/27)
》 WinAntiVirus Pro 2007は、mediaplex.comに不審なIDを送信する (Semplice, 10/28)
》 ハイブリッド Office 再び (B-) の独り言, 10/28)。Tiger をティーガーと読んだりするタイプですか?
》 劣化ウラン弾:健康懸念し検査徹底 米国で州法制定相次ぐ (毎日, 10/28)
》 年金不正:着服の元職員が手口証言 空き番号に架空氏名 (毎日, 10/28)
》 WinSCP 4.0.5 が出ています。
》 「めぐりズム 蒸気でホットアイマスク」は思わず爆睡するほど気持ちいい (gigazine, 10/28)
》 警察の真実 −捜査費横領システムの闇−(上) (JANJAN, 10/27)。仙波敏郎氏話。
9月11日、裏金問題を内部告発した現職警官が、松山地裁で勝訴した。彼は、愛媛県警の報復人事に対し、県を相手取って訴訟を起こしていたのだ。
「警察官だけは、法を曲げてはならない」と彼は言う。彼のこの主張は、当たり前のことのように思える。しかし、全国的な広がりの予想される、警察の捜査費横領を内部告発したのは、現職では彼一人なのである。「KY」は、日本国に彼一人なのである。
2年前の告発記者会見の前夜、彼は上司にこう説得されたという。「今、オマエが告発したら、愛媛県警は1年間立ち直れない」。しかし、彼はこう反論したという。「今、蓋をしてしまったら、警察はそれこそ一生立ち直れませんよ」。どちらが、警察を愛しているのだろうか。
》 MiAU 公式サイト、例のパブコメにからんでいろいろドキュメントが掲載されています。 みゃう。
》 【Security Solution】「Webからの脅威を防ぐ3つの対策とは」──トレンドマイクロの黒木氏 (日経 IT Pro, 10/26)
最後の(3)に関しては,「最近増えているターゲットアタックに対抗するためには,各地域ごとの対応が必要になってきている」(黒木氏)として,同社のウイルス解析・サポートセンターの「トレンドラボ」の体制について説明した。
以前は,フィリピンにあるトレンドラボを中心としてパターン・ファイルを作成して全世界に配布していたが,最近はトレンドラボを各地に分散させる方向に動いており,日本には今年5月に「リージョナルトレンドラボ」を開設したという。
》 200% Growth in Severe Malware Infections (trendmicro blog, 10/26)
》 Update: Process Explorer v11.03 (Sysinternals Site Discussion, 10/26)
》 浜岡原発差し止め訴訟判決、中越沖地震を完全無視の驚き (保坂展人のどこどこ日記, 10/27)
弁護士からの報告を聞いて驚いたのは、判決が「中越沖地震と柏崎刈羽原発の影響」を度外視して出されたということだった。裁判は6月に結審している。地震は7月16日に発生し、柏崎刈羽原発では同時に複数の箇所で損傷が起きた。最近、東京電力は「制御棒が抜けなかった」「壁から放射性物質を含んだ水漏れ」など小出しに重大な損傷を受けた部分について発表しているが、誰がどう見ても「地震による原発への影響が同時に複数箇所で起きた」のは争うことの出来ない事実だろう。しかし、判決はこの事実を度外視する。中越沖地震前のデータにもとづいて「運転継続」の太鼓判を押すというものだった
0-day ですか。世の中キビシイ。
以上ではてなのCAPTCHAを破ることができたわけですが、ポイントは以下の4つ。
- 文字の位置がドット単位で固定であるため切り出しが非常に容易
- 色が限られるため、2値化することが非常に容易
- ノイズが加算に限られるためパターンマッチングが非常に容易
- 文字種が少ないため高い精度で認識しやすい
Microsoft からも microcode reliability update が出ていました。
Q: If you install the microcode reliability update, do you still require the latest BIOS update?
A: If you install the microcode reliability update, you do not require the latest BIOS update.
関連:
PDFファイルアタックの日本上陸を確認 (トレンドマイクロ セキュリティ blog, 2007.10.27)。手元にも来ていた。 FTP サーバは今でも生きてますね。 EPSV を使わないようにしないと get できないけど。
現在、PDFファイルアタックにて確認されているメール件名は次の通りです。
- Balance Report
- Credit report
- Personal Balance Report
- Personal Credit report
- Personal Financial Statement
- tax statement
- Your Credit points
- Your Credit report
- Your Credit File
手元に来たメールには Subject: はなかった。
》 NOVA:株式巡り不自然な取引 保全管理人が調査へ (毎日, 10/27)
》 バイオ燃料は世界中で飢餓を増長、国連専門家が警告 (CNN, 10/27)
ジュネーブ大学とソルボンヌ大学で教授を務めるジーグラー氏は25日、国連人権委員会で、食料ではなく農業副産物から燃料を作り出せる技術が確立するまで、バイオ燃料の生産に猶予期間を設けるよう主張。翌26日に開いた記者会見で、「農地をバイオ燃料のために捧げることは、人類に対する犯罪だと言える。一刻も早く、世界中で起こっている飢餓による大量虐殺を阻止しなければならない」と述べた。
ジーグラー教授によると、トウモロコシ231キロからバイオ燃料のエタノール13ガロンをつくり出すことができるが、このトウモロコシの量は、メキシコやザンビアの子供1人を1年間養える量に匹敵するという。
(中略)
ジーグラー教授は、あと5年も待てば、食料ではない農業廃棄物からバイオ燃料をつくる技術が確立されると予測し、食料によるバイオ燃料の生産を一時、取りやめるよう提案している。
関連: バイオ燃料生産の5年間凍結を要請 (国連情報誌SUNブログ対応版, 10/27)
》 NY原油終値、91・86ドルで連日の最高値更新 (読売, 10/27)。どこまで行くのか。
》 ボーイング社:ANK機のボルト脱落、設計変更の意向 (毎日, 10/27)。B737-700 炎上事故話。
》 韓国が午後、謝罪 金大中事件で日本政府に (東京新聞, 10/26)。 金大中事件はKCIAの犯行 韓国調査委員会が断定 (産経 MSN, 10/24) を受けての行動。
》 建物消滅、証拠隠滅とも イスラエル機空爆のシリア施設 (CNN, 10/26)
》 月探査衛星「嫦娥」(5)ロケット残骸、民家を直撃 (中国情報局サーチナ, 10/26)、 中国、ロケットの残骸が民家直撃 (asahi.com, 10/26)
当局は同市など300平方キロメートルの地域の住民約20万人を避難させていたため、けが人はなかったという。
さすがは独裁国家、やり方が違うよね。
ヤフー「画像の収集が遅れた」 初音ミク問題でコメント (ITmedia, 2007.10.26)
》 生年月日まるめて記録、数十万人影響も 宙に浮いた年金 (asahi.com, 10/25)
問題の日付は、1〜9日が1日、10〜19日が10日、20〜29日が20日、30、31日は30日として記録されている。63〜66年度の4年間に就職や転職をしたり国民年金に加入したりした人のほとんどの生年月日が、そうした形で記録されていたという。団塊世代が社会に出た時期に重なり、数十万単位の人に影響している可能性がある。(中略) 原因について、蓮舫議員が「問題の時期にコンピューターを切り替えており、(正しく入力されたデータをまるめて変換する)プログラムミスがあったのではないか」と指摘したのに対し、石井部長は「その可能性を含めて調査している」と答えた。
なんじゃそりゃあ……
》 Web War Erupts between Sweden and Turkey (trendmicro blog, 10/24)。宗教ねたですか。
》 「車両荒らし」で浮き彫りになった、オフサイト・データ暗号化の必要性 専門家が警鐘——すべてのバックアップ・データは暗号化せよ (computerworld, 10/26)
》 イスラエル・ロビーとアメリカの外交政策 II が出てますね。
》 Webアプリスキャナの性能 (yohgaki's blog, 10/24)。スキャナーに生きがいはない。
》 公認会計士協会 監査・保証実務委員会報告第82号「財務報告に係る内部統制の監査に関する実務上の取扱い」を公表 (まるちゃんの情報セキュリティ気まぐれ日記, 10/25)
》 公認会計士協会 IT委員会報告「業務上取り扱う電子データの漏洩を防ぐセキュリティの指針」及びIT委員会研究報告「業務上取り扱う電子データの漏洩を防ぐセキュリティ」のQ&A公開草案 (まるちゃんの情報セキュリティ気まぐれ日記, 10/25)
》 「優れた兵士」として徴用され続けている世界の子どもたち (JANJAN, 10/26)
》 ハッカーのためのコンベンションToorConがサンディエゴで開催 (Open Tech Press, 10/26)
》 元兵士が語る「戦争とは殺し合いだ!と肝に銘じた」 〜シリーズ・レポート『9.21 あの戦場体験を語り継ぐ集い』〜(第1回) (JANJAN, 10/26)
》 偽造印紙と偽マイルドセブン (日経 BP, 10/26)
》 雑誌など有害情報「規制すべき」が8割超 内閣府調査 (asahi.com, 10/25)
調査は今年9月、全国の成人3000人を対象に面接方式で行い、1767人から回答があった。
こういうネタに対してバイアスのかかりやすい「面接方式」ですか。
》 第1回神戸情報セキュリティ勉強会。 2007.11.17、兵庫県神戸市、無料。 ♪神〜戸〜、泣いてどうなるのかぅゎぁゎぁ〜 (「そして神戸」)
》 『まず身近なところから始めてみよう』 だれにでもできる草の根セキュリティの勧め (関西オープンソース2007)。 2007.11.09 16:00 / 2007.11.10 16:00、大阪府大阪市、無料。
》 窮地の国土交通省(2)建築業界大混乱に焦る (JANJAN, 10/26)。ガソリンスタンドと厚生労働省方面の話ばかり聞こえてくるのですが、今国会でこの話をしている人っているんですかねえ。
》 アニメ制作者がネットラジオでニ○○○動画を痛烈に批判 (gigazine, 10/26)
》 沖縄戦「集団自決」を教科書検定を渡海文科大臣に問う (保坂展人のどこどこ日記, 10/25)
》 浜岡原発運転差し止め訴訟、静岡地裁は請求を棄却「耐震安全性は確保されている」
浜岡原発1〜4号機の運転差し止めを認めなかった静岡地裁判決は、マグニチュード(M)8級の東海地震の震源域の真上でも、原発は安全に運転できることを認めた。しかし、新潟県中越沖地震(M6.8)では、東海地震より一回り小さいにもかかわらず、東京電力柏崎刈羽原発は浜岡での想定と同等かそれ以上の揺れに襲われた。大地震によって原発で大事故が絶対に起きないとは言えないのが実情だ。
見つかった隆起を起こした地震は、国が想定している東海地震を大幅に上回り、これまで知られていないような巨大な規模だった可能性があるという。
》 ゾンビが襲ってきた時に備えるキット「Zombie Defense Station」 (gigazine, 10/26)。そんなにゾンビが怖いなら火葬すればいいのに。
》 マッハ2.5で超低空を巡航可能、米社が米海軍と新型推進ロケットの開発契約 (technobahn, 10/25)。超音速巡航ミサイルをこれからつくります話。
》 DCの負荷が高まるとWindowsエクスプローラが応答を停止する不具合、修正プログラムあり(KB925066) (hotfix.jp, 10/25)。In a domain environment, Windows Explorer may stop responding on a client computer that is running Windows XP or Windows Server 2003, and CPU usage is very high on the primary domain controller (Microsoft KB925066)
》 【Security Solution】NOD32を包含する個人向けセキュリティ・スイート製品,キヤノンシステムソリューションズが投入 (日経 IT Pro, 10/25)。ESET Smart Security のこと。
》 オリコン訴訟、10月後半までの各所での言及 (SLAPP WATCH, 10/25)
関連:
Windows Live OneCare を入れるとこっそり変えられてしまう事実が判明した模様。
関連:
》 遅ればせながら作家シン氏の力量に唸った (日経 IT Pro, 10/24)。サイモン・シン萌え記事。
》 J2SE 1.4.2 のサポート終了 (JPCERT/CC REPORT 今週のひとくちメモ, 10/24)。 J2SE 1.4.2 (Sun) より:
J2SE 1.4.2 は Sun のサポート終了 (End of Life, EOL) のプロセスを開始しました。EOL 移行期間は 2006 年 12 月 11 日から次のバージョンである Java SE 7 の提供開始 (現時点では 2008 年 夏の予定) までです。この掲示をもってユーザの皆様は、最新リリースである Java SE 6 への移行を開始する必要があります。
》 PacSec 2007 Agenda (Tokyo 11-29/30)。 川口隊長や TOMOYO ちゃんの中の人や IPv6 サムライが。
》 どこへ行く?パソコンのリサイクル法 (日経 IT Pro, 10/23)
》 ANAが大規模システム障害の対策完了へ、中長期の抜本策もまとめる (日経 IT Pro, 10/19)
》 【改正建築基準法】法改正の裏にある“不都合な真実” (日経 KEN-Plats, 10/19)
》 官僚から「本当の話」を聞き出す方法 〜ミスター年金・長妻昭氏に聞く取材テクニック【前編】 (日経 BP, 10/22)
実は長妻氏はかつて本連載の版元である日経BPに中途入社し、「日経ビジネス」誌で記者を務めている。(中略) そんな長妻氏にジャーナリズムの話を聞くのは、「日経ビジネス」記者時代の仕事ぶりを当時の同僚から伝え聞いているからだ。
へぇ〜。
武田 出してこない時の攻め方は?
長妻 「国の仕事をしていて税金で資料を作成している以上、資料を出す、出さないを判断する権利は官僚にはないのだ」と言います。「出せないんだったら、法律上の理由をきちんと文書に書いて送ってくれ」と。そういうと多少は出るようになる。彼らは紙に(証拠が)残るのはいやなんですよ、当該資料はこの法令で出せない、と書いたのが後にウソだと分かると恥ずかしいから。
》 北朝鮮、中国の貨車を分解し転売か 中国、北朝鮮行き貨物列車の運行を中止 (朝鮮日報, 10/20)。中国政府外交部は否定: 北朝鮮による貨物列車の解体・売却説を否定—中国 (Record China / Yahoo, 10/24)。
》 スマートフォン暗号化ソフトが続々登場 (日経 IT Pro, 10/22)。 Windows Mobile ねた。
》 スクリーンセーバーを使うのやめませんか (日経 IT Pro, 10/22)。かわりに「電源オプション」を使おう、という提案。 なるほど。
》 ActiveX File Overwrite/Delete Vulnerabilities (symantec, 10/23)
》 (24) Vistaのカーネルモードドライバへのコード署名要件にかかる問題のまとめ(2) (ITセキュリティのアライ出し) からまた 1 か月が経過してしまっている。 ルパンをつかまえてハワイにでも行っているのだろうか。 翻や苦がたいへんなだけかもしれないけど。
》 海自艦船、1日に撤収命令 政府、活動中断へ作業着手 (中日, 10/25)
》 記者の目:信用失墜 創業300年の赤福=飯田和樹 (毎日, 10/25)
》 裁判員制度:毛利甚八さんがPR漫画第2弾 量刑テーマに (毎日, 10/25)。
詳細は日弁連ホームページの裁判員制度コーナーへ。
日弁連ホームページの裁判員制度コーナーには、part 1 の 裁判員マンガ「裁判員になりました‐疑惑と真実の間で‐」 の案内しかないみたいなんですけど……。
》 URI Comparison Functions (IEblog, 10/24)。IE7 では IUri::IsEqual というのが使えるそうで。
》 PS3のセキュリティも調べてみた (日経 IT Pro, 10/25)
》 「ITセキュリティは欠陥品市場」——セキュリティ専門家が警鐘 (computerworld, 10/24)。ブルース・シュナイアー氏。 まあ、ITセキュリティだけがレモン市場ではないのですけどね。 レモン市場 (ウィキペディア)、IT資本論 (31) 8つのパラドクス - 不確実性のパラドクス(5) アドバース・セレクション戦略 (マイコミジャーナル)
》 Black Hat Japan 2007 Briefings やってるんですね……。
一太郎 2007 / 2006 / 2005 / 文藝 / 2004 / 13 / 12 / 11 / Lite2、一太郎 for Linux、一太郎ビューアに 3 種類の buffer overlow 欠陥が存在。 攻略一太郎文書を読み込むと任意のコードが実行される。発見者はいずれもフォティーンフォティ技術研究所の鵜飼さん。
一太郎 2007 / 2006 / 2005 / 文藝 / Lite2、一太郎 for Linux、一太郎ビューアには修正プログラムが用意されている。一太郎の脆弱性を悪用した不正なプログラムの実行危険性について (ジャストシステム) からダウンロードして適用すればよい。 その他についてはもはやメンテナンスされていないため、まずはメンテナンスされているバージョンにアップグレードし、その後で修正プログラムを適用する。
関連:
いずれもリッチテキストファイルの処理における buffer overflow 欠陥。
一太郎plug-inをIEとFirefoxで無効に 〜 ジャストシステムは本当の脅威を教えてくれない (高木浩光@自宅の日記, 2007.10.30)。 個人的には、ジャストシステムはもはや単なるアプリケーションベンダーではなく、アンチウイルスソフトを扱うセキュリティベンダーとなったにもかかわらず、こういう態度だという点が一番の問題だと思う。
手元の Windows XP / IE 7 / Firefox 2 には一太郎 2005 が入っていて、念のため JS文書ビューア ActiveXプラグイン (ジャストシステム) もインストールしてみたのだけど、 プラグインがまともに動作していないようなのだよなあ。うーん。喜んでいいのやら悲しむべきなのやら。
……さきほど「ジャストシステム ユーザーズ・インフォメーション」 が流れてきた。
Date: Wed, 31 Oct 2007 13:57:04 +0900 To: users-information@justsystem.co.jp From: Justsystem <users@justsystem.co.jp> Subject: UsersInfo【一太郎の「セキュリティ更新モジュール」公開のお知らせ】10/31 (中略) ──────────────────────────────────── ▼一太郎 のセキュリティ更新モジュール▼ http://www.justsystems.com/jp/info/pd7004.html?m=jui31c01 ──────────────────────────────────── 【想定される悪影響】 ………………………………………………………………………………………… 悪意のある第三者に不正に改ざんされた一太郎文書を読み込むことによって、 任意のコードが実行され、パソコンが不正に操作される危険性があります。 悪意の攻撃者はそのようなファイルを電子メールの添付ファイルにして 送りつけたり、WEBサイトに置くことで攻撃を仕掛けます。 そしてお客様がそのようなファイルを開いたり、リンクをクリックしたり することで意図せず不正な一太郎文書を読み込み、 悪意の攻撃を実行させてしまう恐れがあります。 …………………………………………………………………………………………(後略)
一太郎の脆弱性を悪用した不正なプログラムの実行危険性について (ジャストシステム) も改訂されており、一太郎 2004 / 13 / 12 / 11 についても修正プログラムが用意されている。
Xen 3.1 以前の xenbaked と xenmon.py に symlink attack を受ける欠陥。 CVE-2007-3919
Firefox で情報漏曳ねた: CVE-2007-5335。 2.0.0.8 で修正されている。
IBM Lotus Notes の添付ファイルビューアにおける複数の脆弱性 (vuln.sg, 2007.10.23)。 mwsr.dll, lasr.dll, wp6sr.dll, mifsr.dll に buffer overflow する欠陥があるそうで。Lotus Notes 7.0.3 で修正されているそうです。
SYMSA-2007-013: Lotus Notes Memory Mapped Files Vulnerability (Symantec, 2007.10.24)。 CVE-2007-5544
SYMSA-2007-012: Microsoft Windows CE IGMP Denial of Service (Symantec, 2007.10.24)。 CVE-2006-0021 ……何? 2006 年?! FIX: A malformed IGMP packet may cause a Windows CE 5.0-based device to stop processing network requests (Microsoft KB930642) だそうです。
SYMSA-2007-011: Microsoft WM5 PocketPC Phone Ed SMS Handler Issue (Symantec, 2007.10.19)。CVE-2007-5493
[Full-disclosure] 3proxy double free vulnerability、 3proxy 0.5.3j released (bugfix) 。 CVE-2007-5622
[CAID 35754]: CA Host-Based Intrusion Prevention System (CA HIPS) Server Vulnerability。CA Host-Based Intrusion Prevention System (CA HIPS) r8 話。 CVE-2007-5472
RoR CVE (yohgaki's blog, 2007.10.24)。Ruby on Rails < 1.2.4 話。 CVE-2007-5379 CVE-2007-5380
[SA27177] IBM DB2 UDB Authentication Unspecified Vulnerability。DB2 for Linux UNIX / Windows 9.x 話。 Interim Fix Pack 3a / Fix Pack 4 で修正されているそうです。
Camino release 1.5.2 fixes several vulnerabilities。 Camino な人は Camino 1.5.2 にアップデートしましょう。
[SA27316] Nagios Cross-Site Scripting Vulnerability。 nagios 2.10 で修正されているそうです。 CVE-2007-5624
Cisco Security Response: Extensible Authentication Protocol Vulnerability (Cisco, 2007.10.20)
Cisco Security Advisory: Multiple Vulnerabilities in Firewall Services Module (Cisco, 2007.10.18)
Cisco Security Advisory: Cisco Unified Communications Web-based Management Vulnerability (Cisco, 2007.10.18)
Cisco Security Advisory: Multiple Vulnerabilities in Cisco PIX and ASA Appliances (Cisco, 2007.10.18)
DNS のルートサーバの 1 つ、L ルートサーバの IPv4 アドレスが、198.32.64.12 から 199.7.83.42 に変更されるそうです。この変更は 2007.11.01 に行われます。 旧アドレスも、少なくとも 6 か月は維持されるそうです。2007.11.01 以降に、忘れずに対応しておきましょう。
》 XSSDetect Public Beta now Available! (ACE Team - Security, Performance & Privacy, 10/22)、 Some technical details on how XSSDetect does Dataflow Analysis (%41%43%45%20%54%65%61%6d, 10/23)、 MS、XSSの脆弱性検出ツールを無償公開 (ITmedia, 10/25)
》 偽造カードで1億超す被害 北洋銀、さらに拡大も (中日, 10/24)
流出した個人情報を基に、カードが偽造され、テレホンバンキングの機能を使い、生年月日などが暗証番号と確認されたとみられる。
関連:
被害の判明状況は本日現在、138先、113百万円が確定しておりますが、現在最終の確認作業を行っており、被害件数は若干増える可能性があります。
当該のお客様には当行よりご連絡を申し上げ、被害拡大の防止を行っております。
また、実際の被害発生は、ほとんどが21日〜22日に集中して発生しており、犯罪に利用されたテレホンバンキングの残高照会機能を23日より停止したこともあり、本日は発生しておりません。
同時に、今回の被害はテレホンバンキングサービスの残高照会機能を利用した手口であることから、当該データをもとに調査を行った結果、外部からの情報(氏名、口座番号、生年月日、電話番号等)が不正に利用されたとみられ、本日警察への連絡を行いました。
》 「絞首刑、もっと安らかな方法は」 法務委で鳩山法相 (asahi.com, 10/24)。でも、「完全自殺マニュアル」によると、首吊りがもっとも確実かつ安楽な方法のようですが。
》 タミフル:厚労省部会「異常行動につながるデータない」 (毎日, 10/24)
》 民主党:C型肝炎感染者問題で国政調査権を発動へ (毎日, 10/24)
》 民主党:税調会長代行、道路特定財源の「役割終わった」 (毎日, 10/24)
民主党税制調査会の峰崎直樹会長代行は24日、毎日新聞のインタビューに応え、ガソリンにかかる揮発油税などを道路建設に充てている道路特定財源について「役割や使命は終わった。(揮発油税などの税率を上乗せしている)暫定税率分は元に戻し、(ガソリン1リットル当たり)2〜3円の環境税を組み入れるべきだ」と述べた。 (中略) 地方自治体を中心に、道路特定財源による道路整備を求める声は根強いが、峰崎氏は「(暫定税率を廃止後の揮発油税などを)ほぼ全部、一括交付金として地方に回す仕組みにしたい。地方が自分たちで優先度を決め、道路が本当に必要ならそれに使うし、社会福祉施設などにも使える自由な財源としたい」と述べた。
まともだ。
》 トルコ:軍部隊がイラク北部へ越境攻撃 (毎日, 10/25)
》 中越沖地震:断層面、柏崎刈羽原発の直下に (毎日, 10/25)。再開不可能。
》 米海軍原潜の原子炉検査をねつ造、将官ら6人を処分 (CNN, 10/23)
二十三日午前八時十分ごろ、東京都営地下鉄大江戸線で停電が発生し、一時、全線が不通となった。このうち光が丘駅発の電車(八両編成)が新江古田駅(中野区)の約二百メートル手前のトンネル内で停止したため、乗客約千三百人を降ろし、同駅まで徒歩で避難誘導したほか、「気分が悪い」などと訴えた女性の乗客計十人が病院に運ばれた。
都交通局は、20日未明に練馬変電所を点検した都外郭団体「東京交通サービス」が、手動の送電スイッチをオフにしたまま戻し忘れていた人為ミスとみて調べている。
昨日の報道ステーションによると、そんなところで止まってはいけないのに 200m 手前で止まってしまったのは「大江戸線は up / down がはげしいので、停電後に最寄り駅まで惰性で走り切れなかった」ということみたい。でもそれって設計ミスなのでは……。
しかし、なんでもない日の停電程度でこのていたらくでは、首都直下型が来た日にはいったいどうなるんだろう。
》 カリフォルニア州南部の山火事、Web2.0的メディアが活躍 (WIRED NEWS, 10/24)、季節風弱まるとの予報、火勢退潮に望み 加州南部火災 (CNN, 10/24)
》 管理者必携! 最強のデータ・サルベージ・ツールを自作する (@IT, 10/24)。Windows PE 2.0 話。
》 MSとシマンテック、セキュリティで協力--業界団体SafeCodeへ参加 (CNET, 10/24)
》 姫川病院と組合債被害者の訴え(野党視察団報告) (保坂展人のどこどこ日記, 10/21)
》 障害者権利条約を絵に描いた餅にしないために(投稿) (保坂展人のどこどこ日記, 10/20)
》 守屋前事務次官は4年間、防衛庁・省の「倫理監督官」だった (保坂展人のどこどこ日記, 10/23)
》 TOMOYO Linux 1.5.1 が公開されました (熊猫さくらのブログ, 10/23)
》 横浜国大のサーバーに不正アクセス、偽サイト設置される (Internet Watch, 10/24)
》 情報ネットワーク法学会 第7回研究大会のお知らせ (JPCERT/CC, 10/24)。2007.11.10、新潟県新潟市、一般 10,000 円。
Application proxy toolkit which inherits the ideology of TIS fwtk and maintains API backwards compatibility. The design goal is to make it simple yet powerful; no performance hacks allowed in the code and library dependencies are reduced to minimum.
試してみなくちゃ。
》 パソコンを安心して使うために。 セキュリティ啓発コンテンツ (Microsoft) の PDF 文書のプロパティのタイトルが「女医マイ子_表紙」である件について。benjamin さん情報ありがとうございます。Illustrator CS2 ですか。
Live Search と Google と Yahoo! Japan に「女医マイ子」について聞いてみると、個性豊かな答えが返ってきますね。どれも正しくないっぽいけれど。
》 「毎日jp」を運営している毎日新聞デジタルメディア局にインタビュー (gigazine, 10/24)。gigazine にざぶとん 3 枚。 まんたんウェブですか。
》 平成19年10月22日(月)〜28日(日)は「電子政府利用促進週間」らしい
各省庁の案内ページを見る限りでは、「電子政府利用促進週間」の実態は「電子申請利用促進週間」であるようだ。なんだかなあ。
》 創業社長が明かす、仮想歌手「初音ミク」にかける想い (CNET, 10/23)
改めてTBSに「初音ミク」の放送についてコメントを求めたところ、「謝罪のコメントを出す予定はない。具体的にどの辺が問題なのか指摘してもらいたい」とした。
推測: TBS はインターネットには接続されていない。
Sun Java JDK / SDK / JRE に欠陥。信頼されていないアプレットによる権限上昇が可能。local file の読み書きや local アプリの実行が可能となる。
以下のバージョンで修正されている:
さっそくウイルスが登場しているようです。
現在の状況
関連:
》 IPsecらくらくマスター (日経 IT Pro)
》 アレクサンドル・リトビネンコ追悼集会—ロシアの闇とチェチェンの平和を考える— (チェチェンニュース)。2007.11.23、東京都文京区、1000円。
》 特捜部の乾坤一擲〜山田洋行と日本ミライズ (東京社会部遊軍〜編集局の「なんでも屋」のブログ, 10/20)。関連:
》 地球温暖化がテーマの「刺激的」な広告について考える (WIRED NEWS, 10/23)
》 米Microsoftが欧州委員会に白旗、9年間に及ぶ独占禁止法対決は終結へ (マイコミジャーナル, 10/23)、マイクロソフト、欧州委員会の2004年決定の完全順守についての声明を発表 〜欧州委員会はマイクロソフトが2004年3月の欧州委員会の決定を完全に順守していることを発表。同時に、マイクロソフトは欧州第一審裁判所の判決に対し上訴しないことを決定〜 (Microsoft, 10/24)
》 ドイツ政府高官、中国によるサイバースパイ行為を非難 (ITmedia, 10/22)
》 サーバラックにクーラー直付け IBMと三洋、DC向け省エネ空調を開発 (ITmedia, 10/23)。「サーバラックの後部ドアに熱交換機を直接取り付け、排熱を半減させるシステム」だそうです。
》 米大手ISP、「P2Pトラフィック遮断」報道に反論 (ITmedia, 10/23)
》 続: そろそろUTF-7について一言いっとくか (葉っぱ日記, 10/22)、感想→続: そろそろUTF-7について一言いっとくか (hoshikuzu | star_dust の書斎, 10/23)
》 ドイツ:アフガン介入に疑問の声 (JANJAN, 10/22)
》 中国:三峡ダムで新たに移住させられる住民 (JANJAN, 10/22)
》 アドレスバー百景 その2 「iPod Touch」的UIの活用を考える (高木浩光@自宅の日記, 10/20)
》 社内パソコンのボット感染(前編) (日経 IT Pro, 10/23)
》 また一つWEPが破られていく (日経 IT Pro, 10/22)
》 アフガニスタン:米軍の支援活動、国民の信頼獲得なるか(全訳記事) (JANJAN, 10/15)
》 ターゲット攻撃による不正プログラムの大規模拡散に対する対症療法 (トレンドマイクロ セキュリティ blog, 10/23)。マルウェアの活動を妨害する話。
》 ソフト開発の遅れで着工激減 見切り発車の法改正、マンションにも景気にもツケ (日経 BP, 10/23)。これほど重大にもかかわらず取り「上げない政治家」多数。
》 セキュリティ インテリジェンス レポート 第3版を公開 (日本のセキュリティチームの Blog, 10/23)
》 「パソコンを安心して使うために。」に関するお詫びと改訂 (日本のセキュリティチームの Blog, 10/22)
》 空の旅は安全ではなかった、NASAがあわてて調査結果を隠蔽 (technobahn, 10/23)
》 ボーイング、1キロワットのレーザー兵器の照射実験に成功 (technobahn, 10/23)
》 リバース・エンジニアリング秋の祭典について (武田圭史, 10/23)
》 GoogleMapに掲載されたイスラエルの最重要軍事施設 (technobahn, 10/23)
》 SSH scanning changes to a more distributed (coordinated?) model. (SANS ISC, 10/22)。手元のサーバにも来てました: [memo:9316]
》 大江戸線で一時全線運休 駅間に停車、11人不調訴える (asahi.com, 10/23)
練馬駅から乗ったという高校1年の女性は「満員だったので、呼吸が荒くなったり気分が悪くなったりした人がいた。1時間ほど止まった後、線路に降りて歩くよう指示された」と話した。
最近の電車って窓が開かないからなあ。
Drupal 4.7.8 / 5.3 において、5 種類の欠陥が修正されているそうです。神戸さん情報ありがとうございます。
この他に、drupal 用のモジュールの欠陥情報が公開されています。
また、PHP の欠陥に関する情報が公開されています。
関連:
日本語版: APSB07-15: PageMakerにおけるバッファオーバーフローの脆弱性に対するパッチ (Adobe)
日本語版: APSB07-16: Illustrator CS3の潜在的な脆弱性に対処するためのアップデート公開 (Adobe)
日本語版: APSB07-17: GoLive 9の潜在的な脆弱性に対処するためのアップデート公開 (Adobe)
ARPスプーフィング:読者のWebホスティング・サービスは守られているか (日経 IT Pro, 2007.10.19)。 ARP Spoofing: Is Your Web Hosting Service Protected ? の翻訳記事。
Adobe Reader 8.x, Acrobat 8.x 用の修正プログラムが公開された。
しかし Adobe Reader 7.x, Acrobat 7.x 用の修正プログラムはまだ公開されていない。関連:
現在の状況
関連:
》 特許侵害訴訟:あらすじ (Open Tech Press, 10/22)
》 駅構内の「不便な」自動改札と「わかりにくい」表示 (JANJAN, 10/22)。UI の話。
》 デイリーポータルZ 記者の家を探しに行く (高木浩光@自宅の日記, 10/21)。「簡易電波暗室」ではなく「簡易シールドルーム」だろう。
自宅を特定されたくない状況では、MACアドレスを秘密にすることが求められるだけでなく、SSIDも同時に秘密にすることに注意を払う必要もあるということになる。あるいは、無線LANアクセスポイントは、SSIDをMACアドレスと無関係の文字列に設定変更して使うのがよい。
》 比内鶏 (ひないどり) 社による比内地鶏の偽装が明らかに。「名古屋コーチンに偽装」みたいなものか。
》 大阪・西成署のシンドラー社製エレベーターが天井に衝突 (asahi.com, 10/22)。またシンドラーか!!!
22日午前7時半ごろ、大阪市西成区萩之茶屋2丁目の大阪府警西成署で、1階で当直中の署員がエレベーター付近から「ドーン」という大きな音がしたのに気づいた。署員が7階まで上がると、エレベーターが通常の停止位置から上に約1メートル付近でとまり、天井部分が最上部の緩衝材に衝突していた。当時、エレベーターには誰も乗っていなかった。同署は整備不良の疑いもあるとみて調べている。
調べでは、2基あるエレベーターのうち1基が突然、7階まで急上昇したといい、どの階から昇ったか不明という。その間、誰もエレベーターのボタンを押していなかったという。
怖ぇぇぇぇぇぇぇぇぇぇぇ。谷口さん情報ありがとうございます。 シンドラーはノイズに弱いという話がありましたが、今回のものはどうなんでしょうね。
》 ボット駆除ツール「CCCクリーナー」、一部ファイルを誤検出 (Internet Watch, 10/22)。 ウイルスパターンファイル 4.777.00における誤警告情報 (トレンドマイクロ, 10/17) の件ですね。
》 ゴキブリは核戦争を生き残ることができるのか? 米ディスカバリー・チャンネルが検証番組を制作 (technobahn, 10/21)。製作中、の模様。
》 裸族のお立ち台: 2.5" & 3.5" SATAハードディスク用クレードル (センチュリー)
SATA HDDの取り扱いについて
(中略) SATA HDDの接続コネクタにはメーカーの推奨するHDDの着脱保証回数が設定されております。この回数を超えるとHDDとしての品質を保証できませんので、着脱する回数は最小限にてご使用ください。
そんな制限があったんだ。へぇ。
》 OpenSSL 0.9.8g が登場しています。 戸井さん、iida さん情報ありがとうございます。Changelog より引用:
Changes between 0.9.8f and 0.9.8g [19 Oct 2007]
*) Fix various bugs:
+ Binary incompatibility of ssl_ctx_st structure
+ DTLS interoperation with non-compliant servers
+ Don't call get_session_cb() without proposed session
+ Fix ia64 assembler code
[Andy Polyakov, Steve Henson]
》 [AML 16260] 11月中旬にもPAC3都心展開演習か (日経, 10/14)
11月中旬にも部隊の移動展開訓練を都内の代々木公園(渋谷区)、晴海ふ頭公園(中央区)などで実施する。
皇居に展開すればいいのに。
》 パキスタン政権 民主化・テロ制圧難局続く ブット氏連携 過激派シンパ猛反発 (東京新聞, 10/21)
》 この省にしてこの庁あり。この省:
2002 年当時の厚生労働大臣は坂口力・衆議院議員 (公明党)。
この庁:
》 不面目な「中国“世界マイナス1位”ランキング」 「2010年 日中逆転」を支える中国の実像 (日経 BP, 10/12)
》 データ品質を支える地道な作業とは? (日経 IT Pro, 10/12)
》 日本の援助削減でも揺るがないビルマ(ミャンマー)軍事政権(全訳記事) (JANJAN, 10/20)
》 みずほ証券、顧客情報を不正利用 証取監視委 金融庁に処分勧告 (中日, 10/20)、 証券取引等監視委員会による行政処分の勧告について (みずほ証券, 10/19)
》 赤福の偽装は、少なくとも 10 年以上前から日常的に行われていた模様。
中日新聞の取材に応じた複数の関係者によると、赤福餅は社内のみの共通認識で四種類に分類。前日の売れ残りを再包装したものを「A」、当日に製造した商品を「B」、一時冷凍して解凍後に出荷するものを「C」、いつでも出荷できるよう製造年月日を押印せずに冷凍したものを「D」と呼んでいた。違う呼び名もあったという。
(中略)
また、偽装した製造日を包装紙に押印することで、夏場は作った日を含む二日後、冬場は三日後としていた消費期限も一日遅らせており、冷凍まき直しと同様に食品衛生法違反の疑いが強い。
それぞれの商品は、製造年月日の「謹製印」に目印を付けるなどして、社員だけに見分けが付くよう細工。よく売れる店にA商品を多く配分していた。直営店以外の委託販売店にはまき直しを隠し「先売り」とだけ説明して優先的に売るよう指示していたという。
製造日の押印を変えるために包装し直す「まき直し」は、社内の隠語でCOP(シー・オー・ピー=チェンジング・オブ・ペーパー)と呼ばれた。「慣れた人はびりびりに破らず、一度にはがせる。仲間でCOPの速さを競い合ったりもした」と元従業員は話す。
(中略)
「入社時に餅(もち)の新鮮さを見分ける記号を解説したプリントが配られた」。別の元従業員の言葉は、まき直しが組織的なシステムだったことをうかがわせる。
iPhone / iPod touch 1.1.1 に欠陥。 libtiff に欠陥があり、攻略 TIFF 画像を使って iPhone / iPod touch のルートパーティションの read/write 権限を取得できる。CVE-2007-5450。関連:
この件の修正と思われ: About the security content of iPhone v1.1.2 and iPod Touch v1.1.2 Updates (Apple)
MS07-060 を攻略する、Windows 用のウイルスが存在する模様:
Windows 版の RealPlayer 10.5 以前および 11 Beta に 0-day 欠陥。 ActiveX コントロール ierpplug.dll に buffer overflow する欠陥があり、 攻略 Web ページによって任意のコードを実行できる。既に攻略コードが野に放たれている。
RealPlayer 10.5 および 11 Beta に適用できる patch が公開された: RealPlayer Security Vulnerability (Real.com)。 RealPlayer 10.0 以前については、一旦 10.5 以降にアップグレードし、その上で patch を適用する。patch は RealPlayer 自身のアップデート機能では適用できないので注意。関連:
上記 patch では、MPAMedia.dll の欠陥も修正されていた模様:
》 帰ってきた「悪用厳禁」——「ネトラン」復活 (ITmedia, 10/19)。11/8 だそうです。 帰ってきた悪用厳禁!ネトランが11月8日に新創刊決定! (ネトラン公式サイト)
■特集
開発支援金総額300万円争奪
ベスト・オブ・悪用厳禁ツール2007
》 貸切バスに関する安全等対策検討会報告 (国土交通省, 10/19)
》 エスカレーター事故:重体男児、意識回復 神奈川・平塚 (毎日, 10/19)。よかったねえ。関連:
毎日は一貫して「首がはさまった」と報道してますね。
》 NY原油:90ドル突破 国内でも生活者負担広がる (毎日, 10/19)
》 Browser Rootkits (gnucitizen, 10/16)
》 After you set the EnableDirectoryPartitions registry entry to 0 on a Windows Server 2003 DNS server, DNS scavenging fails, and event ID 2502 is logged (Microsoft KB942923)。回避方法が紹介されています。
》 不具合リチウム電池、回収進まず 「100%回収」へメーカーが団体 (ITmedia, 10/18)
》 「録音録画補償金、抜本的な見直しを」とJEITA (ITmedia, 10/18)
》 The AutoCorrect feature does not work in Outlook 2003 after you install Office 2003 SP3 (Microsoft KB943519)
》 姫川病院閉鎖で何が起きたかを見に行く(新潟県糸魚川市) (保坂展人のどこどこ日記, 10/18)
》 あなたのセキュリティ対策,間違っていませんか? (日経 IT Pro, 10/19)。 Web からの脅威を撃破する (日経 IT Pro) の宣伝。 その人が Mac OS X や Linux を使っているのなら、「セキュリティ対策ソフトは入れていない」という言葉にもそれなりに納得するのだけど。
》 Malware Service Providers (McAfee blog, 10/18)。関連:
》 サイバークリーンセンター活動実績: 2007 年 9 月 (サイバークリーンセンター, 10/17)。 「数種類ずつ定期的にボットを配布している海外の特定サイト」ってどこだろう。
》 脅威,すべてはWebアクセスから始まる 第5回 パターン照合だけではダメ,力を合わせてディフェンスを固める (日経 IT Pro, 10/19)
Webレピュテーション (中略) は,(中略) Webサイトのコンテンツを確認した後にデータベースに反映するリアクティブ(事後対応的)なURLフィルタリング技術とは異なり,ドメインの振る舞いを監視して評価を行う。その評価基準としては,(1)ドメインの「登録年月日」,(2)ネーム・サーバーやIPアドレスの変更頻度を見る「安定性」,(3)特定のネーム・サーバーが多くのドメインで使用されているかという「アソシエーション」,(4)正常なファイル形式で公開しているかという「ファイル」,(5)サーバーが「スパムに使用されているか」---などがある。
》 ユーザー生成コンテンツの著作権ガイドライン策定、Googleは不参加 (ITmedia, 10/19)、大手メディア企業らがUGCサイト向けの著作権ガイドラインを策定——著作権物のフィルタリングをサイトに要請 (Open Tech Press, 10/22)
》 Amazonの1クリック特許が再審査の結果、無効に (ITmedia, 10/19)。全てが無効になったわけではないようですが、すばらしい。
》 「Storm」で作られたボットネットが切り売りされるとの報告——コマンド・トラフィックを暗号化する亜種の存在も明らかに (Open Tech Press, 10/19)
》 「ノートン・アンチボット」日本語パブリックベータ版公開 (Internet Watch, 10/18)。すると既存の Norton 製品はボットには対応していないのか? という疑問がふつふつと湧いてくるわけなのだが。 Norton AntiBot ベータ (シマンテック) を見ると、「積極的なビヘイビア分析」とか「他のほとんどのセキュリティソフトウェアと併用可能」といったあたりがウリなのかな。 Non-Signature Anti-Malware (PC Magazine) で Editor's Choice になっているけど、星の数から言うと ThreatFire 3 (無償です) には負けてますね。
》 リタリン:乱用に歯止めでも「患者救済につながらない」 (毎日, 10/18)
》 タウンミーティングで内閣府が契約日を偽装…会計検査院 (読売, 10/18)
》 渋谷シエスパ事故:配管つまりガス充満 水抜き作業行わず (毎日, 10/19)
施設を運営する「ユニマットビューティーアンドスパ」(港区)は、保守管理業務を「日立ビルシステム」(千代田区)に委託。ビルシステムは受注業務のうち機械室内の全作業を「サングー」(品川区)に下請けさせていた。(中略) 取材に対し日立ビルシステムは「水抜き業務は請け負っていない」と主張している。ユニマット社とサングーは「捜査中でコメント出来ない」としている。
》 ウイルスバスター コーポレートエディション 7.0 Patch 6 公開のお知らせ (トレンドマイクロ, 10/19)
》 まだ続いているPSE法ショック 失敗のけじめつけぬまま、経産省が新たな規制強化 (日経 BP, 10/17)。溝口さん情報ありがとうございます。
経済産業省は、この湯沸器問題とセットで、中古電気製品についてもようやく、PSE法の規制対象外であることを明文化する法改正をするという。
しかし、狙った規制権限を手放す気配は全くない。すでに審議会の承認を得て、2008年春から、新たに、中古電気製品の優良販売店にお墨付きを与える「SR(セーフティ・リユース)マーク」制度を創設するというのだ。このお墨付きは、同省が認定した機関が、同省の定めるガイドラインに沿って、付与する仕組みになる。
つまり、事業者が、優良店のお墨付きを得るには、経済産業省の組織する業界団体に加盟したうえで、従業員に同省が指定する機関からエンジニア資格を取得する必要がある。さもないと、従業員は、中古製品の買い取りの際に、製品のカバーを開けて改造の有無を目で確認することさえ許されなくなる状況が生まれるという。
しかも、業界団体を束ねる機関も、エンジニアの資格を与える機関も、官僚たちの天下り先としての役割を担う可能性がある。新たな利権が作り出されていく恐れがあるのである。
「安全のため」と称して、「市場の失敗」を容認できないと喧伝する政策立案手法は、1980年代まで常態化されていた規制強化の常套手段である。しかし、今回のPSE法ショックを見ても、経済産業省は、問題が起きた時の自浄能力が低い。外部からのチェックもほとんど働かない。そんな経済産業省が、再び「政府の失敗」を引き起こすリスクが、「市場の失敗」の発生リスクより小さいと断定できる人は、いったいどれほど存在するのだろうか。
経産省には無限の鈍感力が存在するのかな。↓にある「公務員罷免法」はぜひとも必要だなあ。
》 国際宇宙ステーションのコンピューター障害、原因はロシアの温度管理のミス (technobahn, 10/18)。「コンピューター機器の付近の温度が想定外に低い状態が続いたため、湿度が上昇し、電子機器の接点に腐食が生じたため」だそうです。
》 「議員にも分からん」政治資金法改正へ勉強会 (JANJAN, 10/19)。ゲストの 1 人は“Mr.コンプライアンス”郷原信郎氏。
23年間の検事経験をもつ郷原氏は、「政治資金規正法に規制されていることは相当きびしいと思う」としたうえで、「実態はこれが100%守られている政治家は非常に少ないと思う。過去にいろいろな問題が起きるたびに、言い訳的に規程・罰則が強化されてきた。そのため、実際の政治資金の処理の実態と規程とが完全に遊離してしまって空中楼閣のようになってしまっている。そうしたなかで、政治資金の法執行というのは、ほとんど欠落している状況だ」と述べた。
付加設計だらけでどうしようもなくなっており、システム全体の再構築が必要な模様です。
東京財団などが分析した結果として、次のような方向での政治資金規正法の改正が提言された。
(1)1人の政治家が政党支部など政治資金を受けられる団体を多く抱える現状を改め、政党支部と資金管理団体の2つに限定し、2団体間の資金のやりとりを明示する。
(2)収支報告書の提出先を各都道府県と総務省とに分けず、実際的な団体に改組した中央選挙管理委員会一本とし、インターネット上でそのダウンロードや印刷を可能にする。
(3)制度の複雑さが不祥事の故意・過失の区別を分からなくしているので、公認会計士・税理士による収支監査の義務付け、中央選挙管理委員会のチェックを受ける。
》 イーホームズ藤田東吾氏 衆議院選に出馬! (JANJAN, 10/19)。国交省キラー、出撃準備中。
氏はマニフェストも着々と準備しているそうだ。
立候補の正式表明まで、詳細は公表できないとのことだったが、マニフェストの重点(とくに筆者が気になる項目)を無理矢理聞き出した。
1:改正建築基準法と改正建築士法の廃案
※ 筆者の用語では、「“改悪建築基準法”と“改悪建築士法” の廃案」となる。
建築家や構造家、設備家だけでなく、“改悪”を知って(気付いて)いる工務店やゼネコンも支持するのではないか。
2:耐震偽装で二重ローンに苦しむ住民被害者の完全救済
※ 提唱している政治家を他に知らない。しかし、これをしなければ「耐震偽装事件」には決着がつかない。
3:公務員罷免法の制定
※ 「公務員罷免法」は木村剛氏も提唱している。
・お役人に個人責任を問おう/木村剛
「公務員罷免法」とともに、民主党などが提案している「天下り根絶法案」が制定されたら、本当の意味での“美しい国” への期待がもてそうだ。
自民党の「天下り禁止法案」は骨抜きで、状況がかえって悪くなるおそれが極めて強い。
》 Skypeの偽プラグイン「Skype-Defender」 (トレンドマイクロ セキュリティ blog, 10/18)
》 Apple、「iPhone」のネーティブ・アプリ開発キットを公開へ——方針を180度転換、「活気ある開発コミュニティが生まれる」とジョブズ氏 (Open Tech Press, 10/18)
SDKのリリースを来年2月とした理由についてジョブズ氏は、「開発者向けにプラットフォームを提供する一方で、iPhoneユーザーをウイルスやマルウェアから守るという、正反対の作業を同時に実行しようとしているため」と説明している。
関連: iPhone SDK to include security in it's design (McAfee blog, 10/17)
》 WFP事務所に保安部隊が突入:ソマリア (国連情報誌SUNブログ対応版, 10/18)
》 今日の報ステ: 2007.10.18 (TV 朝日)
米空母の元参謀長「100%イラク」
海上自衛隊が提供した燃料のイラク転用問題で、当時、アメリカ軍の空母「キティホーク」に乗って艦隊を指揮していたホセ・コーパス氏(52)が、報道ステーションの取材に対して「我々の任務はイラク作戦のみ」と断言した。2003年2月25日に給油を受けたキティホークは、その直後にペルシャ湾に入っていたが、日本政府とアメリカの国防総省はこれまで「キティホークは、アフガニスタンでのテロとの戦いに関連する海上阻止活動への支援を行っていた」と説明。しかし、コーパス氏は「ペルシャ湾に赴いた目的は完全にイラクだけ。アフガニスタンでは一切何の業務にも就かなかった」としている。そんな中、民主党は18日、イラク特措法の廃止法案を参議院に提出した。衆議院では与党側が新テロ特措法案の内容を説明し、今週中の審議入りを求めたが、野党側はこれを拒否。結局、政府が転用疑惑などで回答することを条件に、来週23日から法案審議に入ることで合意した。
政府・与党の答弁はミートホープか赤福か。
》 日本信号製の乗車券処理機、65駅でまたトラブル (読売, 10/18)。「原因は前回と同じプログラムミス」だそうです。
》 ウィニー:海保学校教官のPCから業務情報流出 京都 (毎日, 10/18)。舞鶴かよ……。
》 赤福、売れ残りを再利用 餅とあんに分け、原材料に (asahi.com, 10/18)、赤福を無期限営業禁止 新たな偽装発覚で三重県 (中日, 10/19)
農水省は18日、老舗和菓子メーカー赤福(三重県伊勢市)が、店頭にいったん陳列し売れ残った商品を工場に戻し、製造年月日を書き換え再包装、再び出荷していたと発表した。三重県は、新たに発覚した製造日偽装は食品衛生法に違反しているとして、19日付で同社を無期限の営業禁止処分とした。
こうなると、赤福復活はかなり先ですな……。関連:
関連:
MS07-043 に関連する KB が: You experience application performance issues after you install the update from security bulletin MS07-043 on a computer that is running Windows Server 2003 or Windows XP Professional x64 Edition (Microsoft KB943172)。MS07-043 を適用した 64bit 版の Windows Server 2003 / XP において、Oleaut32.dll または Asycfilt.dll を使用するアプリケーションでパフォーマンスの問題が発生する模様。 該当するアプリケーション例は Microsoft SQL Server Analysis Services だそうで。 有償 patch があるそうです。
Opera, Firefox の更新が相次いで登場。いずれにも、この欠陥への対応が含まれている。
関連:
Before passing URLs that will be executed by Windows Shell32, an application should do the following:
- The application should call the SHParseDisplayName function together with the URI string.
- If step 1 is successful, the application should call the ShellExecuteEx function together with the SEE_MASK_INVOKEIDLIST flag and the pointer to an item identifier list (PIDL).
WZR-RS-G54 / WZR-RS-G54HP に加え、WHR2-G54V と BHR-4RV にも CSRF 脆弱性があり、修正版ファームウェア Ver.2.49 が公開されている: WZR-RS-G54HP、WZR-RS-G54、WHR2-G54V、BHR-4RV製品における クロスサイトリクエストフォージェリの脆弱性についての、お知らせとお詫び (バッファロー, 2007.10.15)。 いずれも 2007.03.01 付で公開されていたのですね。
Google の事例は、遅くとも 9/25 にはこの状況になっていた模様。
その4:初音ミクをぐぐってみた。 検索トップはクリプトンなのは至極当然で良いのですが画像を見ると (画像) が出てくるのは何故だ!!ちなみに多分デモンベインさんです。一文字もあってねぇじゃねぇか。
また、JAN コード (4511820072413) で画像検索してもやっぱりひっかからない模様。
あと、後発製品の VOCALOID2 SWEET ANN (クリプトン・フューチャー・メディア) はちゃんと Google 画像検索に出てくるという話があるそうで: #1236190 (slashdot.jp)。 やはり意図的に落としているとしか考えられない模様。
関連:
Firefox 2.0.0.8 登場。8 種類の欠陥が修正されている他、Mac OS X 10.5 への対応 (ただし既知の問題あり) がなされている。 修正された欠陥のうち、MFSA2007-36: 不正に % エンコードされた URI が Windows によって誤って処理される は、マイクロソフト セキュリティ アドバイザリ (943521) Windows Internet Explorer 7 がインストールされた Windows XP および Windows Server 2003 の URL の処理の脆弱性により、リモートでコードが実行される の話だろう。
トレンドマイクロのウイルス検索エンジン VSAPI 8.320.1004, 8.500.1002 に付属するフィルタドライバ Tmxpflt.sys に buffer overflow する欠陥があり、local user がシステム権限で任意のコードを実行できる。 CVE-2007-4277
ウイルス検索エンジン VSAPI 8.550-1001 で修正される。現在は Web ページ上でのみ公開されており、2007.10.24 に ActiveUpdate でも公開される。 VSAPI 8.550 は、リリースノートのページにはまだ掲載されていませんね……。
関連:
Windows XP / Server 2003 に標準塔載されている Macrovision 製のデバイスドライバ secdrv.sys に欠陥があり、local user が Ring0 (カーネルレベル) 特権を取得できる。Windowsの未知の脆弱性突くエクスプロイトが出回る (ITmedia, 2007.10.18) の件と思われ。%WINDIR%\system32\drivers\secdrv.sys かな。 CVE-2007-5586
patch はまだない。
関連:
関連:
patch 登場。
関連:
MS07-067 - 重要 Macrovision ドライバの脆弱性により、ローカルで特権が昇格される (944653) でも修正された。
》 ウイルスパターンファイル 4.781.00における誤警告情報 (トレンドマイクロ, 10/18)。あらら、またですか。
》 南極周辺に「英国の大陸棚」 南米と主張対立か (asahi.com, 10/18)
英国は今回、1908年に一方的に主張した、南極点から南大西洋の英領フォークランド諸島とサウスジョージア島方面に向けて扇形に広がる領土の主権を根拠にして、沿岸の大陸棚を設定した。
最低。
》 食品表示の告発急増「赤福」も明るみに…特別Gメン配置へ (読売, 10/18)
》 遺児母子家庭の勤労年収139万円、一般家庭の3割 (asahi.com, 10/18)
一般家庭の平均年収の31.9%に過ぎないという。(中略) 統計を取り始めた98年の平均勤労収入は、一般家庭の43.2%だったが、翌年から30%台に落ち込み、この8年間で10ポイント以上広がった。北海道や九州・沖縄在住では一般家庭の全国平均の20%台という実態も地域別の調査で初めて明らかになった。
この人達に支持政党を聞いてみたい。
》 中3女生徒、ネット口座を不正取得容疑 神戸 (asahi.com, 10/18)。不正取得後、使用済み下着をアレな人達に販売していたのだそうで。
調べでは、生徒は06年12月、母親の運転免許証をスキャナーでパソコンに取り込んで第三者の顔写真を張り、架空の氏名を書き込むなどして印刷。これを銀行にファクスしてネット口座を開設した疑い。
誰にでもできる簡単な作業じゃん……。そんなので口座をつくれちゃうというところが問題のような。
》 食事にゴキブリや毛虫 入管収容中の外国人がハンスト (asahi.com, 10/17)。西日本入管との話し合い(2007年6月18日) (rafiq.jp) によると「給食業者が随意契約から競売入札に(07年3月より)」だそうだが、落札業者があまりに粗悪ということか?
》 対公益法人で随意契約96% 検査院調査 8割にOB (asahi.com, 10/17)
》 「ネット犯罪の被害、30万円まで補償します」、トレンドマイクロが保険付きウイルスバスター限定版 (ITmedia, 10/18)
》 お詫びと今後の対応について (産総研 特許生物寄託センター, 10/18)。 危険レベル認識せず放置 産総研、01年まで3株 (東京新聞, 10/17)、病原体培養、独法の産総研が内規違反 (読売, 10/17) の件。問題になっているのは、
実際には、「ブルセラ菌」「鼻疽 (びそ) 菌」とされたものはレベル 1 相当の別の菌であり、職員や外部への被害も発生しなかったからよかったものの、本物のブルセラ菌などであったらどうなっていたことやら。
》 セアカゴケグモ急増 大阪府は過去最高 異常気象影響か (産経 / Yahoo, 10/18)、セアカゴケグモ(ゴケグモ類) (大阪府)
》 【ネタ】初音ミクのカスタマイズについて (栗原潔のテクノロジー時評Ver2, 10/18)。どう見てもセキュリティねた (ということにしておく)。そういえば、M:i:III はまだ見てない。
VOCALOIDの音素収録方法は、DTMマガジンの初音ミクなかの人インタビューに詳しくでています。「あ」から順々にドミソドと歌っていく、スタッカートは別録り、あと、「ざんざんじー」「ざんざんずー」という謎のことばも録らされるそうです。
おー、そういう記事もあったんだ。でも完売なんだよね。DTMマガジン、2007年12月号からミクな連載もはじまるようで。
》 核武装なら「第3次大戦」 米大統領がイランに警告 (中日, 10/18)。第3次世界大戦がしたくてしたくてたまらない宣言。 (自国内でやってください)
》 PCAOB が Staff Guidance On Auditing Internal Control in Smaller Public Companies を公表したようですね。。。 (まるちゃんの情報セキュリティ気まぐれ日記, 10/18)
》 MIAU設立: インターネットを(未来の)みんなのものにするために (崎山伸夫のBlog, 10/18)。みゃう。 関連: MIAU設立について (音楽配信メモ, 10/18)、ネットユーザー団体「MIAU」設立 まず「ダウンロード違法化」反対へ (ITmedia, 10/18)
》 エスカレーター事故 保護板の長さ不足 建築基準法違反 製造はシンドラー社 (東京新聞, 10/18)
エスカレーターと保護板は、シンドラーエレベータ(東京都江東区)が製造し、民間の指定確認検査機関イーホームズ(廃業)の検査を経て二〇〇五年四月に設置された。シンドラー社が年一回の定期点検を実施しており、市は保護板の設置状況と事故との関連を調べるため、同社に図面など関係資料を提出するよう指示した。
イーホームズ、お前もか……。やまざきさん情報ありがとうございます。
ネタもと: 【圧力?】「初音ミク」でイメージ検索かけてもヒットせず。さらにwikipediaからも削除【TBS?】 (⊂⌒⊃。Д。)⊃カジ速≡≡≡⊂⌒つ゜Д゜)つFull Auto, 2007.10.18)。 Google や Yahoo! Japan の画像検索で「初音ミク」をぐぐってみると……。 いやはや、これはひどい。
18 :以下、名無しにかわりましてVIPがお送りします。 :2007/10/18(木) 01:30:15.72 ID:fJNe75DB0
釣りかと思ったらマジだwww
ちょっとこええ
各自、実際に試してみよう。こういうときに (だけ) Microsoft Live Search の存在感が高まるのだよな……。関連:
・マイクロソフト株式会社 オンラインサービス事業部PR担当(Live Search)からの回答
顔画像検索は8月から追加し、10月に入ってからテキスト検索については強化しているが、画像は強化しているわけではない。従来と同じように運用している。今までは一般のユーザーがYahoo!さんやGoogleさんの画像検索結果とLive Searchの検索結果を比較することはなかったので違いがわからなかったかもしれないが、今回のようなケースであればわかってくれると思う。他社さんと比較してどうこうというわけではないが、画像検索の精度には自信を持っている。
ウィキペディアについてはこちらを。
Google の事例は、遅くとも 9/25 にはこの状況になっていた模様。
その4:初音ミクをぐぐってみた。 検索トップはクリプトンなのは至極当然で良いのですが画像を見ると (画像) が出てくるのは何故だ!!ちなみに多分デモンベインさんです。一文字もあってねぇじゃねぇか。
また、JAN コード (4511820072413) で画像検索してもやっぱりひっかからない模様。
あと、後発製品の VOCALOID2 SWEET ANN (クリプトン・フューチャー・メディア) はちゃんと Google 画像検索に出てくるという話があるそうで: #1236190 (slashdot.jp)。 やはり意図的に落としているとしか考えられない模様。
関連:
現在の状況
関連:
現在の状況
関連:
ヤフー「画像の収集が遅れた」 初音ミク問題でコメント (ITmedia, 2007.10.26)
Opera 9.24 登場。2 種類の欠陥が修正されている。
Advisory: External news readers and e-mail clients can be used to execute arbitrary code (Opera.com)。Opera をネットニュースリーダや電子メールリーダとして利用する場合に、任意のコードを実行される。マイクロソフト セキュリティ アドバイザリ (943521) Windows Internet Explorer 7 がインストールされた Windows XP および Windows Server 2003 の URL の処理の脆弱性により、リモートでコードが実行される 関連と思われ。 CVE-2007-5541
Advisory: Scripts can overwrite functions on pages from other domains (Opera.com)。 他のドメインから表示されたページに存在する関数を、スクリプトを使って上書きできてしまう。 CVE-2007-5540
AIM の件、修正された模様: AIM新版、深刻な脆弱性に対処 危険性は残る (ITmedia, 2007.10.16)
》 When you use Internet Explorer 7 to visit a Web site that includes certain VBScript functions, Internet Explorer 7 may crash (Microsoft KB940284)。Vista には有償 patch あり。 Windows 2000 / XP / Server 2003 は Windows Script 5.7 をインストールする。
》 MIAU、誕生 (真紀奈のメモ帳, 10/17)。オカエリナサイ。 本家のリンクをつつくとはてなに飛ぶので、はてなの方をリンクした。
》 保護板、長さ不足 建築基準法違反 エスカレーター事故 (asahi.com, 10/17) より:
固定式保護板は2000年施行の建設省(当時)告示で設置が義務づけられたもので、エスカレーターの手すり上部から垂直に20センチ以上垂れ下がるよう、垂直方向の長さが決められている。
しかし、平塚市などによると、事故現場の保護板は進行方向の先端にある円筒部分だけは約21センチ下に伸びていたものの、続く板部分は垂れ下がり部分が5センチ前後しかなかったという。
エスカレーター6万基点検 保護板、建築基準法に違反 (東京新聞, 10/17) より:
国交省によると、事故現場の保護板は、手すりから下に約2センチしか出ておらず、建築基準法に違反していた。今年4月の定期検査の際は、保護版は「問題ない」とされていた。
2cm! 「アクリル板と手すりとの間に頭が挟まれた」というよりは、「アクリル板と手すりとの間に首が挟まれた」(ので容易には抜けない) 状況だったのか?
あと、平成12年建設省告示第1417号 には「交差部のエスカレーターに面した側と段差が生じないこと」ともあるのだが、エスカレーターから身乗り出し、首挟まれた小3男児が重体 (読売, 10/16) の写真を見る限りでは、おもいっきり段差があるような。
関連:
製造者 : シンドラーエレベータ株式会社またシンドラーか!!!
保守業者 : シンドラーエレベータ株式会社
慣例となっているエスカレーターの片側あけですが、危険や不便をともなう行為だということが、少しずつ浸透をしてきました。JR川崎駅前の地下街「アゼリア」や、名古屋市営地下鉄などでは、エスカレーターの歩行禁止の呼びかけを始めています。
森ビル回転ドアもシュレッダー指つめも今回の事故も、「こどものサイズ」に対する考慮が足りないですね……
》 日本:援助削減でも揺るがない軍事政権 (JANJAN, 10/17)。ビルマ (ミャンマー) ねた。
高村正彦外相が発表した5億5,000万円(470万ドル)のラングーン大学訓練センター建設プロジェクト中止案は、アメリカを始めとする西側諸国の厳しいビルマ制裁に及ぶべくもない。
関連: ミャンマー:デモの拘束者は2927人 軍事政権が発表 (毎日, 10/17)
》 『iPhone』の有害物質:米国立環境衛生センターが法的手続きを開始 (WIRED NEWS, 10/17)
》 千葉県職員15,000人の個人情報が「Share」で流出、業務委託先から (Internet Watch, 10/17)。富士通エフサス。
》 事前承認なしの広告メール送信禁止など、迷惑メール対策研究会が中間報告 (Internet Watch, 10/17)
》 ウイルスパターンファイル 4.777.00における誤警告情報 (トレンドマイクロ, 10/17)。アンラッキー 7 でしたか。4.779.00 で直っているそうです。
》 サンプロ・コメント訴訟第三回口頭弁論、終了 (SLAPP WATCH, 10/17)
上杉氏は、司法を使って自己の主張を認めさせようとする安倍氏は、「政治家あるいは内閣総理大臣としての矜持をお持ちでないのではないか」「三権分立をわかっていなのではないか」、事務所もHPのトップにメディアとの訴訟の情報が出てくる姿勢にみられるように「非常に近視眼的なところで政治を行っている」と、印象を語りました。
》 「第3回 情報セキュリティ標語ポスター」の入選作品決定 (IPA, 10/17)
》 「運動会の旅費返せ」無理難題252件公表 大阪市教委 (asahicom, 10/17)。下には下がいる。
》 リタリン:適応症からうつ病削除申請 製造・販売元 (毎日, 10/17)
》 ウイルスバスター ビジネスセキュリティ 3.5用 Critical Patch(クリティカルパッチ) ビルド1158公開のお知らせ (トレンドマイクロ, 10/17)
》 タービンを使わない風力発電『Windbelt』 (WIRED NEWS, 10/17)
》 NY原油、一時88ドル台…サブプライム問題が影響 (読売, 10/16)。60 ドルでおおさわぎしていた時代がなつかしい。
》 危機管理産業展2007。 2007.10.17〜19、東京ビッグサイト。 10/17 には海保の大型巡視船や空自のパトリオットも置いてあるそうです。
危機管理産業展:パトリオット展示 市民団体の反発も (毎日, 10/17)
主催者側は「パトリオットは攻撃するものではなく、防御のためにあり、広い意味で国の危機管理の範囲に入っているので、問題ない」と説明している。
その論理なら、自衛隊の装備はなんでもありですな。よし! 次回はイージスミサイル護衛艦と 90 式戦車を展示しようぜ!! (危機管理産業展に兵器を出してはあかんやろ……警察用の装備がせいぜいであるべきだと思うぞ)
》 無線LANただ乗り男 岡山東署逮捕 アクセス「たまたまできた」 (山陽新聞, 5/17)
》 経産省、J-SOX向けIT統制ガイダンスの「付録」を公表 (日経 IT Pro, 10/16)
》 「Winnyの流出ファイルは“消える”場合あり」、ネットエージェント (日経 IT Pro, 10/16)
締切: 11/15。関連: 「ダウンロード違法化」「iPod課金」──録音録画補償金問題、意見募集始まる (ITmedia, 10/16)
》 【NGOが問う】アフガンでの対テロ戦争を見直せ〜谷山博史JVC代表 (JANJAN, 10/17)
実をいうと日本の政府の支援は現地でとても評価されている。どこの国の支援が一番信頼できるかというと日本だ。それはアフガニスタンに軍隊を派遣していないからだ。どこの村に行っても長老は言う。日本の支援は軍事的な目的のためや自分たちの利益のためではなくてアフガニスタンのための支援だと思っていると。軍隊を派遣するところの国の支援はどうしても疑われる。結局自分たちのために占領するのでないかという。それはいままでの長い歴史のなかで培ってきた彼らの感覚だ。日本だからこそ、受け入れてくれる支援の余地がたくさんあると思う。
民主党の人はわかりましたか。(かと言って、私はガソリンスタンドは支持しないけどね)。ガソリンスタンド関連:
福田内閣による「低姿勢」答弁が続く衆参の予算委員会が続いている。しかし、よく考えてみれば、この6月まで憲政史上初の型破りな「強行採決」ラッシュが続いていて、神妙な顔をして答弁席に並んでいる閣僚もまた「少数意見封殺」をよしとして平然としていた人たちである。(中略) この臨時国会で、福田内閣が執心しているのは「洋上給油行動」の再開の道を開くことだけである。「年金」「医療」「雇用」と小泉時代にメチャクチャに壊した日本社会の基盤再建に取り組もうという気概など感じられない。
》 Windows Updateで発生している“自動再起動問題” (日経 IT Pro, 10/16)
》 レスキューナウ、“最初の1日を生きる”ためのA4ファイルサイズ防災キット (日経 BP, 10/16)、 レスキューナウ、A4オフィスシリーズ 防災緊急キット 1Dayレスキュー を販売開始 (レスキューナウ, 10/15)。書類棚にそのまま置ける、というのがミソですね。これはいいかも。
既存の 1dayレスキューと比べると、 「長期保存用クッキー(2本入り)×1袋・コインティッシュ×4個・発熱剤(35g)×2袋・発熱専用袋×1枚・ペーパー歯磨き×2包・笛×1個・ポケットティッシュ(水溶性素材100%)×1」が増えているのかな。
調理が不要な携行食(長期保存用クッキー:2本入り)やアルファ化米を温めて食べられる発熱剤などもご用意しており、災害時でも必要な食事をより美味しく食べやすくするための工夫に加え、お手拭やペーパー歯磨きなど、エチケット面を考慮したこだわりの商品も同梱されております。
既存の 1dayレスキュー、マジックライス (アルファ化米) は「お湯を注いで15分!」と書かれているので「そのお湯はどうやって調達するの?」と思ったのだが、今回のものには発熱剤がついているのですね。
》 [AML 16321] 自衛隊が給油している燃料はどこからいくらで買っているのか?。「油問屋とアフガン情勢と民主党」—朝日ニュースター「パックイン・ジャーナル」より (★阿修羅♪ブログ, 10/1)
山口氏: 平野さんの話を聞いて構造がすごく解かったっていうかですね、つまりアメリカから原油を買って、それからそれを只でアメリカの艦船に配ってるわけだから、当然アメリカとしては、これを続けて下さいと言うのは、当たり前ですよねぇ。
つまり、国益とか対テロの戦いと言いながら、これは要するにお金儲けのためにやってたっていうことじゃないですか。
関連:
追加: Sun Java VM: CVE-2007-5375
Norton 360 をお持ちの方、ぜひ追試を。
ZDI-07-056: IBM DB2 DB2JDS Multiple Vulnerabilities 。 CVE-2007-5324
[Full-disclosure] AST-2007-023: SQL Injection vulnerability in cdr_addon_mysql。 Asterisk 1.2.x / 1.4.x の欠陥。1.2.8 / 1.4.4 で修正されている。 CVE-2007-5488、PoC
[Full-disclosure] AST-2002-022: Buffer overflows in voicemail when using IMAP storage。 Asterisk 1.4.x の欠陥。1.4.13 で修正されている。 1.2.x 以前にはこの欠陥はない。 CVE-2007-5358
Secunia Research: IrfanView Palette File Importing Buffer Overflow Vulnerability。 IrfanView 3.99 / 4.00 に欠陥。パレットファイル (.pal) の扱いにおいて buffer overflow する欠陥があり、攻略 .pal ファイルによって任意のコードを実行できる。 IrfanView 4.10 で修正されている。 CVE-2007-4343
phpMyAdmin security announcement PMASA-2007-5。 XSS 話。IE で「UTF-8 の URL を送信する」をチェックしていない場合に発生。 phpMyAdmin 2.11.1.1 で修正されている。
BrightStor ARCserve Backup Security Notice (CA)。 CA BrightStor ARCServe BackUp に複数の欠陥。 CVE-2007-5325 CVE-2007-5326 CVE-2007-5327 CVE-2007-5328 CVE-2007-5329 CVE-2007-5330 CVE-2007-5332 CVE-2007-5332
CVE-2007-5438。VMWare Player に含まれる Reconfig.DLL の ActiveX コントロールに欠陥がある話。
CVE-2007-5450。iPod touch / iPhone 上の Safari ねた。
playing for fun with <= IE7 。 ファイルのケツに ?1.txt とつけたり ?1.cda とつけたりすると挙動がずいぶん違うね、という話。 。CVE-2007-5456
CVE-2007-5461。 [Full-disclosure] Apache Tomcat Rem0Te FiLe DiscloSure ZeroDay (W3bd4v) の話。
[Full-disclosure] CallManager and OpeSer toll fraud and authentication forward attack。SIP ねた。 CVE-2007-5468
CVE-2007-5471。libgssapi < 0.6-13.7 話 (SUSE ねた)。
CVE-2007-5429。Nucleus 3.01 に XSS 穴話。
A password is stored in plain text when you add the password to a catalog in Expression Media (Microsoft KB942109)。 Microsoft Expression Media のカタログにパスワードを設定し、 CatalogName.ivc として保存すると、パスワードは平文で保存されてしまい、テキストエディタを使って誰でも読める。 CVE-2007-5470
tramp 2.1.10 以前における一時ファイルの作成において競合状態が発生する欠陥があり、symlink attack が可能。 CVE-2007-5377
tramp 2.1.11 で修正されている。
Tk 8.4.12 以前 / 8.3.5 以前の FileReadGIF() に buffer overflow する欠陥があり、DoS 攻撃が可能。CVE-2007-5378
Cisco Security Response: Cisco IOS Line Printer Daemon (LPD) Protocol Stack Overflow (Cisco)。 CVE-2007-5381
Free Lossless Audio Codec (FLAC) ライブラリ libFLAC < 1.2.1 に integer overflow する欠陥があり、任意のコードを実行できる。 Winamp < 5.5 も該当。 CVE-2007-4619、 Multiple Vendor FLAC Library Multiple Integer Overflow Vulnerabilities (iDefense)
libFLAC 1.2.1, Winamp 5.5 で修正されている。
CVE-2007-5415。Firefox 2, UTF-7 and XSS。 Firefox < 2 については CVE-2007-5414 を。
BrightStor ARCserve Backup Security Notice (CA) だが、 少なくとも CVE-2007-5327 が実は直っていなかった模様で、新しい patch が公開されている。 関連: [UPDATE] CA BrightStor ARCServe BackUp Message Engine Remote Stack Overflow Vulnerability (cocoruder)
》 コジマ:不用家電不正処理で全国立ち入り調査 環境省など (毎日, 10/16)
》 グーグル、YouTube不法コピー防止ツールを発表 (CNET, 10/16)
》 米食品医薬品局、メルク社のインテグラーゼ阻害剤(抗HIV薬)を承認 (technobahn, 10/15)
Isentressの価格は1日分で27ドル(約3100円)、1年分で9855ドル(113万円)となる見通
すごい値段。
》 大容量データ時代のバックアップ新標準「データ・デデュープ」 (computerworld, 10/16)。De-duplication だそうです。
》 日経新聞が内部告発者・大塚将司氏を提訴 (SLAPP WATCH, 10/14)
》 「掲示板やニュース報道がWinnyで漏洩したファイルの流通を広げる」---ネットエージェント (日経 IT Pro, 10/16)
》 『いじめの光景』12年ぶりの増刷に思う (保坂展人のどこどこ日記, 10/16)
たった今、法務委員会の理事懇談会から帰ってきたところだが、法務省官房長は「継続法案」として共謀罪制定を34時間以上審議したとアピール、自民・公明ともに審議入りを求めた。
政府・与党はぜんぜんあきらめてません。
》 世界中の通信トラフィックが米国経由:盗聴も自由に (WIRED NEWS, 10/15)
》 ロシアの「世界最強の真空爆弾」はハッタリか (WIRED NEWS, 10/15)。うそつき! (声: 緒川たまき)
》 【自動改札障害】事故原因が判明,「データ分割時の特定量」で読み込めず (日経 IT Pro, 10/15)
》 ゆうちょ銀の年金振り込み障害,原因は合計金額の上限オーバー (日経 IT Pro, 10/16)
》 国の借金は「実額」で減っている!? (日経 BP, 10/15)
財務省は振り替えによって政府短期証券が増えたと言っているが、それは本当かどうか疑わしいとわたしは思う。なにしろ、日本がどれだけ米国債を持っているのか、公表されていないからだ。(中略)
つまり、財務省が意図的に「借金が増えている」というアピールをしたがっているというわけだ。政府短期証券という都合のいい数字を使って、表に出る数字を調整しているのではないか。そして、借金が史上最大を更新したといって、財政の引き締め、そして消費税の導入の理由つけをしているとしか考えられない。
》 iPhoneには有害化学物質が含まれている——Greenpeaceが警告 (ITmedia, 10/16)
》 橋下弁護士、2chの殺害予告で刑事告訴 (ITmedia, 10/16)
》 教育だけではセキュリティは保てない--セキュリティ専門家が発言 (日経 IT Pro, 10/15)
》 私はなぜ共謀罪に反対したか (伊藤塾講演から) (保坂展人のどこどこ日記, 10/15)
》 NEC、手のひらサイズのデスクトップシンクライアント (PC Watch, 10/15)。ノート PC 型もあります。
》 情報セキュリティ人材育成プログラム 上級コースのご案内 (カーネギーメロン大学日本校)。なかなかいいお値段ですが。 10/17 締切。福岡さん情報ありがとうございます。
》 【続報】ゆうちょ銀障害は性能設計の甘さが原因,開発ベンダーはNTTデータ (日経 IT Pro, 10/9)
》 「傭兵会社」ブラックウォーター:日本でも警備業務 (WIRED NEWS, 10/9)
3rd party patch だそうです: Third-party patch for CVE-2007-3896 (Internet Explorer 7 invalid URI handling) available
The patch consists of a ShellExecuteEx hook [2] that prevents the execution of malformed URLs and enforces normalization of valid URLs.
あと、ISS の情報: 複数のベンダー製品での URI 処理によるコマンドの実行 (ISSKK, 2007.10.15)
SYMSA-2007-010: Microsoft ActiveSync 4.x Weak Password Obfuscation (Symantec)。Windows Mobile 6 ではこの欠陥は修正されているそうだ。 Windows Mobile 5.0 の場合は、製品ベンダーに要確認。 CVE-2007-5460
[SA27124] Nagios Plugins Long Location Header Buffer Overflow Vulnerability。 長大な Location: ヘッダによって check_http.c の redir() 関数が buffer overflow だそうで。nagios-plugin 1.4.10 で修正されているそうです。 CVE-2007-5623
[DeleGate] DeleGate/9.7.4-pre1 -- fix for buffer overflow and support for chained certificate。特定の条件によって発生する「文字列終端'\0'のバッファオーバフローを修正」だそうです。 DeleGate 8.10.3 からずっと存在していたようです。patch も添付されています。
なお、DeleGate 9.7.4 は正式版がリリースされています: [DeleGate] DeleGate/9.7.4 (STABLE) -- fix for buffer overflow and support for chained SSL certificate
[SA27129] OpenH323 opal Session Initiation Protocol Vulnerability。CVS 版では直っているようです。
Security fix for dhcpd (OpenBSD-security-announce ML)。dhcpd に欠陥があるそうで。
[SA27145] util-linux Privilege Escalation Vulnerability。 util-linux-ng では直っているそうで。
》 【動画】間仕切り目地材からの煙漏れを実験で確認、 六本木ヒルズ・エレベーターのぼや (日経 KEN-Plats, 10/4)
》 年収100万円台の非正社員」を放置していいのか (日経 BP, 10/5)
同一労働同一賃金というのは労働者保護の根幹である。それが守られていない状態を政府はなぜ正そうとしないのか。そして、年金制度を守ろうというのなら、年収100万円台層をどうするかなぜ考えないのか。早く手を打たないと、彼らの年金加入期間は短くなる一方となり、生活保護に陥る可能性は増すばかりだ。
》 構造計算:1級建築士が偽装…10都県46物件、調査へ (毎日, 10/15)。遠藤孝・1級建築士 (60) だそうで。
》 Shareでファイルを発信したユーザーのIPアドレスを特定するツールが発売へ (日経 IT Pro, 10/15)
》 著作権保護期間の延長、経済学的には「損」 「毒入りのケーキ」が再創造を阻む (ITmedia, 10/15)
》 自動改札機問題、「16日中には改修」 JRなど (asahi.com, 10/15)
》 長野の宗教法人、女性リンチ死容疑で捜索…21人に逮捕状 (読売, 10/15)。「紀元会」だそうです。
》 シリア空爆標的は北朝鮮型の原子炉 米紙報道 (中日, 10/15)
》 「お兄ちゃんは悪くない」女児が男をかばう 小6誘拐事件 (asahi.com, 10/15)
》 ProtectionPilot 1.5.0 Patch 1の修正項目一覧 (マカフィー, 10/12)
》 VirusScan Enterprise 8.5i Patch 3の修正項目一覧 (マカフィー, 10/12)
》 「アッコにおまかせ」の初音ミク特集があまりにもひどくて大騒ぎに (gigazine, 10/15)、TBS「アッコにおまかせ」の初音ミク特集に対して開発元が公式にコメント (gigazine, 10/15)。また TBS か。あまりの怒りに、メタルダーに瞬転してしまいそうな人多数のようだ。
》 AV2007開催のお知らせ (チームチドリ)
》 八丁味噌、17年ぶり値上げ 愛知の老舗2社、大豆高騰で (中日, 10/14)
》 「給油反対はテロリスト」 自民・中谷氏、民主は反発 (中日, 10/14)。こんな人でもできるほど、防衛庁長官というのは簡単な仕事なのだろう。
》 個人情報を盗み続けるマルウエア (日経 IT Pro, 10/15)
》 “難読化”されたJavaScriptをIE7で解読する (日経 IT Pro, 10/15)
》 キャノン・御手洗会長が講談社・斎藤貴男氏を提訴 (SLAPP WATCH, 10/11)
この裁判の損害賠償請求額は2億円です。請求の積算根拠がひじょうに気になるところです。印紙代だけ考えても“弱者”が起こせる裁判ではありません。さらに斎藤氏の記事によると、御手洗氏には何度もインタビューを申し込んだものの応じてもらえなかったと書かれています。御手洗氏は説明責任を果たす自覚をもつべき公人であるのは議論の余地ないところです。
》 イラン:横国大生誘拐 危険性どう伝える? バム、観光地の魅力満載 ガイド本に課題 (毎日, 10/14)
》 ダウンロード違法化など話。いよいよパブコメですよ。
フェアユース! フェアユース! フェアユース!
》 貿易/ILO:グローバル・フードチェーンの光と闇(全訳記事) (JANJAN, 10/12)
》 中国政府、数万人のサイバー警察官を使ってネット・ユーザーを監視? 「国境なき記者団」が中国のインターネット検閲の実態を明らかに (computerworld.jp, 10/12)、中国ネット検閲の実態,数十万人のサイバー・ポリスがネット・ユーザーを監視 (日経 IT Pro, 10/12)
》 丸紅インフォテックのネットショップに不正アクセス、顧客情報漏洩の痕跡 (Internet Watch, 10/12)
》 iPhoneの「ロック解除対抗」アップデートに、ハッカーが反撃 (CNET, 10/12)。そこに山がある限り。
》 舛添厚労相:新薬承認早め1年半に短縮する方針 (毎日, 10/14)。
新薬の承認までにかかる期間を、2011年度までに現在の4年から1年半に大幅に短縮する方針を明らかにした。このため、審査官を3年以内に400人に倍増する。
》 全日空の発券システム故障、メーカーに補償請求を検討 (読売, 10/14)。 【続々報】全日空システムの障害原因は、事前のシステム入れ替え (日経 IT Pro, 5/27) の件だろう。
全日空では来年1月にまとめる中期経営計画で情報技術(IT)関連支出を見直し、IT体制強化を計画の柱の一つに据える。トラブルの損害額は計約4億5000万円に上り、原因となった接続機器を納入、設定したメーカーに対し、損害補償を求める検討も始めた。
》 赤福に苦情殺到 「このまま食べて大丈夫か」 (asahi.com, 10/14)。従業員ら 360 人が自宅待機だそうで。
JR伊勢市駅近くでは13日、100年以上続く伝統の祭り「伊勢おおまつり」が始まった。
互換製品が売れたりしているのだろうか。
ソースから実行コードをビルドする時に外部から悪意のあるコードを挿入する、という攻撃手法が存在し、Fortify ではそれを検出・防護できるようになった、という話。 それと、Java Open Review Project (fortifysoftware.com) というものがあるそうで。
Common Weakness Enumeration (CWE) (mitre.org) というものがあるのですね。知らなかった……
》 小6女児を8日間自宅に、20歳男逮捕…ネットで知り合う (読売, 10/13)
》 NY原油、終値の史上最高値更新 一時84ドル台に (asahi.com, 10/13)。めちゃくちゃ。
》 NEC、布製アンテナ開発 地デジを高感度受信 (asahi.com, 10/12)。へぇ〜。
》 二段階熱核実験、コード名「カノープス Canopus」 (gigazine, 10/13)。 1968.08.24 に行われた、フランスによる熱核爆弾実験 Canopus において撮影された写真だそうです。
》 いろいろ変わったXSSがありますが... (yohgaki's blog, 10/13)。 ECMAScript for XML (E4X) というものがあり、Firefox 1.5 以降でサポートされているのだそうです。
》 イスラエルによるシリア空爆:防空システムをハッキングか (WIRED NEWS, 10/10)。紹介するなら、blog ではなくてふつうの記事、 Israel used electronic attack in air strike against Syrian mystery target (Aviation Week and Space Technology, 10/8) にすればいいのに。 敵防空システムを軍事的にハッキングし標的に接近—イスラエル、米最新技術使ってシリア領空爆 (国際ニュース::Ishikawa-News.com, 10/9) に部分訳があります。
対空ミサイルシステムは、レーダー、発射装置、射撃管制装置などを有線 / 無線のデータリンクで結んで機能するわけですが、データリンクに何らかの脆弱性があれば、そこを攻略して、本来表示されるはずの飛行機を表示させなかったり、別の場所に偽の飛行機を表示されたりできるということなのかなあ。 そうだとしたら、単なる DoS 攻撃 (ジャミングとか) とは違って、一見正常に機能しているように見えるのでしょうから、うまくいけば効果的なのでしょうね。
関連:
あと、パトリオットをぐぐっていてみつけた、 入間基地ホームページの Special Feature は、基地の裏方を、人を中心に紹介していて興味深い。 いやあ、こんな良質なコンテンツがあるとは。
》 窮地の国土交通省(1)ついに、他省庁に助けを求めた (JANJAN, 10/13)
※ この言い訳の、「設計者、建築確認審査担当者等の関係者が熟知していないこと」とは、責任転嫁の極みだ。熟知したくても、必要な情報や資料を国交省が出し始めたのは、改正法施行日の前日からだ。申請書の様式を定めた「施行規則」が前日、「審査に関する指針」は当日で、8月10日になってようやく「建築物の構造関係技術基準解説書」を発行。しかもこれらは不十分なものだったのではないか。
いまだに出ていない「認定構造計算プログラム」は、いったいいつになったら認定されるのか!
国民を舐めているとしか言いようがない。
》 260万人の朝の足を直撃 プログラムに潜んだ“魔物” (ITmedia, 10/12)。直接的な原因:
原因は自動改札機のICカード判定部の不具合。判定部には毎朝、サーバから起動用データの1つとして、「ネガデータ」(ネガティブデータ)と呼ぶ、旧式カードや不正カードなど、改札を通過できないカードを認識するためのデータを送信している。この朝もネガデータを送信したところ、判定部がネガデータをメモリに読み込む際に不具合が発生。処理がそこでストップし、起動しなかったという。
調べたところ、ネガデータに「ある長さ、ある件数」といった条件が重なった時、データが読み込めなくなるプログラム不具合が判定部側にあることが判明。このため、判定部はエラーを返しながらネガデータ読み込みのリトライをひたすら繰り返す状態に陥り、起動処理が止まった。
しかし、真の原因はここだろう:
ネガデータにダミーを挟むなどして条件を変えれば問題なく読み込めることは分かっているため、当面、始発前にネガデータをシミュレーション環境でテストした上で各改札機に流すようにする。このため、13日から通常通りの起動が可能になるとしている。プログラム改修は13日中にも行う。
これまでは、正常に起動するか否かをテストしないまま流していたということなのだろう。 トレンドマイクロの 594 バグと同じってことか……。 さらに、「Suica」「PASMO」の改札機が使用不能になるトラブル,なぜ首都圏全域でサービスが止まったのか (日経 Tech On, 10/12) によると、
今回,一部の駅で発生した不具合が首都圏全域のSuica,PASMOサービスの停止に発展した理由は,乗降記録の管理方法にある。非接触ICカード技術「FeliCa」を利用したSuicaやPASMOのシステムでは,乗降記録をFeliCaカード側と自動改札機の双方が記録する。その後,自動改札機が各駅のサーバに乗降記録を転送,さらに各駅のサーバが中央サーバに記録を転送して記録の整合性をチェックする仕組みだ。
このため,例え中央サーバに不具合が発生しても,数日は各駅のサーバが乗降記録を保管することで,サービスの運用を継続できる。これに対して自動改札機に不具合がある場合,例え一部の駅での不具合であっても,ICカードに書き込んだ乗降記録の整合性が取れなくなることから,混乱を避けるためサービスを大規模に停止せざるを得なくなる。
実は、自動改札機は腐ってはいけない (腐らないことが前提) というシステム設計になっている模様。にもかかわらず、確認テストをしていないなんて。 まあ、確認テストをすべきなのは誰か、という話は別途あるわけだが。
》 ポスコの核心技術、前幹部らにより中国へ流出、 ポスコ、被害額よりノウハウ流出に衝撃 中国との技術格差縮小に懸念 (朝鮮日報, 10/13)。 ポスコは韓国最大手の鉄鋼メーカーで、新日鉄とも提携している。
検察によると、約20年間にわたりポスコの技術開発室部長や技術研究所の研究員などとして研究開発(R&D)業務に携わってきた両容疑者は、昨年8月の退職前、鉄鋼材製造の核心技術が記録されたファイル1048個や操業ノウハウなどが書かれた冊子を持ち出し、今年5月にポスコのライバル企業である中国のB社に対し、50億ウォン(約6億4000万円)と引き換えにこれらを渡した疑いが持たれている。
「ポスコのライバル企業である中国のB社」……中国最大手の上海宝鋼集団公司 (Shanghai Baosteel Group Corporation) か?! 関連: 中国主要鉄鋼メーカーの技術導入状況 (2002年以降) (International Highway Construction Corp.)
》 記者室閉鎖:韓国記者団反発 ロビーを「臨時記者室」に (毎日, 10/13)
》 12月にハワイ沖で迎撃実験 ミサイル防衛体制が前進 (中日, 10/12)。護衛艦こんごうから SM3 を実射して迎撃実験をするそうです。
》 「偽ヤフー」でID不正取得4千件 容疑の元組員逮捕 (asahi.com, 10/12)。釣れるものなんですね。
》 民主:3年以内に独立・特殊法人を廃止 法案提出へ (毎日, 10/12)
》 津田大介さんに聞く(後編): 「ダウンロード違法」の動き、反対の声を届けるには (ITmedia, 10/12)。みんなでパブコメ出しましょう。
》 USBドライブの危険性 (トレンドマイクロ セキュリティ blog, 10/12)。その設定、今回話題になっている USB メモリにも効くのですか?
》 Linux Security 7.00 Technology Preview 3 (F-Secure linux blog, 10/10)
》 かわいい子猫にご用心 -- “いやし系”サイトにもウイルス (日経 IT Pro, 10/12)
OpenSSL に 2 つの欠陥。
OpenSSL 0.9.8 における DTLS 実装に欠陥があり、remote から任意のコードを実行できる模様。 対象: OpenSSL 0.9.8 〜 0.9.8e。 CVE-2007-4995
SSL_get_shared_ciphers() の off-by-one エラーの件。 対象: OpenSSL 0.9.8 〜 0.9.8e / 0.9.7 〜 0.9.7l。 CVE-2007-5135
OpenSSL 0.9.8f / 0.9.7m で修正されている。また、OpenSSL 0.9.8f を使った DTLS クライアントは OpenSSL 0.9.8e 以前を使った DTLS サーバとは通信できない。 Changes between 0.9.8e and 0.9.8f [11 Oct 2007] を参照。
戸井さん情報ありがとうございます。
Nod to more ARP mayhem ? (McAfee blog, 2007.10.11)。NOD32 でおなじみ ESET の中国サイトもこれでヤラレたようで。
》 【速報】JR東など首都圏の自動改札でシステム障害、特定機種のソフト問題か (日経 IT Pro, 10/12)
JR東日本の調べでは、複数の自動改札機メーカーのうち日本信号製の機種に問題が集中している。
また日本信号か……。関連:
》 駅エスカレーター事故:構造上の欠陥か整備不良の可能性 (毎日, 10/12)。誰かが壊したわけではなかったらしい。
》 赤福:日常的に消費期限再設定 農水省が改善指示 (毎日, 10/12)。赤福、お前もか。
同省によると、こうした行為は1973年から34年間にわたって続けられていた。最近3年間では、製造された製品の18%にあたる約600万箱で虚偽表示が行われていたという。
関連:
株式会社赤福が販売した商品(商品名「赤福餅」)における不適正表示に対する措置について (農林水産省, 10/12)
株式会社赤福(参考参照)(本社:三重県伊勢市宇治中之切町26番地。以下「赤福」という。)は、(ア)自社工場が製造し製造年月日及び消費期限を表示した商品(商品名「赤福餅」。以下「赤福餅」という。)のうち、販売店に出荷しなかった商品(以下「出荷残」という。)を冷凍した上で、注文に応じて解凍、再包装し、この再包装した日を新たな製造年月日として、製造年月日と消費期限を表示するという不適正な表示を長期間日常的に行っていたこと (イ)原材料表示について、使用した原材料の重量順に「砂糖、小豆、もち米」と表示すべきところ、長期間にわたって「小豆、もち米、砂糖」と表示していたことを確認しました。
「砂糖、小豆、もち米」ですか……。そういうものをぺろっと 1 箱食べてしまう人っていったい……。
「赤福」が製造日を偽装 30年以上続ける (中日, 10/12)。のれん下ろされる。
「赤福」と警察官僚 (ESPIO, 10/12)
弊社といたしましては、事業所内の衛生区域及び準衛生区域において厳重に温度管理を行っている製品のみを即日冷凍し、冷凍及び解凍工程を経た時点をもって製造が完了するものと捉え、解凍工程及び包装の完了した日を製造日としておりましたので、特段、加工食品品質表示基準上の問題はないものと認識しておりました。また、食品衛生法上の問題が全くないことについては別途伊勢保健所より確認を受けておりました。出荷される全ての赤福が冷凍及び解凍工程を経るのであれば、何の問題もなかったのかなあ。……いや、やっぱり変だよね。
しかしながら、加工食品品質表示基準第6条3号により禁止されている「誤認させるような表示」に該当しているとのご指摘を受け、弊社は直ちに、冷解凍工程を経る商品の製造は今後一切行わないことを決定いたしました。
》 ノーベル平和賞にゴア氏ら 環境問題への取り組み評価 (asahi.com, 10/12)。大統領になれなくてもノーベル平和賞はもらえます。 関連: 不都合な真実:ゴア氏映画に科学的間違い…英高等法院 (毎日, 10/12)
》 管理GUIクライアントで利用するJavaバージョンについて (マカフィー, 10/5)。Sun JRE 1.4.2_10 ってあなた、穴だらけじゃないですか……。
》 ProtectionPilot 1.5.0 Patch 1の修正項目一覧 (マカフィー, 10/12)
》 待望の著作権関連書籍発刊 (栗原潔のテクノロジー時評Ver2, 10/11)。 中山信弘先生の「著作権法」。有斐閣のページでは 10/15 発売になっている。 さっそく発注。
》 柏崎刈羽原発を襲ったのは「震度7」の地震?!中越沖地震 (JANJAN, 10/12)
ところで、この地震で派手に被災した東京電力柏崎刈羽原子力発電所のサイト内にも、計測震度計が3台設置されていました。東電本社から得た回答によれば、本震においてそれぞれ6.5、6.3、6.1を計測したとのことです。東京電力がこれらの数値を公表したという話を私はまだ聞いたことがないのですが、計測震度6.5といえば柏崎市中央町を越えるばかりではなく「震度7」に相当します(計測震度と震度階級「震度の算出方法」(気象庁)表参照)。東電の計測震度計記録が気象庁に認定されれば、中越沖地震は「震度7の地震」ということになるはずです。
》 新聞各紙の社説を比較 集団自決、教科書検定問題 (JANJAN, 10/12)
内容は、集団自決に軍の強制があったか否かについて、はっきりと分かれる。「朝日」「毎日」「東京」「沖縄タイムス」「琉球新報」は、軍の強制を「沖縄の常識」とし、文部科学省の検定意見に反対している。
軍命令説は誤りで、記述変更は正しいとしているのは「産経」。「読売」は強制についてあったか否かは必ずしも明らかでないとする。2紙とも、「政治状況に教科書の記述が左右されることはいけない」と書いた。
》 Tip of the day: File System Backups (SANS ISC, 10/11)
》 Getting into the Flow With Threat Modeling (The Security Development Lifecycle blog, 10/11)。 フローですか。
》 クローズアップ2007:冤罪生んだ取り調べ 可視化の機運高まる (毎日, 10/11)
》 SSHatter 0.6 だそうです。ダウンロード
Operaブラウザのバージョン番号が、9.1から9.3になりました。
(中略)
Flash PlayerとJavaScriptに関する脆弱性に対策を施しました。
Flash Player のバージョン番号はいくつになっているのだろう。
関連: Wiiインターネットチャンネル・アドレス偽装のセキュリティ修正? (水無月ばけらのえび日記, 2007.10.12)
Mouseover Dictionary に、任意のスクリプトが実行される欠陥があるという話。最新版 0.6.2 で対応されている。 CVE-2007-5459
バッファロー AirStation WZR-RS-G54 / WZR-RS-G54HP の管理 Web ページに CSRF 脆弱性があるという話。ファームウェア Ver.2.49 で対応されている。
WZR-RS-G54 / WZR-RS-G54HP に加え、WHR2-G54V と BHR-4RV にも CSRF 脆弱性があり、修正版ファームウェア Ver.2.49 が公開されている: WZR-RS-G54HP、WZR-RS-G54、WHR2-G54V、BHR-4RV製品における クロスサイトリクエストフォージェリの脆弱性についての、お知らせとお詫び (バッファロー, 2007.10.15)。 いずれも 2007.03.01 付で公開されていたのですね。
》 THC OrakelCrackert(THC) (てっしーの丸出し, 10/10)
》 廃材利用のバイオ燃料「E3」普及に立ちはだかる石油連盟 (JANJAN, 10/11)
石油連盟の言い分は、ガソリンとの混合の過程で、水などの不純物が混入したりして、エンジンそのものや、排ガスの環境への影響が懸念されるからだという。製造物責任が問われかねない、ともいう。
そうした表向きの反対理由とは裏腹に、別の理由がありそうだ。石油連盟としては、従来の農産物エタノールを利用した、ETBEという別方式のバイオ燃料の普及を促進しているからだ、という話がある。
このあたりかな:
どうやら、環境省は E3 で、経産省は ETBE のようですな。 どちらも「まず E3 ありき」「まず ETBE ありき」で走っているようだけど。
》 今なお毎年1000万人の妊産婦と乳幼児の命が失われている (JANJAN, 10/11)
》 スーダン:ダルフール紛争でAU基地襲撃に非難高まる (JANJAN, 10/11)
》 MS、Excelの計算バグのフィックスをリリース (ITmedia, 10/11)。 Excel 2007 Multiplication Bug (slashdot.org, 9/24) の話の修正。
位置付けも憲法解釈も真向対立しているわけですね。
》 自殺サイト開設した33歳男、報酬20万で依頼女性を殺害 (読売, 10/10)、サイトで薬購入、すでに数人が自殺 (読売, 10/11)。 Dr.キリコ事件とはずいぶん様相が違うようだなあ。
》 闇サイト仲間、人気携帯を中国人に転売 (読売, 10/11)。ソフトバンク携帯 + 闇の職業安定所ねた。
》 「こどものじかん」は放送されるのかどうかKBS京都に電話してみた (gigazine, 10/11)。これ、問題があるとすればエロい部分だけだと理解しているのだが、なぜ「ひぐらしのなく頃に解」と同列に扱われるのだろう。 TV 局が「エロいからダメ」と判断したのなら話はまだわかるのだが……。 なお、TV で見れない人はBIGLOBEストリームの無料配信をどうぞ、だそうで。 (誤解を与える記述を修正: Maeda さん感謝)
》 ピュアアルミニウムすのこタン プレゼント (有限会社マルダイ)。「試作品 大きなサイズのすのこ 317mm x 263mm 465g」を 10 名様にプレゼントだそうです。すのこタンに添付されている応募券が必要です。 締切は 10/15。
大きなすのこタン……。大きなフィーネたんみたいになるんだろうか。
》 辺野古周辺海域を海洋保護区に ——ドイツの環境アセスメント専門家が指摘 (グリーンピース, 10/4)
》 イランで邦人大学生誘拐か、外務省が情報収集急ぐ (読売, 10/10)、誘拐男性は横国大生 イラン当局、捜索開始 (asahi.com, 10/11)
》 「メール転送」設定を行っているお客様の一部において、 転送処理が行われない不具合およびメールの消失について (Yahoo!, 10/10)。これには消失数などは記載されていないのだが、Yahoo!メールで転送処理に不具合、16万ユーザー1,300万通のメール消失 (Internet Watch, 10/10) ですか……。
「gnucitizen の Petko Petkov 氏」の名前も挙がってるし、0day: PDF pwns Windows の話と関係あるのかなあ。CVE-2007-3896
何が原因で起こりますか?
この脅威は Windows が Windows に渡された特別な細工がされた URL または URI を正しく処理しない場合に発生します。Internet Explorer 7 は Windows のコンポーネントを更新します。これは URL および URI が処理される時、Internet Explorer と Windows シェル間の対話を変更します。有効でない URI または URL を Windows に渡すアプリケーションにより、この脆弱性が悪用される可能性があります。
意味がわからないので英文を読んでみる。
What causes this threat?
The threat presents itself when Windows does not correctly handle specially crafted URLs or URIs that are passed to it. Internet Explorer 7 updates a Windows component, which modifies the interaction between Internet Explorer and Windows Shell when handling URLs and URI's. Applications which pass un-validated URIs or URLs to Windows can be leveraged to exploit this vulnerability.
こんな感じかなあ。
この脅威の原因は?
この脅威は、特別に細工された URL や URI が Windows に渡され、かつ正しく処理されない場合に発現します。Internet Explorer 7 をインストールすると Windows コンポーネントが更新され、URL や URI を処理する際の Internet Explorer と Windows Shell との間のやりとりが変更されます。正しいと保障されていない URL や URI を Windows に送るアプリケーションは、この脆弱性を攻略するために利用される可能性があります。
「URL や URI を処理する際の Internet Explorer と Windows Shell との間のやりとりが変更され」るのだけど、その部分がだめだめ、ということなんですかねえ。
Additional Details and Background on Security Advisory 943521 (MSRC Blog, 2007.10.10) に解説が。
In late July, another issue was discussed publicly using mailto: and 3rd party applications. This is the vulnerability discussed in the Advisory released today and it is a vulnerability in the way Windows handles URIs. This is not a vulnerability in any specific protocol handler, even though the mailto: protocol handler is used in our example. The examples we have seen involved the mailto: protocol handler being asked to handle URIs containing a % (percent sign). An example of this would be test%../../../../windows/system32/calc.exe”.cmd, which is clearly not a valid email address. When a user clicks a link to a URI, the application showing that link to users decides how it is supposed to be handled. For traditionally “safe” protocols like mailto: or http: applications often just verify the prefix and then choose to call into the Windows shell32 function ShellExecute() to handle it. This has been the case for a number of years. Windows then launches Internet Explorer passing the URI or launches the preferred email client passing the email address, etc. With IE6 installed, ShellExecute() passes the URI to IE which accepts it and inside IE determines it to be invalid. Navigation then fails harmlessly. With Internet Explorer 7 installed, the flow is a bit different. IE7 began to do more validation up front to reject malformed URI's. When this malformed URI with a % was rejected by IE7, ShellExecute() tries to “fix up” the URI to be usable. During this process, the URI is not safely handled. IE7 rejects the URI, and on Windows Vista ShellExecute() gracefully rejects the URI. That’s not the case on the older versions of Windows like Windows XP and Windows Server 2003 when IE7 is installed.
関連かな: URI handling woes in Acrobat Reader, Netscape, Miranda, Skype 以下のスレッド。
3rd party patch だそうです: Third-party patch for CVE-2007-3896 (Internet Explorer 7 invalid URI handling) available
The patch consists of a ShellExecuteEx hook [2] that prevents the execution of malformed URLs and enforces normalization of valid URLs.
あと、ISS の情報: 複数のベンダー製品での URI 処理によるコマンドの実行 (ISSKK, 2007.10.15)
関連:
Opera, Firefox の更新が相次いで登場。いずれにも、この欠陥への対応が含まれている模様。
関連:
Before passing URLs that will be executed by Windows Shell32, an application should do the following:
- The application should call the SHParseDisplayName function together with the URI string.
- If step 1 is successful, the application should call the ShellExecuteEx function together with the SEE_MASK_INVOKEIDLIST flag and the pointer to an item identifier list (PIDL).
MS07-061 Windows URI 処理の脆弱性により、リモートでコードが実行される (943460) (Microsoft) で修正されている。
KB911564 にこんな記述が追加された模様:
You may experience issues when you deploy security update MS06-006 on a computer that is running Microsoft Windows Sever 2003 Service Pack 2. Windows Update, Windows Server Update Services, Systems Management Server, and Microsoft Baseline Security Analyzer detection logic do not offer security update MS06-006 if the Microsoft Windows Media Player plug-in for a non-Microsoft Internet browser is installed on the computer. You can install security update MS06-006 manually.
Windows Server 2003 SP2 において、Windows Update / WSUS / SMS / MBSA が MS06-006 を (インストール済なのに) 検出しない場合は、MS06-006 を手動でインストールすればいいみたい。
MS07-060 - 緊急: Microsoft Word の脆弱性により、リモートでコードが実行される (942695) の、Office 2004 for Mac 用の exploit が存在する模様:
Kaspersky Online Virus Scanner (日本語版) に欠陥。 インストールされる ActiveX コントロール (バージョン 5.0.93.1 以前) に format バグがあり、攻略 web ページにアクセスさせると任意のコードを実行できる。 CVE-2007-3675
バージョン 5.0.98.0 以降で修正されている。Kaspersky Online Virus Scanner を利用したことがある場合は、 http://www.kaspersky.com/kos/eng/partner/default/kavwebscan.html にアクセスして最新バージョンに更新すればよい。関連:
関連: カスペルスキーオンラインスキャナ サービス再開のお知らせ (just-kaspersky.jp, 2007.10.18)。アップデート手順も解説されている。
》 Some data on an NTFS partition may become corrupted after you restart a Windows XP-based computer that uses a SATA hard disk drive and a utility that calls the FSCTL_MOVE_FILE API (Microsoft KB941715)。Windows XP において、SATA HDD で NTFS パーティションに対して FSCTL_MOVE_FILE API を使うと変なことになることがある模様。有償 patch あり。
》 Deobfuscating javascript (SANS ISC, 10/9)。JavaScript の難読化を解除する tips。
》 ボット対策プロジェクトへの参加ISPの拡大について (総務省, 10/10)
》 イラク女性2人死亡、民間軍事会社要員が発砲…バグダッド (読売, 10/10)。ユニティー・リソーシス・グループ社。
》 Office文書ファイルに含まれているプライバシー情報を削除する (@IT, 10/5)
》 特集記事『Linuxロードバランサ構築・運用ノウハウ』を公開します (klab, 10/9)
》 福田首相代表支部に800万円 国の事業受注側が献金 (asahi.com, 10/10)、福田首相側へ4百万寄付、国事業受注の2社・衆院選直前に (読売, 10/10)。福田さンも負けてません。
》 小沢氏名義不動産:同室に関連4団体 1団体だけ家賃納入 (毎日, 10/10)、小沢氏の『不動産問題』再燃 民主、火消しに躍起 (東京新聞, 10/10)。もともと可燃物があって、燃やそうとしている人がいて、実際燃えているんだろうなあ。
小沢氏の不動産問題が「時限爆弾」(中堅)であることも再認識させられた形で、
第26話以降のミラーマンだな。
》 強いが弱いイスラエル (田中宇, 10/9)。陰謀史観に囚われたくない人は、 イスラエル・ロビーとアメリカの外交政策 I あたりを。II もそろそろ出るのかな。
リバティ号事件については、すべては傍受されている—米国国家安全保障局の正体に詳述されている。
》 10/1 に公開された Windows Vista の patch
Vista は、やっぱり SP1 を待った方がいい気がするなあ。
》 Storm (Worm) Peacomm Analysis (cyber-ta.org, 10/8)
》 土壌汚染対策法:民主党が改正案 対象外用地も規制へ (毎日, 10/10)。築地市場移転問題ねた。
》 南太平洋:乱獲でマグロに危機(全訳記事) (JANJAN, 10/10)
》 山崎製パン:食パン値上げ 12月から8% (毎日, 10/10)。今日の予算委員会質疑を見ていても、政府・与党に食料安全保障という概念はなさそうだ。
》 最高検「不適切な捜査」 埼玉・銃刀法違反捏造 (中日, 10/10)
》 米「イラクへの給油転用ない」 日本側、裏付け要求 (asahi.com, 10/9)。つまり、日本政府すら裏付けがないと認めざるを得ないような回答だと。
》 ETC車専用インター整備へ 地方に200〜300カ所 (asahi.com, 10/9)。また土建屋ねたか。
ICはふつう高速道路会社が整備するが、ETC専用ICは、高速道路の利用促進と地方活性化を目的として、国の負担でつくる方針。揮発油税(ガソリン税)などの道路特定財源を事業費にあてる考えで、使い道を限らない一般財源に回る額を抑える思惑もありそうだ。
政府・与党の言う構造改革なんてしょせんその程度。
》 ホワイトハッカー道場 セキュリティチェックの定番「ポート・スキャナ」 第2回 OS情報検出のひみつ (日経 IT Pro, 10/10)。
》 グーグル八分発見システムの、アルファ版プレビューを公開しました! (悪徳商法?マニアックス ココログ支店, 10/9)
》 少年警察活動規則改正についてのパブリックコメント (保坂展人のどこどこ日記, 10/6)
》 マイクロソフト、ハッカー・ブログ「Hackers@Microsoft」の名称を変更 “ハッカー”のマイナス・イメージに配慮? (computerworld, 10/9)
》 新機能も無償で公開する−−“Snortの生みの親”マーティン・ロッシ氏 (日経 IT Pro, 10/10)。ClamAV 話もあり。 そういえば、ClamAV 0.92rc2 も出てますね。
》 10月12日はサンプロ・コメント訴訟の第三回期日 (SLAPP WATCH, 10/10)。ミニ講演会もあるそうです。
》 保証型監査は大変でしょう。。。 (まるちゃんの情報セキュリティ気まぐれ日記, 10/10)
》 アップル、“新型iMacフリーズ問題”の調査を開始 9月のiMac Software Update 1.1が原因か? (computerworld, 10/9)。Apple ってこの手の問題多いなあ。進歩なさすぎ。
》 中学生彼氏募集 - Googleのアドワーズ広告って誰がどう審査している? (Semplice, 10/10)
》 「ダビング10」に呼び方統一 JEITA (ITmedia, 10/9)
》 警察学校が詐欺に加担? フィッシングサイトをホスティング (ITmedia, 10/10)。ケーサツの裏は闇 in インド。
》 誕生日にもらったiPodの箱を開けたらiPodではなく「石」が出てきた (gigazine, 10/10)。アメリカンテイスト。
》 お客様の個人情報流出に関するお詫びとお知らせ (明治製菓, 10/9)。Winny で 15,059名分だそうで。
個人情報が流出したと思われるお客様へは、本日より順次個別に書簡をお送りし、お詫びを申し上げる予定です。
お菓子詰めあわせでも送ればいいのに。
現在は、より強固な情報管理体制を導入しており、今後は、このような事案は発生しないものと認識しておりますが、
より強固な? 何がどう「より強固」になったのだろう。 何の説明にもなっていないような。
本年9月26日、弊社の「個人情報相談ダイヤル」等に、弊社のお客様情報を含むファイルが 「Winny」を通じてネットワーク上に流出している旨のご指摘をいただきました。流出元は、弊社業務委託先の元社員(昨年6月まで弊社キャンペーン業務に従事)の自宅パソコンであると推定され、専門業者の協力を得て、ネットワーク上での事実確認、および当該パソコンの解析を進めてまいりました。
その結果(10月8日現在)、未だネットワーク上での個人情報流出の確認には至っておりませんが、10月5日に完了した当該パソコンの解析結果から、業務で使用していた個人所有の外付けハードディスクを昨年6月以降無断で持ち帰り、お客様の個人情報を残したまま当該パソコンに接続し、本年9月18日、ウィルス感染により上記お客様の個人情報が流出した可能性が高いとの判断に至りました。
「昨年6月」以降に強化されたということか? 「より強固」になったのは実際にはいつなのだろう。
》 インド洋での補給艦向け給油実績、米国向けが89% (読売, 10/9)
CITRIX: Owning the Legitimate Backdoor (GNUCITIZEN, 2007.10.04) の話。さあ、君も今すぐぐぐってみよう!
その中には、政府ドメインのインスタンスが10件、軍ドメインが4件含まれていたという。
ぐぐるときに「ext:ica site:.gov」のようにすれば ok です。
関連:
PageMaker 7.0.1 / 7.0.2 に欠陥。PageMaker (PMD) ファイルの処理に欠陥があり、長大なフォント名を含む PMD ファイルによって任意のコードを実行できる。 CVE-2007-5169
patch があるので適用すればよい。関連:
日本語版: APSB07-15: PageMakerにおけるバッファオーバーフローの脆弱性に対するパッチ (Adobe)
Illustrator CS3 に欠陥。攻略 BMP / DIB / RLE / PNG ファイルを Illustrator CS3 で開くと任意のコードを実行される。CVE-2007-2244 CVE-2007-2365
patch が用意されているので適用すればよい。
日本語版: APSB07-16: Illustrator CS3の潜在的な脆弱性に対処するためのアップデート公開 (Adobe)
GoLive 9 に欠陥。GoLive ドキュメントに攻略 BMP / DIB / RLE / PNG ファイルを挿入すると任意のコードを実行される。CVE-2007-2244 CVE-2007-2365
patch が用意されているので適用すればよい。
日本語版: APSB07-17: GoLive 9の潜在的な脆弱性に対処するためのアップデート公開 (Adobe)
バッファローの USB メモリ (指紋認証モデル) RUF2-FSシリーズの一部にウイルス (オンラインゲームアカウント狙いのトロイの木馬) が添付されている模様。
型番 製造コード シリアル番号 ----------------------------------------------------- RUF2-FS512-W 07/09/11 000001〜000360の一部 RUF2-FS1G-W 07/09/11 000001〜000360の一部 RUF2-FS2G-W 07/09/11 000001〜000120の一部
こんなことが書かれている。
※当製造コードとシリアル番号が、共に該当しても、以下3-(2)でご案内しているウィルスチェックツールにより、ウィルスが検出されない場合は、製品を交換する必要がありません。安心してご利用ください。
バッファローは、どのシリアル番号がウイルスつきなのかを正確には把握できていないようだ。RUF2-FSシリーズ ウィルスチェックプログラムで検査しないとだめみたい。
関連: バッファローのUSBメモリーにウイルス混入、186個を無償交換 (日経 IT Pro, 2007.10.10)
「該当製品は860個だが、現時点で市場に流通しているのは186個」(バッファロー広報)という。
ふむん。
ウイルス混入が発生した原因について同社では、「今回問題となった製品は、当社が最近新たに生産委託した海外の工場で生産されたもの。指紋認証に必要となるソフトウエアをフラッシュメモリーに書き込む工程があり、そこで混入したものと考えている。該当製品以外はこの海外工場で製造していないため、ウイルス混入の問題は起こらないと判断している」(バッファロー広報)という。
バッファローの品証ってどうなってるんだろう。
Safari 3.0.3に実行ファイルの自動ダウンロードの危険性 (トレンドマイクロ セキュリティ blog, 2007.10.10)
出ました。ただし Bulletin 5 は公開中止になっています。
緊急: 4
対象: Windows 2000 / XP / Server 2003
Kodak Image Viewer の oieng400.dll に欠陥があり、攻略画像ファイルによって任意のコードを実行できる。 CVE-2007-2217
これは Windows 2000 の欠陥であるが、Windows 2000 から XP や Server 2003 にアップグレードインストールした場合には、それらにも欠陥が内在されている。
対象: Outlook Express 5.5 / 6, Windows Mail
Outlook Express 5.5 / 6, Windows Mail における NNTP レスポンスの扱いに欠陥があり、攻略 NNTP サーバが任意のコードを実行できる。CVE-2007-3897
対象: IE 5.01 / 6 / 7
アドレスバー偽装 - CVE-2006-3892
スクリプトエラー処理におけるメモリ破壊 - CVE-2007-3893。任意のコードが実行される。
アドレスバー偽装 - CVE-2007-1091 および CVE-2007-3826
この他に:
Microsoft XML コアサービスの脆弱性により、リモートでコードが実行される (924191) (MS06-061) で対応された MSXML2 ActiveX コントロールに kill bit が設定された。
PNG 画像に対する MIME 判定処理が GIF/JPEG と同様となり、magic-byte の検査が行われる。
対象: Word 2000 / 2002, Office 2004 for Mac
Word 文書ファイルの処理に欠陥があり、攻略 Word 文書ファイルによって任意のコードを実行できる。CVE-2007-3899
重要: 2
対象: Windows 2000 / XP / Server 2003 / Vista
RPC リクエストを認証する際の NTLM セキュリティプロバイダとの通信に欠陥があり、攻略 RPC リクエストによって DoS 攻撃が可能。 CVE-2007-2228
対象: SharePoint Services 3.0, SharePoint Server 2007
エンコードされたリクエストの処理に欠陥があり、SharePoint サービス上で任意のスクリプトが実行される。CVE-2007-2581
関連:
xfs 1.0.5 では CVE-2007-4990 も直っているそうだ。swap_char2b 関数だそうだ。
まだあった: 103071: Java Runtime Environment (JRE) May Allow Untrusted Applets or Applications to Display An Oversized Window so that the Warning Banner is Not Visible to User (Sun)。CVE-2007-5240。修正バージョンは上記と同じ。
DNS pinning 関連話。IE 6 と Opera 9 はだめみたい。 CVE-2007-5276 (Opera 9) CVE-2007-5277 (IE 6)。 あと、Flash Player 9 もだめみたい。 CVE-2007-5275
追加: Sun Java VM: CVE-2007-5375
Windows live Messenger malformed file overflow DoS remote exploitation (Lostmon Blogger, 2007.09.22)。 Windows live Messenger / Windows MSN Live 8.1 話。 MS07-046 patch を適用後、jpj, gif, wmf, ico, doc ファイルの扱いに欠陥が発生、攻略画像ファイルによって DoS 攻撃が可能。 CVE-2007-5144。patch はまだない。
Linux カーネルねた:
CVE-2007-4924。Ekiga < 2.0.10 / OpenH323 < 2.2.4 話。
libpng 1.0.29 / 1.2.21 で修正された件:
日立方面
》 9/16 に民間軍事会社ブラックウォーターの「警備員」がバグダッドで無差別? 銃撃を行い、17 人が死亡。 大半は民間人か。
その他:
》 夢見た教壇2カ月 彼女は命を絶った 23歳教諭の苦悩 (asahi.com, 10/9)
》 %41%43%45%20%54%65%61%6d : Weekend Security Reading Round up Links (hackers @ microsoft, 10/5)
》 【連載企画】合法的音楽配信サイトを作ってみる(4) (ITmedia, 10/4)
》 イラン核開発:イラクの二の舞を避けたいIAEA 、冷静な対応を求める(WAM) (JANJAN, 10/7)
》 アフガニスタン:悪臭漂う汲み取り式便所さようなら (JANJAN, 10/7)。インド式だそうです。
》 陸軍・特攻隊とは何だったのか 〜学徒兵たちの戦争〜(仮) (NHK スペシャル, 10/21 放送予定)
》 ライスショック 〜あなたの“主食”は誰が作る〜 (NHK スペシャル)
》 【セキュリティ魂】良心はどこへ?ハッカー倫理の歴史にみる取引される脆弱性 (てっしーの丸出し, 10/2)
》 米政府、郡サイトのハッキング被害に過剰反応 (ITmedia, 10/8)。こういう話らしい。
関連:
》 9月の脅威動向まとめ (トレンドマイクロ セキュリティ blog, 10/8)
》 アタマジラミ激増中 無理解一因 耐性種も確認 (asahi.com, 10/8)。
インド洋での海上輸送の安全確保に関連して、首相は「(テロが頻発すれば、石油という)日本の血液の補給が止まってしまう。諸外国に協力するという観点もあるが、我が国の安全を守ることが大事だ」と述べ、給油活動継続の必要性を強調した。ハァ……。現状では、海上輸送についてはマラッカ近辺の海賊の方がはるかにリアルな脅威だと思いますけどねえ。
》 ブラウン管TV:地デジ移行で需要急減…リサイクル危機 (毎日, 10/9)
一方、ブラウン管以外へのリサイクルには、ブラウン管が有害な鉛を約25%も含むことが大きな障害になっている。
ふぅん……
環境省の西村淳・リサイクル推進室長は「ブラウン管の処理が困難になっていることは認識しているが、再利用しやすい製品を作るのがメーカーの義務でもある。国境を越えた再利用制度の構築や技術開発の努力をしてほしい」と話している。
役人ってほんと気楽でいいですね。言うだけだし。
》 [お知らせ] どこへ向かう? 日本の教育 (保坂展人のどこどこ日記, 10/8)。 2007.10.26、東京都世田谷区、一般500円。
》 「棄てられた年金記録」に再チャレンジする (保坂展人のどこどこ日記, 10/7)
》 『紙の爆弾』11月号が“恫喝訴訟”特集 (SLAPP WATCH, 10/7)
》 ホワイトハッカー道場 セキュリティチェックの定番「ポート・スキャナ」 第1回 ポート・スキャナ,使いこなせますか (日経 IT Pro, 10/9)。 ↓のホワイトペーパーの著者、フォティーンフォティ技術研究所の金居さんですね。
》 最新ポートスキャナ対策 (フォティーンフォティ技術研究所 Research Papers, 7/26)
》 カナダ政府が遺伝子組み換え批判勢力に圧力? (SLAPP WATCH, 10/9)
》 Auditing open source software (Google Online Security Blog, 10/8)
We can draw some interesting conclusions from these bugs. (中略) the general theme is using an integer from an untrusted source without adequately sanity checking it. Integer abuse issues are still very common in code, particular code which is decoding untrusted binary data or protocols.
》 Fake Microsoft Antispyware Center (sunbeltblog, 10/7)。Google AdWords 広告ににせ Microsoft サイトが。あいかわらずですねえ。
》 「少年警察活動規則」改正案は警察権限の行き過ぎた拡大 (JANJAN, 10/8)。パブコメは既に終了。
その規則案の中では「ぐ犯少年」に対する警察の任意調査権が明記されていますが、これは「改正」少年法の国会審議の中で最も厳しく批判され、法案から削除されたものです。これを規則で復活させようとするのは、国権の最高機関であって、国の唯一の立法機関である国会の審議を否定する憲法違反です。これを許しては、警察は治安の維持のためとして何でも出来ることになってしまいかねません。
》 イラク駐留英軍:来春以降、2500人規模に削減 (毎日, 10/9)
》 それはないよ・・・orz (まっちゃだいふくの日記, 10/9)。 第13回まっちゃ139勉強会と「ふたりの人妻」との関係はいかに。深草つながりか? (はてな、無茶すぎるぞ……)
……はっ! これは、ライトニングトーク向けのネタにしろということなのか? さっそくみんなで読書会だ! (大違)
》 ヤマハモーターパワープロダクツ(株)製 携帯発電機自主改修について (ヤマハ, 10/3)。携帯発電機EF2800iSE、 EF2000iSに発火のおそれ。
》 MicrosoftがWindows XP SP3 β版を公開 (PC Watch, 10/9)
Microsoft Kernel Mode Cryptographic Moduleの追加
何のことかと思ったら、FIPS 140-1 用のドライバ (FIPS.SYS) だそうです。
》 ブラックハット・ジャパン 2007 スピーカー紹介 (blackhat.com)。基調講演は「NAIST の」山口先生に決まったそうです。
》 リタリン:偽造処方せん横行 都内で昨春以降18件 (毎日, 10/8)
》 Inguma v0.0.4 release だそうです。Inguma = A Free Penetration Testing Tookit だそうです。
》 インストールせずにTOMOYO Linuxを体験しよう! (TomoyoLive)。ubuntu 7.04 ベースの Tomoyo Linux Live CD。
》 膨らんだ電池は危険?安全? (日経 IT Pro, 10/9)。案内事例:
》 ファイル共有による著作権侵害事案で米国初の陪審評決、一曲あたり100万円の賠償を命じる (slashdot.jp, 10/8)。すごい額。
》 ゆうちょ銀の「名寄せ」システム、不具合続き1週間 (asahi.com, 10/8)
》 米が光熱費の大幅増要求 思いやり予算、日本は難色 (中日, 10/8)。いいかげん「思いやり予算」という阿呆な呼び名はなんとかならないのか。
》 分離・独立目指すクルド労働者党、トルコ軍と交戦 (読売, 10/8)
Zero-day Flaw in Safari 3.0.03 Web Browser for Windows (trendmicro blog, 2007.10.08) の話。まぁ、βですし。
Safari 3.0.3に実行ファイルの自動ダウンロードの危険性 (トレンドマイクロ セキュリティ blog, 2007.10.10)
関連:
9/28 付で patch 出ています: 指紋認証機能つきポケットビット付属ソフトウェアの脆弱性修正用ソフトウェアご提供のお知らせ (ソニー, 2007.09.28)
同じネタか?! UD-SecurityII(HUD-SC256J2)の脆弱性に関するアップデート (ハギワラシスコム, 2007.10.05)
Adobe が欠陥の存在を確認。Windows XP + IE 7 の環境で欠陥が発現する。 Windows Vista ではこの欠陥は発現しない。 Acrobat / Adobe Reader 8.x の場合は、レジストリ設定によって mailto: URL を無効にすることで回避できる。
レジストリキーは:
tSchemePerms のデフォルト値はこうなっているらしい:
version:1|shell:3|hcp:3|ms-help:3|ms-its:3|ms-itss:3|its:3|mk:3|mhtml:3|help:3|
disk:3|afp:3|disks:3|telnet:3|ssh:3|acrobat:2|mailto:2|file:2
次のように設定する。
version:1|shell:3|hcp:3|ms-help:3|ms-its:3|ms-itss:3|its:3|mk:3|mhtml:3|help:3|
disk:3|afp:3|disks:3|telnet:3|ssh:3|acrobat:2|mailto:3|file:2
version:1|shell:3|hcp:3|ms-help:3|ms-its:3|ms-itss:3|its:3|mk:3|mhtml:3|help:3|
disk:3|afp:3|disks:3|telnet:3|ssh:3|acrobat:2|file:2
上記 patch 適用済の Ruby 1.8.5 / 1.8.6 (1.8.6-p110 / 1.8.5-p113) が用意されているそうです。植田さん情報ありがとうございます。
》 緊急地震速報に初対応 ドコモが新携帯電話を年内発売 (産経, 10/3)、【CEATEC】ドコモの905i,緊急地震速報を無償で受信可能に (日経 IT Pro, 10/2)。やまざきさん情報ありがとうございます。
》 偽造が簡単な硬貨と金券 (日経 BP, 10/1)
偽札を作るのは大変だが、それに比べて偽コインは簡単だ。連番を振る必要もないので、型が出来ればいくらでも作ることができる。
日本人にとっては500円玉1個は大したことがないかもしれないが、海外ではそれ1枚で1週間も生活できる地域がある。
》 High-Level Reverse Engineering (Information Risk Management Plc, 10/2)
[SA27014] SmbFTPD "SMBDirList()" Format String Vulnerability。 SmbFTPD 0.96 以前の SMBDirList() 関数 (dirlist.c) に format バグ。 CVE-2007-5184。PoC。 0.97 で修正されている。
[SA27006] XOOPS Uploader Class Unspecified Vulnerability。 patch が出ているそうです。 CVE-2007-5188
[Full-disclosure] iDefense Security Advisory 10.02.07: Multiple Vendor X Font Server Multiple Vulnerabilities。 xfs 1.0.4 以前に欠陥。QueryXBitmaps および QueryXExtents プロトコルにおける length パラメータの検査が不十分なために integer overflow などが発生。 任意のコードを実行できる。 xfs は local からのみアクセス可能とされているのが一般的だが、xfs のアクセス許可設定によっては remote からも可能。たとえば Solaris においてはデフォルトで remote から 7100/tcp にアクセスできるようだ。 CVE-2007-4568
xfs 1.0.5 で修正されている他、xfs 1.0.4 用の patch が用意されている。
関連: [SA27060] XFree86 X Font Server Multiple Vulnerabilities
[SA27039] CyberLink PowerDVD CLSetting ActiveX Control Insecure Method。 CVE-2007-5219。PoC。 patch はまだない。kill bit の設定によって回避するしかない。
[SA26946] Google Mini Search Appliance "ie" Cross-Site Scripting Vulnerability 。 CVE-2007-5255。 回避方法があるそうで。
xfs 1.0.5 では CVE-2007-4990 も直っているそうだ。swap_char2b 関数だそうだ。
》 小沢代表論文「政権とればISAF参加」 国連中心強調 (asahi.com, 10/6)。10/9 発売の「世界」2007年11月号に掲載の「今こそ国際安全保障の原則確立を」だそうです。
インド洋での給油活動については「国連活動でもない米軍等の活動に対する後方支援」とし、「(憲法が禁じる)集団的自衛権の行使をほぼ無制限に認めない限り、日本が支援できるはずがない」と批判した。
一方で、小沢氏は国際社会への日本の対応について「平和維持への責任をシェアする覚悟が必要」と強調。「国連の活動に積極的に参加することは、たとえ結果的に武力の行使を含むものであってもむしろ憲法の理念に合致する」とし、「私が政権を取って外交・安保政策を決定する立場になれば、ISAFへの参加を実現したい」と踏み込んだ。さらにスーダン西部のダルフール地方への国連平和維持活動にも「当然参加すべきだ」と明記した。
ただ、現実の派遣判断に関しては「合憲なら何でもやるということではない。国連決議があっても実際に日本が参加するかしないか、どの分野にどれだけ参加するかはその時の政府が政治判断する」との考えを示した。
論文の最後で、アフガンの現状に言及。「貧困を克服し、生活を安定させることがテロとの戦いの最も有効な方法だ。銃剣をもって人を治めることはできない。それが歴史の教訓であり、戦争の果てにたどり着いた人類の知恵だ」とし、民生支援を重視する姿勢も強調している。
国連待機部隊構想の、小沢一郎さんと安全保障などについて合意 (yokomichi.com, 2004.03.19) と基本的な部分は変わってないですね。 「小沢一郎さんと安全保障などについて合意」にはこうあります:
1.いまのままでは自衛隊は米国について世界の果てまでも行ってしまう危険性が高い。政府自民党による無原則な自衛隊の派遣に歯止めをかけなければいけない。
2.世界秩序を維持できる機能を有する機関は国連しかない。日本も国連のこの警察的機能に積極的に貢献する。
3.憲法の範囲内で国際貢献するために、専守防衛の自衛隊とは別の国際貢献部隊を作る。
4.現在国連はその機能を充分果たしていない。日本は国連の組織、機能を拡充、強化するようあらゆる機会に国際社会に働きかける。
ぐぐってみると、国連待機部隊というのを実際にやっている国は存在するようで。 [ニュースきょうあす]国連の平和維持活動とは? 「国連軍」と異なる実態 (毎日新聞 1990.11.01 / 日本財団) より:
平和維持軍の担い手はスウェーデン、ノルウェー、フィンランド、カナダ、オーストリアなどが多く、とりわけ北欧四カ国が維持軍の三割を占めている。
北欧四カ国は、普段から軍隊とは別個に「国連待機軍」を設けており、いつでも千—千五百人程度の人員を招集できる体制を作っている。待機軍は徴兵による兵役を終えた人が対象でボランティア制。国防目的には使用されないことが法律などに明記されており、国防軍とは明確な一線が引かれている。
スウェーデン陸軍参謀本部国連局刊;「国連用北欧待機軍」 第二版 (NII) という本もあるそうで。
あと、 資料:(上)小沢代表の「国連待機軍」構想(03年度) (参議院議員・犬塚直史) によると、 小沢氏の国連待機部隊構想は 1993 年には既に存在したのだそうで。 日本改造計画 には確かに「国連待機軍をつくれ」とあるなあ。
》 インドネシア、大量CO2 焼き畑で泥炭火災相次ぐ (asahi.com, 10/6)
》 Advisory: Enterprise Console error e03d0231 displayed (Sophos, 10/2)
A fix for this issue has been released in hipsrules-1-0-4.bdl which will be downloaded with the next Sophos Anti-Virus data update.
》 米Xerox:低コストの“隠し文字”印刷技術開発 赤外線で可視化 (Open Tech Press, 10/5)
》 Something smells fishy (Symantec blog, 10/5)。秋風に焼鮭ですか。
》 "Hentai" trojan spammed (F-Secure blog, 10/5)
ユーザが画像を投稿でき、投稿された画像をブラウザ上で表示するようなWebアプリケーションの場合、この脆弱性が発生する可能性があります。
Web アプリの管理者・開発者の方は試してみた方がいいんですかね。
Sun Java JDK / SDK / JRE に複数の欠陥。
103079: Security Vulnerability in Java Runtime Environment With Applet Caching May Allow Network Access Restrictions to be Circumvented (Sun)。 JRE を applet caching つきで使用する場合に欠陥があり、Java アプレットが任意のホストの任意のサービスとの間で通信できてしまう。 CVE-2007-5232
103078: Security Vulnerabilities in Java Runtime Environment May Allow Network Access Restrictions to be Circumvented (Sun)。JRE に欠陥があり、
103073: Multiple Security Vulnerabilities in Java Web Start Relating to Local File Access (Sun)。Java Web Start に複数の欠陥がある。
103072: An Untrusted Java Web Start Application or Java Applet May Move or Copy Arbitrary Files by Requesting the User to Drag and Drop a File from Application or Applet Window to a Desktop Application (Sun)。JRE に欠陥があり、Java Web Start アプリまたは Java アプレットからデスクトップアプリに対してファイルを Drag & Drop するとき、その Java Web Start アプリまたは Java アプレットは任意のファイルを移動またはコピーできてしまう。 CVE-2007-5239
以下のバージョンで修正されている:
まだあった: 103071: Java Runtime Environment (JRE) May Allow Untrusted Applets or Applications to Display An Oversized Window so that the Warning Banner is Not Visible to User (Sun)。CVE-2007-5240。修正バージョンは上記と同じ。
》 津田大介さんに聞く(前編): 「ダウンロード違法化」のなぜ ユーザーへの影響は (ITmedia, 10/5)
》 渡嘉敷島「集団自決」聞き取り調査へ(続編) (保坂展人のどこどこ日記, 10/4)
》 米国連邦通信委員会の不公正な情報提供のあり方が明るみに (computerworld, 10/4)
》 「共謀ひろば」がインターネットテレビで見られる (共謀罪反対 THE INCIDENTS, 10/5)
》 悪魔のツール“ルートキット”最前線 第5回 ルートキット実装の2大手口(その2) (日経 IT Pro, 10/5)
》 写真で見る「インターネットセキュリティスイート with サイトアドバイザ」 (Internet Watch, 10/5)
》 IE7日本語版を自動更新で誤配布、マイクロソフトが操作ミスで (Internet Watch, 10/5)
》 Internet Explorer 7 Update (IEBlog, 10/4)。IE7 のインストールに Windows Genuine Advantage (WGA) は必要なくなったそうです。海賊版ユーザ (笑) を含む全ての XP ユーザがインストールできます。
》 スイッチ・オン! SELinux 第4回 NRPEプラグインを作って確認「SELinux、異常なし!」 (@IT, 10/3)
》 The Case of the Failed File Copy (Mark's Blog, 10/1)。Process Monitor の利用例と FAT の制限。
》 Cyber Security Awareness Tip #4: Enabling the Road Warrior (SANS ISC, 10/4)。モバイルユーザ話みたい。
》 Cyber Security Awareness Tip #3: Getting the Boss Involved (SANS ISC, 10/3)。ボスを巻き込め。
》 「バッドウエア,ハッキングされたサイトから配布される傾向が高まる」,StopBadware.orgが報告 (日経 IT Pro, 10/4)
》 コーチン「純血種だけ」 是正指導、愛知県が独自基準 (中日, 10/5)
》 SOAについて知るべきことはすべてLinuxから学んだ (Open Tech Press, 10/4)
》 Bad Guys (F-Secure blog, 10/4)。DDoS な人や Worm な人など、いろいろ捕まっているようで。
》 西アフリカ:HIV/AIDS対策支援で取り残される農村部(全訳記事) (JANJAN, 10/5)
》 元FBI捜査官でテロ専門家が語るFBI、米国の民主主義と自由に脅威 (JANJAN, 10/5)
》 大手自費出版2社に公開質問状 共同出版・自費出版の被害をなくす会 (JANJAN, 10/5)
》 FC2ブログでユーザー記事消失 「Googleキャッシュのコピペで復帰を」 (ITmedia, 10/4)
》 AV家電にもP2P配信システム「SkeedCast」を組み込みへ (Internet Watch, 10/4)、 株式会社エンティス、P2P型セキュア配信システム「SkeedCast」を展開する 株式会社ドリームボートと業務提携 セットトップボックスやネットワークAV機器などの組み込み用に最適なP2Pソリューションを共同開発 (エンティス, 10/4)
》 横浜市病院経営局からのWinny流出、含まれていた個人情報は3,733人分 (Internet Watch, 10/4)
》 山谷剛史のマンスリー・チャイナネット事件簿 2007年9月 (Internet Watch, 10/4)
》 アドウェアは広告表示から偽セキュリティソフトへ、日本語版も出回る (Internet Watch, 10/4)。 関連: 偽ソフトウェアによるクローン製品(Clone app.)生成 (Semplice, 10/4)
》 生活保護申請書渡さず 女性、自殺寸前に 北九州市 (asahi.com, 10/5)。また北九州市か。
》 ビルマ軍政の手先「白シャツ隊」 (JANJAN, 10/5)。IPS 原文では RIGHTS-BURMA: Whiteshirts - Junta's Storm Troopers と、ストーム・トルーパー扱いですね。 関連:
》 監視用ウェブカメラ:普及の陰で、「覗き見」やハッキングも (WIRED NEWS, 10/4)
》 海賊版を通報すれば100万ドル! 効果絶大でキャンペーン延長に (マイコミジャーナル, 10/3)
》 海賊版 ネット広告も禁止 著作権法改正案提出へ (産経, 10/4)
》 NGO「ペシャワール会」、パキスタンを撤退しアフガンへ (読売, 10/4)
パキスタン政府は国内に200万人以上いるアフガン難民を2009年までに強制帰還させることを決めており、同会にも事実上、拠点施設の閉鎖を迫っていた。
》 WIPO事務局長に年齢詐称疑惑、機能不全のまま会期終了 (読売, 10/4)
》 【ソフトバンク】誰かに勝手にローンで機種変更されました! (教えて! goo, 9/6)。 機種変更しようとショップに行ったら「お客さん、1 か月ほど前に別のショップで機種変更してますね」エェッ! という話。 藤田さん情報ありがとうございます。最終的にはこうなったようで:
一昨日、ソフトバンク社員とソフトバンクショップを運営している携帯販売代理店の責任者が警察から聞いたと謝罪の為、自宅を訪ねてきました。わかっている被害者のお宅を1件1件回っているようです。
どうやら、アルバイトのソフトバンクショップ店員数人が転売する為、たくさんの端末販売を偽装したようです。
(中略)
あと、この事件のことをマスコミやネット、近所の人に公表しないように頼まれたのですが、どうすればいいんですか?謝罪金(口止め料)を払うので誓約書にサインを迫られました。
もう遅い。
ARP Spoofing (ARP 詐称) を使った Web ページ改ざんが流行っているようです。例:
次のように行うのだそうです。
目標となるサブネットを scan し、攻略できるホストを探し出し、攻略する。
攻略したホストにトロイの木馬を設置する。
トロイの木馬から詐称 ARP パケットをサブネット内のホストとゲートウェイに流す。
詐称 ARP パケットを受信したホストは、外部との通信をゲートウェイではなく攻略されたホストに送るようになる。つまり、こうなる:
トロイの木馬は通信内容を改ざんし、<iframe> タグなどを挿入したりする。
Nod to more ARP mayhem ? (McAfee blog, 2007.10.11)。NOD32 でおなじみ ESET の中国サイトもこれでヤラレたようで。
ARPスプーフィング:読者のWebホスティング・サービスは守られているか (日経 IT Pro, 2007.10.19)。 ARP Spoofing: Is Your Web Hosting Service Protected ? の翻訳記事。
ARP spoofing HTTP infection malware (Websense blog, 2007.12.21)
上記の日本語訳: HTTP応答パケットを悪用するARPスプーフィング・ウイルス (日経 IT Pro, 2008.01.28)
ようやく出ました: 「OpenOffice 2.3」日本語版リリース、グラフ作成機能の強化など (Internet Watch, 2007.10.04)
もうそんな季節です。
緊急: 4
対象: Windows 2000 / XP / Server 2003
対象: Outlook Express 5.5 / 6, Windows Mail
対象: IE 5.01 / 6 / 7
対象: Word 2000 / 2002, Office 2004 for Mac
重要: 3
対象: Windows 2000 / XP / Server 2003 / Vista
対象: Windows 2000 / Server 2003
対象: SharePoint Services 3.0, SharePoint Server 2007
出ました。ただし Bulletin 5 は公開中止になっています。
緊急: 4
対象: Windows 2000 / XP / Server 2003
Kodak Image Viewer の oieng400.dll に欠陥があり、攻略画像ファイルによって任意のコードを実行できる。 CVE-2007-2217
これは Windows 2000 の欠陥であるが、Windows 2000 から XP や Server 2003 にアップグレードインストールした場合には、それらにも欠陥が内在されている。
対象: Outlook Express 5.5 / 6, Windows Mail
Outlook Express 5.5 / 6, Windows Mail における NNTP レスポンスの扱いに欠陥があり、攻略 NNTP サーバが任意のコードを実行できる。CVE-2007-3897
対象: IE 5.01 / 6 / 7
アドレスバー偽装 - CVE-2006-3892
スクリプトエラー処理におけるメモリ破壊 - CVE-2007-3893。任意のコードが実行される。
アドレスバー偽装 - CVE-2007-1091 および CVE-2007-3826
この他に:
Microsoft XML コアサービスの脆弱性により、リモートでコードが実行される (924191) (MS06-061) で対応された MSXML2 ActiveX コントロールに kill bit が設定された。
PNG 画像に対する MIME 判定処理が GIF/JPEG と同様となり、magic-byte の検査が行われる。
対象: Word 2000 / 2002, Office 2004 for Mac
Word 文書ファイルの処理に欠陥があり、攻略 Word 文書ファイルによって任意のコードを実行できる。CVE-2007-3899
重要: 2
対象: Windows 2000 / XP / Server 2003 / Vista
RPC リクエストを認証する際の NTLM セキュリティプロバイダとの通信に欠陥があり、攻略 RPC リクエストによって DoS 攻撃が可能。 CVE-2007-2228
対象: SharePoint Services 3.0, SharePoint Server 2007
エンコードされたリクエストの処理に欠陥があり、SharePoint サービス上で任意のスクリプトが実行される。CVE-2007-2581
関連:
MS07-060 - 緊急: Microsoft Word の脆弱性により、リモートでコードが実行される (942695) の、Office 2004 for Mac 用の exploit が存在する模様:
MS07-060 を攻略する、Windows 用のウイルスが存在する模様:
Altnet Download Manager 4.x ActiveX コントロール (adm4.dll) に欠陥。 Install() メソッドに buffer overflow する欠陥があり、攻略 Web サイトが任意のコードを実行できる。実際に欠陥の存在が確認されているのは adm4.dll バージョン 4.0.0.6 。 adm4.dll は KaZaA や Grokster に同梱されており、影響範囲は広いと考えられる。 CVE-2007-5217
まだ修正されていない。関連:
》 取り調べ可視化:刑訴法改正案を参院提出 民主が方針 (毎日, 10/5)
》 自衛隊給油:「イラク戦争に使用」市民団体が米公文書分析 (毎日, 10/4)
問題になっているのは03年2月25日、海自補給艦「ときわ」が米補給艦「ペコス」に対し行った給油約80万ガロン。分析結果によると、「ペコス」は「ときわ」から給油を受けた7時間後、米空母キティホークにほぼ同量を給油。翌日、近くの港で3倍以上の油を自ら補給した。キティホークへの給油は前後1カ月間で計6回に及んだ。
関連: ピースデポ調査・緊急報告 海自艦が給油した米艦はイラク作戦に使用した (ピースデポ, 9/20)
以上のように、「ペコス」、キティホーク、カウペンスの航海日誌とキティホークの年次報告の分析は、海上自衛隊の補給艦から米艦に渡った燃料は、「対テロ特措法」に反して、ほぼすべて米国のイラク作戦に費やされたと結論づけることができる。 (中略) 自衛隊「ときわ」が供給した油のほぼ全量がキティホークに渡り、キティホークはその大部分をペルシャ湾内で対イラク作戦である「南方監視作戦」に使用したと考えられる。これは「対テロ特措法」に違反する給油行為である。
つづき: ピースデポ調査報告 海自艦が給油した米艦はイラク作戦に使用した II (ピースデポ, 10/4)
航泊日誌の廃棄問題に、緊急に政治のメスをいれて欲しい。
現在のルール:「最後の記載をした日から1年間艦船内に備え置き、その後3年間当該艦船の在籍する地方総幹部に保存するものとする。」
2003年3月のものは、2007年3月末に保存期間が切れるが、「年末処分」と聴いたことがある。議員の立ち入り調査を求める。
》 中国経由の迷惑メール急増、経産省が防止策強化を要請 (読売, 10/4)
1988年の民主化運動弾圧を受け、日本政府は円借款を凍結し、無償資金協力についてもビルマの国内情勢に応じて慎重に判断することになった。首相ほか政府高官の最近の発言を見ても、日本政府は円借款は行わず、無償資金協力も人道援助のみ行っているようにとれる。
実態はどうか。日本は少なくとも2004年まではビルマへの最大の援助国だった。中央乾燥地帯での植林事業など人道援助ではない無償資金協力や、技術協力も多数行っている上、下記に述べるとおり円借款まで行っている。
2002年にはバルーチャウン第2水力発電所の改修工事のため無償資金援助(約6億円)を提供することについて軍政と書簡交換を結んだ。同発電所付近には現在もビルマ軍が展開し、住民に強制労働をさせている。また周辺にはビルマ軍により地雷が設置され、現在も毎月のように周辺住民や家畜が踏んで負傷している。
1998年に日本はヤンゴン国際空港拡張計画のため円借款(約25億円)を出した。88年以降凍結されていたのは「新規案件」のみで、同計画は88年以前に承認されていた「既往案件」であるため凍結の対象ではなかった、というのが日本政府の主張だった。このような「既往案件」はほかにも数件、残っている。
》 行列のできる靖国神社ツアー・平和ガイドの案内で (JANJAN, 10/4)
》 国交省のもくろみ・改正建築基準法の背景:その2 (JANJAN, 10/4)。関連: 改正建築基準法:自民党の国土交通部会、国交相に申し入れ (毎日, 10/4)
》 悪魔のツール“ルートキット”最前線 第4回 ルートキット実装の2大手口(その1) (日経 IT Pro, 10/4)
》 事件と課題から考えるWindows Vistaのセキュリティ: UACによる権限の制限がユーザーを守る (日経 IT Pro, 10/4)
》 海の向こうの“セキュリティ” 第13回:企業のCSOにおける「過信」を懸念〜米E-Crime Watch Survey ほか (Internet Watch, 10/3)
》 マンション販売トラブルで「お詫び」 東急リバブル・東急不動産 (JANJAN, 10/4)
注目すべきはウェブサイトにおける上記文章の掲載位置である。東急リバブル・東急不動産とも会社からの発表内容を掲載するニュースリリース欄を設けているが、両者とも上記文章を別枠に表示させている。ニュースリリースならば過去の記事もバックナンバーの形で公開されたままになるが、上記文章は削除されたら、どこにも残らないものと思われる。ほとぼりが冷めたら跡形もなく削除してしまうことが予想される。
また、東急不動産のウェブサイトではニュースリリースをRSS配信しているが、別枠ならばRSS配信の対象にならない。騙し売りトラブルを反省材料として記録にとどめようという姿勢とは対極である。お詫び文章の出し方一つを見ても、企業の姿勢を判断できる。
そういうサイトは少なくない。
》 誰が教科書を歪めたのか、調査検証が必要だ (保坂展人のどこどこ日記, 10/3)
渡海文部科学大臣が「政治的介入があってはならない」と明言しているように、いったい今回の検定意見が「誰によって仕込まれたものなのか」の全容を解明することが、この先の政治課題となる。文部科学省が記者会見で配布した資料の中に「沖縄戦集団自決冤罪訴訟」という呼称が使用されていることに注目しておく必要がある。(この呼称は元軍人とその親族の訴訟の支援団体によるものである。文部科学省の手で配られた資料の中に、この表記があったことは重大だ。この点についてのみ伊吹前文部科学大臣は不適切を認めたが、なぜこうした文書を配ったかについての説明はない) 今回の検定意見の作成に対して、政治的圧力・介入がなかったのか徹底して検証する必要があると思う。
一個人が裁判を起こしただけで、その審理さえ十分行われていない段階で、歴史的事実の表記について「検定意見」が付されるという事態を既成事実化してはならない。
関連: 沖縄戦で首相「学校で教えていかなければならない」 (asahi.com, 10/4)
》 SELinux独占崩壊? (himainuの日記, 10/2)、SELinux独占崩壊?(2) (himainuの日記, 10/3)。予想されるネタ: NSA 陰謀説
》 Cyber Security Awareness Tip #2: Multimedia Tools, Online Training, and Useful Websites (SANS ISC, 10/2) の件で、はなずきんさんから教えていただいたページ:
ポリスチャンネルは天下りバリバリって気もしますが、今は気にしないことにしよう……。
QuickTime 7.2 のセキュリティアップデートについて (Apple) が登場。QuickTime 側でもこの欠陥が修正された。CVE-2007-4673
C:\ProgramFiles\QuickTime\QTSystem\QuickTime.qts ファイルのプロパティで修正後のバージョン 7.2.0.245 を確認できるそうで。
》 「警備会社シールのある所は金がある」 窃盗団リーダー供述 (産経, 10/1)。やまざきさん情報ありがとうございます。
渡辺容疑者はその後の調べに対し、「警備会社と契約している大型スーパーや事務所には金があると思い、危険を冒してでも狙った」と犯行の手口を詳述していることが判明した。
「強襲」ですね。
これまでの調べでは、グループは犯行時間を5分間までと定め、仲間が時間を計測。盗みの成功・失敗にかかわらず、警察や警備会社社員が現場に到着するまでに現場を離脱し、逃走用車両には馬力がある地元ナンバーのワゴン車を用意するなど周到に計画していた。
時間切れの場合も潔く高速離脱ですか。
》 ニフティ伊藤求のセキュリティ・スコープ 第1回 まだ古いWindowsは使ってませんか? (@nifty, 9/27)。JPCERT/CC から来た男。匿名希望さん情報ありがとうございます。
》 ComixWall 4.1b が公開されています。OpenBSD ベースのフリーな Internet Security Gateway だそうです。高橋さん情報ありがとうございます。
》 第11回重要インフラ専門委員会を開催 (内閣官房情報セキュリティセンター, 9/28)
》 第14回情報セキュリティ政策会議を開催 (内閣官房情報セキュリティセンター, 10/3)
》 文章の特徴を分析して個人を特定するプログラム (WIRED NEWS, 10/3)
》 北朝鮮帰国船 〜知られざる半世紀の記録〜 (NHK スペシャル, 10/8 放送予定)
》 欧州:拷問の犠牲者を移送する米国機を、くい止められないEU各国 (JANJAN, 10/2)
》 Skype、14億3000万ドルの損失発生でCEO退任へ (gigazine, 10/2)
》 Windows Resource Protectionの保護対象ファイル (B-) の独り言, 10/3)
》 オリコン訴訟第五回口頭弁論、終了 (SLAPP WATCH, 10/3)
》 金融庁 内部統制報告制度に関するQ&A (まるちゃんの情報セキュリティ気まぐれ日記, 10/3)
》 金融庁 個人情報保護法Q&A (まるちゃんの情報セキュリティ気まぐれ日記, 10/3)
》 悪魔のツール“ルートキット”最前線 第2回 ボットに組み込まれたルートキットを解析 (日経 IT Pro, 10/2)
》 悪魔のツール“ルートキット”最前線 第3回 デバイス・ドライバを利用してOSを改変 (日経 IT Pro, 10/3)
》 エンタープライズ・データを守れ (computerworld, 10/2)
》 Snort 2.8 Now Available (snort.org, 10/2)
》 コンピュータウイルス・不正アクセスの届出状況[9月分および第3四半期]について (IPA, 10/2)
今月の呼びかけ: 「 ボットの脅威をご存知ですか? 」
》 渡嘉敷島「集団自決」聞き取り調査へ (保坂展人のどこどこ日記, 10/1)
》 Cyber Security Awareness Tip #2: Multimedia Tools, Online Training, and Useful Websites (SANS ISC, 10/2)。日本語なページだとどんなのがありますかねえ。
》 迷惑メールへの対応の在り方に関する研究会 (総務省)
》 Internet Week 2007のカンファレンスに出演します (音楽配信メモ, 10/3)。「ノーギャラですけど!」と書かずにはいられない模様。
》 「ミャンマーへのODA停止を」市民団体が要望 (JANJAN, 10/3)
》 国交省のもくろみ・改正建築基準法の背景:その1 (JANJAN, 10/3)
》 貿易:『グローバル・フードチェーン』の光と闇 (JANJAN, 10/3)
》 モノカルチャーの脅威——次なる脅威はPDF (ITmedia, 10/3)。挙げられているのは PDF, Flash, Java, Google。
》 経口用のブドウ糖、水道水に溶かして患者に注射 下関 (asahi.com, 10/3)。ありえない……
》 サイバークリーンセンターについて (CCC)。「2007年10月1日参加ISP」が大量に記載された模様。
》 グーグル、Postiniのセキュリティサービスを「Google Apps」に統合 (CNET, 10/3)。そもそも Postini って何? という部分の答えはまったくない記事。 関連:
Google Apps Education Editon の売り込みは各所で行われている模様。
》 Advisory: Sophos Anti-Virus for Mac OS X shows a red cross on the Sophos shield and gives an error message (Sophos, 10/1)。Sophos AutoUpdate を再起動すればよいそうで。
/usr/libexec/StartupItemContext /sbin/SystemStarter start "Sophos AutoUpdate"
》 [openmya:038370] 第4回ばりかた勉強会のお知らせ。 2007.11.03、福岡県福岡市、1000 円。 Webアプリ脆弱性検査話、MOM 2005 Workgroup Edition 話。 花田さん情報ありがとうございます。
》 第 6 回 Admintech.jp コミュニティ勉強会。 2007.10.20、東京都渋谷区、1000 円。 Hinemos, Network Node Manager, Windows の SNMP, STOPエラー話。
Webmin の件: JVN#61208749: Webmin における OS コマンドインジェクションの脆弱性。 LAC の山崎圭吾さん。
元ねた: CISRT Under Attack *gasps* (trendmicro blog, 2007.10.02)。関連: ARP attack to CISRT.org (CISRT, 2007.10.02)。 両者から復元すると、攻略リンクは <iframe src=http://mms.nmmmn.com/99916.htm width=0 height=0 frameborder=0> ですか。
[Full-disclosure] iDefense Security Advisory 09.25.07: Linux Kernel ALSA snd_mem_proc_read Information Disclosure Vulnerability。Linux 2.6.22.8 で修正されたそうで。
103069: Installation of Sun Java System Access Manager 7.1 on Sun Java System Application Server 9.1 or 8.x May Compromise Application Server Security (Sun)。回避方法が記載されています。 CVE-2007-5153 CVE-2007-5152
[SA27007] Internet Explorer "OnKeyDown" Event Focus Weakness。 これですが、Firefox にも同じ問題があるそうで、 問題発見者は Opera を使えと言っています。
Ruby 1.8.6 以前 (?) の Net::HTTPS ライブラリに欠陥。 接続後にサーバ証明書の commonName フィールドを検査しない。 Ruby 1.8.5 / 1.8.6 の SVN 版では修正されている。 CVE-2007-5162
上記 patch 適用済の Ruby 1.8.5 / 1.8.6 (1.8.6-p110 / 1.8.5-p113) が用意されているそうです。植田さん情報ありがとうございます。
Net::ftptls, Net::telnets, Net::imap, Net::pop, Net::smtp にも同様の問題があり、 Revision 13656 で直っている模様。CVE-2007-5770。
》 記者の目:BSE全頭検査は税金の無駄=小島正美 (毎日, 10/2)。記者の主眼は「BSE全頭検査は税金の無駄」よりも、
これに対し、日本では当時の農林水産相らが「全頭検査は世界一厳しい検査だ。これで安全」と説明したため、国民は「全頭検査で安全が確保される」と信じてしまった。
では、何が安全性の対策かといえば、主に危険部位の除去と飼料規制だ。日本の食肉処理場でも危険部位を除去しているが、気がかりなのがピッシングと危険部位の舌扁桃だ。
ピッシングは牛が暴れないよう頭部にワイヤ状の器具を差し込み、脳組織を破壊する作業だ。もし感染牛にワイヤを差し込むと異常プリオンが血液に流れ、肉を汚染する可能性があるため、欧米では絶対禁止となっているが、日本ではいまだに半分近い処理場が実施している。
舌の奥にある扁桃は、欧米では切除法を決めて大幅に切除しているが、牛舌を食べる習慣のある日本では統一した切除法がなく、どこまできっちりと除去されているかは不明だ。危険部位の背骨とその神経組織も食肉処理場の外まで流通しているが、どこでどう廃棄されているかの実態報告はない。こういう肝心な点の議論がおろそかにされてきたのは、全頭検査への過信があったからだ。
「全頭検査」が危険部位除去の不徹底のゴマカシに使われている、という点かな。
》 海自洋上給油、米の補給先「承知せぬ」 答弁書閣議決定 (asahi.com, 10/2)
01年12月から07年8月末までの米艦艇への給油は計約38万5000キロリットルで、そのうち6割強にあたる約23万6700キロリットルが「補給艦への給油」であることを明らかにした。
こりゃひどい。
キティホークへの間接給油について、防衛省は先月、当初20万ガロン(760キロリットル)としていた給油量を80万ガロン(3030キロリットル)に訂正。
4 倍かよ。
》 w32/Zhelatin.gen!eml が検出され、メールデータごと削除される (マカフィー, 10/2)
》 Microsoftはもはや“セキュリティ後進企業”ではない!‐‐「TwC(信頼できるコンピューティング)」担当副社長、セキュリティ強化戦略の“今”を語る (Open Tech Press, 10/2)
》 「第3回 情報セキュリティ標語ポスター」の入選候補作品決定とご意見募集 (IPA, 10/1)。ウイルスねたが多いのは仕方ないのかなあ。
セキュリティ 一番の敵は 何も知らないあなたです
ざぶとん 3 枚。インターネットの場合、文字どおりの意味で敵になっちゃうからなあ。
》 10/24 内部犯行対策セミナー@CMUJ開催!! (武田圭史, 10/2)。『サイバー犯罪被害軽減のための方策:内部犯罪データの分析からの指針』。 2007.10.24、兵庫県神戸市、無料。平日の夕方なので注意。 武田さん情報ありがとうございます。
》 ロッカビー事件・はめられたリビア (田中宇の国際ニュース解説, 9/25)。記事自体は陰謀論系ではあるものの、メグラヒ容疑者再審決定ですか。この話、いまだに結着していなかったとは。
ふと思って大韓航空機撃墜事件 (ウィキペディア) を読んでみると、ブラック・ボックスって回収・解析されていたのですね。陰謀説は最終的に否定されていましたか。
この事件の最大の疑問点は、「民間機と認識した上で撃墜したのか」ということであるが、ソ連崩壊後に行われた、撃墜した戦闘機のパイロットのゲンナジー・オシポビッチや地上の指揮官に対するその後のインタビューの中で、『007便が航行灯を点灯していた』ことと、『パイロットも地上も、007便を民間機を装ったスパイ機と認識していた』ことが明らかになった。また、アメリカ軍が撃墜後のソビエト軍の地上基地同士の交信を傍受した中で、撃墜2時間後に「どうやら我々は民間機を撃墜してしまったらしい」という報告もなされていた。
これを裏付けるように、1976年に函館空港でのベレンコ中尉亡命事件でアメリカに亡命し、空軍顧問となっていたビクトル・イワノビチ・ベレンコ元ソ連空軍中尉は、事件当時、アメリカ国防総省の依頼で交信を解読し「領空を侵犯すれば、民間機であろうと撃墜するのがソ連のやり方だ。ソ連の迎撃機は、最初から目標を撃墜するつもりで発進している。地上の防空指令センターは、目標が民間機かどうか分からないまま、侵入機を迎撃できなかった責任を問われるのを恐れ、パイロットにミサイルの発射を指示した」と、1997年8月の北海道新聞のインタビューで証言している。
「ソ連崩壊後に行われた、撃墜した戦闘機のパイロットのゲンナジー・オシポビッチや地上の指揮官に対するその後のインタビュー」や USA の傍受内容ってどこで読めるのだろう。
「大韓航空007便事件の真相」(この書籍自体は陰謀説をとっています) は、この事件の数か月まえに、北方領土で米軍による戦争まがいの大規模演習 (領空侵犯含む) が行われており、それが撃墜の遠因ではないか、としていますね。
和田慎二の Jennie '83 のラストが大韓航空機撃墜事件なんだよね。ジェニーって誰? という人は、ロバート・ネイサンの「ジェニーの肖像」を読むこと。 ただし、Jennie '83 のジェニーはかなりオタッキーなアイテムと共に登場します。
》 Flash Player Administration Guide for IT admins (Emmy Huang, 9/30)
》 ヤフオクの補償規定が15日に改訂、“チャリンカー”の定義明確化など (Internet Watch, 10/1)。補償対象外指定が現行規定よりもかなり広がるようで。利用者は要注意。
》 「緊急地震速報」関連記事インデックス (Internet Watch, 10/1)
》 Schindlerの事故エレベーター同型機を港区が検証,制御盤でEMC対策の不備が発覚 (日経 Tech On, 9/21)。シンドラーのリフトは EMC 対策不足。
2006年6月3日に東京都港区の「シティハイツ竹芝」で高校生が死亡したSchindler社製エレベーターの事故を分析するために,港区は2007年7〜8月に機械的な摩耗や電磁雑音耐性を調べる一連の実験を行った(実験業務は,タクラム・デザイン・エンジニアリングやノイズシールドジャパンなどが実施)。このほど明らかになった報告書によると,事故機と同型のエレベーターの制御盤に電磁雑音を印加する実験から,制御回路が電磁雑音に極めて弱いことが判明した。方形波インパルスを印加した場合,最も弱い個所では50〜60Vのパルスにより,「指示なしで勝手に走行」「急停止」などの不具合が発生した。(中略)
制御回路(写真)を見たあるEMC技術者は,「ケーブルがむき出しになっているなど,一見して電磁雑音に弱いことが分かる。Schindler社は,設計段階で電磁雑音対策を考慮せず,出荷前にEMCのチェックを行わなかった可能性すらある」と述べた。
詳細については、日経エレクトロニクス2007年9月24日号の「スクープ:死亡事故のエレベーターを検証,制御盤でEMC対策の不備が発覚」を読めばわかるらしい。
》 【連載企画】合法的音楽配信サイトを作ってみる(2) (ITmedia, 9/28)、 【連載企画】合法的音楽配信サイトを作ってみる(3) (ITmedia, 9/29)
》 悪魔のツール“ルートキット”最前線 第1回 ルートキットの進化を追う (日経 IT Pro, 10/1)
》 関電の9月20日「概略影響検討結果報告書」−「主要な施設の安全機能は維持される」 従来の耐震安全性が崩壊した現実を前に 耐震安全性の基準を大幅に後退させる危険な手法 (美浜の会, 9/26)
》 石橋克彦さんを招いて 9月9日講演・討論会「原発の耐震安全性の崩壊−若狭の原発も危ない」報告 地震はとめられないが、「原発震災」はふせげる (美浜の会, 9/13)
》 ミャンマー情勢受け、ジャーナリストら緊急集会へ (asahi.com, 10/1)。 10月3日(水) ミャンマー(ビルマ)情勢緊急集会のご案内 (日本ビジュアル・ジャーナリスト協会) の話。2007.10.03、東京都千代田区、1000円。
》 権力側も躊躇なく裁判を起こす時代に? (SLAPP WATCH, 9/30)。福田内閣ねた。
》 ソニー生命保険、社員のウイルス感染で「Share」に個人情報流出 (Internet Watch, 10/1)
》 19歳郵便配達員はなぜ自殺した〜郵政民営化 光と陰(前) (JANJAN, 10/1)
》 ニコニコ動画、投稿動画の権利保護についての取り組みを開始 (gigazine, 10/1)
》 Cyber Security Awareness Tip #1: Penetrating the This Does Not Apply To Me Attitude (SANS ISC, 10/1)。日本誤に訳すと、「そんなの関係ねえ、という態度を突破する」かなあ。
》 トヨタの富士スピードウエィF1グダグダ運営 (@wiki)。そういえば横断幕映ってなかったなあ。そういうわけだったのか。トヨタだめすぎだよなあ。道路状況も、陥没以前の問題だったようで。ただでさえどしゃ降りなのに、トヨタにまで冷や水かけられていたとは。
来年からF1は鈴鹿開催としてください。
残念ながら来年も富士です。富士山が噴火でもしない限り……
488 名前:音速の名無しさん 投稿日:2007/09/30(日) 18:28:56 ID:IkLqfPQz0
一番いい抗議方は、展示会などでトヨタ系のショールームに行った時に、
F1の惨状を話して”だから買わない”と言うこと。
意外とセールス現場のこの手の苦情は国内営業本部など
発言権のある部署を動かす事が出来る。
》 アートワークとフリーソフトウェアのライセンス問題 (Open Tech Press, 10/1)。CC + GNU GPL 話。ややこしや〜ややこしや〜。
》 アパレル・メーカーのGap,ノートPC盗難で就職希望者80万人分の個人情報を流出 (日経 IT Pro, 10/1)
》 「検定意見撤回を求める沖縄県民大会」12万人の大結集 (保坂展人のどこどこ日記, 10/1)
》 神戸新聞のシステム障害はOracle9iのバグが原因 (slashdot.jp, 9/30)。へぇ〜。 神戸新聞のシステム障害はオラクルDBの問題、修正プログラム配布へ (日経 IT Pro, 9/28) によると
対象となる製品は日本オラクルの「Oracle9i Database」。データの検索を高速化する統計情報の採取処理をした後、データベースのシステムを強制終了すると、まれに起動ができなくなる問題が判明したという。(中略) なお、神戸新聞のシステムは業務終了時の処理としてデータベースを「強制終了(shutdown abort)」する仕様となっており、同社側に運用面での問題はなかったという。
通常運用で shutdown abort はどうよ、という話が #1227025 以降に。Oracle8まではshutdown abortデフォルトだったそうですが。
》 コッポラ監督が泥棒の被害、「バックアップは返してほしい」 (slashdot.jp, 10/1)。やっぱりオフサイト・バックアップは重要、ということでしょうか。
》 第三銀行vs百五銀行 (Okumura's Blog, 10/1)
- 両社のホームページのフッタの英語Copyright表記を比べよ。どこがおかしいか。
- 高木浩光@自宅の日記 2007年09月30日を読んで両社のネットバンキングのセキュリティの違いを論ぜよ。
- 両社ともにDNSの設定に問題がある。どちらがより多く問題を抱えているか論ぜよ。
》 荷物の重さを8割軽減、MIT開発の「外骨格」装具 (WIRED NEWS, 9/27)。なんと 1 ワットで ok だとか。
》 判例で理解するIT関連法律 第8回 サイバースクワッティング ドメイン名の不正登録は「不正競争」に当たる (日経 IT Pro, 9/27)
》 日常生活に入り込む、軍用超小型無人飛行機(MAV) (WIRED NEWS, 9/26)
》 2007年腐敗認識指数(CPI)の発表 (トランスペアレンシー・インターナショナル, 9/26)。指数が高いほど腐敗していないとされる。
貧困と腐敗の間に強い相関関係があることは今回も明らかであった。40%の国々はスコアが 3 点を下回り、汚職がはびこっていると認識されている。これらの国々は、世界銀行では低所得国として分類されている。ソマリアとミャンマーはともに1.4 点で、最も低い。一方、デンマークは最も高いスコアの9.4 点を得て、例年の優等国、フィンランドとニュージーランドに肩を並べた。
》 教育現場の事故事例を、企業のセキュリティ対策に生かす (日経 BP, 9/25)。 教育現場における情報セキュリティ事故・対応事例の研究 (NPO情報セキュリティフォーラム) の話。
![[セキュリティホール memo]](/%7Ekjm/security/memo/sechole-memo.gif){kind=small}
私について