Last modified: Fri Dec 26 13:20:25 2008 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 Vista 用の修正プログラムが WSUS に流れてきてますね……。 929763 929427 925528 928089 929685 930163 929777 929762 929761 929735 929615 ですか。多すぎ。
》 共謀罪:対象犯罪の大幅削減で合意 自民小委が初会合 (毎日, 1/31)
》 露特殊部隊、リトビネンコ氏写真を的に射撃訓練…英紙 (読売, 1/31)
》 検査食「エニマクリン」自主回収のお知らせ (江崎グリコ, 1/30)
》 星野君のWebアプリほのぼの改造計画番外編(1)Flashとポリシーファイルの密接なカンケイ (@IT, 1/30)
》 携帯の有害サイト制限機能、標準装備を…中教審が答申 (読売, 1/30)。関連: 「フィルタ付きがデフォルト」は重大な問題だ (崎山伸夫のBlog, 1/24)
》 ファイル交換ソフトによるダウンロードを私的複製の範囲外に: 文化審議会著作権分科会、報告書で検討の必要性を指摘 (日経, 1/31)
》 ナショナルのマッサージチェア6機種に発煙・発火の恐れ (家電 Watch, 1/31)
》 日本ガス石油機器工業会、石油関連機器のリコール呼びかけを強化 〜ナショナル、三洋、ノーリツなど8社61機種 (家電 Watch, 1/31)
》 その後のシンドラー。ある方から興味深い情報をいただいた (ありがとうございます) ので、それを元にいろいろ調べた結果。
ソニー株式会社のバッテリーパック自主交換プログラムについて(第4報) (富士通, 2007.01.30)
当社は国内販売機種のバッテリーパック自主交換を2006年10月20日より開始しましたが、個人のお客様からの交換の申し込みが少ない状況にあります。そのため、当初は申し込み期間を2007年1月末日までとしておりましたが、2007年7月末日まで延長します。
APSB07-01 と APSA07-0[12] の日本語版が出ていました。
2007年1月16日 -- Windows版Adobe ReaderおよびAcrobat 6.0.6の公開にあわせて情報を更新
(中略)
Adobe Reader 6.0〜6.0.5をご利用の方で、オペレーティングシステムの制約などからバージョン8または7.0.9へのアップグレードが不可能なお客様には、http://www.adobe.com/jp/downloadsから入手できる一連のパッチを利用するか製品内の自動更新機能の案内に従って、バージョン6.0.6へのアップグレードを推奨します。
SONY BMG、rootkit問題でFTCと和解へ (ITmedia, 2007.01.31)。FTC と和解だそうです。
Safari Improperly Parses HTML Documents & BlogSpot XSS vulnerability。 CVE-2007-0478
ケータイ DoS (Bluetooth 経由)
Sony Ericsson K700i, Nokia N70, Motorola MOTORAZR V3, Sony Ericsson W810i, LG Chocolate KG800 が対象とされている。 CVE-2007-0521 CVE-2007-0522 CVE-2007-0523 CVE-2007-0524
》 IPAたんからの返事 (ぼくはまちちゃん!(Hatena), 1/30)
》 最高裁と新聞社共催フォーラムで「サクラ謝礼」 (保坂展人のどこどこ日記, 1/30)
実施のための予算は平成17年度・18年とも3億4千万円で、いずれも随意契約で最高裁判所と電通の間で契約書が交わされた。 (中略) ただ、気になったのは最高裁判所の経過報告の中で、「不適切な支出」は各新聞社が行ったもので、「最高裁判所や最高裁判所から実施業務全体を請け負った株式会社電通は一切関与していない」(最高裁)と断言していることだ。 (中略) 最高裁はどのような調査にもとづいて「電通は一切関与していない」と言えるのだろうか。
》 ニフティの新Webメールサービスがシステム障害で停止、再開時期は未定 (日経 IT Pro, 1/29)。 Web メール (@Nifty)。動いてませんね……。
》 Windows Vista (TM)をお使いのお客様へ (@Nifty)。いろいろだめなものがあるんですね。
》 シマンテック、IT管理ソフトウェアのAltirisを買収へ (CNET, 1/30)。あらまあ。
》 最新版ダウンロード: ウイルスバスター2007 トレンド フレックス セキュリティ (トレンドマイクロ)。15.30 版出てます。死ぬほど遅い状況は解消されているのでしょうか? ところで、ウイルスバスター 2007 をインストールしたまま Vista にアップグレードすると変になる模様。
また、制限事項もある模様。
あと、トレンドマイクロのせいじゃない不具合事例。どちらもマイクロソフトが修正モジュールを作成中。
しかし、修正モジュールができたとしても「有償サポートから取得してください攻撃」が行われるとだめだめですね。どうなることやら。
今回の裁判は、2006年2月に加藤医師が逮捕された直後から、関係学会から抗議文が出されるなど、もともと医療界の注目度は高かった。起訴事実はもちろん、医療の専門性と医療刑事裁判のあり方、さらには医師法第21条の違憲性までも法廷の場で議論される様相を呈している。これはこれまでの裁判ではあまり見られなかった、今回の裁判の特徴といえる。
この「逮捕」によって、医療現場には深刻な影響が発生しているそうで……。
》 違法コピーの内部告発増加は個人の意識向上を示す、BSA活動報告 (ITmedia, 1/30)
》 仮想マシン上でのVista稼動、なんかヤバくね? (wakatonoの戯れメモ, 1/29)。いやはや、テストするにも苦労する OS ですか。 壁ばかりでは眺めは最低なんですけどねえ。 確認したい人はこちらから: Find License Terms for Software Licensed from Microsoft
1.2kg くらいの iBook つくってくださいよ > Apple。
》 Windows Vistaには、Windows Anytime Upgradeという機能があります。ウイルスバスター2007はWindows Anytime Upgradeに対応していますか? (トレンドマイクロ)。いいえ。
》 アイフルCM再開に被害対策会議が抗議 (JANJAN, 1/28)。他人の苦難よりは自分のカネ、ってことですな。
》 3.5型外付けハードディスクユニット 「LHD-ED250U2」「LHD-ED400U2」「LHD-ED250SAU2」 ウイルス混入のお詫びとウイルス対策のご案内 (ロジテック, 1/29)
製品名 対象シリアル番号 該当台数 LHD-ED250U2 6CA3770****** 28台 LHD-ED400U2 6CA3772****** 20台 LHD-ED250SAU2 6CA3813****** 20台
》 弊社サーバーへの不正アクセスについて (三井住友 VISA カード, 1/25)
弊社が提供するインターネットサービス「Vpass」の一部のサーバーに不正にアクセスがあり、一部のお客様の会員番号・有効期限を含むカード情報が流出した可能性があることが判明いたしました。
(中略)
(1)対象件数 : 14件(弊社分:4件、弊社受託先分:10件)
…うち8件は既に解約済みで無効のカード情報でした。
(2)対象データ : 会員番号、有効期限、インターネットサービス用のID・パスワード等
(なお、お客様の名前、住所、電話番号等の情報は含まれておりません)
》 1.5.0_11 での変更点 (Java.sun.com)。Windows Vista への対応項目がけっこうありますね。
南敏文裁判長は、NHK幹部が放映前に安倍晋三首相(当時は官房副長官)らに面談し「相手の発言を必要以上に重く受け止め、その意図をそんたくして改編した」と初めて認定し、NHKなど3社に200万円の支払いを命じた。NHKは即日上告した。
NHK が政権与党の意向を「必要以上に重く受け止め」るのは日常茶飯事だからなあ。そういう中で、なお「狂牛病 なぜ感染は拡大したか」 や「ワーキングプア〜働いても働いても豊かになれない〜」(紙屋研究所によるすごい感想文) のような良質な番組を送り出している現場の方々にはエールを送りたい。
というわけで、NHK は両番組を「NHK アーカイブス」枠で放送してください。
》 バンダイ:テレビゲーム17万個を回収 電源コードが過熱 (毎日, 1/29)
回収対象は、同シリーズの「たまごっちりぞーと」(06年9月発売)、「ケロロ軍曹」(同)、「なりきり体感ボウケンジャー」(同7月発売)
元ねた: 「Let's! TVプレイ シリーズ」商品の回収・交換のお知らせ (バンダイ, 1/29)
》 「Teredo」を使ったIPv6に飛びつく前に考慮すべきこと (日経 IT Pro, 1/30)
Sun Microsystems Java GIF File Parsing Memory Corruption Vulnerability Prove Of Concept Exploit
sage 1.3.10 が出たようです。
As reported by JPCERT/CC:とあるので、その話のようです。
これにあわせて、Sage++ (Higmmer's Edition) 1.3.10 も登場しています。
また、[重要] Sage++ (Higmmer's Edition)の脆弱性情報に関して、お詫びと釈明 が加筆されています。
(1/30追記) 上記Fail項目の内、「Non-Alpha-Non-Digit」「Evade_Regex_Filter2」については公式版Sage 1.3.10で修正されたことを確認しました。しかし、残る「Double_open_angle_brackets」については未だに修正されていない模様です。詳しくはこちらのエントリを参照して下さい。尚、拙作のSage++ 1.3.10では高速HTMLフィルタが使用不能になっており、上記脆弱性は発生しません。
というわけで、Sage 1.3.10 にはまだ問題が残っているようです。 利用者はご注意を。
そうださん、高橋さん情報ありがとうございます。
Oracle - Indirect Privilege Escalation and Defeating Virtual Private Databases
Internet Explorer 7 ActiveX bgColor property NULL pointer dereference (DoS)。よくある話。
Multiple Printer Providers (spooler service) Privilege Escalation Exploit (milw0rm)。DiskAccess NFS Client dapcnfsd.dll, Citrix Metaframe cpprov.dll, Novell nwspool.dll の名前が挙がっている。
[SA23960] Drupal Comment Preview Arbitrary Code Execution。 Drupal 4.7.6 / 5.1 で直っているようです。
[SA23979] Sun Java System Access Manager Cross-Site Scripting。 patch があるようです。
》 「情報セキュリティガバナンスシンポジウム」の開催について (経産省, 1/29)。情報セキュリティガバナンスシンポジウム 2007 (日経) の話。 2007.02.20、東京都千代田区、無料。
》 .NETでのUnicode合成文字の処理について調べた (日経 IT Pro, 1/23)。いろいろあるんですね。
》 低カロリーガス:15社もCO含むガス 経産省、北海道・北見の中毒受け調査 (毎日, 1/22)。とんとかいもさん情報ありがとうございます。
北海道北見市で3人が死亡し11人が一酸化炭素(CO)中毒になった北海道ガスの事故に絡み、北ガスと同様に中毒性の高いCOを含む低カロリーガスを供給している事業者が全国に15社あることが、経済産業省の調べで分かった。いずれも2010年をめどに安全な高カロリーガスへ切り替えを終える予定だが、現状では転換作業に着手している業者は5社のみで、安全対策はガス管の点検と利用者への注意喚起に頼るしかないという。
おおもとの問題はここにあった、と……。
◆CO含むガス供給事業者◆ (経済産業省調べ、※は高カロリーに転換中)
※北海道ガス(札幌市)
※旭川ガス (北海道旭川市)
釧路ガス (北海道釧路市)
室蘭ガス (北海道室蘭市)
帯広ガス (北海道帯広市)
岩見沢ガス(北海道岩見沢市)
青森ガス (青森市)
八戸ガス (青森県八戸市)
弘前ガス (青森県弘前市)
山形ガス (山形市)
福島ガス (福島市)
※日本海ガス(富山市)
丹後ガス (京都府舞鶴市)
※福山ガス (広島県福山市)
水島ガス (岡山県倉敷市)
※四国ガス (愛媛県今治市)
関連: 北海道北見市におけるガス中毒事故について(第5報) (経済産業省, 1/22)
》 不二家、諦めと停滞の果て: 不祥事の根源は12年前の1月23日にあり (日経 BP, 1/29)。不二家の凋落は昨日今日はじまった話ではない説。
》 おおいたぎんこうダイレクト(個人向けインターネットバンキング) における「セキュリティの警告」画面について (大分銀行, 1/26)。 https://www2.paweb.anser.or.jp/ を利用しているサイトはどこも同様の状況になっていたようです。 例: 東京都民銀行インターネットバンキングにおける「セキュリティ警告」画面について (東京都民銀行, 1/26)。 Benjamin さん情報ありがとうございます。
》 「JPドメイン名紛争処理方針等改訂案」 に対するご意見募集のお知らせ (JPNIC, 1/23)。2/19 まで。
》 2007年のWindowsセキュリティを展望する (日経 IT Pro, 1/29)
》 ル・モンド・ディプロマティーク 2007.01 より:
》 『ヒバクシャになったイラク帰還兵−劣化ウラン弾の被害を告発する』を読んで (JANJAN, 1/25)
》 「栃木県警の虚偽」裁判:第1回口頭弁論 (JANJAN, 1/25)
》 暗号化仮想ドライブで手軽にファイルを暗号化 (@IT, 1/27)。 TrueCrypt というツールがあるのですか。Windows と Linux で使えるそうで。
ボリュームを暗号化する暗号化アルゴリズムと、鍵などに使われるハッシュアルゴリズムを選択する。特に理由がない限りは、標準で選択されている“AES(Advanced Encryption Standard)”と“RIPEMD-160”で問題がないだろう。
選択できるハッシュ関数は Whirlpool、SHA-1、RIPEMD-160 の 3 つ。 関連:
》 最も強い影響を与えたブランドにGoogle——米調査 (ITmedia, 1/27)。これ、brandchannel.com の Reader's Choice Awards ですね。母集団がどのように偏ってるのかさっぱりわからないので、ぶっちゃけ無意味なのでは。
》 Google、グーグル爆弾の対策を表明 (ITmedia, 1/27)。 関連: Google bomb (Wikipedia)
》 NEC、IP電話を用いたスパムを防止する技術−検出率は“99%” (Enterprise Watch, 1/26)
NECヨーロッパネットワーク研究所で作成したSPITサンプルを用いた撃退シュミレーションでは、99%のSPITを検知・遮断できたとのこと。
》 フレッツのIPv6利用者、Vistaで一部サイトの表示が遅延: デュアルスタックサイトへの接続で「IPv6-IPv4フォールバック」発生 (Internet Watch, 1/26)
フレッツのIPv6サービスでは、割り当てられるIPv6アドレスはフレッツ網内での利用を前提としているため、外部には接続できない。一方、 Windows Vistaでは、接続先のサイトがIPv6とIPv4の両方に対応していると、最初にIPv6での接続を試みて、約20秒待って接続できなかった場合に IPv4での接続を行なう。このため、IPv6とIPv4の両方に対応しているサイトの場合には、IPv6での接続ができないためにサイトの表示までに時間がかかる「IPv6-IPv4フォールバック」の問題が発生する。
「フレッツのIPv6サービスでは、割り当てられるIPv6アドレスはフレッツ網内での利用を前提としている」という部分がチンカスなだけなんですけどね。
》 元露スパイ殺害、「ルゴボイ氏関与」ロンドン警視庁断定 (産経, 1/27)、 ロ元スパイ変死への関与伝えられたルゴボイ氏、猛反発 (CNN, 1/28)、 元スパイ毒殺、英当局が起訴断念か・英紙 (日経, 1/28)
》 The certification password of Internet Explorer 7 and operation of auto complete 。 IE のオートコンプリート / パスワード保存機能だが、 データ保存形式が IE 7 でがらっと変わったのだそうだ。 これを読み出す方法について記載されている。
》 かみ合わない論争での発言の真意を想像する (日経 IT Pro, 1/26)。 ネット時代の反論術の話。 書籍の解説ページには「論戦必勝のコツを伝授します」とか書かれているが、実はそういう本では必ずしもないらしい。 ネットvs.リアルの衝突の「誰がウェブ 2.0 を制するか」といい、 文春新書にはズレたサブタイトルや説明をつけたがる人がいるのだろうか。
iDefense Security Advisory 01.26.07: Multiple Vendor libchm Page Block Length Memory Corruption Vulnerability。 libchm 0.39 で直っているそうです。
Internet Explorer ActiveX bgColor Property DoS (securiteam)
[SA23862] Microsoft Help Workshop Two Buffer Overflow Vulnerabilities。.CNT と .HPJ ファイルの扱いに欠陥。 CVE-2007-0427 (.HPJ ファイル)
書籍についてはとりあえず発注してみた。
》 セキュリティ強度を第三者が認定,沖データがページプリンター新製品で (日経 IT Pro, 1/24)。 セキュリティ機能を強化した小型A3 カラーLEDプリンタ「C8800dn」を新発売 〜ISO/IEC 15408(コモンクライテリア)に対応〜 (沖データ, 1/24) によると EAL3 の取得を予定しているそうです。
》 柳沢厚労相「機械」発言、野党が一斉批判…辞任要求も (読売, 1/28)。 安倍内閣って話題が尽きませんね。 そういえば、マジンサーガにそんな場面がありましたねえ。
》 米国:ミサイル迎撃実験に成功 ハワイ沖の太平洋上で (毎日, 1/28)。THAAD の実験が成功だそうで。
長村教授によると、一方で「良心的なテレビマンもいた」という。「あるある」の放送後、同じ趣旨で取材をしてきた他局の番組のディレクターは、長村教授の実験内容を聞いて、放送予定日の直前、企画の中止を決めたという。「こうして、話せば分かるテレビマンもいたということに妙な安らぎを感じた」と話した。元ねたである 「納豆ダイエット事件で忘れられているもう一つの問題点」 (健康食品管理士認定協会) によると、この「良心的な」番組は日本テレビの「所さんの目がテン」だそうで。
》 防衛省 サイバー攻撃に対処する「ネットワーク運用隊」 (まるちゃんの情報セキュリティ気まぐれ日記, 1/27)
》 密告義務法の「日切れ法案」扱いはおかしい (保坂展人のどこどこ日記, 1/27)
》 米国防総省、マスコミ関係者を集めてADSの公開実験を開催 (technobahn, 1/26)。非殺傷兵器ねた。
地震や津波の情報は、放送を見逃してしまうと、あとから確認することは出来ませんでした。今回スタートした「地震・津波情報」データ放送では、震度や津波の予想到達時刻などの情報を簡単に確認することが出来ます。また、BShi、デジタル総合では、地震が起きたときに自動的にデータ放送を表示するように、あらかじめ設定する事ができます。詳しくはこちら。
へぇ。知らんかった……
》 Malware author wants to gain attention via Windows Live Messenger password stealer (SANS ISC, 1/26)
》 The Google blacklist (avertlabs.com, 1/25)
On his blog, Michael Sutton who analyzed this link, explains it is used by the Google Safe Browsing for Firefox extension which is now part of the Google Toolbar for Firefox.
Mac OS X 関連ねた
APPLE-SA-2007-01-25 AirPort Extreme Update 2007-001。 ダウンロード。 CVE-2006-6292
[Full-disclosure] PHP 5.2.0 safe_mode bypass (by Writing Mode)
Medium Risk Vulnerability in PGP Desktop。 PGP Desktop 9.5.1 で修正されているそうです。
RubyGems 0.9.0 and earlier installation exploit 。RubyGems 0.9.0 用の patch が添付されている。 また RubyGems 0.9.1 で修正されているそうです。 CVE-2007-0469
Buffer overflow in VSAPI library of Trend Micro VirusWall 3.81 for Linux。PoC コードつき。 最新バージョンである InterScan VirusWall 6 には関係なさそう。
[SA23900] Sun Ray Server Software Password Disclosure 。patch があるそうです。 CVE-2007-0482
[CAID 34993]: CA BrightStor ARCserve Backup for Laptops and Desktops Multiple Overflow Vulnerabilities。 Windows 版の BrightStor ARCserve Backup for Laptops and Desktops 11.x などに、remote から local SYSTEM 権限を取得できる欠陥があるようで。 11.1 SP2 では修正されており、11.1 SP1 以前用の patch もあるようです。 CVE-2007-0449
ZDI-07-006: Citrix Metaframe Presentation Server Print Provider Buffer Overflow Vulnerability。 patch があるそうです。 CTX111686 - Vulnerability in Citrix Presentation Server's print provider could result in arbitrary code execution (Citrix) を参照。 CVE-2007-0444
[CAID 34818]: CA Personal Firewall Multiple Privilege Escalation Vulnerabilities 。CA Personal Firewall 2007 (v9.0) Engine version 1.0.173 以前に欠陥がある模様。2007.01.22 の自動更新 (Engine version 1.0.176) で修正されているそうです。 CVE-2006-6952
Weaknesses in Pingback Design。 Pingback を使って DoS できるという話かしら。
Multiple Remote Vulnerabilities in Wordpress。 Weaknesses in Pingback Design で示される攻撃の影響を受けるそうで。 Wordpress 2.1 で修正されているそうです。
[SA23908] Drupal Project Module Script Insertion Vulnerability
[SA23887] Drupal Project Issue Tracking Module Multiple Vulnerabilities
[SA23884] GTK+ "GdkPixbufLoader()" Denial of Service。 GTK+ 2.x が対象とされている。 RHSA-2007:0019-3 が元ねただそうだ。 CVE-2007-0010
[SA23847] Check Point Products ICS Security Bypass。 Connectra と VPN-1 用の patch が出ているそうだ。
EEYEB-20070119_1: A flaw exists within Windows Vista that allows local privilege escalation to SYSTEM (eEye)。もちろん patch はまだない。
EEYEB-20070119_2: A flaw exists within Sun JRE which allows for remote execution of arbitrary code with minimal user interaction (eEye)。もちろん patch はまだない。
BrightStor ARCserve Backup 話:
》 アパホテルで耐震偽装。しかし話はそれだけでは納まらない可能性あり。
いずれも田村水落設計(富山市)の水落光男・1級建築士が構造設計をし、03年8月に民間検査会社の京都確認検査機構が建築確認をした。
国土交通省は25日、この建築士が関与した建物のうち未調査の126件の調査を関係自治体に要請するとともに、関与を把握している全168件、都道府県別件数を公表した。
関連: 検証・耐震偽装 悪いのは誰か?何か?(5)藤田社長の著書を読んだ (JANJAN, 1/26)。「月に響く笛 耐震偽装」の話。書籍紹介より:
【本書からの抜粋】
P.380より
2006年2月14日ごろ、イーホームズでは既に若葉駅前、成田の偽装を把握し、2月17日に田村水落設計を呼んだ所、偽装を認めた。「こんな手法は俺のほうが姉歯より先に始めたんだ。早く申請を出すために、一旦は改ざんしたものを出して、後で計画変更をする。こんなことやってるのは他にもいる」と、証言したという。しかし、現実は計画変更はなされずに改ざんされたままの構造計算図書で工事が進行していた。今回の京都のアパホテルの偽装はこれを裏付ける結果となった。
JANJAN 記事より:
昨年、暮れもおしつまった12月25日に発行されたこの本は、当初文藝春秋社から発行されることになっていた。企画会議も通り出版が決定し、今年2月には出版される予定だった。11月の中旬までは‥‥。
中止された理由は、(06年6月に朝日新聞が報道した)アパグループが作ったマンションの「構造計算書の偽装」に関する記述を削除するか、偽装を国や行政が認めた後でなければ出版することはできないということだった。
文藝春秋社……。
さらに関連:
》 Chat with "Corpse" (F-Secure blog, 1/26)
》 毎日新聞連載「ネット君臨」で考える取材の可視化問題 (CNET, 1/25)。当該記事はこちらを参照。
》 スパイウエア対抗団体ASCがスパイウエア特定のベスト・プラクティスを公開 (日経 IT Pro, 1/26)
》 「Vistaのスパイウエア対策ソフトは検出漏れ84%」,Webrootの調査 (日経 IT Pro, 1/26)。ちなみに Webroot の Spy Sweeper 5.0 は PC MAGAZINE Editor's Choice になってますね。 antispyware (PC MAGAZINE) も参照。 あと、Windows Defender (beta 2) は PC MAGAZINE では こんな評価でした。
[重要] Sage++ (Higmmer's Edition)の脆弱性情報に関して、お詫びと釈明 (ひぐまのひまグ, 2007.01.25)。
以上のことから、Firefoxの拡張機能「Sage 1.3.x」「Sage 1.4」及び「Sage++ (Higmmer's Edition)」はまさに「非常に危険な」拡張機能のひとつであり、現時点では一般ユーザーが気軽に使用することを推奨できるソフトウェアではないと言わざるを得ません。ご使用にあたってはそのメリット・デメリットをよく考慮の上、各自の「自己責任」(本来この言葉はあまり好きではないのですが)の元において使用を継続するなり、中止するなりのご判断をして頂きたいと思います。
関連: [重要] Sage++ (Higmmer's Edition)の脆弱性情報に関して、お詫びと釈明 (ひぐまのひまグ) (葉っぱ日記, 2007.01.26)
Sage 1.4の脆弱性については IPA 経由での届出はなされてないんですかね。
0-day でばらしちゃう人がそういうことをするとは思えないけどなあ。
関連情報を追加した。
SYM07-001: Symantec Web Security に複数の脆弱性 (2007.01.24)。Symantec Web Security 3.0.1.85 で修正されているそうです。
JVN#93700808: Sleipnir の RSSバーにおけるセキュリティゾーンの扱いに関する脆弱性 (2007.01.26)。Sleipnir 2.5 で修正されているそうです。
JVN#64354801: b2evolution におけるクロスサイトスクリプティングの脆弱性 (2007.01.26)。b2evolution 1.8.7 / 1.9.2 で修正されているそうです。 b2evo 1.8.7 AND 1.9.2 released! (b2evolution.net) より:
They both include additional security enhancements over the previous versions.
Although the addressed issues are not very likely to be exploited in a meaningful way, we still recommend that you upgrade for maximum security.
WebFORM 話。
WebFORM 4.4 で修正されているそうです。 Web メーラー にも同じ問題があって、 Web メーラー 1.02 で修正されているそうです。
JVN#82258242: ショッピングバスケットプロにおける OS コマンドインジェクションの脆弱性 (2007.01.25)。 ショッピングバスケットプロ 7.51 で修正されているそうです。
Word 2000 に 0-day 欠陥。 Word 文書の処理において buffer overflow する欠陥があり、攻略 Word 文書によって任意のコードを実行できる。 現時点では patch はもちろん存在しない。 CVE-2007-0515
関連:
Microsoft Word 2000 Unspecified Code Execution Vulnerability Exploit (0-day) (milw0rm)
》 NOD32アンチウイルス V2.7へのプログラムアップデートを開始しました (キヤノンシステムソリューションズ, 1/24)
日本作詞家協会のいではく理事は (中略) 「50年で十分保護しているだろうという意見は、作った側が言うなら納得できれば、使う側の人に言って欲しくない。そんな権利は誰にあるんだ」とし、「パブリックドメインになると、作詞した歌をパロディされるとか、安易な使われ方、不快な使われれ方をすることも十分考えられる。自分の歌をパロディにはしてほしくないと思うから未来永劫に守ってほしい。それが無理ならできるだけ長くして欲しい」と語った。使う側の人は権利期間について発言してはいけないんだそうです。
》 Windows XP Homeのサポート延長? (slashdot.jp, 1/24)。#1097996 にざぶとん 3 枚!
》 今では考えられないおもちゃ「原子力エネルギー実験キット」 (technobahn, 1/25)。いやーやっぱり USA はすげえ。さすがはキャプテン・フューチャーを産み出した国だ (キャプテンは素手で原子炉をつくれます……宇宙囚人船の反乱だったかな。武勇伝武勇伝)。
まあしかし、「今から思えば」は世の中にたくさんあるわけで。最初のコカ・コーラの成分とか。
google XX では広汎な情報操作が行われているようですね……。 多分、Microsoft など他社でも同様なのでしょうけれど。
》 加害者と擁護者が組んだ、悪質なネットナンパ (Semplice, 1/23)。マッチポンプですね……。
》 Internet Week 2006 のチュートリアル資料が公開されてますね。
》 FIX: When you run Windows Update to scan for updates that use Windows Installer, including Office updates, CPU utilization may reach 100 percent for prolonged periods (Microsoft) の patch をあてると access violation が発生することがあるそうな:
対応するには、さらに別の patch をあてるのだそうで。You need one more PTF の世界だなあ。
》 民営化した戦争:『戦争請負会社』を読んで (JANJAN, 1/25)。民間軍事会社ねた。 民間でできる事は民間で (C) 小泉純一郎。
》 携帯3社、電波の安全性「改めて生体への悪影響なし」と主張 (ITmedia, 1/24)
》 知っておきたい!システム障害時に使う英語 Part4 問い合わせ編 (日経 IT Pro, 1/25)
》 Shareネットワーク可視化システム「Sharebot」の仕組みと運用方針 (日経 IT Pro, 1/24)
》 保坂展人のどこどこ日記から:
「共謀罪」は迷走中だが、「密告義務法」は疾走中で、このまま話題にならなければ3月末には「成立」する見込みである。共謀罪もおそろしいが、メタルの表裏のような関係にある「密告義務法」は経済社会生活全般に大きな影響を及ぼすことになる。
関連:
》 情報は*人*を媒介にして伝わっていく (Microsoft)。背中で語るチームチドリのみなさんの写真あり。
》 生体情報を復元できない形に変換して登録・照合を行う生体認証技術を開発 生体情報の漏えい防止機能を強化 (日立, 1/23)
本内容に関して、2007年1月23日から26日まで長崎県佐世保市で開催される「暗号と情報セキュリティシンポジウム(SCIS2007)」において発表する予定です。
SCIS2007 プログラムのどれだろう……。「3F4-3 セキュアなリモート生体認証プロトコルの提案」かなあ。
》 Windows XP Home Editionのサポート提供期間を2014年4月まで延長 (Microsoft, 1/25)。XP Home と XP Media Center に 5 年の延長サポートが提供され、XP Pro と同等のサポート期間となった模様。関連:
Windows で Apple Software Update を使って Security Update 2007-001 を適用すると、以下が更新されるみたい。
更新後の QuickTimePlayer.exe の digital signature はこんな感じ:
QuickTimePlayer のバージョン自体は 7.1.3.90 のままだった。
人生いろいろ、開発者もいろいろ。
JPCERT/CCからの連絡によるとこの脆弱性はオリジナルのSage 1.3.9にも存在するらしいので、
オリジナルの Sage 1.3.9 を利用している人も注意しましょう。
[重要] Sage++ (Higmmer's Edition)の脆弱性情報に関して、お詫びと釈明 (ひぐまのひまグ, 2007.01.25)。
以上のことから、Firefoxの拡張機能「Sage 1.3.x」「Sage 1.4」及び「Sage++ (Higmmer's Edition)」はまさに「非常に危険な」拡張機能のひとつであり、現時点では一般ユーザーが気軽に使用することを推奨できるソフトウェアではないと言わざるを得ません。ご使用にあたってはそのメリット・デメリットをよく考慮の上、各自の「自己責任」(本来この言葉はあまり好きではないのですが)の元において使用を継続するなり、中止するなりのご判断をして頂きたいと思います。
関連: [重要] Sage++ (Higmmer's Edition)の脆弱性情報に関して、お詫びと釈明 (ひぐまのひまグ) (葉っぱ日記, 2007.01.26)
Sage 1.4の脆弱性については IPA 経由での届出はなされてないんですかね。
0-day でばらしちゃう人がそういうことをするとは思えないけどなあ。
sage 1.3.10 が出たようです。
As reported by JPCERT/CC:とあるので、その話のようです。
これにあわせて、Sage++ (Higmmer's Edition) 1.3.10 も登場しています。
また、[重要] Sage++ (Higmmer's Edition)の脆弱性情報に関して、お詫びと釈明 が加筆されています。
(1/30追記) 上記Fail項目の内、「Non-Alpha-Non-Digit」「Evade_Regex_Filter2」については公式版Sage 1.3.10で修正されたことを確認しました。しかし、残る「Double_open_angle_brackets」については未だに修正されていない模様です。詳しくはこちらのエントリを参照して下さい。尚、拙作のSage++ 1.3.10では高速HTMLフィルタが使用不能になっており、上記脆弱性は発生しません。
というわけで、Sage 1.3.10 にはまだ問題が残っているようです。 利用者はご注意を。
そうださん、高橋さん情報ありがとうございます。
関連:
2007年2月4日をもって公開停止しました 長らくのご愛用ありがとうございました
JVN では
2007/02/09 現在、Sage++ の公開およびアップデートは停止されています。Sage++ ユーザは Sage の最新版を利用することを推奨します
となっているが、 [重要] Sage++ (Higmmer's Edition) 1.3.10a 最終リリース (ひぐまのひまグ) などによると、Sage 1.3.10 には (複数の?) 欠陥が残っているようです。 ご注意を。
Cisco IOS に複数の欠陥。
Cisco Security Advisory: Crafted TCP Packet Can Cause Denial of Service (Cisco)。 攻略 IPv4 TCP パケットによってメモリリークが発生するため、remote からの DoS 攻撃が可能。IPv6 TCP パケットではこの欠陥は発生しない。
対象 IOS: 修正されていないもの全て。関連:
Cisco Security Advisory: Crafted IP Option Vulnerability (Cisco)。 攻略 IP オプションのついた特定の IP パケット (ICMP type 8 / 13 / 15 / 17, PIMv2, PGM, URD) の処理に欠陥があり、DoS 攻撃の他、任意のコードの実行も可能。 この欠陥については Cisco IOS XR も対象になっている。
対象 IOS / IOS XR: 修正されていないもの全て。関連:
Cisco Security Advisory: IPv6 Routing Header Vulnerability (Cisco)。 攻略 IPv6 Type 0 ルーティングヘッダによって IOS がクラッシュするため、remote からの DoS 攻撃が可能。IPv6 Type 2 ルーティングヘッダではこの欠陥は発生しない。
対象 IOS: 12.x の一部。関連:
欠陥に対応した IOS に更新すればよい。
関連情報を追加した。
bind 9.2.8 / 9.3.4 / 9.4.0rc2 登場。2 件のセキュリティ欠陥が修正されています。
今日のクローズアップ現代「“独占ソフト”発売の波紋 〜新ウィンドウズ発売〜」において、Microsoft の Windows 本部 本部長 ジェイ・ジェイミソン氏がサポート延長を明言していましたから、実際に延長されるのでしょう。
きょうの言葉: 「正直者はバカを見る」
》 Remove old JRE! (SANS ISC)。古いのは消しましょう。
》 Review: Six Rootkit Detectors Protect Your System (informationweek, 1/16) (info from てっしーの丸出し, 1/21)。 F-Secure BlackLight, IceSword, RKDetector, RootkitBuster, RootkitRevealer, Rootkit Unhooker の紹介と評価。
》 「CHECK PC!」キャンペーン開始について (経産省, 1/22)。アプリのチェックも忘れずに。
》 セキュリティは誰かがやらねば (@IT, 1/23)。キャシャーンがやらねば誰がやる……ではなく JPCERT/CC の小宮山さんの話。
》 VSE8.5i をインストール後、Lotus Notes で「操作を実行する権限がありません」エラーが発生する (マカフィー)。「すべてのサーバ データベースのスキャン」と「サーバのメールボックスのスキャン」を無効にすることで回避できるようです。
》 あるある大事典が「一切リンクお断り」としていた心境を推察すると見えてくるもの (高木浩光@自宅の日記, 1/23)
》 中台の空軍力、中国の殲10大量配備で逆転か (朝鮮日報, 1/24)、 J-10戦闘機(殲撃10/F-10) (livedoor Wiki)
》 マルチ商法:聴覚障害者を引き込むトラブル急増 同じ障害者、信用させ? (毎日, 1/23)
》 「人材育成・資格制度体系化専門委員会報告書(案)」に関する意見の募集の結果 (NISC, 1/23)
》 生体認証キャッシュカードの危険性 (日経 IT Pro)
関連:
「2005年11月16日付の日経産業新聞」だからなあ。 現在はどうなんですかねえ。
》 賞味期限切れの飴、富山テレビがつかみ取りイベント (読売, 1/24)。『フジテレビ系列局の「富山テレビ放送」』と書かれてしまいますか……。
》 [DJ] MS、ブロガーにWikipediaの修正を依頼 (ITmedia, 1/24)。依頼だけで済んでいればまだよかったのだけど、
米Microsoftが1月23日、オンライン百科事典Wikipediaで面目を失った。同社があるブロガーに、Wikipediaの技術的な項目を編集したら報酬を支払うと申し出たためだ。
》 ワタナベ工業の「電気ミニマット」に発煙・発火のおそれ (家電 Watch, 1/22)
》 2月2日は「情報セキュリティの日」、関連行事が全国で300件以上開催 (日経 IT Pro, 1/23)。にぃにぃという響きからは「Winny の日」を連想してしまうのだが、そうではないらしい。
》 TROJ_SMALL.EDW (トレンドマイクロ)。トレンドマイクロ ルートキットバスターというものがあるのですか。
》 米国:イラク従軍拒否ワタダ裁判への出頭命令 (JANJAN, 1/23)
》 オリコン訴訟は他人事ではない (日経 IT Pro, 1/22)
Movable Type 3.3〜3.33 に XSS 欠陥があるという話。 Movable Type Security Bug (NoFollow プラグイン話) とは別の話か? Movable Type 3.34 で修正されているそうだ。 3.34 で解説されている、Movable Type Security Bug とは別の話には以下がある。
不正なHTMLタグによるスクリプト実行の可能性
ある種の不正なHTMLタグを入力することで、クロスサイトスクリプティングを可能にする不具合が存在していました。この不具合を修正しました。
MTCommentPreviewIsStaticテンプレートタグの機能を利用したスクリプト実行の可能性
MTCommentPreviewIsStaticの機能を不正に使用することで、クロスサイトスクリプティングを可能にする不具合が存在していました。この不具合を修正しました。
Movable Type 3.34日本語版の提供を開始 (sixapart.jp)。Movable Type Security Bug の話が修正されています。
patch が出ました: Security Update 2007-001 について (Apple)。 適用しても QuickTime のバージョン表示は変わらないみたいですね。
鵜飼さんがまたやった! Winny にひきつづいて、今度は Share です。
》 ツボカビ症:カエル、世界各地で激減 国内でも拡大の恐れ (毎日, 1/23)
》 医師不足:公立病院の半数、診療縮小 毎日新聞調査 (毎日, 1/23)
》 「ピノ」と「ランディ」発売−日産とスズキ (四国新聞, 1/23)。ビン・ラディンと空目した…… orz
》 カラオケ店と知りつつ立ち入り調査せず 宝塚市消防本部 (asahi.com, 1/23)。たのしいタテ割り行政。 さらにこんな話も: 宝塚カラオケ店火災:建物所有者の娘婿は消防署勤務 (毎日, 1/23)
》 温暖化CO2、海の酸性化も招く サンゴが死滅危機 (asahi.com, 1/22)
水温や水圧などにもよるが、酸性化が進むと、炭酸カルシウムでできたプランクトンの殻やサンゴの骨格が溶け出す恐れがある。(中略) 日本を含む国際共同チームは05年にまとめた報告で、50年ごろにCO2濃度が500ppmになるとすると南極海の一部で炭酸カルシウムが溶け出し、21世紀末に780ppmになるとすると南極海全体と北太平洋の一部に広がる恐れがある=図=と警告した。
》 番組ねつ造:花王がスポンサー降板 打ち切り事実上決まる (毎日, 1/22)。 スポンサーの切れ目が縁の切れ目。 しかし迷惑番組の影響はまだまだ続く:
》 SIMロック解除、市場活性化へ検討 総務省 (ITmedia, 1/22)
》 背景が黒い「Black Google」は地球を救う (gigazine, 1/22)。黒く塗れ!
》 犯罪被害者基本計画:氏名発表は警察判断、運用から1年 増えた安易な匿名 (毎日, 1/22)
》 長野県 住基ネット利用へ (毎日, 1/19)。いまさら?
》 mixi、コミュニティ管理人の就任条件として「参加期間が3割超」 (Internet Watch, 1/22)
》 データベース・セキュリティにおける「監査」の重要性 (日経 IT Pro, 1/21)
》 神戸で震災対策セミナー開催(上)「南海トラフ巨大地震研究の最前線」 (JANJAN, 1/21)
》 ハイテク企業と人権団体、検閲対抗のネット行動規範を策定へ (ITmedia, 1/22)
》 カエル・ツボカビ:埼玉で新たに2例確認 麻布大のチーム (毎日, 1/20)。まずいです。
》 未成年者の携帯有害サイト制限、親の意思確認が必須に (asahi.com, 1/21)。 有害サイトアクセス制限サービス(フィルタリングサービス)の 普及促進に関する携帯電話事業者等への要請 (総務省, 2006.11.20) への対応の一環ということでしょうか。
》 動画共有配信サービスと法的問題(1) YouTubeに見る著作権侵害免責への取り組み (日経 IT Pro, 1/19)
》 アイ・オー、32V型液晶TVに漏電の可能性 〜570台を無償交換 (PC Watch, 1/22)
》 Storm Worm starts to use Rootkit techniques (F-Secure blog, 1/21)。どんどん進化中のようです。
》 A5/3 and GEA3 Algorithms (cryptome, 1/21)、 Lawful Interception in 3GPP Rel-7 Architecture (cryptome, 1/20)
》 グーグルは今のままでは日本人の人生を変えることはできない (gigazine, 1/22)。 NHK スペシャル 「グーグル革命の衝撃 〜あなたの人生を“検索”が変える〜 」 に対する gigazine の分析。とりあえず録画したけどまだ見てないんだよなぁ。
》 米国政府、民間旅客機に対ミサイル防御装置の搭載を検討 (technobahn, 1/19)。 関連: Northrop Grumman Begins Operational Test and Evaluation of its Guardian Commercial Airline Anti-Missile System (Northrop Grumman, 1/16)
》 1月16日関電交渉報告: 関電の安全軽視の体質はなんら変わっていない (美浜の会, 1/19)
》 カーネギーメロン大学日本校CISOセミナー。 2007.01.29、東京都千代田区、無料。あら、HP が協賛してる……。
》 パレスチナ:報じられないガザの窮状 (JANJAN, 1/19)
[SA23841] SecureCRT / SecureFX OpenSSL RSA Signature Forgery。 SecureCRT 5.2.2 / SecureFX 4.0.2 で修正されているそうです。
Reasons to upgrade are a security fix in the ACL processing, where ACL entries of NOKEY that got TSIG signed notifies caused outage. Also replies to notifies could contain wrong DNS header counts in the packet. These two problems are fixed in NSD 3.0.4.
phpMyAdmin 方面: CVE-2006-6942 CVE-2006-6943 CVE-2006-6944。 XSS、パス名漏曳、Allow/Deny アクセスルールの回避。2.9.1.1 で直ってるみたい。
HP Jetdirect 方面: CVE-2007-0358。 ファームウェア x.20.nn 〜 x.24.nn の ftp サーバに DoS 攻撃を受ける欠陥がある模様。
OpenBSD 方面: CVE-2007-0343。 ICMP6 ECHO REQUEST によって DoS 攻撃を受ける欠陥がある模様。 この patch (3.9, 4.0) で直る。
FileZilla 方面: CVE-2007-0317。LogMessage() に format バグがあり、DoS や任意のコードの実行が可能。3.0.0-beta5 で直っている模様。
FileZilla には CVE-2007-0315 もある。Options.cpp と QueueCtrl.cpp に欠陥があり、DoS や任意のコードの実行が可能。2.2.30a で直っている模様。
WFTPD 方面: CVE-2007-0311。 WFTPD / WFTPD Pro 3.25 以前に欠陥があり、 長大な SITE ADMIN によって DoS 攻撃ができる。 exploit
Bug 1857: Core dump on visiting GNU FTP server の件、よくよく見たら死んでいたので記述を変更しました。orz
》 靖国神社:博物館「遊就館」の記述 今月から7項目変更 (毎日, 1/21)
》 消火器 使い方わからなかった (NHK, 1/21)
逮捕されたアルバイト従業員は「火を消そうとしたが、消火器の使い方がわからなかった」と供述している
使い方:
》 European Storm Video E-Mail - version 3 (SANS ISC, 1/21)。亜種が続々登場しているようで。 手元では、トレンドマイクロでも F-Secure でも Sophos でも検出できないモノがいくつか流れてきてますね……。ClamAV が Trojan.Downloader-657 として検出しているブツなのですが。
…… Sophos が Trojan.Downloader-657 に対応したと思ったら、既に Trojan.Downloader-658 が来てますね……。
》 Another trojan run by the Storm Worm gang (F-Secure blog, 1/19)。手元での検出数は 800 を越えました。 トレンドマイクロは 4.197.00 では対応してませんね。
》 Microsoft root certificate program members (January 2007) (Microsoft)
The table that is included in this article lists the third-party commercial certification authorities (CAs) that are trusted by Microsoft. As a Microsoft Windows user, you can use the listed CAs for secure e-commerce.
3rd パーティ商用 CA が対象なので、たとえば政府系のモノはリストされてません。
》 昔の番組ネット配信、承諾なくてもOK 著作権法改正へ (asahi.com, 1/21)
》 Getting The Most From IEAK7 (IEBlog, 1/18)
》 誤認逮捕:服役の男性は無実 無職男を再逮捕 富山県警 (毎日, 1/19)
県警によると、似顔絵捜査や被害者証言を受け、男性を2日間で計約17時間、任意で聴取。当初は否認したが、3日目に容疑を認めたため逮捕したという。
つまり、無実の人間の心を 3 日でブチ壊したってことじゃないのか。 そういうやつらに「共謀罪」なんて渡したら、どうなるんだ。
警察関連:
投稿者は軽犯罪法に違反しているとは思いもせず、まじめに応えて携帯用ナイフを見せたところ押収され、所有権放棄書にまで署名させられてしまいました。警察から『犯罪の対象物だから署名しろ』といわれれば断れないのが通常ですが、放棄書に署名しなければ捜査終了後、押収物の還付請求ができます警察の言うことを素直に聞くとろくなことにならないのが現実。
同工場で細菌検査を担当していたのは1人で、昨年4月に交代したばかりの未経験者だった。マニュアルにはない「無限」との表記は、細菌数が300個を超えたサンプルに記していた。国の基準内だったサンプル5件にも「無限」の表記があり、本社の調査を混乱させた可能性が高い。
プリンの期限表示外しについては本社も了承していたといい、府は食品衛生法の表示義務違反の疑いがあるとして、泉佐野工場に適正表示するよう指示した。 (中略)
泉佐野工場は、保健所のこれまでの調査に「プリンはカップ容器に入れ、ラップをかけた状態で埼玉工場に出荷し、仕上げは埼玉でやっている」と説明していたが、追及したところ、販売できる完成品で出荷していたことを認めたという。
同法では、商品が完成した段階で消費期限を表示することが義務づけられており、府の担当者は「期限を先送りする意図があったと思わざるを得ない」としている。
不二家のホームページ、 これだけ連日出てきているのに、 1/17 が最後の更新なんだなあ。
》 知っておきたい!システム障害時に使う英語 Part3 作文編 (日経 IT Pro, 1/19)
》 オリコンvsコメンテーター、どちらの声がより響くのか フラット化時代の名誉毀損裁判を前に (オーマイニュース, 1/19)
北海道ガスは20日夜、記者会見し、事故現場の北見市春光町と、幸町で判明したガス管の破断は配管の周囲が完全に切断される「全周亀裂」だったことを明らかにした。いずれもねずみ鋳鉄(ちゅうてつ)管(直径15センチ)だが、通常の経年劣化でも珍しい事象とされる。同社の事故対策本部長の大槻博副社長は「数日の間に立て続けに起きるのは極めて異常な事態」と述べ、土壌の強度など現地の状況を詳しく調査する考えを明らかにした。
死亡した三人の住居にはいずれもガス漏れ警報器が設置されていなかったことが北海道ガスの調べで分かり、警報器の有無が生死の分かれ目になった可能性が浮上した。(中略) 警報器は北ガスが設置を呼びかけているが、設置するかどうかは居住者の意志に任されている。
》 首相、「共謀罪」法案の今国会成立を指示 (読売, 1/19)。美しい国 = 共謀罪のある国、ということみたいですな。 法案をもういちど考え直す、という思考はどこにもないみたい。
》 果しなき納豆消費の果に、ガセがあるある。
同番組は関西テレビの社員2人と番組制作会社「日本テレワーク」の4人がプロデューサーを務め、テレワーク社の取締役1人がコンプライアンス(法令順守)担当者になっていた。実際の取材は孫請けを含む9チームの番組制作スタッフが行っていたが、どのチームが担当していたかについては「調査中」として明らかにしなかった。日本テレワークですか……
》 ティファールの電気ケトル「アプレシア」に発煙・発火の恐れ (家電 Watch, 1/19)
》 【速報】経済産業省がJ-SOX向け「IT統制」の指針を公開、具体例を豊富に記載 (日経 IT Pro, 1/19)
》 偽ソフトウェアを機能面でなく、社会学的理由で注意喚起を促しても良いのでは (Semplice, 1/16)
》 不二家札幌工場、細菌数確認せず出荷…「無限」記録も (読売, 1/19)。無限って……。
》 世界終末時計の針が2分進み、真夜中まであと5分に (slashdot.jp, 1/18)。全面熱核戦争は発生しないだろうけど、 気候大異変 (NHK) が描き出した地球温暖化の「最も楽観的な予測」は全くシャレになってないし……。
関連: 一人一人が行動を〜映画「不都合な真実」アル・ゴア氏 (JANJAN, 1/17)
》 法務省:交通事故の罰則強化へ (毎日, 1/19)
》 ウイルスバスター2007 - 15.x: スパイウェア検索の[例外設定]クリックで「設定の読み込みに失敗しました」メッセージが表示される (トレンドマイクロ)
》 Windows/Linux/Mac/BSD Rootkit Basics (blacksecurity.org, info from てっしーの丸出し)
》 日本公認会計士協会 PCAOB2号翻訳 (まるちゃんの情報セキュリティ気まぐれ日記, 1/18)
》 Commercial-grade redundant client-server backend systems - for SPAM (F-Secure, 1/18)。金の力は偉大だ。
》 ウイルスバスター コーポレートエディション 7.3/7.0/6.5 Internet Explorer 7の使用時における注意事項 (トレンドマイクロ)
》 海の向こうの“セキュリティ” 第4回:「人は誰からのメールにひっかかりやすいか」米大学の実験論文 ほか (Internet Watch, 1/18)
》 大旺インターナショナルのハロゲンヒーター、経産省が使用中止を呼びかけ (家電 Watch, 1/19)
》 Mal/EncPk-B の検出報告がいっぱいきてるなぁ……。 さきほど Virustotal してみたら、こんな感じ。 トレンドマイクロは 4.193.00 でも対応していないです。…… 4.197.00 では対応してました。
関連: Storm-Worm Small.DAM Spread Quickly (F-Secure blog, 1/19)
関連: ASM-135 (M.A.S.D.F.)、 Anti-satellite weapon (wikipedia)、 衛星攻撃兵器 (ウィキペディア)、 Starfire Optical Range (wikipedia)、Starfire Optical Range Eyeball (eyeball-series.org)
》 キヤノン製小型複写機「FC-1/FC-2」の点検等の実施について (キヤノン, 1/18)
キヤノンは、1990年から1993年にかけて製造・販売したカートリッジ式の小型複写機「FC-1」、「FC-2」の2機種について、点検等を無償で実施致します。
対象機種において、機内の電源基板の経年変化などが原因となって、極めて稀ではございますが、電源基板上でトラッキング現象※が起こり、基板上の一部分で発煙・発火に至る可能性のあることが判明しました。
Excel 2000 用の新 patch 出ました: MS07-002 の再リリース (日本のセキュリティチームの Blog, 2007.01.19)。 手元の Excel 2000 で試したところ、確かに問題なくファイルを開けるようになっています。
》 ダメージクリーンナップエンジン 5.0 公開のお知らせ (トレンドマイクロ)。1/24 公開予定。Vista 対応、64 bit 対応、Generic Clean 機能追加。
》 米Microsoft,「Windows Vista」のセキュリティ機能でNSAの関与を認める (日経 IT Pro, 1/18)。まぁ、SELinux だって「NSAの関与」バリバリだしなあ。
》 「Winnyやめました」がホントかどうかを調べるソフト登場 (slashdot.jp, 1/18)。 Winny特別調査員 (NetAgent) の話。
》 テロ対策「令状なし盗聴」、米政権が事実上中止 (asahi.com, 1/18)
》 ケータイ、PC──情報化社会の「落とし物」に強い味方 (ITmedia, 1/17)
》 The Debug Diagnostic 1.1 tool is now available (Microsoft)
》 米Microsoft,「Windows Vista」へのソフト同こん制限を模索 (日経 IT Pro, 1/18)
米CBS Newsの報道によれば,米MicrosoftはWindowsの品質低下の要因がパソコン・メーカーの同こんする大量の追加アプリケーションにあると信じているそうだ。
3rd party アプリによる安定性低下は実際にあるからなあ……。
》 NTT Com、台湾沖地震による通信障害がすべて回復したと発表 (Internet Watch, 1/17)
》 グーグルと英軍、テロリストによるGoogle Earthの利用について協議 (CNET, 1/18)
》 ブッシュ大統領、「プリテキスティング」を犯罪とする連邦法に署名 (CNET, 1/17)
》 Microsoft Forefront Client Security (Microsoft)。 public beta が公開されているようです。
》 米国政府、テロ対策で主要民間飛行場にレーザー兵器を配備の方針 (technobahn, 1/17)。 Skyguard という戦術高エネルギーレーザー兵器だそうです。 既にテストベッドの開発には成功しており、 これから detailed operational concept の開発および運用テストを行うようです。半径 10km をカバーするようです。
この手のもの (化学レーザー) にはレーザー媒質の安全性という話があったりするようなのですが、 The Safety and Performance Record of High-Energy Chemical Laser Systems (Northrop Grumman, 2006.09.29) を信じる限りでは、大きな問題はないことになっているようです。
》 ウイルスバスター2007 - 15.x: ネクソンジャパン社の「メイプルストーリー」を起動するとブルースクリーンになる (トレンドマイクロ) の件について、横山さんから (ありがとうございます):
表題の件に関して、単なる妄想ですが「メイプルストーリー」はチートや不正アクセスから守るために nProtect Gameguard を使っているようです。
私は詳しく知らないのですがこの nProtect がクセものらしく、同じくこのソフトを使っている Phantasy Star Universe では環境によって Norton IS 2007 のアクティブ化が無効にされたり、他のウイルス対策ソフトでも OS を巻き込んでクラッシュする等といった不具合が発生することもあるそうなので一概にウイルスバスターが悪いとは言えないかもしれません。
ぐぐってみると、nProtect Gameguard が Norton (2006 以前?) とぶつかる事例は複数報告されているようで。
あと、GameGuard.des の制限解除設定を忘れていてうまく使えないという事例もあるみたい: 15日アップデートでクライアントが起動しない… (fezero.jp)。
でも、トレンドマイクロのこの KB は『「メイプルストーリー」を起動すると』という話であって、 『nProtect Gameguard を使用しているゲームソフトを起動すると』ではないんですよねえ。
》 荒れた世相と「しゃぼん玉」の幻影 (保坂展人のどこどこ日記, 1/16)
》 ニッポンの死刑の真実と 『ル・モンド』 (保坂展人のどこどこ日記, 1/17)
安倍総理が「基本的な価値観を共有している」と述べたフランスと日本では、死刑制度については180度相いれない価値観を持っている。テロ対策で刑事事件の犯人引き渡し協定を結ぼうにも、「日本の死刑制度」ことが協定の障害となっていることを安倍総理は知っているのだろうか。
》 教育再生会議、「体罰」の定義見直し…政府に要望へ (読売, 1/17)。カツオ君の学校での様子が再び変化したりするんだろうか。
》 盗聴不可能な暗号を初開発、5年後目標に商品化 (読売, 1/17)。量子暗号ねた。 安全性を定量的に保証する量子暗号鍵配布システムを開発 (科学技術振興機構, 1/17)
》 野鳥の死体から鳥インフルエンザウイルス 香港 (asahi.com, 1/17)
CVE-2007-0201。TIS fwtk 2.1 の ftp-gw に buffer overflow する欠陥があるという話。
JVN#95249468: フレッシュリーダーにおける RSS フィード クロスサイトスクリプティングの脆弱性。 CVE-2007-0362
Microsoft Help Workshop .CNT contents files buffer overflow vulnerability。Visual Studio 6.0 / 2003 付属の Microsoft Help Workshop には .cnt ファイルの処理において buffer overflow する欠陥があるという指摘。 PoC つき。 CVE-2007-0352
なんか昔似たような話がなかったっけ? と思ってぐぐったら Microsoft HTML Help Workshop ".hhp" Parsing Buffer Overflow (Secunia) を発見。
Googleサービスにcookie盗難の脆弱性 (ITmedia, 2007.01.17)。今は直ってるみたい。
Squid 2.6.STABLE7 で修正されたもののうち、 Bug 1857: Core dump on visiting GNU FTP server と Bug 1848: external_acl crashes with an infinite loop under high load がセキュリティがらみらしい。
Bug 1857: Core dump on visiting GNU FTP server を見ると、 FTP listings uses "BASE HREF" much more than it needs to の修正によって発生したとされているので、対象となるのは squid 2.5.STABLE11 以降か。 squid 3.0 にもこの問題があった模様。
でも手元の squid-2.5.STABLE13 では問題が発生しないみたいなんだよなあ……
よくよく調べたら死んでました orz
Bug 1848: external_acl crashes with an infinite loop under high load の方は、squid-2.5.14_3 では問題が発生していないと報告されているので、 squid 2.6 の問題か。 squid 3.0 にはこの問題はなかった模様。
Bug 1857: Core dump on visiting GNU FTP server の件、よくよく見たら死んでいたので記述を変更しました。orz
Flash Player 9 for Linux 正式版が出たようです: Adobe Flash Player 9 for Linux now available on adobe.com (Emmy Huang, 2007.01.16)
2007.01.16 付で計 28 件 (新規は 24 件) 出ています。BEA 製品の利用者は確認しましょう。 ヴァルカンさん情報ありがとうございます。 関連:
》 ウィニー 情報流出で国を提訴 管理ずさんと市民団体 (毎日, 1/17)
》 どうなる「2ちゃんねる閉鎖騒動」——2007年はネット規制が強まる?【コラム】 (日経, 1/17)
》 《 ESPIO! 》鳥越俊太郎氏が“病床”からJANJAN記者を恫喝。
増田記者はそのことも含めて事実関係を公表しようとしたところ、なんと驚くべきことにJANJAN上層部からストップがかかったという。
理由は定かではないが、「オーマイニュースの対応を当面見守る」ということらしく、要するに市民メディア間で、手打ちというか一種の談合が行われている風情なのである(一体何のつまらない駆け引きをやっているのか!)。
JANJAN、お前もか。
》 宮崎の鳥インフルで不適切表示114件、風評被害助長 (asahi.com, 1/17)
》 社内ブログ/SNSは「無法地帯」でいこう (日経 IT Pro, 1/16)。「内部統制」は 4 文字言葉ですか。
》 第10回まっちゃ139勉強会の日 (まっちゃだいふくの日記)。 2007.02.17、京都府京都市、2000 円。
》 迷惑メール:54億通送信の社長ら4人逮捕 千葉県警 (毎日, 1/16)。タクミ通信ですか……。
》 ウイルスバスター コーポレートエディション 6.5 Patch 8 公開のお知らせ (トレンドマイクロ)。1/22 公開予定。
》 ウイルスバスター2007 - 15.x: ネクソンジャパン社の「メイプルストーリー」を起動するとブルースクリーンになる (トレンドマイクロ)。crash しちゃいかんやろ……。 何かとお騒がせの「不審ソフトウェア警戒システム」を無効にすれば回避できるそうです。
》 ひろゆき氏「まだ閉鎖する気はないですー」 (ITmedia, 1/17)
》 ウイルスバスター アップデート実行時にエラーが発生する問題に関して (トレンドマイクロ, 1/16)。現在は直っているようです。Benjamin さん情報ありがとうございます。
JVN#13939411: Drupal におけるクロスサイトスクリプティングの脆弱性。 Drupal 4.7.5 / 4.6.11 で修正されているようです。
KDE Security Advisory: kpdf/kword/xpdf denial of service vulnerability。 KOffice 1.2.1 / KDE 3.3.2 以降用の patch が用意されている。 CVE-2007-0104
102760: Security Vulnerability in Processing GIF Images in the Java Runtime Environment May Allow an Untrusted Applet to Elevate Privileges (Sun)。 (J|S)DK / JRE 5.0 Update 10 / 1.4.2_13 / 1.3.1_19 以降で修正されている。 関連:
[SA23664] Linux Kernel Local Denial of Service Vulnerabilities
Sun Microsystems Java GIF File Parsing Memory Corruption Vulnerability Prove Of Concept Exploit
Oracle 定期 patch 出ました。 関連:
関連:
Sample 'Attack Request'
http://192.168.0.3:1158/em/dynamicImage/emSDK/chart/EmChartBean?beanId=\..\..\..\..\..\..\..\..\..\..\..\..\test.txt
MT で nofollow プラグインを無効にすると危険 (水無月ばけらのえび日記, 2007.01.17)。 Movable Type Security Bug の話。標準で有効な nofollow プラグインが有効になっていれば無問題だそうです。
Vulnerability in Acer’s LunchApp.APlunch ActiveX control (SANS ISC)。 Acer 話、patch が出たそうです。
司法には高度な判断が求められる。果たして東京地裁は、西村氏を債務超過と認めるのか。
ある弁護士は「西村氏が最近、さかんに年収1億円と言っていたのは、第三者破産への牽制だろう。だが、数千万円もの賠償命令だけでなく、毎日全国で加算される間接強制の科料もある。今後も支払う意思がないと公言しているのも大きい。破産を認める可能性は十分ある」と分析する。
》 なぜPHPアプリにセキュリティホールが多いのか? 第1回 CVEでみるPHPアプリケーションセキュリティ (技評, 1/15)
》 クリエイティブ・コモンズ、過去の著作権譲渡契約の解除を手助けする支援ツールを公開 (Open Tech Press, 1/12)
》 OSSEC version 1.0 is now available だそうです。ダウンロード。山本さん情報ありがとうございます。
》 「ウィンドウズXP」のサポート期限、大幅に延長 (asahi.com, 1/16)。えぇっ?! 本当に?!
マイクロソフト日本法人は15日、個人向けパソコン基本ソフト(OS)「ウィンドウズXPホームエディション」の利用者に、性能向上サービスをするサポート期限(09年1月)を大幅延長する方針を明らかにした。(中略) 企業向けOS「ウィンドウズXPプロフェッショナル」のサポートを終える2014年を念頭に期間を延ばす。
「マイクロソフト日本法人は」という部分がものすごく気になるんですけど。PressPass (Microsoft) には何もないしなあ。……お、毎日にも: ウィンドウズXP:製品サポートを延長 米MS社 (毎日, 1/16)
マイクロソフト(MS)は15日、新OS「ビスタ」に切り替わる現OS「ウィンドウズXP」の製品サポートの終了時期について、予定していた09年1月末から延期する方針を明らかにした。MS日本法人のヒューストン社長は毎日新聞の取材に対し、「非常に重要な問題で全世界レベルで検討している。近く発表があるだろう」と述べた。
どうやら延長されることは間違いないみたい。
……信頼できる筋から、マイクロソフトは「延長する」とは言ってない、との情報をいただきました (ありがとうございます)。 少なくとも、決定事項ではないようです。 …… Internet Watch に出ましたね: Windows XP Home Editionのサポート期間延長は「決定事項ではない」 マイクロソフトが一部報道を否定「米国本社と議論中」 (Internet Watch, 1/16)。
これらの報道は、15日に開催されたWindows Vistaの記者発表会後の囲み取材におけるヒューストン社長の発言に基づいたものと思われるが、マイクロソフト広報部は16日、「サポート期間延長について米国本社と議論していることは事実だが、決定事項ではない」とコメント。
この囲み取材のものと思われる内容が ITMedia (というかフジサンケイ ビジネスi) に出てます: XP Homeのサポート延長を検討 MSヒューストン社長、Vistaに自信 (フジサンケイ ビジネスi / ITmedia, 1/16)
──旧OSの「ウィンドウズXP」に対するサポート期限が短いとの批判がある
「一部バージョンは2009年までだが、現在、延長の方向で検討をしている」
「延長の方向で」と言ってしまったとしたら、そういう記事になるのも無理はないわけで……。
マイクロソフト、「XPのサポート期限延長は決まっていない」 (PC Watch, 1/16)
また、マイクロソフトでは、「一部報道では、日本を皮切りに全世界でサポート期限延長を行なうとあったが、サポート期限を延長するか否かは、日本独自に決定することは考えにくい。万が一、サポート期限延長ということになれば、全世界で同時に変更となる」と日本独自の決定は難しいとの見方を示した。
そりゃそうだよねえ。
》 コピーワンス問題で家電メーカーに歩み寄りの動き,放送事業者の対応が焦点 (日経 IT Pro, 1/12)
》 地方税、大半のサラリーマンで倍増 〜メディアが騒がないもう一つの税制改革〜 (日経 BP, 1/15)
》 Uninformed Vol.6 (uninformed.org)
》 第 2 回 Admintech.jp コミュニティ勉強会。 2007.02.03、東京都渋谷区、無料。
》 第61回 文化庁芸術祭 テレビ部門 大賞受賞 アンコール: 日中戦争 なぜ戦争は拡大したのか (NHK スペシャル, 2/9 放送予定)
》 社内の不正行為はCRMアプリで防げる (日経 IT Pro, 1/16)
管理者や監査人が,CRMアプリを介して入手される情報と,当該の営業担当者の業務行動(つまりOutlookなどの記録情報)を重ねて分析する。そうすると,ほとんどの場合,不可思議な業務行動が浮かび上がってくるはずだ。
》 「世界最小国家」買収にBitTorrentサイトが名乗り (ITmedia, 1/16)
スウェーデンのBitTorrentトラッカーサイトThe Pirate Bayが、売りに出されているシーランド公国の買収を計画している。
うひゃあ。データヘブンですか。
》 不二家の求人広告、事件発覚の4日後に掲載され読者困惑 (PJ 堀口剛 / ライブドア, 1/16)。印刷ものはねぇ……。
》 フジ系列 『発掘!あるある大辞典II』、放映前に内容が大手に漏洩(上) (PJ 穂高健一 / ライブドア, 1/14)
このたび、納豆製造元のある食品メーカー(長野県・飯田市)が流通側に出した文書を入手した。『「あるある大辞典II」納豆特集の放映の案内のご案内』という表題で、平成18年12月21日付だ。つまり、同番組の放映の二週間以上も前に、納豆メーカーから大手流通関係者に流れた情報提供の案内文だった。
長野県飯田市というと……旭松食品?
フジ系列 『発掘!あるある大辞典II』、放映前に内容が大手に漏洩(下) (PJ 穂高健一 / ライブドア, 1/15) も出てました。
》 朝日新聞総局長は情報流出、PCから外部筆者データ (読売, 1/16)、メール流出:朝日新聞総局長のPCから、ウィニー介し (毎日, 1/16)
》 『週刊現代』に記事 (黒井文太郎の「スパイ&テロ」, 1/15)
現在、イラクではスンニ派とシーア派がもう内戦状態に入っているといって過言ではないが、これは宗派対立というよりは、もっと単純に「タダの抗争」だという解説をどこかで読んだ。私も同意見だ。
たまたま抗争の両陣営が宗派で分かれただけのこと。スンニ派同士でも有力者間抗争があるし、シーア派の主要派閥は現実に内ゲバ状態にある。
(中略)
ああいう国で取材をすると、外国人取材者はどこに行っても威勢のいいスローガンを聞かされる。インタビューして現地の声を伝えるのが報道なので、そういう声が日本の新聞読者やテレビ視聴者に届けられることになる。それに意味がないとは言わない。
けれど、そうしたコメントをホントにその発言者自身が信じているのかどうかはまた別の問題だ。実際には信じているのは外国人記者だけかもしれない。
(中略)
しつこいようだが、「フセインが英雄」? それはないだろうと思う。
》 シマンテック、Mobile AntiVirus 4.0 for Windows Mobile を発売 (シマンテック, 1/15)
》 [WSJ] 「金と政治のブラックホール」になるGalileo計画 (ITmedia, 1/16)。あららら、そんな状況だったとは。
対象は、基本的には Mac OS X 10.4。
MOAB-06-01-2007: Multiple Vendor PDF Document Catalog Handling Vulnerability。 Mac OS X Preview.app, Adobe Reader, xpdf が無限ループやメモリ破壊を起こすような PDF ファイルを作成でき、これを通じて任意のコードを実行可能。
MOAB-07-01-2007: OmniWeb Javascript alert() Format String Vulnerability。 CVE-2007-0148
MOAB-08-01-2007: Application Enhancer (APE) Local Privilege Escalation。 Landon Fuller 氏 の作成した patch は Application Enhancer を利用しているのだが、この Application Enhancer に local user が root 権限を取得できる欠陥があるのだそうで。 CVE-2007-0162
関連:
MOAB-09-01-2007: Apple Finder DMG Volume Name Memory Corruption。 攻略 .dmg ファイルによって任意のコードを実行できる模様。 CVE-2007-0197
MOAB-10-01-2007: Apple DMG UFS ffs_mountfs() Integer Overflow Vulnerability。 fs_mountfs() 関数に integer overflow する欠陥がある模様。FreeBSD 6.1 も該当。 攻略 .dmg ファイル (UFS) によって任意のコードを実行できる模様。 CVE-2007-0229
MOAB-11-01-2007: Apple DMG UFS byte_swap_sbin() Integer Overflow Vulnerability。 byte_swap_sbin() 関数にも integer overflow する欠陥があり、 攻略 .dmg ファイル (UFS) によって DoS を実行できる模様。
MOAB-12-01-2007: Apple DMG UFS ufs_lookup() Denial of Service Vulnerability。 攻略 .dmg ファイル (UFS) によって DoS を実行できる模様。
MOAB-13-01-2007: Apple DMG HFS+ do_hfs_truncate() Denial of Service Vulnerability。 攻略 .dmg ファイル (HFS+) によって DoS を実行できる模様。
MOAB-14-01-2007: AppleTalk ATPsndrsp() Heap Buffer Overflow Vulnerability。 _ATPsndrsp 関数に buffer overflow する欠陥があり、AppleTalk を使っている場合に remote から任意のコードを実行可能。
MOAB-15-01-2007: Multiple Mac OS X Local Privilege Escalation Vulnerabilities。 local user が root 権限を取得できてしまうようなアプリが複数存在する模様。
CVE-2007-0183。 iPlanet Web Server 4.x に XSS 穴がある模様。
slocate leaks filenames of protected directories。 CVE-2007-0227
Movable Type Security Bug 。Movable Type 3.3 に XSS 穴がある模様。Movable Type 3.34 で修正される予定みたい。 CVE-2007-0231
FreeBSD-SA-07:01.jail - Jail rc.d script privilege escalation。 FreeBSD 5.3 以降の jail rc.d(8) スクリプトにおける symbolic link の扱いに欠陥があり、symlink attack を実行可能。 FreeBSD 5.5, 6.x 用の patch が用意されている。公開されたばかりの 6.2-RELEASE では修正されている。
Calyptix Security Advisory CX-2007-001 - Snort 2.6.1.2 Integer Underflow Vulnerability 。Snort 2.6.1.2 の GRE プロトコル処理部に integer underflow する欠陥がある。
[SA23716] Snort Rule Matching Backtrack Denial of Service Vulnerability
MT で nofollow プラグインを無効にすると危険 (水無月ばけらのえび日記, 2007.01.17)。 Movable Type Security Bug の話。標準で有効な nofollow プラグインが有効になっていれば無問題だそうです。
Movable Type 3.34日本語版の提供を開始 (sixapart.jp)。Movable Type Security Bug の話が修正されています。
FreeBSD-SA-07:01.jail - Jail rc.d script privilege escalation [REVISED]。 FreeBSD 5.5 用の patch が修正されている。
》 スプレー缶:破裂防止に業界が自主ルール (毎日, 1/15)。最近のスプレー缶には中身排出機構というものがついているのですか。
》 自転車用空気入れの安全性 (国民健康センター, 2006.10.06)
22銘柄の空気入れを15台ずつ(合計330台)購入したところ、13銘柄(69台)に何らかの初期不具合があり、修繕せずに使用を続けると危険な不具合が12銘柄(56台)に見られ、音が聞こえる空気漏れが8銘柄(16台)で確認された。
初期不良多すぎじゃん……。
》 本当に改善されたSQL Serverのセキュリティ (日経 IT Pro, 1/15)
》 [AML 11400] 転送:日本人をどう「啓蒙」しようとしたのか。 おもしろそうだなあ。
》 [FreeBSD-Announce] FreeBSD 6.2 Released だそうです。
- freebsd-update(8) provides officially supported binary updates for security fixes and errata patches
- Experimental support for CAPP security event auditing
- OpenBSM audit command line tool suite and library
FreeBSD/i386 6.2-RELEASE Release Notes より:
FreeBSD now runs on the Xbox, whose architecture is nearly identical to the i386. For details of the latest development, see http://www.FreeBSD.org/platforms/xbox.html.
日本語インストーラがあるそうです: http://www.koganemaru.co.jp
》 ドイツマスコミスキャン〜撃墜条項再び(上) (JANJAN, 1/8)、 ドイツマスコミスキャン〜撃墜条項再び(下) (JANJAN, 1/15)
若原正樹裁判長ですか……。
》 日本沈没:深部の巨大岩石が地球規模の大変動に関係 (毎日, 1/15)
》 鳥越俊太郎さん、しっかりしてください (JANJAN, 1/14)。オーマイニュース話。 個人的には、《ESPIO!》 鳥越俊太郎氏オーマイニュース辞任騒動で音声記録公開!? (1/14) にある、野田敬生氏の
「日本版オーマイニュースは如何にあるべきか」などという、読者・部外者にしてみればさしたる関心もないテーマが終始中心的議論を占めているのも、このメディアの特徴かもしれない。
いずれにしろ、編集長の辞任騒動が最も大きなニュースの一つになってしまう「日本版オーマイニュース」も前途多難である。
という意見に同意。
》 鳥インフルエンザ:高病原性ウイルス検出 宮崎の鶏大量死 (毎日, 1/13)
》 沖縄知事選: 浜四津公明党代表代行を告発 虚偽事実公表罪で キラめく会の事務局長 (赤旗, 2006.11.16)。うわ、こんな話があったとは。
》 不二家ISO、経産省が臨時審査を要請…取り消しも (読売, 1/13)
不二家は2001年から04年にかけ、国内5工場で環境管理規格「ISO14001」の認証を受けた。06年6月には、本社の品質保証部と資材部が品質管理規格「ISO9001」を取得している。
協会は、消費期限切れの原材料を使った洋菓子を出荷していた時期が06年10〜11月で、品質規格の取得直後である点を重視している。さらに、問題が判明して以降、埼玉工場で牛乳の在庫記録を残していなかったほか、札幌工場では原材料の仕入れ時期などを製造記録台帳に記載していないなど、品質管理のずさんさが相次ぎ明らかになっている。
また、不二家は11日の会見で、「埼玉工場はISO認証を受けており、廃棄物が一定量を超えると、是正報告書を書かなくてはいけないため、(消費期限切れの牛乳を)捨てづらかった面もあったようだ」と釈明した。この点についても、協会は「ISOは、品質管理や環境への配慮を目的としているのに、体裁を整えることを優先しては本末転倒」と事態を重く見ている。
まさに本末転倒なのだけれど、こういう事例は他にもありそうだよなあ。
》 東名高速でジョイント外れ事故 1000カ所を緊急点検 (asahi.com, 1/13)。道路と橋をつなぐジョイントが外れていたのだそうだ。
》 フセイン元大統領「礼賛」、アラブの官民に広がる (読売, 1/13)
》 子どもモデル:反響300件以上「悔しくてたまりません」 (毎日, 1/12)
今月に入り、自社のホームページには「子供モデルエージェンシーについての誤解を招くような新聞報道がありましたが、弊社はプロモート活動をしっかりおこなっています」などとする文章を掲載している。
これですな: モデルエージェンシー 株式会社アトラス・プロモーション
この度、子供モデルエージェンシーについての誤解を招くような新聞報道がありましたが、弊社はプロモート活動をしっかりおこなっているモデルエージェンシーです。
皆様には、ご心配をおかけしていることかと存じますが、何卒ご理解の程宜しくお願いいたします。
》 不二家:埼玉工場、安全管理マニュアルなし (毎日, 1/12)、 不二家・札幌工場、原材料仕入れ時期を台帳記載せず (読売, 1/12)
》 山谷剛史のマンスリー・チャイナネット事件簿 2006年12月 (Internet Watch, 1/12)
》 「2ch.net」ドメイン差し押さえ? (ZAKZAK / ITmedia, 1/12)。 関連:
》 ユニバーサルな中間者攻撃(マン・イン・ザ・ミドル) フィッシング・キットを新たに発見 新キットは、より高度化かつ自動化された、 不正行為者によるオンライン不正攻撃を助長 (RSA, 1/10)
》 日本人5人、ポロニウムに被ばく?英保健当局から通知 (読売, 1/12)
》 カエル殺すカビ日本上陸、流行すれば絶滅の危機も (読売, 1/12)。カエル・ツボカビ症というのだそうです。
この病気は、真菌の一種で、耐性のないカエルなどに感染すると、その90%が死ぬほど致死率が高いのが特徴。水を通じて感染するため感染力が強く、すでにオーストラリアや中米などで両生類が壊滅的な被害を受けている。
両生類絶滅させるカエル・ツボカビ症、国内で初確認 (asahi.com, 1/12) に図入りで解説されています。
中米パナマでは両生類48種が感染し、個体数が9割減った。95年に侵入し年平均28キロの速さで西から東に広がったことが後の調査で分かった。2カ月で野生のカエルが絶滅した地域もあり、二十数種のカエルを動物園などで保護する「両生類箱船計画」が始まった。
九州農政局は、消費者らに誤解や不安が広がるのを防ぐため、関係団体などへの情報提供を始めた。「鶏肉や鶏卵を食べても人に感染しない。風評被害を防ぐためにも冷静に対応を」と要望。飲食店などで「宮崎県産は扱っていません」といった表示が出ないかなども調査する予定だ。
こんな話もあるそうで: 野鳥の密猟急増 鳥インフルで輸入規制、国内品薄に (asahi.com, 1/9)
》 Windows Vistaを好きになれない理由 (PC Watch, 1/5)
冒頭に書いたように、すでに普通のアプリケーションを動かすと言う意味では、十分なCPUパワーとメモリ空間を多くのPCが備えている。しかし、それ以上のスペックをOSが要求し、仮に満たしたとしてもご覧の程度の差しか無い。リソースへの投資が割に合わないと思われても仕方のない状態なのだ。
Windows 版の CA BrightStor ARCserve / Enterprise Backup 9.x〜11.5、CA Protection Suites r2 に欠陥。BrightStor ARCserve Backup Tape Engine サービス、Mediasvr サービス、ASCORE.dll ファイルに欠陥があり、remote から SYSTEM 権限を取得できる。
BrightStor ARCserve / Enterprise Backup 9.x〜11.5 用の patch が用意されている。
Detection and deployment guidance for the January 9, 2007 security release (Microsoft)
KB 出ました: Excel 2000 は、記載されたセキュリティ更新プログラム 925524 のセキュリティ情報 MS07-002 でインストール後、いくつかのファイルを開けません (Microsoft)
この問題は Excel 2000 が実行韓国、中国または日本語モードで Excel 2000 を使って、作成されるファイルに埋め込まれたふりがな情報を処理する方法が原因で発生します。
上記は自動翻訳によるもの。英語版ではこういう文章:
This problem occurs because of the way in which Excel 2000 processes the phonetic information that is embedded in files that are created by using Excel 2000 in the Korean, Chinese, or Japanese executable mode.
回避策としては Excel Viewer 2003 や Excel 2002 / 2003 の利用が挙げられている。
》 Network Security Forum 2006 『内部統制を支えるITセキュリティ』 カンファレンス講演資料を公開いたしました (JNSA)。3/31 まで公開だそうです。
》 次の国会は1月25日〜6月23日までの150日間の予定 (関組長の東京・永田町ロビー活動日記blog版, 1/9)
》 高野連:フジテレビに抗議!めちゃ×2侮辱された (毎日, 1/11)。高野連にはスルー力が足りないような気が……
》 大切なのは“つながる安心”と“つながらない安心”──auが考える親子の携帯 (ITmedia, 1/10)
大手菓子メーカーの「不二家」(本社・東京)が昨年10月から12月にかけて、消費期限が切れた牛乳を使ってシュークリーム約1万6000個を製造し、関東などに出荷していたことが分かった。同社は事実を把握した後も、公表や回収の呼びかけをしなかった。
「消費期限」は、品質劣化をしやすく、製造日を含めおよそ5日以内で品質劣化が急に進む食品に表示される用語です。(中略) この表示期限を過ぎて食べてしまったときには、お腹をこわしたり、食中毒になることの危険性がある、という内容ですから、消費期限を守り、食べ切るようにします。
洋菓子「シューロール」について、細菌検査で食品衛生法の規定を約10倍も上回る細菌数が検出されたにもかかわらず、そのまま出荷していたことも認めた。
雪印の教訓はもう忘れられてしまったのだろうか。
「消費期限切れ原料の使用がマスコミに発覚すれば、雪印乳業の二の舞いとなることは避けられない」。期限切れ牛乳を使ったシュークリームを製造、出荷した問題をめぐり、不二家が一部幹部らに限定して配布した内部文書の記述には、不祥事隠ぺいの意図がうかがえる。雪印の教訓は「バレたらヤヴァイ」ではなくて「隠したらヤヴァイ」だと思うのですけど……。そういう意味では雪印まっしぐらになっているような。
》 ネット上のプライバシー侵害や名誉毀損、発信者情報開示へガイドライン (Internet Watch, 1/10)
》 ファイル交換ソフトによる著作権侵害、発信者情報の開示手続きを迅速化: プロバイダー責任制限法の運用で業界団体らがガイドライン案 (Internet Watch, 1/10)
》 ベラルーシが原油の関税撤廃、露は供給再開へ (読売, 1/10)。ベラルーシが折れました。
》 「iPhoneは自社の商標」 シスコがアップルを提訴 (CNN, 1/11)、シスコシステムズ、iPhoneの商標権侵害でアップルを提訴 (CNET, 1/11)。あらら、合意できていたわけじゃなかったのか。
》 知っておきたい!システム障害時に使う英語 Part2 (日経 IT Pro, 1/11)。computer forensic をやるなら investigation でもいいんだろうけど。
》 システム運用担当者向け新JISフォント移行説明会: Windows VistaにおけるJIS2004対応について (コンピュータソフトウェア協会, info from 葉っぱ日記)。 2007.01.29、東京都千代田区、一般:1,000円。 「新JISフォント移行」というタイトルと立場がそもそも問題なんじゃないのかという気がするんだけどなあ。 なぜ「新JIS漢字規格対応」にならないのだ。
》 SUS 1.0 Information around Tuesday's Release (MSRC blog, 1/10)。
At this time, we expect that the updates will be released through SUS 1.0 in the morning (Pacific Time) on Thursday January 11, 2007.
日本時間だと 1/12 でしょうか。 894199: Description of Software Update Services and Windows Server Update Services changes in content for 2006 (Microsoft) も参照。手元では、昨日の昼に SUS 1.0 に修正プログラムが流れてきていないことに気がついて頭に血が昇り、用意してあった WSUS にえいやっと切り替えてしまいました。
》 フセインの死刑画像流出で露呈、中東を揺るがす7つの懸念 (BNN, 1/10)、 フセイン処刑の意味 (asahi.com, 1/9)
》 有力議員ら不透明事務所費、タダの議員会館で7千万も (読売, 1/11)。みなさん、すばらしいドンブリをお持ちで。
》 日本版NSC関連法案、通常国会提出へ 政府方針 (asahi.com, 1/11)
》 偽日本円11億5千万円、ウクライナで見つかる (asahi.com, 1/11)。億単位って……。
ようやく出ましたか: MS07-002 適用後の不具合 (Excel 2000) (日本のセキュリティチームの Blog, 2007.01.11)
最近は WinFixer とか SystemDoctor とかを「ミスリーディング・アプリケーション」と言うのですか? シマンテック用語?
Windows 2000 / XP / Server 2003、IE 5.01 / 6 / 7 に欠陥。 Vector Markup Language (VML) の処理において buffer overflow する欠陥があり、攻略 Web ページによって任意のコードを実行できる。 関連:
patch があるので適用すればよい。なお、Windows Vista gold にこの欠陥はないが、 Vista RC1 にはあるので注意。RC1 用の patch が存在する。
MS07-004 VML integer overflow exploit (milw0rm)
Outlook 2000 / 2002 / 2003 に 3 つの欠陥。
patch があるので適用すればよい。ただし patch を適用すると、 Office Saved Searches (.oss) ファイル (検索条件を保存するファイルだそうです) を Outlook で保存したり開いたりできなくなる。 ひきつづき .oss ファイルを取り扱いたい場合は、 KB925542 の指示に従ってレジストリを設定する。
関連: Back up or recreate a Search Folder (Microsoft)
ポルトガル語 (ブラジル) 版の Office 2003 に含まれる文章校正プログラムに欠陥があり、buffer overflow が発生、任意のコードを実行可能。 日本語版など他の言語版の Office 2003 にはこの欠陥はない。 CVE-2006-5574
patch があるので適用すればよい。
AcerのノートPCに脆弱性 (ITmedia, 2007.01.10)。LunchApp.ocx に欠陥があるそうで。
[KDE Security Advisory] ksirc Denial of Service vulnerability。KDE 3.5.5 以前が該当。KDE 3.5.6 以降では修正されている。 KDE 3.5.5 用の patch が公開されている。
MIT krb5 話
[Full-disclosure] CA BrightStor ARCserve Backup Tape Engine Exploit Security Notice。 CA BrightStor ARCserve (tapeeng.exe) Remote Buffer Overflow Exploit (milw0rm) の事か? BrightStor ARCserve Backup r11.5 では修正されているそうだ。 port 6502 へのアクセスの制限も推奨されている。
APSB07-02: Patch available for ColdFusion MX 7 and JRun 4 information disclosure issue (Adobe)。関連:
Vulnerability in Acer’s LunchApp.APlunch ActiveX control (SANS ISC)。 Acer 話、patch が出たそうです。
X.Org 6.x / 7.x の X サーバに欠陥。 ProcDbeGetVisualInfo(), ProcDbeSwapBuffer(), ProcRenderAddGlyphs() 関数に欠陥があり、render モジュールや dbe モジュールをロードしていた場合に、X サーバにアクセスできるユーザが root 権限を取得できる。
X.Org 6.8.2 / 6.9 / 7.0 / 7.1 用の patch が用意されている。
この欠陥は XFreeX86 4.x にもあるようだ。
》 68mの巨大風車、風もないのにナゾの倒壊 (読売, 1/10)
》 China Watch◆2007年1月10日 汚職摘発●北京市●外資系企業●国家薬監局 (JANJAN, 1/10)
》 中東:話がうますぎるシリアの提案 (JANJAN, 1/10)
》 エジプト政府、内戦を恐れ調停へ (JANJAN, 1/10)
》 110番/119番で位置通知、携帯各社が4月導入 (ケータイ Watch, 1/10)。118 番も。というか、118 番だけは全国サポートなのに、タイトルに入れてもらえないのが不憫だ。
》 サイバークリーンセンターのCCC.comの監視をしているけど2006年12月20日から更新されない件について (まっちゃだいふくの日記, 1/10)。確かに……。auto_tsc の方は何度も更新されているんですけどねえ。
》 ナゾの団体、10億円CM攻勢…全国紙の大半“制覇”: 聖書読め、中絶反対…キリスト教右派と関係深く (ZAKZAK, 1/9)
米国の宗教事情に詳しいある教授は、「キリスト教福音派の中でも、中絶反対や進化論否定などを訴える右派と関係が深い財団。米国では福音派の保守的な価値観が盛り返し、ブッシュ大統領の当選にも貢献した」と説明。さらに同財団について「本を頼んだ後にしつこく勧誘されるようなケースは聞いていないが、情報が遮断されている点はカルト的」とみる。
民田さんの資料が改訂されてました: 短いTTLのリスク (2006年12月27日修正版) (JPRS)。 6 枚目と 7 枚目の数式が変更されている他にもいくつか違いが。 9 枚目と 10 枚目が「確立」になってますが……。
Adobe Reader / Acrobat 7.0.9 アップデートが公開されました。Adobe Reader / Acrobat 7.0.x の利用者は、[ヘルプ] メニューの [アップデートの有無を今すぐチェック...] を選択して更新しましょう。
4 件出ました。1 月のセキュリティ リリース (日本のセキュリティチームの Blog, 2007.01.10) より:
今月の事前告知では、当初 8 件とお知らせしていましたが、4 件に変更しました。 これは、更新プログラムの品質テスト過程において問題が発見されたためです。
Excel に 5 種類の欠陥。
いずれも 0-day ではない。
Excel 2000 / XP (2002) / 2003, Excel Viewer 2003, Works Suite 2004 / 2005, Office 2004 for Mac, Office v. X for Mac 用の patch が出ている……のですが、少なくとも Excel 2000 用の patch には「適用すると Excel ファイルを開くことができなくなる場合がある」という致命的な副作用が存在することを、手元でも確認しました。
Excel 2000 だけが「深刻度: 緊急」だとされているのに、その Excel 2000 で不具合が発生するとは……。 手元で試した限りでは、Excel 2002 SP3 では問題ないようです。 各地からの報告によれば、Excel 2003 SP2 も問題ないようです。
Excel 2000 用の patch はアンインストールできないようです。 MS07-002 より:
削除に関する情報
この更新プログラムのインストール後、削除はできません。更新プログラムのインストール前の状態に戻すには、アプリケーションを削除し、それを元の CD-ROM から再度インストールする必要があります。
patch を適用していない Excel 2000 の EXCEL.EXE を上書きすると回復できました [memo:9199] [memo:9200]。元のファイルは rename して残しておいた方がいいでしょうけど。
ようやく出ましたか: MS07-002 適用後の不具合 (Excel 2000) (日本のセキュリティチームの Blog, 2007.01.11)
KB 出ました: Excel 2000 は、記載されたセキュリティ更新プログラム 925524 のセキュリティ情報 MS07-002 でインストール後、いくつかのファイルを開けません (Microsoft)
この問題は Excel 2000 が実行韓国、中国または日本語モードで Excel 2000 を使って、作成されるファイルに埋め込まれたふりがな情報を処理する方法が原因で発生します。
上記は自動翻訳によるもの。英語版ではこういう文章:
This problem occurs because of the way in which Excel 2000 processes the phonetic information that is embedded in files that are created by using Excel 2000 in the Korean, Chinese, or Japanese executable mode.
回避策としては Excel Viewer 2003 や Excel 2002 / 2003 の利用が挙げられている。
Excel 2000 用の新 patch 出ました: MS07-002 の再リリース (日本のセキュリティチームの Blog, 2007.01.19)。 手元の Excel 2000 で試したところ、確かに問題なくファイルを開けるようになっています。
MS07-002 EXCEL Malformed Palette Record Vulnerability DOS POC (milw0rm)
》 [AML 11250] Fw: [TUP-Bulletin] 速報651号 リバーベンドの日記 12月29日 最悪の年だった2006年 070101 、 [AML 11251] Fw: [TUP-Bulletin] 速報652号 リバーベンドの日記 12月31日 サッダーム・フセイン処刑 070101
》 チェチェンでの失踪・誘拐・拷問・虐待に反対する葉書を出そう! (バイナフ自由通信, 1/7)。アムネスティ・インターナショナルの葉書アクションの話。2007.01.29 まで。
》 チェチェンニュース Vol.06 No.29 2006.12.31 (チェチェンニュース)。 ヒューマン・ライツ・ウォッチの簡易報告書 「チェチェン共和国:はびこる拷問」 など。
》 Cabos という Gnutella ファイル共有プログラムがあるのだそうで。 Aisoraさん情報ありがとうございます。
》 niftyに偽装した悪意のあるサイトが登場 した話に関連して、リネージュ資料室さんから情報をいただきました (ありがとうございます)
homepage3-nifty.com以外にも、まだ現役のなんちゃってドメインのうち比較的新しいものには次のようなものがあります。
http://www.livedoor1.com/blogk2/ (Livedoor偽装)
http://www.game-oekakibbs.com/bbs/ (お絵かきBBS偽装)
http://www.games-nifty.com/links/ (Nifty偽装)
http://www.watcheimpress.com/links/ (インプレス偽装)
インプレスもどきなどは、サブドメインにforestとかinternetなどと付けられたら、引っかかる人も多そうな気がします。
同様のトラップサイトのドメインを一覧にしたのが下記のページです。登録情報から同一クラッカーによる登録ドメインと思われるものがほとんどで、にもかかわらず日々増え続けている状況です。
http://lineage.nyx.bne.jp/misc/security/?id=url-domain
これとは別の話で、正月早々NPO法人「日本自費出版ネットワーク」のサイトが改竄され、トップページにiframeでトラップが埋め込まれました。と同時に、サイト内にもダウンロード用のスクリプトやウィルス本体が置かれました。
http://www.jswork.jp/
http://www.jswork.jp/img/riben.htm
http://www.jswork.jp/img/t1.exe
http://www.jswork.jp/img/msn.exe
サイト管理者宛てに上記URLを添えてメール連絡したところ、返信はないものの翌日にはトップページ内のiframeと、スクリプトページだけは削除されたのですが、なぜかウィルス本体のファイルは現在も放置されています。メールの返信がないのはともかく、サイト利用者へ危険があったことの告知もなく、ウィルス本体をネットワークからアクセスできる場所に置き続ける神経が理解できません。
サイト管理者宛てに数回連絡しても放置され続けているため、プロバイダにも連絡した人がいるようですが、相変わらずファイルは放置されています。こうした管理者にはどう対処したものなのでしょうね。
上記のウィルスのうちmsn.exeはMSNメッセンジャーのアカウント情報を盗みます。ゲームユーザ以外の人も(おそらくは踏み台として)狙われるようになってきました。
》 ケタミン(ケタラール)の麻薬指定を受けて (徳島大学)。2007.01.01 から麻薬扱いなのだそうです。 なぜか龍大では、これに関する通知が今年になってから流通しているようで……もし持ってたら手遅れじゃん (T_T)
》 個人情報保護法:総務省の運用姿勢 漏えい事業者への権限行使、「対放送局」が突出 (毎日, 1/8)。担当者依存なのか、組織的な意図された行為なのか。
》 子供モデル:実態報道に反響多く 「心苦しい」元従業員 (毎日, 1/9)。ひどいね。
》 Hyperlinks do not work in Outlook Express after you upgrade to Internet Explorer 7 (Microsoft)。IE 7 にすると、設定が消えちゃうことがあるってことなんですかねえ。
》 ベラルーシ:ロシア産石油の欧州向け供給停止 (毎日, 1/8)、 ロシア、石油供給削減を認める 非はベラルーシと主張 (asahi.com, 1/9)
》 川崎病:患者増え続ける 後遺症抱え中年期迎える 発見40年、今なお原因不明 (毎日, 1/9)
》 鳥インフルエンザ:10分で診断 大阪の研究所が新法開発 (毎日, 1/9)
》 日本のタンカー、米原潜と接触 乗員無事 ホルムズ海峡 (asahi.com, 1/9)。狭いと評判の場所ですね。
》 TeraStationPRO「TS-HTGL/R5」シリーズでRAID10をご使用の皆様へ (BUFFALO, 1/5)。ファームウェアバージョン 1.00 は腐っているようです。1.02 へ更新しましょう。
》 海賊対策室はできたけれど の件について、匿名希望さんから (ありがとうごさいます)
「とかくの噂」とは 「インドネシア海軍が海賊に関与」 という噂だと思います。 一部の海賊の正体はインドネシア海軍だという噂すらあります。
あぁ、なるほど……。「インドネシア海軍にみかじめ料を払っておけ」ということですか。関連:
》 《ESPIO!》 公安調査官・村上圭子の購入マンションに関する情報提供 (ESPIO!, 1/9)
》 山崎拓氏:北京へ出発 9日に北朝鮮入りか (毎日, 1/8)。 《ESPIO!》 安倍首相訪朝で拉致問題全面解決!? (ESPIO!, 12/29) の話? 《 ESPIO! 》山崎拓訪朝—「慶応大学の卒業生は日本語ができない」重村智計教授の小泉純一郎評 (ESPIO!, 1/9) も参照。
》 グーグル革命の衝撃 〜あなたの人生を“検索”が変える〜 (NHK スペシャル)。1/21。
なんだかぼろぼろのようですね……。はなずきんさん情報ありがとうございます。
関連:
[SA23647] MediaWiki AJAX Unspecified Cross-Site Scripting。1.6.9 / 1.7.2 / 1.8.3 で直っているようです。
[SA23655] Internet Explorer Memory Corruption Weakness。 DoS ねた。
[SA23529] Linux Kernel Unspecified "init_timer()" Security Issue。 Linux 2.4.x 話。2.4.34 で fix されているそうな。
Cisco Security Advisory: Multiple Vulnerabilities in Cisco Clean Access
VMSA-2007-0001: VMware ESX server security updates。 patch があるそうです。 CVE-2006-2937 CVE-2006-2940 CVE-2006-3589 CVE-2006-3738 CVE-2006-4339 CVE-2006-4343 CVE-2006-4980
》 ie7でぐぐると・・・ (Snow Flake, 1/5)。Snow Flake さん情報ありがとうございます。 ぐぐってみると True Lies (Security and Secure IT, 2006.06.30) というページがみつかるので、昨日今日はじまった話ではないのかしら。geektools で whois すると
Name servers:
ns0.etypemedia.co.uk
ns0.j15.co.uk
ns0.cerbernet.co.uk
と出てくるのだけど、ns0.j15.co.uk に問いあわせた場合にだけ www.e-typedesign.co.uk. 3600 IN CNAME www.microsoft.com. と言われるみたい。ns0.etypemedia.co.uk と ns0.cerbernet.co.uk ではそうはならない。
とりあえず、現在は MS なドキュメントを読めたりはしなくなっているみたいですが……。
》 2007年01月度 LILO Monthly Seminar (LILO)。2007.01.13、兵庫県神戸市、500 円程度。
》 デスクマット(抗菌仕様)ご愛用の皆様へ (コクヨ)
弊社が1997年10月から2000年8月まで生産しておりましたデスクマット(抗菌仕様)におきまして、使用されていた特定の抗菌剤(ピリジン系有機抗菌剤)が原因で、ごく稀ではありますが、体質により、アレルギー性接触皮膚炎が発症する可能性があることが判明致しました。
無償交換を行っているそうです。品番が該当する場合は交換してもらいましょう。とんとかいもさん情報ありがとうございます。
》 メール送受信における宛先フィールドの不整合が発生し、誤送信が発生する可能性のある問題への対応策 (IBM, 2006.12.26)。 Lotus Notes Client 6.x / 7.x におけるメールの宛先の処理に欠陥があり、 誤送信が発生する場合があるそうだ。はなずきんさん情報ありがとうございます。
回避するには、Lotus Domino Designer を使ってメールテンプレートを変更しなければならないそうだ。 はなずきんさんの blog も参照されたい。
WordPress 話
WordPress 2.0.6 で修正されているそうです。
Opera 話
Opera 9.10 で直っているそうです。
fetchmail 話
fetchmail 6.3.6 で直っているそうです。
Cisco Security Advisory: Multiple Vulnerabilities in Cisco Secure Access Control Server
[VulnWatch] iDefense Security Advisory 01.05.07: Kaspersky Antivirus Scan Engine PE File Denial of Service Vulnerability。 Kaspersky 自身については 2007.01.02 の自動更新で修正されているそうだ。 Kaspersky エンジンを塔載している他のアンチウイルスソフトについては不明。 CVE-2007-0125
》 台湾地震の影響で1万のドメイン名消失 (ITmedia / ロイター, 1/5)。こういうこともあるので、ドメインの更新はお早めに。
》 YouTubeの日本ビジネス展開、権利者側は協議拒否の方針 (ITmedia, 1/5)
》 青空文庫、著作権保護期間延長に反対の署名呼び掛け 国会に提出へ (ITmedia, 1/5)
署名はネットで公開している用紙に行い、青空文庫の連絡先(東京都新宿区)に送付する。4月30日を1次締め切りとし、5月中に国会の両院議長宛てに提出する予定。
著作権保護期間の延長を 行わないよう求める請願署名 (青空文庫) を参照。
》 住基ネット高裁判決後の総務省「住民基本台帳ネットワークシステム調査委員会会議要旨」 (まるちゃんの情報セキュリティ気まぐれ日記, 1/6)
》 niftyに偽装した悪意のあるサイトが登場 (slashdot.jp, 1/3)。このサイト、まだあるんですね。 さきほどアクセスしたら、 http://www.homepage3-nifty.com/online/ svch.exe を get するようになってました。Sophos は Troj/Maran-Gen だと言ってました。
》 ニセモノ撲滅に23億円 予算案で政府倍増 (asahi.com, 1/7)
》 働く女性の全国センター:セクハラなど困った時に 専門家ら、ユニオン紹介 (毎日, 1/7)
》 日興、業績悪化を懸念 止まらぬ顧客離れ (asahi.com, 1/6)
》 リビアで油田開発本格化 新たに1鉱区落札 国際石油開発と三井石油開発 (Yahoo / 産経, 2006.12.26)、 リビア油田:日本の2社、権益獲得 有望油田、取り分多く 資源競争、巻き返し期待 (毎日, 2006.12.26)
》 北方領土:解決策に「面積分割」案 日露探り合いか (毎日, 1/3)
》 スターバックス:悪玉油の使用中止 3日から全米店舗で (毎日, 1/3)
》 原爆日記:旧理研研究者が残す 終戦直前開発断念の記録 (毎日, 1/6)
》 大韓航空機が誘導路に誤着陸、事故調が調査 秋田空港 (asahi.com, 1/6)、 「ひとつ間違えば大惨事」 誤着陸で秋田空港関係者 (asahi.com, 1/6)、 操縦は機長、大韓航空の誤着陸 秋田空港 (asahi.com, 1/7)
同空港には電波で航空機を誘導する装置が滑走路の片方にしかなく、今回はない方からの着陸だった。同空港・航空路監視レーダー事務所によると、管制官は直前に気づいたが、着陸寸前だったためそのまま着陸させたという。
Month of Apple Bugs - Day 3 (Landon Fuller, 2007.01.04) と Month of Apple Bugs - Day 4 (Landon Fuller, 2007.01.05) に patch がある模様。 たまちゃんさん情報ありがとうございます。
Month of Apple Bugs - Day 1 (Landon Fuller, 2007.01.02) に patch がある模様。 たまちゃんさん情報ありがとうございます。
》 海賊対策室はできたけれど (JANJAN, 1/5)
現場海域から遥か遠く離れた日本に海賊対策室を設置しても、海賊は怖くも何もない。それよりも、とかくの噂が絶えないインドネシア海軍に寄付した方が、海賊防止には効果的だと思うのだが。
そういうこともやってますよ。
国家警察海上警察局で使用する巡視船3隻(船舶全長約27m、速力:約30ノット、航続距離:約600海里)を供与し、ベラワン基地及びタンジュンバツ基地、ジャカルタ基地に配備するもの。
関連:
海上保安庁では、これまで重点課題の一つとして鋭意取り組んできた海賊対策について、更に強力に推進するため、1月1日をもって警備救難部国際刑事課に海賊対策室を設置します。
》 人の強さと弱さ投げかけ〜映画「ルワンダの涙」 (JANJAN, 1/5)
》 カリブ海沿岸:偽『エコツーリズム』が明らかに (JANJAN, 1/5)
》 10 万円を越える現金のお振込みについて (全銀協)。現金が対象なんですね。 今般の本人確認法施行令の改正について (金融庁)。本人確認法施行令・施行規則が改正されたのですね。
》 Jemのセキュリティ追っかけ日記+α: ウィルスバスター2007 (まっちゃだいふくの日記, 1/4)。ウイルスバスター 2007 って、まっちゃさんがあきらめるほど遅いのですか……。まぁ、俺的基本動作は「ウイルスバスターは半年は寝かせろ」なので無問題なのですが……。 15.3 待ちなんですかね。
》 Cisco、ゲートウェイセキュリティ企業のIronPortを買収 (ITmedia, 1/5)。買われちゃいましたか……。
》 韓半島有事なら「北難民15万人が日本流入」…韓国在住米日民間人撤収計画も (中央日報, 1/6)、 韓半島有事:「北朝鮮難民、最大15万人が日本に流入」 (朝鮮日報, 1/6)
》 ダイエット:本当?「2週間で2キロ程度やせられる」 過大評価は危険 (毎日, 1/6)
》 絶版書籍をネットで閲覧 政府、著作権法改正案提出へ (slashdot.jp, 1/6)
MOAB
たまちゃんさん fix 情報ありがとうございます。 http://landonf.bikemonkey.org/code/macosx/ は要注目のようです。
NtRaiseHardError Csrss.exe memory Disclosure exploit。 Windows CSRSS HardError Message Box Vulnerability とは違う話なのだそうだ。 CVE-2006-6797
[Full-disclosure] WordPress Persistent XSS。 WordPress 2.0.6 で直っている模様。 CVE-2006-6808
CVE-2006-6827。Flash8b.ocx DoS 話。
CVE-2006-6847。 RealPlayer 10.5 の ierpplug.dll ActiveX コントロール DoS 話。
[Full-disclosure] Inforamtion Discloser Vulnerabilities in "phpMyAdmin" 。 phpMyAdmin 2.9.1.1 への patch 情報あり。 CVE-2007-0095
Quicktime 7.1.3 に欠陥。 MySpaceで感染を 広げる“QuickTimeビデオ・ワーム”,目的はフィッシング の件で一躍有名になった HREFTrack は、XSS だけでなく Cross-zone scripting も可能だ、という話。 CVE-2007-0059
修正プログラムは今のところ存在しない。指摘者は QuickTime のアンインストールを推奨している。 それにしても HREFTrack ですが、MySpace.com 内部でだけ QuickTime の patch が配布されていたのですか……。
Month of Apple Bugs - Day 3 (Landon Fuller, 2007.01.04) と Month of Apple Bugs - Day 4 (Landon Fuller, 2007.01.05) に patch がある模様。 たまちゃんさん情報ありがとうございます。
QuickTime 7.1.3 に欠陥。RTSP プロトコルの URL ハンドラに欠陥があり、buffer overflow が発生、攻略 rtsp:// URL によって任意のコードを実行できる。 the Month of Apple Bugs の栄えある 1 個目。 CVE-2007-0015
修正プログラムは今のところ存在しない。QuickTime で rtsp:// URL を処理しないよう設定すれば回避できる。
Month of Apple Bugs - Day 1 (Landon Fuller, 2007.01.02) に patch がある模様。 たまちゃんさん情報ありがとうございます。
patch が出ました: Security Update 2007-001 について (Apple)。 適用しても QuickTime のバージョン表示は変わらないみたいですね。
Windows で Apple Software Update を使って Security Update 2007-001 を適用すると、以下が更新されるみたい。
更新後の QuickTimePlayer.exe の digital signature はこんな感じ:
QuickTimePlayer のバージョン自体は 7.1.3.90 のままだった。
[SA23612] OpenOffice WMF/EMF Processing Buffer Overflow Vulnerabilities の話。OpenOffice.org 2.1 で修正されているそうです。 マルチディスプレイに対応した「OpenOffice.org」v2.1 日本語版が公開 (窓の杜) だそうなのでアップデートしませう。
Adobe Reader / Acrobat 7.x 以前のプラグインに複数の欠陥があるという話。
ユニバーサル Session Riding (CSRF)。 対象: Firefox / IE 6 / Opera + Adobe Reader / Acrobat プラグイン
http://example.com/file.pdf#FDF=http://example.jp/index.html?param=... へのリンクをたどると、ユーザへの問いあわせなしで example.jp に param=... が送られてしまい、CSRF 攻撃に利用できる模様。FDF (Forms Data Format) の他に XML= や XFDF= でも同様になるそうだ。 CVE-2007-0044
ユニバーサル XSS。 対象: Firefox + Adobe Reader / Acrobat プラグイン
http://example.com/file.pdf#FDF=javascript:alert('Test Alert') へのリンクをたどると、Firefox 上で JavaScript が実行されてしまい、 XSS 脆弱性が発現する模様。XML= や XFDF= でも同様。 関連:
# のうしろはなんでもいいみたい。
リモートコードの実行。 対象: Firefox + Adobe Reader / Acrobat プラグイン
http://example.com/file.pdf#FDF=javascript:document.write('jjjjj...'); へのリンクをたどると Firefox 内部でのメモリ破壊を誘発でき、これを使うと任意のコードを実行できる模様。 CVE-2007-0046
DoS。 対象: IE 6 + Adobe Reader / Acrobat プラグイン
http://example.com/file.pdf#####...(More '#') へのリンクをたどると IE 6 が DoS になる模様。 CVE-2007-0048
この欠陥は Adobe Reader / Acrobat 8.x では修正されている……が、8.x に移行できる環境は限られている。 APSA07-01: Cross-site scripting vulnerability in versions 7.0.8 and earlier of Adobe Reader and Acrobat (Adobe) によると、Adobe Reader / Acrobat 7.0.9 Update が来週中に登場する模様。
For users who cannot upgrade to Reader 8, the Secure Software Engineering team is working with the Adobe Reader Engineering team on a 7.0.9 update to versions 7.0.8 and earlier of Adobe Reader and Acrobat that will resolve this issue, which is expected to be available in the next week.
この欠陥を回避するには、web ブラウザにおいて PDF ファイルを Adobe Reader / Acrobat プラグインに処理させないようにすればよい。 web ブラウザ側で設定する方法と、web サーバ側で設定する方法がある。
関連:
関連:
Adobe Reader / Acrobat 7.0.9 アップデートが公開されました。Adobe Reader / Acrobat 7.0.x の利用者は、[ヘルプ] メニューの [アップデートの有無を今すぐチェック...] を選択して更新しましょう。
APSB07-01 と APSA07-0[12] の日本語版が出ていました。
2007年1月16日 -- Windows版Adobe ReaderおよびAcrobat 6.0.6の公開にあわせて情報を更新
(中略)
Adobe Reader 6.0〜6.0.5をご利用の方で、オペレーティングシステムの制約などからバージョン8または7.0.9へのアップグレードが不可能なお客様には、http://www.adobe.com/jp/downloadsから入手できる一連のパッチを利用するか製品内の自動更新機能の案内に従って、バージョン6.0.6へのアップグレードを推奨します。
合計 8 件ですか。加えて、 WSUS / Microsoft Update では「セキュリティ以外の優先度の高い更新プログラム」が 2 件あるそうです。
「当初公開していた事前告知の内容を変更しました」の一言で、ずいぶん内容が変更されました。
合計 4 件と半減してしまいました。 WSUS / Microsoft Update で「セキュリティ以外の優先度の高い更新プログラム」が 2 件公開される……のは変化ありません。
4 件出ました。1 月のセキュリティ リリース (日本のセキュリティチームの Blog, 2007.01.10) より:
今月の事前告知では、当初 8 件とお知らせしていましたが、4 件に変更しました。 これは、更新プログラムの品質テスト過程において問題が発見されたためです。
Detection and deployment guidance for the January 9, 2007 security release (Microsoft)
2007 年 1 月 セキュリティ リリース ISO イメージ (Microsoft)
》 Fedora Legacy Project がサービス終了へ (slashdot.jp, 1/1)。さようなら。
》 投稿の詳細: 通報を処理しきれない警察という観点からコンテンツ規制をみる (崎山伸夫のBlog, 1/2)。業界的には、38% しか削除されなくても「予想以上に削除された」という評価になるんですか。
結局のところ、この通報が警察の現場の対応能力を越える通報件数をもたらしているのではないか、という状況が疑われる。
》 紅白歌合戦:ダンサーの衣装巡り抗議相次ぐ 番組中に謝罪 (毎日, 2006.12.31)。「衣装は、女性の裸がデザインされたボディースーツだった」のだそうで。小林幸子:衣装は1トン、装置はNASAが開発 (毎日, 2006.12.31) の方は恒例ですが (ちゃんと動いてよかったね)。
さぁ、「年の初めはさだまさし」がはじまったよ。いきなり「宅急便」とか出てきて「始末書! 始末書!!」とか言ってるし……。プロゴルファー谷口拓也さんはなぜかさだ企画所属なのだそうで。
》 あけましておめでとうございます。 今年もよろしくお願い致します。
いいかげんリニューアルしたいなあ。
![[セキュリティホール memo]](/~kjm/security/memo/sechole-memo.gif){kind=small}
私について
