セキュリティホール memo

》国勢調査が分かる (国勢調査の見直しを求める会)。調査員がアレ、という話は昔からありますよねえ。今回はまがりなりにも密封用封筒が全世帯配布されるようですが、国勢調査最新情報その１　封入提出に見られる自治体の温度差は何か？ (9/11) とか、国勢調査に対する見方とか興味深いなあ。
》「MSの新パッチ適用サービスでウイルスからPCを守る」（全4回） (日経 IT Pro, 9/26)。MBSA 2.0 + WSUS ねた。
》アップル、iPod nanoの欠陥を認める--無償交換へ (CNET, 9/29)。内容的には Apple、iPod nanoのディスプレイ問題に回答 (ITmedia, 9/28) と同じっぽい。
》韓国政府機関、スパムメッセージやワン切り電話に対する注意を呼びかけ (MYCOM PC WEB, 9/29)
》パターンファイル 2.859.00 における誤警告情報 (トレンドマイクロ, 9/28)。登記申請書作成支援ソフトウェア (法務省) ですか……。
》 OpenBSD 3.8 予約開始と新曲 (slashdot.jp, 9/28)
》第11回オープンソースソフトウェアセミナー: テーマ「次世代ブラウザ Firefox/次世代メールクライアントThunderbird」。 2005.10.08、愛知県名古屋市、一般1500円。セミナー2が「Firefox の拡張機能とセキュリティ」という内容になってます。 Marie さん情報ありがとうございます。
》 Network Security Forum 2005 (2005.12.01～02、東京都千代田区、無料?) のプログラム一覧が掲載されています。申込受付はまだのようです。

　NSF2005 in Osaka (2005.10.27、大阪府大阪市、無料) の方は、申込受付が開始されています。

　服部さん情報ありがとうございます。
》『オープンソースソフトウェアな人』限定! 脆弱性情報ハンドリング説明会 (JPCERT/CC)。 2005.10.16、東京都新宿区、無料 (『オープンソースソフトウェアな人』限定)。 PDF 版に会場地図あり。このへんの「このような説明会」の詳細。

■ 2005.09.28

》 RSBAC 1.2.5 が出たそうです。
》 ICPO: IT犯罪に対処、アジア各国で作業部会開く (毎日, 9/28)
》ライフボート、ウイルス対策ソフト「カスペルスキーアンチウイルス5」発売 (Internet Watch, 9/28)。Kaspersky Anti-Virus Personal の日本語版だそうです。忘れたころにやってきたなあ。10/28 発売だそうです。
》 JPNIC・JPCERT/CC Security Seminar 2005: サーバアプリケーションセキュリティ (10/6～7、東京) の講師が決定してますね。締切が迫っているとかいないとか……。
》オープンソースカンファレンス2005 Tokyo/Fall - 脆弱性情報の取り扱いにおけるオープンソースソフトウェア特有の問題とは? (MYCOM PC WEB, 9/27)

10月16日には、このような説明会の開催も予定されている

に参加したい場合は、JPCERT/CC に問いあわせればいいんですかねえ。関連: (匿名希望さん情報ありがとうございます)
- [openmya:028964] OSC2005-fall出席報告
- [openmya:029018] FYI:JPCERT/CC脆弱性ハンドリング説明会(Re: OSC2005-fall出席報告
　openmya ML のアーカイブ、w3m からだと閲覧できないのは私だけ? (直ったようです。国分さん対応ありがとうございます)

　10/16 というとこういうイベントもありますが、終ってからでも間にあう距離……なのかな?
》 iij.news vol.72 SEPTEMBER/OCTOBER 2005 が出ています。
》 InterConnect 2004 Service Pack 2 (Microsoft) が出ています。Outlook 2002 や Outlook Express 6.0 以上にも対応しています。
》 904631 - Description of the Outlook 2003 Junk E-Mail Filter update: September 2005 (Microsoft)。「Outlook 2003 迷惑メールフィルタ更新プログラム」の 2005.09 版が出ています。
》 GPL、次期バージョンではウェブアプリにも適用範囲を拡大か (CNET, 9/28)

現在、GPLでライセンスされたソフトウェアを配布する場合、企業は加えた修正部分を含むソースコードを公開しなくてはならない。このルールは、GPLでライセンスされたソフトウェアを商用目的に利用する多くの企業をカバーしているものの、このようなソフトウェアを使ってウェブ経由でサービスを提供する企業をカバーしてはいない。これは、それらの企業が実際にそのソフトウェアを配布しているわけではないためだ。

　なるほど……。
》情報化月間記念特別行事 (IPA)。2005.10.03、東京都港区、無料 (講演・パネルディスカッションは、事前登録による受講券が必要)。パネルディスカッションにセキュリティねたあり。Toyocrypt クラック実演……はないようです。
》「Microsoft(R)Office 2003 Service Pack 2」日本語版を9月28日（水）より提供開始 (Microsoft) だそうです。
》バックアップねた
- Symantecのバックアップソフト「Backup Exec 10d」正式リリース (ITmedia, 9/28)。
  - Symantec Backup Exec 10d is "Designed for Disk" and Delivers Continuous Data Protection (veritasu.com)
  - Symantec Introduces LiveState Recovery; Delivering Breakthrough Capabilities in Enterprise System Recovery (veritasu.com)
- Microsoft、バックアップ製品の提供開始 (ITmedia, 9/28)。 Data Protection Manager (Microsoft) の話。日本語版はまだβ。
　……シマンテックねたの日本語版出ました:
- シマンテック、Backup Exec 10d をリリース、ノンストップのデータ保護を実現 (シマンテック, 9/28)
- シマンテック、LiveState Recovery を発表、企業向けシステムリカバリの分野でブレークスルー的機能を実現 (シマンテック, 9/28)
》 Apple、iPod nanoのディスプレイ問題に回答 (ITmedia, 9/28)

Appleは、iPod nanoのディスプレイは第4世代iPodと同じ素材でできており、今のところ第4世代iPodのディスプレイへの苦情はないとしている。

　利用シーンがずいぶん異なるのだから、それは言いわけにはならんだろう。まあ、

もしも傷が心配なら、iPod nanoを保護するケースを利用することをお勧めする

のような結論にはなるのだろうが。
》中堅中小規模事業所向けのセキュリティ対策診断ツール「マイクロソフトセキュリティアセスメントツール日本語版」を提供開始 (Microsoft)
》米軍：ウズベキスタンの基地から撤退へ　両国の関係悪化で (毎日, 9/28)
》 IIJが迷惑メール対策を強化，「ポート25ブロッキング」や「送信ドメイン認証」を導入 (日経 IT Pro, 9/27)
》「迷惑メールを大量送信してすぐに解約する“渡り”が問題」---IIJ (日経 IT Pro, 9/27)
》インターネット証明書類発給サービスの中断を決定 (朝鮮日報, 9/25)。くのいちさん情報ありがとうございます。

(韓国) 政府は、住民登録謄本をはじめ、役所の窓口業務で発給される証明書類21種を個人のパソコンで出力できるインターネット証明書類発給サービスが、簡単なコンピューターソフトで偽造、変造された書類を出力できることが判明し、 23日、このサービスを全面的に打ち切った。

　韓国でも「さすが電子政府」なようですね。

■ 追記

■ ソニーPSPの静止画データ表示機能にセキュリティ・ホール
(日経 IT Pro, 2005.09.27)

■ RealPlayerとHelix Playerに任意のコードを実行されるセキュリティ・ホール
(日経 IT Pro, 2005.09.28)

■ 2005.09.27

》中国方面。さかいさん情報ありがとうございます。
- 中国政府、オンラインニュース報道の規制を強化 (Japan.internet.com, 9/27)
- 新規則策定：ネット上で非合法な集会・デモ禁止 (毎日, 9/27)
》イラク方面
- イラク：バスラで高まる反英感情　警察署突入事件で (毎日, 9/24)
- イラクで死亡の米兵の母ら、３７０人逮捕　駐留反対デモ (asahi.com, 9/27)
- 米軍法会議：刑務所でイラク人虐待の女性兵士に有罪評決 (毎日, 9/27)
- 武装勢力、小学校教師ら６人を教室で射殺　イラク (asahi.com, 9/27)
- テロ特措法を１年延長、改正案を自民党部会が了承 (asahi.com, 9/27)
》 [connect24h:9765] USENがドメイン更新忘れか？。あらまあ。
》軍用イルカ、ハリケーンで逃げ出す＝毒矢装備、ダイバーに危険も－英紙 (yahoo / 時事, 9/27)。伊能さん情報ありがとうございます。
》 iPod nanoの液晶の件ですが、藤井さんから (情報ありがとうございます):

9/26 の「iPod nanoの液晶画面に問題浮上....」にふつうのジーンズに入れると液晶画面が顔を出すということが書いてありますが、 iPod nanoのヘッドホン端子は本体下部についているため、通常使用時には iPod nano 自体はひっくり返った状態でポケットに入ると思います。以下は参考ですが、ちょうどそんな写真があります。
http://plusd.itmedia.co.jp/lifestyle/articles/0509/09/news066_2.html

　あ、そうなんだ。その場合、さらに傷つきやすいような気が。胸ポケットとかリストバンドとかにしておいた方がいいと思う。
》 NTTが耐障害型ファイルシステムNILFSをリリース (slashdot.jp, 9/26)。上書きを極力排除だそうなので、Forensic 系の人にもうれしいかも。

　しかし、プレゼン資料の p.22 って……。Linux ってそういうつくりなんですか?
》世界初！ストリーム暗号「Toyocrypt」の解読に成功 (IPA, 9/26)。解読に使用した高速プログラムも公開されています。関連: IPAが世界初の暗号解読に成功--100億年かかるところを20秒で (CNET, 9/26)
》報告された弱点と実際のセキュリティはFirefoxの優位性を示している (japan.linux.com, 9/26)。

Mozillaプロジェクトの製品ヘッドを務めるChris Beardは (中略) インタビューの中で次のように語った。「もっと意味のある評価法を考えるなら、おそらく未パッチの弱点の数と修正までの期間に着目したほうがよいだろう。エンドユーザの安全を保つという点から見ると、こうした基準を導入したほうがずっと意味があるのではないか」

　これはおっしゃる通り。
》米国家安全保障局、ネットユーザーの居場所を特定する技術で特許 (CNET, 9/22)
》 PacSec/core05 conference Tokyo。2005.11.15～16、東京 (の何処?)、10/15 までなら 90,000円。

■ いろいろ
(various)

■ [SA16935] Qpopper poppassd Insecure Trace File Creation Vulnerability
(secunia, 2005.09.27)

■ 2005.09.26

》のまネコ話、戦火が拡大しているようです。
- 【のまネコ問題】有限会社ゼンがのまネコの画像を「米酒」として図形商標出願済-(c)avex★３ (2ch.net, 9/23)。 7/28 の時点で「図形商標」を出願していたのだそうで。
- 「のまネコ」に関するエイベックスネットワーク株式会社の発表について (エイベックス・グループ・ホールディングス, 9/23)
- のまタコ？ (壇弁護士の事務室, 9/26)
- ２ちゃんねるの西村氏、エイベックスに「のまタコ」について公開質問状 (Internet Watch, 9/26)
- 「のまタコ」キャラ展開？　ひろゆき氏、エイベックスに公開質問状 (ITmedia, 9/25)
- 誰がノマネコに殺されるのか (MUSICLIFE v2, 9/24)
- のまタコ新聞
》 What a nice magazine (F-Secure blog, 9/26)。 Countering spyware (InfoWorld, 9/19) で F-Secure 製品が高評価を得ている話。
》 A different look at Bagle (F-Secure blog, 9/23)。3D デモ。
》 [memo:8698] テクニカルエンジニア(情報セキュリティ)試験創設 (関連: セキュリティにも国家資格 (slashdot.jp, 9/2)) という話がありましたが、世の中には、情報セキュリティ検定試験 (joho-gakushu.or.jp) というのもあるそうで。匿名希望さん情報ありがとうございます。って、この過去問は……。

　情報セキュリティ検定試験を実施している財団法人全日本情報学習振興協会は文部科学省所管の公益法人です。 joho-gakushu.or.jp 内の協会データにはなぜか「寄附行為」しかないのですが、こっちの協会データにはいろいろあります。役員名簿にある「専務理事」の「牧野常夫」さんというのは、株式会社アビバジャパンの代表取締役社長：牧野常夫さんと同一人物なのかな。あと、ここって理事も評議員も非常勤な人しかいないんですね。
》 iPod nanoの液晶画面に問題浮上--「簡単に傷つきすぎる」と一部ユーザー (CNET, 9/26)。保護シールはついてない? あと、ふつうのジーンズに入れると液晶画面が顔を出す (ビギナーB子のMac女王への道, 9/10) ようなので、そういった状況ではよけい傷つきやすいのではないかと。

■ 2005.09.25

》 NTT-Comのパケットサービス、関西一部地域で72時間停止 (slashdot.jp, 9/25)。72 時間とは、これまたひどい状況ですね。

　それにしても、どうやって「解決」したのだろう。第三報 (ntt.com) から:

これまで総力を挙げて、当該設備装置の交換、ソフトウェアの再設定などの復旧作業を進めてまいりましたが、復旧に至らない事から、当該サービスをご利用の一部金融業界・コンビニエンス業界のお客さまなどには、多大なご迷惑をおかけし深くお詫び申し上げます。

　ねたもと: NTT-Comのパケットサービス、関西一部地域で72時間停止 (slashdot.jp, 9/25)。個人的には、コンビニで公共料金等を支払いしている人への話が興味深かった。
》ひまわり６号：観測画像、一時送信不能に　カメラ止まる (毎日, 9/24)
》 US-CERT Malware Naming Plan Faces Obstacles (eWeek.com)。マルウェアの世界に CVE みたいなもの (CME だそうだ) を持ち込もうという話みたい。 10/3 start って書かれてる。
》同時多発テロの犯人は事前に分かっていた？--米軍に証拠隠滅の疑い (CNET, 9/22)
》『Winnyの技術』の発売が決まりました (NETWORK MAGAZINE, 9/20)。さっそく発注。

■ 追記

■ 2005.09.23

》ロス緊急着陸の同型機　過去にも「前輪横向き」事故 (TV 朝日, 9/23)。関連:
- Statement By JetBlue CEO David Neeleman Regarding Flight 292 (jetblue.com, 9/22)
- NTSB INVESTIGATING EMERGENCY LANDING IN LOS ANGELES (NTSB / アメリカ国家運輸安全委員会, 9/22)
》インドネシアは武力乱用を避けよ　漁船砲撃で外交部 (人民網日本語版, 9/23)。不法な網使用の中国漁船に発砲、インドネシア東部 (CNN, 9/21) の話。

海軍東方艦隊司令部の報道官によると、発砲は１９日に発生。漁船は計４隻で、機関銃の警告の発砲にも従わなかったため、最も大型の漁船に向かって撃ったという。

　これが本当なら、乱用じゃないと思うが……。
》 Thunderbird、Eudoraでメールが受信できません (キングソフト)。「この現象は原因が究明できており、早ければ２３日、遅くとも２６日か２７日には修正ファイルをアップデートにて配信させていただきます」だそうです。

この件に関し、当初アンチウィルスのポート設定（SMTP,POP）を変更してくださいという旨掲載いたしましたが、その後の検証の結果、それですとメールモニターが機能しないことが判明いたしました。

　判明もなにも、そういう設定じゃん……。キングソフト、だいじょうぶか。
》 [ オンライン署名 ] ＪＡＬ１２３便の遺留品・データが破棄されようとしています！ (日本航空三乗組)。１２３便事故特集 (日本航空三乗組) も参照。

　今はじめて、ザ･ノンフィクション日本航空123便墜落事故・15年目の検証 (日本航空三乗組) を読んだのですが、

仮に、尾翼が爆発したとする。この衝撃でボディギアが動くと、コックピットの計器は車輪の異常を示す。同時に、機内の気圧は自動的に減圧される。更に衝撃で酸素マスクが落下する。
生存者が証言している白い霧も、ボディギアの誤作動による一時的な減圧で発生する。
報告書は、「修理ミスに起因する圧力隔壁の損壊により急減圧が発生、流れ出た機内の空気が尾翼を吹き飛ばした」としている。しかし、急減圧を裏付ける証拠としてあげている客室の霧の発生や酸素マスクの落下は、ボディギアの異常でも説明がつく。

　あと、疑惑 JAL123便墜落事故―このままでは520柱は瞑れないは当然必読ですね。
》 Philadelphia Grand Jury Report on Pedophile Priests (The Memory Hole)
》 All Available NY Fire Dept Dispatch Tapes From 9/11 (The Memory Hole)
》東京都でプロバイダによるフィルタリングの努力義務化 (slashdot.jp, 9/21)、ネットカフェ閲覧禁止ソフト (NHK, 9/23)。
》学校占拠事件から１年・今、ロシアとチェチェンはどうなっているのか？ (chechennews.org)。2005.09.24 (明日)、東京都渋谷区、500 円。
》 Eyeballing Katrina Dead 02 (cryptome.org, 9/17)。警告: 死体画像多数。
》「リタ」米本土上陸へ　市民２００万人に避難命令 (北海道新聞, 9/23)。えらいこっちゃ。
》インドネシアの鳥インフルエンザ感染、ジャワ島外に拡大 (日経, 9/23)
》 Protty v.01A (beta) - shellcode execution protection library for Windows NT based systems というのがあるそうです。

■ いろいろ
(various)

■ 追記

■ 2005.09.22

》自動構成スクリプトでプロキシを設定している環境にてアップデートができません (マカフィー)。VirusScan Enterprise / AntiSpyware Enterprise 8.0i は「自動構成スクリプト」には対応していないようです。
》変幻自在なBOTの正体を暴く (ITmedia, 9/22)
》 Firefox 1.0系はメモリを解放しない? (アメリカでがんばりましょう, 9/8)。 memory cache をがんがん使ってしまう模様。about:config から制限できるようだ。
》 908290 - 2 バイト文字を含む FTP サイトへアクセスした場合の問題 (Microsoft)。ふぅん。
》 removal of service on OLD ip address for "B" (RIPE)。 B ルートサーバの IP アドレスが 2004.01.28 に変更されたのだが、その後も旧アドレスでもサービスを継続していた。しかしいよいよ、旧アドレスでのサービスを 2006.01.01 付で停止する計画のようだ。ルートヒントの更新をいまだにしていない場合は、今がその時ということで。おおかわさん情報ありがとうございます。

　Windows 2000 Server / Server 2003 上の DNS サーバの場合って、どうやって更新するんだろう。Server 2003 はデフォルトで更新されているかもだけど。
》特設会場：KIS助け合い掲示板にプロキシ経由のアップデートができませんというねたがあったので、[memo:8751] の話を昨晩書き込んだのですが、削除されちゃってるっぽいなあ。うーん。
》「ISMS認証ガイドブック～制度概要と優良事例に学ぶ短期取得～」 PDF冊子を10月5日までの期間限定で無償配布 (NS 総研, 9/20)。まっちゃさんが「はっきりいって、良いです！」と言っているので、よいものなのでしょう。
》姿を変えるマイクロソフトの「ソフトウエア・アシュアランス」 (日経 IT Pro, 9/21)。ほほぅ。

■ 追記

■ 2005.09.21

》キングソフトインターネットセキュリティ2006ですが、上之薗さんから「管理者権限以外ではパターンファイルのアップデートが出来ない」という情報をいただきました (ありがとうごさいます)。まあ、どう見ても家庭向けだし、そんなもんのような気もします。

　とりあえず、Virus Bulletin とかで検証してもらってほしいなあ。でないと、「avast! home edition でええんちゃう? VB100% だし icsa labs certified だし」になっちゃうんだよね。

　あと、キングソフトインターネットセキュリティ2006 (Palm84 某所の日記) を読んではじめて気がついたのだけど、キングソフトって、従業員数 6名(2005年9月現在) なんですね……。いやはや。
》情報モラル教材：普通教室でネットモラル授業を (毎日, 9/21)
》ガス田方面
- 東シナ海ガス田：「天外天」生産開始　オレンジ色の炎確認 (毎日, 9/21)
- 月末にも日中協議開催　東シナ海のガス田開発で町村外相 (北海道新聞, 9/21)
- 東シナ海資源生産、中国に抗議　政府「一方的」 (産経, 9/21)
》 [AML 3730] ひろがる監視社会――「安全・安心・まちづくり」とは何か。 2005.10.15、東京都港区、500 円。
》 [AML 3725] 山下清が放浪した理由
》【中国】河南：「90％の子供が鉛中毒」激怒の農民が暴動 (yahoo / サーチナ・中国情報局, 9/16)。
》北京のトイレ「ハエ２匹」に中国現地メディアが酷評 (サーチナ・中国情報局, 9/21)。2 匹なら ok ですか……。
》 Writing small shellcode (NGS Software)。さっぱりわからん orz
》 Security Solution 2005 (日経 BP)。 2005.10.26～28、東京ビッグサイト、事前登録すれば無料。服部さん情報ありがとうございます。
》迷惑メール対策について～迷惑メールの現状と今後の取り組みについて～ (NTTPC, 9/21)。Outbound Port 25 Blocking 採用だそうです。
》 Symantec Internet Security Threat Report Volume VIII: September 2005 (Symantec)。
》 SMS 2003 Inventory Tool for Microsoft Updates (Microsoft) が出ています。
》 JPCERT/CC レポートのアンケートにおいて、アンケート回答者 (の希望者) から抽選で 5 名に、JPCERT/CC が開催するセキュリティセミナーの無料招待券が当たる件ですが、当該セミナーに既に振込してしまった人の場合には、払い戻しの上で無料参加可能だそうです。山賀さん情報ありがとうございます。
》 Exchange 2000 / 2003 の WebDAV まわりに関する patch が出ています。
- 888619 - The value for the PR_ACCESS property that is returned from the DAV PROPFIND method is always read-only in Exchange Server 2003 (Microsoft)
- 892986 - The value for the PR_ACCESS property that is returned from a WebDAV PROPFIND method is always MAPI_ACCESS_READ (read-only) in Exchange 2000 (Microsoft)
》ふと http://www.mcafeesecurity.com/japan/licensed2/ を訪れて気がついたのですが、VSE 8.0i Patch 11 が 22 August 2005 付で出ていたのですね。Windows Server 2003 SP1 も Patch 11 で ok ok になってます。以下の問題も Patch 11 で対応だそうです。
- システムイベントログにイベントID6004と3019のエラーが出力されます (マカフィー)
- プリンタ/スキャナの複合機からデータを取り込む（スキャン）すると、mvstdi5x.sysのブルースクリーンエラーが発生する (マカフィー)
　ふと訪れたのは、Virex 7.7 日本語版が出たからなのですが。 Virex 日本語ページっていまだに 7.2.1 だな……。だめじゃん。
》 Rgrey - Selective SMTP Rejection + postgrey パッチですが、 qgreylist 用の patch も用意されていますね。

　世の中的には Bagle の亜種が流行ってるらしいのですが、Rgrey を入れているおかげなのか、手元にはぜんぜん届いてません。
》 Debian Security Host Bandwidth Saturation。 100Mb/s が埋まっちゃった模様。

■ Infected files found on mozilla site
(viruslist.com Analyst's Diary, 2005.09.20)

■ いろいろ
(various)

■ 追記

■ Opera 8.50 for Windows Changelog
(Opera, 2005.09.20)

■ Firefox 1.0.7 Release Notes
(mozilla.org, 2005.09.21)

　Firefox 1.0.7 登場。IDN 欠陥やコマンドライン利用時の欠陥 (SA16869) の修正の他にもいろいろ直ってるっぽいのだが、Known Vulnerabilities in Mozilla Products にはまだ 1.0.7 の情報はない。

2005.09.22 追記:

　Linux/UNIX用Mozillaにも危険な脆弱性、最新版「1.7.12」で修正 (Internet Watch, 2005.09.22) だそうです。

2005.09.23 追記:

　Firefox 1.0.7 / Mozilla 1.7.12 で修正された欠陥:

ソフトハイフンを利用した IDN 処理過程におけるヒープオーバーラン (mozilla-japan.org)
Firefox 1.0.7 および Mozilla Suite 1.7.12 で修正された複数の脆弱性 (mozilla-japan.org)。8 個記載されています。
コマンドライン処理を通じたシェルの実行 (Linux 版のみ) (mozilla-japan.org)

　攻略コード:

Exploit for IDN host name heap buffer overrun in Mozilla browsers (FireFox, Mozilla and Netscape) (milw0rm.com)

2005.09.28 追記:

　Mozilla Suite 1.7.12 日本語版が出ています。 mozilla-japan.org などからどうぞ。匿名希望さん情報ありがとうございます。

■ JVN#62914675: Ruby においてセーフレベル 4 がサンドボックスとして機能しない脆弱性
(JVN, 2005.09.21)

■ SYM05-014: VERITAS Storage Exec DCOM Server Buffer Overflows
(Symantec, 2005.09.19)

■ 2005.09.20

》 JPCERT/CC レポートのアンケートの締切 (9/22) が迫っているようです。

　ところで、アンケート回答者 (の希望者) から抽選で 5 名に、JPCERT/CC が開催するセキュリティセミナーの無料招待券が当たるようなのだけど、当該セミナーに既に振込してしまった人の場合には、払い戻しとかで対応してもらえるんだろうか。
》米Microsoft，アクセス管理およびID認証ソフト・ベンダーの加Alacrisを買収 (日経 IT Pro, 9/20)
》シマンテック：「Mozillaブラウザの脆弱性、IEを上回る」 (CNET, 9/20)。それ自体は事実だと思うけど、

しかしこのレポートでは、MicrosoftやMozillaが脆弱性に対応したパッチをリリースするまでにかかった時間や、それらの脆弱性のうちハッカーに狙われたものがどれほどあったかについては明らかにされていない。

特に前者についてが重要だと思いますけどねえ。あわせてシェアをも考えれば、IE の方が圧倒的に重大な影響があるわけで。そんな中で IE 6 SP2 はがんばっているとも思いますけどね。
》 NetScreen Remote利用端末で、ブルースクリーンが発生、再起動してしまう (マカフィー, 9/20)。Managed VirusScan Version 3.0 話。NetScreen Remote に修正版が出ているそうです。
》メールサーバの手前でスパムメールをブロックする「Trend Micro Network Reputation Service」を提供開始 (トレンドマイクロ, 9/20)
》 Opera、ライセンス料を無料化 (Internet Watch, 9/20)
》九州電力の火力発電所情報や個人情報がWinnyに流出 (Internet Watch, 9/20)。また ny ですか……。
》アイピーロックスジャパン、データベース･セキュリティ管理ソフトウェアの最新バージョン「IPLocks V5.0」を販売開始 (アイピーロックスジャパン、 9/15)

既に国内導入実績も80社に及び業界標準の総合的データベース・セキュリティとなっています。

　80 で「業界標準」なのか……。
》ソフトイーサ社が開発した次世代 VPN システム (仮称 "VPN 2.0") の RC1 を9月30日に公開、Linux版・FreeBSD 版・Mac OS X 版も提供開始 (softether.com, 9/16)。「住民基本台帳カードと連携したユーザー認証システムを実現」だそうです。

例えば、企業がスマートカードシステムを一式購入することなく、各ユーザーが市役所などで住民基本台帳カードの作成と公的個人認証サービスの申し込みを行えば、非常に安価で大量のユーザーを格納できる企業用 VPN システムを構築することができます。

　「ぶっちゃけありえない」気はする……。
》連続調査No.05「災害時のシステム復旧」 (日経 BP, 9/16)。単なるマニュアルの有無よりは、むしろ「演習 (図上 / 実動) をしているか」や、文中でもちらっと出てくるが「インフラが機能停止した場合の対応がどのくらい盛り込まれているか」といった観点に興味があるのだが……。関連はこのあたりかな:
- その災害対策は機能しない（前編）いま生かすべき新潟県中越地震の教訓 (日経 BP)
- その災害対策は機能しない（後編）Ｐａｒｔ２　備えリスク分析とテストで投資対効果を高める (日経 BP)
》 FBI Research Reports on the Ku Klux Klan: Two Previously Unseen Monographs Covering the Klan's History from 1865 to 1958 (thememoryhole.org)
》「キングソフトインターネットセキュリティ2006」でアップデートできなかった件ですが、ようやく解決しました。[memo:8751] を参照。高波さん情報ありがとうございます。

　ちなみに、この件についてキングソフトのサポートに問いあわせてみたのですが、

申し訳ございません。当方であれこれ検証いたしましたが、どうにも再現できず、よって解決方法をご提示できませんでした。恐れ入りますが、アンインストールしていただき、ご使用頂かないことをお勧めさせていただきます。
せっかくご使用いただきながらお役に立てず、申し訳ございませんでした。

と言われました (^^;;;)。

　で、さっそく手元にある検体をいくつか試してみたのですが、 Mytob 系については検出したものの、たとえば
- トレンドマイクロが BKDR_HAXDOOR.CI として検出するブツ
- トレンドマイクロが WORM_SDBOT.BYN として検出するブツ
については検出しませんでした。まあ、これらは ClamAV 0.86.2 (アップデートしろよ > 俺) でも検出しないのですが (報告しとけよ > 俺)。

　あと、除外設定ができない (TOTORO(トトロ)の自堕落　日記) という話があるようです。誤検出時には困ったことになりそうです。HIRAGA さん情報ありがとうございます。

■ JVN#40940493: Webmin および Usermin における認証回避の脆弱性
(JVN, 2005.09.20)

■ いろいろ
(various)

■ 誤解される「自動的にダイアログを表示」の意味
(高木浩光＠自宅の日記, 2005.09.18)

　この設定項目がわかりにくいのは、「情報バー」という言葉がどこにも出てこないから、のような気がするなあ。たとえば、「ActiveX コントロールのインストールの許可を情報バーで行う」といった内容なら、誤解されにくいような気が。

　Microsoft の説明もおもいっきり不足していて、たとえば

を見ても「どのように設定するとそうなるのか」はさっぱりわからないし、

を見ても、やっぱりわからないですね。いちばんわかりやすいのは、IE ヘルプの「Internet Explorer の情報バー」かなあ。

　また、何が安全側なのかについては、「制限済みサイトゾーン」でどのように設定されているかを見ると参考になると思います。この点では、グループポリシーを使用した Windows XP Service Pack 2 の機能の管理 (Microsoft) も参考になります。

　あと、「ActiveXコントロールに対して自動的にダイアログを表示」の親戚に「ファイルのダウンロード時に自動的にダイアログを表示」というのがいるのですが、これについて触れる人はあまりいないですかね。

■ 2005.09.19

》陸自ヘリ墜落の瞬間をカメラ捉える (TBS, 9/18)。死者が出なくてよかったね。
》アダルトサイト被害対策の部屋の HijackThis 関連ドキュメントが更新されています。
- HijackThisによるレポート出力と手動でのスパイウェア除去
- HijackThisログ解析入門

■ Secunia Research: Ahnlab V3 Antivirus Multiple Vulnerabilities
(Secunia, Thu, 15 Sep 2005 21:22:48 +0900)

　Ahnlab V3Pro 2004 / V3 VirusBlock 2005 / V3Net for Windows Server 6.0 に 3 つの欠陥。

v3flt2k.sys に欠陥。攻略 DeviceIoControl() コマンドを使って、 local user がリアルタイムスキャンを停止したり、local SYTEM 権限で explorer.exe を起動できたりできる。
ACE アーカイブの展開ライブラリにおいて、長大なファイル名で stack buffer overflow する欠陥があり、攻略 ACE アーカイブによって任意のコードを実行可能。
アーカイブの取り扱いに .. バグがあり、任意のディレクトリにファイルを設置できてしまう。

　修正版 (6.0.0.457 以降) が用意されており、オンラインアップデートによって適用できる。

　関連:

弊社一部製品のセキュリティ脆弱性の対策について (アンラボ, 2005.09.16)。日本語版製品では「V3ウイルスブロック2005インターネットセキュリティ」「V3ウイルスブロック2005 for Client」「V3ウイルスブロック For Windows Server」が該当するそうだ。
ASEC Advisory SA-2005-001: AhnLab V3 Compressed File Directory Traversal and Privilege Escalation Vulnerability (AhnLab)。この文書では v3flt2k.sys ではなく Ahnflt2k.sys が問題、としている。
「V3 ウイルスブロック 2005」に権限昇格を許す脆弱性～Secunia報告 (Internet Watch, 2005.09.16)

■ 2005.09.17

》「各省庁のセキュリティには大きな差，対策が急務」---情報セキュリティ政策会議 (日経 IT Pro, 9/16)。この話:
- 第 2 回情報セキュリティ政策会議の開催について (NISC)
- 情報セキュリティ政策会議第２回会合（平成１７年９月１５日） (NISC)
　ana log さん情報ありがとうございます。
》死体マニアサイトを管理　元市職員、殺人で再逮捕へ (産経, 9/17)。うーむ……。
》紛失の銃剣、滋賀で発見　国道沿いの側溝 (産経, 9/17)。みつかってよかったね。正直、「ニュース」になるような内容じゃないと思うけど。
》「顧客情報流す」ＮＴＴコム脅す、容疑の社長逮捕 (読売, 9/17)。
》睡眠不足の研修医は「酒気帯び」同然、米国の研究で判明 (日経 MedWave, 9/12)。研修医に止まらないのだろうけど。

■ IEにまた新たな脆弱性報告
(ITmedia, 2005.09.17)

■ [Clamav-announce] announcing ClamAV 0.87
(ClamAV, 2005.09.16)

■ 2005.09.16

》 Typosquatting (F-Secure, 9/16)。いろいろ考えるなあ。
》セラフィールドは放射能で汚染されたカモメと苦闘 (美浜の会, 9/14)。すげー話だなあ。
》導入事例 > 中堅・中小企業向けソリューション > スターツ出版(OZmall) (トレンドマイクロ)。たいへん興味深い内容です。

7. システムを精査したところ、改ざんの形跡が見つかりました。いったんシャットダウンして、DBの中身を目視確認。するとデータのあるフィールドがすべて不審サイトへのURLに書き換わっていました。いくらスクロールしても、ひたすら不審URLがフィールドを埋め尽くしている、キツイ光景でした。

　生々しいですねえ……。
》インターネット事業者向けオンラインセキュリティ対策製品　「ウイルスバスター(TM)オンラインスキャンサーバエディション」の提供開始 (トレンドマイクロ, 9/14)。ウイルスバスターオンラインスキャンのようなことを自社顧客向けに展開したい場合に使うもの……なのかな。ウイルスバスターオンラインスキャンは検出しかしないけど、これは削除・復旧もできるようです。
》知っておくべき不正アクセス対策とは～インシデントハンドリング入門～in 大阪・札幌の申込受付が開始されたそうです。
》第三回ネットエージェント【調査技術ゼミ】開催のお知らせ (NetAgent, 9/14)。2005.10.21、東京都江東区、3000円。「法人様のお申し込みに限ります」
》 BlackHat Japan 2005 (B-) の独り言, 9/15)。ふと BlackHat Japan 2005 のページを見ると、早期割引の締切は 9/18 じゃないですか。

領収書について：
銀行振込金受取書をもって正式な領収書とします。

　わは。
》岡山大が違法コピーか　ソフト会社が証拠保全 (yahoo / 共同, 9/16)。中国地方の国立大学に証拠保全を実施 (BSA, 9/15) の件。
》 SecSunbath、9/10 に無事開催されたようです。 2005/09/10に行われたSecSunbathの解答 (チームチドリ) が公開されています。みゃーさん情報ありがとうございます。
》 1年間無償で使える「キングソフトインターネットセキュリティ2006」が公開 (窓の杜, 9/14)

なお本ソフトはインストール方式を“標準”のままでインストールすると、「Internet Explorer」のアドレスバーなどで日本語検索を可能にする「JWordプラグイン」が同時にインストールされる。不要な場合はインストーラーで“カスタム”を選んで“拡張機能”から“JWord（日本語キーワード）”のインストールをOFFにするとよいだろう。

　デフォルトだとこんな感じなので、JWord いらない人はチェックを外せばいいです。

　で、手元の VMWare な環境につっこんでみた (JWord は外した) のですが、proxy 経由でのアップデートがなぜかうまくいきません。http 経由と socks 経由の両方試しましたが、どっちもだめ。proxy サーバのログを見る限りでは http / socks proxy サーバにはアクセスできているっぽいのですが、「キングソフトインターネットセキュリティ2006」はなぜかエラーになってしまう。うーむ。

■ 2005.09.15

》「『iPod課金』の見直し，メーカー側にも努力必要」---JEITA・岡村会長 (日経 TechOn, 9/14)。このタイトルはいまいち誤解を招く気が。
》オープンソースカンファレンス2005 Tokyo/Fall (9/17、東京都新宿区、無料) で 3A-1 ソフトウェア脆弱性情報流通への取り組みという JPCERT/CC ねたセミナー (要登録) が開催されるそうです。山賀さん情報ありがとうございます。

　そういえば snort ねたもありますね: 5A-2 Snortで始めるセキュリティ監視。
》セキュリティ情報，あなたはどこから入手していますか？ (日経 IT Pro, 9/15)。SANS ねた。
》 CA、WindowsR XP Embeddedに完全統合する日本初の組み込み機器向けアンチウイルス製品を発表 (CA, 9/15)。eTrust Antivirus for Windows XP Embedded だそうです。
》米航空業界：デルタ、ＮＷが破たん　燃料高騰で経営圧迫 (毎日, 9/15)。同時に 2 つですか……。
》国立大でソフト違法コピーか　裁判所が証拠保全を決定 (ITmedia, 9/15)

■ タイピングの「音」でパスワードを「盗聴」――どうしたら防げる？
(ITmedia, 2005.09.14)

■ 2005.09.14

》セキュリティ文化専門委員会議事要旨（第１回） (内閣官房情報セキュリティセンター, 9/9)。松崎さん情報ありがとうございます。
》 [Full-disclosure] btscanner 2.0 released
》 TAPiON (Polymorphic Decryptor Generator) project。興味深そう。
》 [clamav-jp 115] ミラーサイト募集。協力できる方はぜひ。
》「郵政改革」幻想完勝の衝撃波－不可避となった財政破綻 (AML 3625 / 河宮信郎氏)。
》 1年間無償で使える中国製ウイルス対策ソフト、100万本をダウンロード提供 (Internet Watch, 9/14)。中国キングソフト、画期的な販売方法で、日本市場に新規参入 (キングソフト, 9/14)。奥野さん情報ありがとうございます。さっそくダウンロードしてみていますが、なかなか進みませんね。(^^;)

　しかしこの会社、Virus Bulletin にも West Coast Labs にも ICSA labs にもかかってないみたいなので、実力のほどは正直よくわからないですね。
》お詫びとお願い小型・薄型「プレイステーション２」をご愛用のお客様へ (ソニー・コンピュータエンタテインメント, 9/13)。型番 HP-AT048H03 で、2004.08～12 に製造されたものが該当だそうです。
》 891861: Update Rollup 1 for Windows 2000 SP4 and known issues (Microsoft) が改訂されて revision 18.0 になっています。今日、Update Rollup 1 の新版 (v2) がリリースされたようです。ダウンロード。

■ いろいろ
(various)

■ 追記

■ 2005.09.13

》 ActiveX 無効と Flash Player のアップデート (水無月ばけらのえび日記, 9/13)。同様の設定をしている人はご注意。
》海外ユーザーを「リネージュII」に不正中継、池袋の中国人男性を逮捕 (Internet Watch, 9/12)。人気ゲームに不正接続　サーバー設置の中国人逮捕の話。
》「バーコードスキャン特許は無効」の控訴審判決 (ITmedia, 9/12)
》米ＢＳＥ根絶できないおそれ (NHK, 9/12)
》琵琶湖にピラニア　観賞用を放流？ (asahi.com, 9/13)。こわいですねえ。
》ロサンゼルスで一時的に大規模停電　配線の切断ミス (CNN, 9/13)。

■ JVNVU#102441: X server に複数の整数バッファオーバーフローの脆弱性
(JVN, 2005.09.13)

■ Google はユーザの行動を収集している模様
(くらさば, 2005.09.07)

　昔、JWORD はスパイウェアか? (google へのリンクなので注意 :-)) という話があったときに、「そんなこと言ったら google だってスパイウェアじゃん」という意見が散見されたが、やっぱりそういう方向にあるんですかね。

Google はユーザの行動を収集している模様 (くらさば, 2005.09.07)
Google がユーザに ID をつけて情報収集している模様 (くらさば, 2005.09.08)
www.google.com からリダイレクトされる話 (くらさば, 2005.09.12)
Googleによる検索結果からの閲覧情報取得蓄積はいつから始まっていたのか (hoshikuzu | star_dust の書斎, 2005.09.10)
Gookieと言うらしい (hoshikuzu | star_dust の書斎, 2005.09.11)
Googleによるユーザ行動追跡 (SecuLog, 2005.09.10)
Google's Cookie (google-watch.org)
Anonymizing Google's Cookie (imilly.com)

　検索結果画面での行動追跡については、JavaScript を無効にすれば回避できるそうです。また cookie については、cookie を定期的に削除する、google.com / google.co.jp に対する cookie の利用を禁止する、cookie の ID 部分をクリアする、といった方法があるようです。あと、cookie の利用を禁止すると www.google.com から www.google.co.jp にリダイレクトされるという副作用があるそうです (回避方法もあるそうですが。あと、ブラウザの言語設定に依存するような予感が)。

　Firefox / Mozilla なら、about:config で network.cookie.lifetime.days を設定し、network.cookie.lifetimePolicy を 3 にすれば、サイト側が「2038 年まで有効!」と言ってきても、cookie の寿命が network.cookie.lifetime.days の期間内に設定されます。cookie の寿命がやたら長いサイトは google だけじゃないので、気になる場合は設定することをおすすめします。ただしこれを設定すると、たとえば、cookie を使った認証をしている web ページにおいて、 network.cookie.lifetime.days の期間毎に再認証が必要になったります。

■ 追記

■ Remote Vulnerability Found in Snort - Fix and Workaround Available
(snort.org, 2005.09.12)

■ 2005.09.12

》個人情報盗難：東大の学生２１３３人分入力のＰＣ (毎日, 9/12)
》鳥インフルエンザ：茨城県が自衛隊に災害派遣要請 (毎日, 9/12)。ついに自衛隊ですか。
》石綿使用の家庭用品５２１製品を公表　エアコンや冷蔵庫 (asahi.com, 9/12)。元ねた: 石綿（アスベスト）を含有する家庭用品の実態把握調査の結果について (経産省, 9/12)。影響は軽微だろうと思うが……。

　ブリヂストンの: (はなずきんさん情報ありがとうございます)
- ブリヂストンサイクル株式会社の製品におけるアスベスト使用について (経産省, 9/7)
- 「幼児用自転車」ご愛用のお客様へ「バンドブレーキ」無償交換のお知らせ (ブリヂストンサイクル, 9/8)
　「同社が販売している中国製幼児自転車のバンドブレーキに法令違反のアスベストが含有されている疑い」だそうで。こういうのもチャイナ・リスクなんですかねえ。 (製造現場はだいじょうぶなのか?)
》第11回情報セキュリティセミナー - Advanced IT Security Seminar 2005 - 開催について (IPA ISEC, 9/12)。近畿は京都と神戸で、大阪はありませんね。会場それぞれで受付開始時期が違うので注意。
》セキュリティマネジメントセミナー vol.7 (ソフトバンクパブリッシング)。 2005.10.07、東京都目黒区、無料。服部さん情報ありがとうございます。基調講演は武田圭史さんだなあ。セミナー自体の内容的には営業色が強いのかなあ。

　そういえば、カーネギーメロン大学 (CMU) 日本校研究員 (教員候補) 募集 (cmuj.jp) も出てますね。
》 907712 - エスケープ文字を含むローカルパスをアドレスバーに指定した場合にエラーが出力される (Microsoft)。IE 6 SP2 の仕様 (セキュリティ向上のため)。レジストリ設定により無効にできる。
》「フリーランスのためのリサーチ術入門」　Vol.366 09/12/05 (ESPIO!)
》謎の男・秋山直紀氏と遺棄化学兵器処理問題 Vol.367 09/12/05 (ESPIO!)
》国家安全保障を考える（第6回）[古森義久氏] 平常時には隠れていた人種問題が浮き彫りに (日経 BP, 9/8)

被害者が水害に遭って避難した人たちであることを考えれば、その留守を狙って、被害者の財産を奪うというのは、きわめて悪質だといえる。しかも街全体でそんな略奪行為が展開されているのだ。日本では考えられない事態だといえよう。

　そんな認識でいいのだろうか。あれほどの状況ではないにせよ、昨年の新潟県中越地震では便乗詐欺が横行していたし、たとえば被災者を支える、地元ケーブルテレビの死闘 (ITmedia, 2004.11.15) によると「現地に着いてNCTのニュースで知ったことだが、現地では避難している家屋への空き巣が頻発している」とある。たとえば巨人の走る村～平成16年新潟県中越地震 (水沢・penguin-19・和彦のホームページ, 2004.11.09) では火事場泥棒を警戒する覆面パトカーの話が出ている。

　情けないことに昨日の MBS の選挙特番ではじめて知ったのだが、現代日本の貧困率は OECD 25か国のうち第 5 位の高さなのである (貧困率の高い国――日本 (Internet Zone::Movable TypeでBlog生活, 9/2) とか町工場で聞く景気『踊り場脱却』 (東京新聞, 9/2) の方がいいかな)。 (おおまちがい fixed: Maeda さん感謝) そして小泉自民党が大勝利してしまった以上、この傾向は今後も続くことが予想できる。そういう状況において、今後も「日本では考えられない事態」と楽観視していていいのだろうか。特に、「東海・東南海・南海同時発生」や「関東」が起きた場合に。もちろん向かうべきは、「日本では考えられない事態」にしつづけるための施策であろうが。
》「CG-FSW8AW/8AB」の不具合についてのお詫びと無償交換のご案内 (コレガ, 9/12)。コレガの 8port switching HUB CG-FSW8A[WB] の「電解コンデンサに一部不良品が混在している」そうで、無償交換するそうです。匿名希望さん情報ありがとうございます。

■ SFS3.02 の新たなクロスサイトスクリプティング脆弱性へ対応したSFS3.02a、および3.02aへのアップデートモジュールの提供開始
(IAJapan, 2005.06.10)

■ 追記

■ 2005.09.10

》新説、BSEの起源はヒトの伝達性海綿状脳症インドなどで川に流された遺体が英国で牛の飼料に？ (日経 BP MedWave, 9/6)
》マイクロソフトの訴訟対策費は年間1億ドル (日経 IT Pro, 9/8)。正直、多いんだか少ないんだかよくわからん。
》 Nmap 3.90 Released! だそうです。 (from SecuLog)
》人気ゲームに不正接続　サーバー設置の中国人逮捕 (yahoo / 共同, 9/10)。ankyboy さん情報ありがとうございます。以前にもこんな話がありましたね:
- 海外向けに「リネージュII」用不正プロキシ設置、中国人留学生を逮捕 (Internet Watch, 7/20)
- ネットゲーム：無敵キャラ使い荒稼ぎ　中国から不正侵入 (毎日, 8/16)
- アクセス禁止国からリネージュに不正中継、大学生逮捕 (slashdot.jp, 7/20)
- 人気ゲーム不正アクセスで逮捕者 (allabout, 7/27)
- 「ゴースティン」サーバーの状態に関するご報告【追記】 (リネージュII, 8/22)
》「パソコン救急の日」の9月9日　トレンドマイクロ、ウイルスバスターレスキューサービス開始
》「ＪＭネット」、架空事業で株価つり上げか (TBS, 9/9)
》体内時計：夜遅く食べると太る、仕組み解明　日大グループ (毎日, 9/9)
》陸自、ロシア製火器購入へ　防弾性など研究 (asahi.com, 9/9)。いっそ T-80 とか Su-27 とかも買ってみれば?
》春暁ガス田に中国艦隊、日本への示威行動か (読売, 9/9)。海自オフィシャル: 中国海軍艦艇の動向について (海上幕僚監部, 9/9)。

■ ドキュメントいろいろ
(various)

■ いろいろ
(various)

[Full-disclosure] iDEFENSE Security Advisory 09.09.05: GNU Mailutils 0.6 imap4d 'search' Format String Vulnerability。 patch があるそうです。
[Full-disclosure] Microsoft Windows keybd_event validation vulnerability。Runas を使って低い権限で実行しているプロセスからの keybd_event と、そうではないものとを区別できない、という話かな。
[SA16700] mod_ssl "SSLVerifyClient" Security Bypass Security Issue。 mod_ssl-2.8.23-1.3.33 以前の欠陥。 httpd.conf でこんな風にしている場合に、

SSLVerifyClient optional
<Location /foo/bar>
SSLVerifyClient require
</Location>

/foo/bar での SSLVerifyClient require が効かないという話、でいいのかな。 mod_ssl-2.8.24-1.3.33 で修正されているそうだ。 CVE: CAN-2005-2700

関連: [SECURITY] [DSA 805-1] New Apache2 packages fix several vulnerabilities
KDE Security Advisory: kcheckpass local root vulnerability。 KDE 3.2.0～3.4.2 の欠陥。kcheckpass に欠陥があり、local user が root 権限を取得できる。KDE 3.4.2 用の patch が用意されている。 CVE: CAN-2005-2494

関連: Insecure file operation in kcheckpass (suresec.org)
FreeBSD-SA-05:20.cvsbug: Race condition in cvsbug。 cvsbug(1) における一時ファイルの作成方法に欠陥がある。また FreeBSD 4.10 / 5.3 においては、これに加えて cvsbug(1) と send-pr(1) にまた別の、一時ファイルに係わる欠陥がある。 CVE: CAN-2005-2693

関連: [SECURITY] [DSA 806-1] New cvs packages fix insecure temporary files
[SA16733] Symantec Brightmail AntiSpam Denial of Service Vulnerabilities
Cisco 方面
- Cisco Security Advisory: Cisco IOS Firewall Authentication Proxy for FTP and Telnet Sessions Buffer Overflow (Cisco)
- Cisco Security Notice: CSS SSL Authentication Bypass (Cisco)
[SA16712] FreeRADIUS Multiple Vulnerabilities 。 FreeRADIUS 1.0.4 以前に複数の欠陥。 FreeRADIUS 1.0.5 で修正されている。ダウンロード。
Exchange Server 2003にDoS攻撃を受ける脆弱性 (日経 IT Pro)。元ねたの 840123: The Microsoft Exchange Information Store service crashes when an Internet Message Access Protocol, Version 4rev1 user tries to list public folders from a server that is running Exchange Server 2003 (Microsoft) を見る限りでは、攻撃を行うにはまずユーザ認証を通過しないといけないのだろうし、サーバ側で Include all public folders when a folder is requested チェックボックスをチェックすることで回避もできるようだ。
[SA16757] Sun Java System Web Proxy Server Denial of Service Vulnerabilities。 3.6 SP7 以降の欠陥。3.6 SP8 で fix。

■ [Full-disclosure] Secunia Research: NOD32 Anti-Virus ARJ Archive Handling Buffer Overflow
(full-disclosure, Thu, 08 Sep 2005 19:40:45 +0900)

■ IDN バッファオーバーフローのセキュリティ問題について Firefox および Mozilla Suite ユーザが知っておくべきこと
(mozilla-japan.org, 2005.09.09)

■ 追記

■ 2005.09.09

》 InterScan Messaging Security Suite 5.1 から 5.11 への移行方法 (トレンドマイクロ, 9/7)。5.1 は 2005.12.17 でサポート終了ですから。
》産業構造審議会　知的財産政策部会　不正競争防止小委員会「営業秘密管理指針改訂版（案）」に対する意見募集について (経産省, 9/8)。パブリックコメント締切は 10/7。匿名希望さん情報ありがとうございます。

(2) 有用性 (事業活動に有用な情報であること)
　「有用性」が認められるためには、その情報が客観的に有用であることが必要である。
　しかし、企業の反社会的な行為などの公序良俗に反する内容の情報は、「有用性」が認められない。

　なるほど。
》モナーによく似た「のまネコ」著作権問題、白熱中 (slashdot.jp, 9/8)。金がからむと、人間性が出ますよね。
》「文化審議会著作権分科会法制問題小委員会審議の経過」に対する意見募集について (文科省, 9/8)。パブリックコメント締切は 10/7。じゃんじゃん出しましょう。

　文化庁が著作権関連に対するパブリックコメント募集中 (slashdot.jp, 9/9) によると、他にもあるようで:
- 「著作権等管理事業法の見直しに関する報告書（案）」に関する意見募集 (文科省, 9/8)
- 「文化審議会著作権分科会国際小委員会中間報告書」に対する意見募集について (文科省, 9/8)
》 SSL 2.0をオンにしろと指示するサイト (高木浩光＠自宅の日記, 9/8)。
》 JVNJS/RSS (JVN)。人生 RSS な方はどうぞ。
》「不審なプログラムを検出」にチェックをつけたにもかかわらず、不審なプログラムが検出されません (マカフィー, 9/7)。デフォルトではチェック入ってませんからねえ。
》選挙に行こうというページがあるのですね。

マンガ･アニメ･ゲームは今、危機に瀕しています。最近起きている悲惨かつ凶悪な事件をきちんとした原因を調べず安易にマンガ･アニメ･ゲームが原因であるとして僕たち私たちからマンガやアニメ、そしてゲームを法律を作って奪い取ろうと国会議員をはじめとした政治家達が動いています。

　最近「テレビゲーム解釈論序説/アッサンブラージュ」を読みはじめたところなのですが、なかなか興味深い内容ですね。いや、私自身は「やるとはまる」ことがわかっているのでゲームしない人なのですが。
》文科省から「公共端末へのフィルタリングソフトの導入について」という依頼文書が届いたらしい (未見、学内便で深草から輸送されている最中) のでちょっとぐぐってみたのだが、インターネット上における違法有害情報対策 (kitanoのアレ, 9/5) くらいしかひっかからないなあ。
》 JPドメイン　Web改竄速報 2005/09/08 (木) によると、http://teikougaisha.mlit.go.jp/ (低公害車普及に向けた情報提供サイト) というサイトがかいざんされたそうです。おおかわさん情報ありがとうございます。

■ Zebedee DoS の脆弱性
(bugtraq-jp, Fri, 9 Sep 2005 14:09:42 +0900)

■ マイクロソフトセキュリティ情報の事前通知 (2005.09)
(Microsoft, 2005.09.09)

■ 2005.09.08

》フジテレビ：「めざまし調査隊」でやらせ演出 (毎日, 9/8)。フジテレビホームページにも、めざましテレビのページにも、何もありませんね……。 FNN ニュースはこれ: 「めざましテレビ」の中で過剰演出　担当プロデューサーらを減給などの処分に (FNN, 9/8)。

　……めざましテレビのページは http://www.fujitv.co.jp/mezamashi/index2.html の方が適切だそうで、flash 中の [めざましテレビ] をたどると、おわびが掲載されています。藤井さん情報ありがとうございます。
》山口英氏インタビュー: 個人情報保護法を闇雲に恐れるな（前編） (日経 BP, 9/7)
》 pukiwiki.org存亡の危機 (slashdot.jp, 9/7)。他人のフリ見て我がフリ直せ、ということで……。
》 [OL2003] Outlook 2003 迷惑メールフィルタ更新プログラム (2005 年 8 月) について (Microsoft)
》白田秀彰の「インターネットの法と慣習」: 刑事分野について考えてみる II (WIRED NEWS, 8/30)
》フィッシング詐欺を一括して防ぐ「ウイルスバスター2006」 (Internet Watch, 9/8)。いよいよ 2006 の季節ですか。まあ、発売後 2 か月くらいは寝かした方が安定してくれると思うけど。
》国にワクチン使用求める　鳥インフルエンザで生産者団体 (asahi.com, 9/8)。闇ワクチンが被害の拡大に一役買っているのではという話があるようですが、これは、それが現場の実態であり、その現状を追認してくれ、ということなんでしょうか。
》トレンド：不正データで世論調査会社を指名停止 (毎日, 9/8)、新情報センター、世論調査のデータも捏造した疑い (goo / asahi.com, 9/5)。社団法人新情報センター (所管部局は内閣府大臣官房政府広報室) だそうです。どーせアマクダリ法人なんだから、いっそなくした方がいいのでは。
》首相などを解任、高官の汚職疑惑背景に　ウクライナ (CNN, 9/8)
》国境なき記者団がヤフーを非難、中国にユーザー情報提供 (CNN, 9/7)、ヤフーが「中国法を順守」と反論、記者情報の漏出非難に (CNN, 9/8)。現実問題として、デカい会社ほど現地政府には逆らえないよなあ。

■ IIS 5.1 allows for remote viewing of source code on FAT/FAT32 volumes using WebDAV
(Inge Henriksen's Technology Blog, 2005.09.04)

■ Windows / Linux アンチウィルス製品ホットフィックス適用のお願い　
(F-Secure, 2005.09.08)

■ 2005.09.07

》 JPCERT/CC レポートで「アンケートご協力のお願い」というのが出ています。アンケートサイト。
》 OSの障害で5日午後3時に富士通の一部オフコンが異常停止 (日経 IT Pro, 9/6)
》社会情報学フェア。 2005.09.12～14、京都府京都市、一般 7000 円 (当日受付)。いしはらさん情報ありがとうございます。セキュリティ方面だと、たとえば、「シンポジウム：ポスト情報化社会での個人情報保護」(9/13) とか、 JASI主催ワークショップ「情報セキュリティの法と倫理」(9/12) というものがあるようです。

■ 2005.09.06

》 "SoftEther VPN 2.0 ベータ 4" を公開 (ソフトイーサ, 9/7)。仮想 L3 スイッチや PKCS#11 に対応したそうです。Linux / FreeBSD / Mac OS X には、9/30 に登場する予定の RC1 で対応されるようです。
》中国・河川の半数汚染深刻 (NHK, 9/6)。エチゼンクラゲ大量発生の背景には、こういう状況があるわけですね。
》 Symantec Research Labs Creates New Worm Simulator (Symantec, 5/1) というものがあったのですね。
》 907436: Windows Genuine Advantage を利用する際のセキュリティ設定 (Microsoft)。信頼済みサイトゾーンに登録すべきドメインも記載されています。
》 906522: 通常とは異なる記述の javascript: プロトコルが実行される (Microsoft)。javasc%26amp%3b%2309%3bript = javasc&#09;ript = javasc	ript = javascript 、なんだそうだ。いやはや。
》豪裁判所，「豪Sharman Networksは『Kazaa』ユーザーの著作権侵害行為を容認」と判断 (日経 IT Pro, 9/6)
》 SELinux Policy Editor 1.2 が出たそうです。
》被災地や戦場で利用、遠くまで明瞭な音を伝える音響装置 (WIRED NEWS, 9/5)
》 [AML 3443] Fwd: [TUP-Bulletin] 速報539号デイヴィッド・モース「資源戦争の,現場、ダルフール」 050903
》立花隆：対日戦争勝利記念式典に思う　日本と中国、その原点と未来 (日経 BP, 9/5)
》 hi-hoが「ポート25ブロッキング」を実施，携帯電話ユーザーへの迷惑メールを遮断 (日経 IT Pro, 9/5)
》台風 14 号情報 (NHK)。あいかわらずのゆっくりペースのようで。

宮崎県の一部では４日の降り始めからの雨量が１２００ミリを超えたのをはじめ、宮崎県や鹿児島県、大分県の太平洋側の多くのアメダス観測点では２４時間の雨量が観測を始めてから最も多い記録的な豪雨になっています。(中略) (9/6 11:00更新)

　えらいこっちゃ。
》《 ESPIO! 》北尾吉孝ＣＥＯの中国古美術品ビジネス。

■ SYM05-013: ローカル LiveUpdate サーバーのユーザー名／パスワード情報がクライアントにより公開される
(シマンテック, 2005.09.02)

　LiveUpdate クライアント 2.7 ビルド 34 に欠陥。認証の必要な、ローカル LiveUpdate サーバから更新する場合に、認証情報が平文で "C:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\Log.Liveupdate" ファイルに記録されてしまう。 LiveUpdate クライアント 2.5 / 2.6 にはこの欠陥はない。元ねた: Vulnerability in Symantec Anti Virus Corporate Edition v9.x。

　英語版の LiveUpdate クライアント 2.7 については、2.7 ビルド 38 (2.7.38) で対応されている。http://www.symantec.com/techsupp/files/lu/lu.html から入手できる。一方の日本語版だが、アドバイザリには英訳そのまま「LiveUpdate 2.7 クライアントの更新版がリリースされ、以下の場所からダウンロードすることができます」とあるのだが、http://www.symantec.com/region/jp/techsupp/files/lu/lu.html で実際に公開されているのは LiveUpdate 2.6 で、ダウングレードによる対応となるようだ。このページに「個人/SOHOビジネスのお客様向け」とあるのが気になったので http://www.symantec.com/region/jp/techsupp/enterprise/select_product_updates_nojs.html も見てみたが、やっぱり LiveUpdate 2.6 しかないようだ。

　……あれ? シマンテック製品に関するセキュリティ・アドバイザリーのページから消えちゃったよ? どうなってるの? (9/6 14:40)。もしかして、日本では LiveUpdate 2.7 はもともと出していなかったりしたのかな。

　……ふたたびシマンテック製品に関するセキュリティ・アドバイザリーに載るようになりましたね (9/6 19:10)。「日本語版では本脆弱性の影響は受けません」と明記されました。 ……というか、最初からそれくらい調べてから公開しなさい。シマンテックという会社は、そういうパターン多すぎないか?

■ 2005.09.05

》日経コンピュータ 2005.9.5 号に掲載されている記事「脆弱性情報を闇市場から自由市場へ」は興味深いです。
》オンラインバンキング方面の、まともっぽい本人認証。日経コンピュータ 2005.9.5 号で知りました。
- 日興コーディアル証券、オンラインユーザー向けセキュリティ・オプションにＲＳＡ　ＳｅｃｕｒＩＤを採用。 RSA 自身の web ページには、なぜかつながらない。
- IC カード本人認証 (新銀行東京)。 NTT コミュニケーションズの SAFETY PASS を使っているのだそうです。動作環境。
　……SAFETY PASS には別の問題があるようです: 新銀行東京(6) (von_yosukeyan の日記, 5/21)。匿名希望さん情報ありがとうございます。なんでこう、blackbox にしたいですかねえ。
》台風 14 号情報 (NHK)。日本縦断コースのようです。台風情報 (気象庁)。
》首都圏の集中豪雨、交通などに影響残る (読売, 9/5)、首都圏豪雨の浸水被害、下水道管の逆流が拍車 (読売, 9/5)。うーむ。

　こちらは恵みの雨のようです: 早明浦ダムの緊急放流停止　周辺に雨、貯水率回復へ (産経, 9/5)
》ソニー、ネット音楽配信でアップルに楽曲提供 (読売, 9/5) だそうです。
》ソフトウェア更新プログラム 898461 をインストール時に "セットアップが取り消されました" エラーが表示される (Microsoft)。ren %windir%\System32\spupdsvc.exe spupdsvc.old してからインストールすればよいそうです。
》「そもそも日本版SOX法って？」、SAPがセミナー開催に好感触 (ITmedia, 9/2)。US の SOX 法は正直「厳しすぎ」だと思うが、日本版SOX法は……公開草案 (金融庁) 読まなきゃだめですか。そうですか。パブリックコメント受付終了してますね。orz

　公開草案には「ダイレクト・レポーティングは採用しないこととした」とか書かれてますね。
》新たなIP問題？ Linuxの商標騒動 (Enterprise Watch, 9/5)。世の中厳しい。
》マイクロソフト、Windows Vistaでパッチ適用方法を大幅簡素化へ (ZDNet, 9/5)

■ いろいろ
(various)

■ 2005.09.04

》鶏１５３万羽処分、鳥インフルエンザが拡大　茨城・埼玉 (asahi.com, 9/4)
》ソーシャルブックマーク::LiVEMARK のユーザーフォーラム http://forum.livemark.jp/bb/ が Hacked By Dark_Mare になってます。匿名希望さん情報ありがとうございます。BGM つきなのね……。

■ 2005.09.02

》ユニクロ：男児用の水泳パンツを回収　皮膚損傷の可能性 (毎日, 9/2)。uniqlo.com には何もないっぽいのですが、 http://www.uniqlo.co.jp/ のユニクロニュースのページやお詫びと回収のお願いのページに情報があるそうです。丹羽さん、しんさん情報ありがとうございます。

　uniqlo.co.jp があったなんて、はじめて知った……。
》米空母を派遣、救援活動の指揮艦に、ハリケーン被害 (CNN, 9/2)。これですね: Additional Ships Headed to U.S. Gulf Coast (navy.mil)。 USS Harry S. Truman (CVN 75) と USS Whidbey Island (LSD 41)。関連: Hurricane Katrina Relief News (navy.mil)。状況は被害にぜんぜん追いつけていないようですね。治安の悪化かげんには目を見張るものがあるし。
》首相、インド洋海自の撤退検討　イラク派遣は延長意向 (北海道新聞, 9/2)
》鳥インフル、ワクチン違法接種が原因か (TBS, 9/2)。
》架空予算など９５件１１８億円、１２府省庁で昨年度 (読売 / Yahoo, 9/2)。伊能さん情報ありがとうございます。

「国税庁情報ネットワークセキュリティ監査」は昨年度２億４６００万円が計上されたが、支出は１３００万円だけだった。
》 IEの支配力低下で複雑化するサイバー犯罪捜査 (CNET, 9/1)

FirefoxやOperaでは、タイプ入力されたURLに関する情報をIEとは異なるファイルに保存している。そして、そのファイルを解読するのは多少難しいとLewisは述べた。
》新量子暗号「Ｙ－００」は旧式並み？　安全性否定論文で大論争 (CNET, 9/2)
》マイクロソフト、Unix関連機能の提供形態を変更へ (ZDNet, 9/2)。SFU はおしまいらしい。
》アイコン無断使用で停止の文化庁システムが2カ月ぶり再開 (ITmedia, 9/1)
》ネットワーク技術を悪用した個人情報の漏えいに注意 (警察庁, 9/2)
》民主党、選挙期間中のネット利用について総務省に質問状を送付: 総務省は「公選法解釈は従来通り、自民党に対しても同様に指摘」と回答 (Internet Watch, 9/2)
》人材募集に関する非公式なお知らせ (武田圭史, 9/2)
》 Hacker Defender 1.0.0 revisited UPDATE (hxdef.net.ru) だそうです (info from SecuLog)。 NtOpenFile hook が有効なものと無効なものの 2 種類のバイナリが含まれているそうな。

　Hacker Defender じゃなくてもいいですけど、自分が管理している機械に rootkit を入れてみて「うぉっ、マジ見えねー」とか体験しておくのは有意義だと思います。ただし、ファイルを展開したとたんにアンチウイルスものが反応する可能性が高いので注意。
》 JPNIC News & Views vol.286【臨時号】2005.9.2 (JPNIC)。第63回IETF報告[第4弾]セキュリティ関連WG報告、だそうです。
》 JNSA Press Vol.14 に Network Security Forum 2005 (2005.12.01～02) の案内が出ていたので JNSA ホームページを見てみたが、まだ情報は掲載されていないようだ。 Internet Week 2005 とかぶってないか? と思って確認したら、Internet Week 2005 はその次の週 (2005.12.06～09) ですね。
》 OpenSSH 4.2 が登場しています。アナウンス。
》 Norton 方面でトラブった人がいて、シマンテック製品のサポートポリシーについて調べたのでめも:
- コンシューマ / SOHO 向け: シマンテック製品はいつまでサポートされますか (シマンテック)
- 企業向け: バージョンサポートポリシー（サポート終了のお知らせ） (シマンテック)
》「守る」から「守る必要をなくす」万が一、情報が漏洩してしまっても被害を止められるまったく新しい個人情報保護ソリューション「ＰＭＸ(Privacy Mail Exchanger)」販売開始 (インプルーブテクノロジーズ, 8/25)。アドレスの書きかえをする製品みたいです。TIP さん情報ありがとうございます。

■ 2005.09.01

》エチゼンクラゲの駆除　実験 (NHK, 9/1)。がんばれ水産庁。
- 大型クラゲ総合対策の実施について (水産庁, 8/31)
- 大型クラゲ出現状況等集計速報について（９月１日現在） (水産庁, 9/1)
》バグダッドの混乱、死者約１千人に　さらに増える恐れも (asahi.com, 9/1)。パニックは恐いなあ。
》六本木ヒルズ：新潟中越地震でエレベーター損傷　 (毎日, 8/31)。

森ビル広報部の岡本次郎担当部長は「中越地震では震度が３だったのに、予想外の被害を受けた。対策を進めて被害防止に万全を期したい」と話している。

　最新の施設で震度 3 でもこれなので、長周期地震動への対応が急務です。
》ハリケーン：「わが国史上最悪の自然災害」米大統領 (毎日, 9/1)。環境テロ国家 USA の場合、自然災害をどんどん呼びよせているように思うのだが……。
- ハリケーン死者、数千人か　ニューオーリンズ市長 (CNN, 9/1)
- 被災地域の衛生状態に懸念　脱水、食中毒の恐れも (CNN, 9/1)
　ハリケーン：被害対応で、戦略石油備蓄放出へ－－米国 (毎日, 9/1) のおかげで、ＮＹ原油：６８ドル台に下落　石油備蓄放出受け (毎日, 9/1) だそうです。それでも $68 なのですが。
》ロシア：チェチェン武装指導者が声明　学校占拠事件１年で (毎日, 8/31)
》反射材活用キャンペーン (警察庁, 9/1)。ミラー、スパーク!
》ソフォス、逮捕された Zotob ワーム容疑者が、20種類以上の他のウイルス作成に関わっている可能性について報告 (Sophos, 8/30)
》米Microsoft、フィッシング詐欺対策フィルターの開発を加速 (Internet Watch, 9/1)
》 Webアプリケーションへの不正アクセスを防止するセキュリティソフト (Enterprise Watch, 8/30)
》 Office 2003 関連
》 SECURITY SUMMIT 2005 Fall。 2005.10.04、東京都港区、無料。関連: SUS サポート終了日の延長 (日本のセキュリティチームの Blog, 9/1)

　それにしても、10 月はイベント集中してますねえ。
》ダウンロードセンターの更新情報を電子メールで配信する「マイクロソフト新着ダウンロードニュース」サービスを開始 (Microsoft, 9/1)。これは便利かも。
》［WSJ］読者のコメントめぐり、企業がブロガーを提訴 (ITmedia, 9/1)
》新たなCDコントロール技術「セキュアCD」を試す (ITmedia, 9/1)。セキュアねえ……。著作権者の権利をセキュアに守ります、という意味かな。Mac OS X ではそうでもないみたいだけど。
》 PromiScan (セキュリティフライデー) の非商用版 0.28 が出ています。 WinPcap 3.1 に対応されたそうです。 Hyler さん情報ありがとうございます。
》 IEにパッチ未公開の脆弱性、ページ閲覧で任意のコードを実行される危険性 (Internet Watch, 8/31)。0day にはなっていないので、今のところは静観していればよいかと。
》【CRYPTO-GRAM日本語版】メールの傍受に関する判決が覆る (日経 IT Pro, 9/1)

■ マイクロソフトセキュリティアドバイザリ (897663) Windows ファイアウォールの例外がユーザーインターフェイスに表示されない可能性がある
(Microsoft, 2005.09.01)

■ 住民民基本台帳カード用のクライアントソフトを配布すると Path 環境変数が消える
(登大遊＠筑波大学情報学類の SoftEther VPN 日記, 2005.08.31)

　登さんもおっしゃっていらっしゃいますが、「さすが電子政府」としか言いようがありませんね……。

　ちなみに、

利用者クライアントソフトをご利用になるときのご質問 (公的個人認証サービスポータルサイト) にはこの件は載っていませんね。
利用者クライアントソフトに関する情報 (公的個人認証サービスポータルサイト) で利用者クライアントソフトの取説が公開されています。 Windows XP SP2 にもちゃんと対応しているそうです。
公的個人認証サービス利用者クライアントソフトの技術仕様について (自治体衛星通信機構) で利用者クライアントソフトの API が公開されています。

2005.09.23 追記:

　オフィシャル情報ようやく登場: 利用者クライアントソフトのインストール時における不具合に関するお詫びと留意事項について (公的個人認証サービスポータルサイト, 2005.09.20)。匿名希望さん情報ありがとうございます。

　要は、環境変数の文字列長を無視したソースだったということですな、これは。おまけに、利用者クライアントソフトのインストール時における不具合に関するお詫びと留意事項についてでは状況と回避方法の説明に終始しており、修正版を用意して対応するつもりが全くないようだ。

　いやはや、「さすが電子政府」としか言いようがありませんな。ブラボー。関連:

公的個人認証の利用者クライアントソフトに不具合--ほかのアプリケーションが動作しなくなる場合も (日経 IT Pro, 2005.09.15)
不具合情報が開示されないまま16日まで利用者に配布--公的個人認証利用者クライアントソフト (日経 IT Pro, 2005.09.16)

セキュリティホール memo - 2005.09

■ JVN#31226748: 複数のウェブブラウザにおいてリクエスト分割攻撃が可能な脆弱性 (JVN, 2005.09.29)

■ ソニーPSPの静止画データ表示機能にセキュリティ・ホール (日経 IT Pro, 2005.09.27)

■ RealPlayerとHelix Playerに任意のコードを実行されるセキュリティ・ホール (日経 IT Pro, 2005.09.28)

■ いろいろ (various)

■ [SA16935] Qpopper poppassd Insecure Trace File Creation Vulnerability (secunia, 2005.09.27)

■ いろいろ (various)

■ Infected files found on mozilla site (viruslist.com Analyst's Diary, 2005.09.20)

■ いろいろ (various)

■ Opera 8.50 for Windows Changelog (Opera, 2005.09.20)

■ Firefox 1.0.7 Release Notes (mozilla.org, 2005.09.21)

2005.09.22 追記:

2005.09.23 追記:

2005.09.28 追記:

■ JVN#62914675: Ruby においてセーフレベル 4 がサンドボックスとして機能しない脆弱性 (JVN, 2005.09.21)

2005.09.25 追記:

■ SYM05-014: VERITAS Storage Exec DCOM Server Buffer Overflows (Symantec, 2005.09.19)

2005.09.22 追記:

■ JVN#40940493: Webmin および Usermin における認証回避の脆弱性 (JVN, 2005.09.20)

2005.09.21 追記:

■ いろいろ (various)

■ 誤解される「自動的にダイアログを表示」の意味 (高木浩光＠自宅の日記, 2005.09.18)

■ Secunia Research: Ahnlab V3 Antivirus Multiple Vulnerabilities (Secunia, Thu, 15 Sep 2005 21:22:48 +0900)

■ IEにまた新たな脆弱性報告 (ITmedia, 2005.09.17)

■ [Clamav-announce] announcing ClamAV 0.87 (ClamAV, 2005.09.16)

2005.09.21 追記:

2005.09.22 追記:

■ タイピングの「音」でパスワードを「盗聴」――どうしたら防げる？ (ITmedia, 2005.09.14)

■ いろいろ (various)

■ JVNVU#102441: X server に複数の整数バッファオーバーフローの脆弱性 (JVN, 2005.09.13)

■ Google はユーザの行動を収集している模様 (くらさば, 2005.09.07)

■ Remote Vulnerability Found in Snort - Fix and Workaround Available (snort.org, 2005.09.12)

■ SFS3.02 の新たなクロスサイトスクリプティング脆弱性へ対応したSFS3.02a、および3.02aへのアップデートモジュールの提供開始 (IAJapan, 2005.06.10)

■ ドキュメントいろいろ (various)

■ いろいろ (various)

■ [Full-disclosure] Secunia Research: NOD32 Anti-Virus ARJ Archive Handling Buffer Overflow (full-disclosure, Thu, 08 Sep 2005 19:40:45 +0900)

2005.09.12 追記:

■ IDN バッファオーバーフローのセキュリティ問題について Firefox および Mozilla Suite ユーザが知っておくべきこと (mozilla-japan.org, 2005.09.09)

2005.09.21 追記:

■ Zebedee DoS の脆弱性 (bugtraq-jp, Fri, 9 Sep 2005 14:09:42 +0900)

■ マイクロソフト セキュリティ情報の事前通知 (2005.09) (Microsoft, 2005.09.09)

2005.09.10 追記:

■ IIS 5.1 allows for remote viewing of source code on FAT/FAT32 volumes using WebDAV (Inge Henriksen's Technology Blog, 2005.09.04)

■ Windows / Linux アンチウィルス製品 ホットフィックス適用のお願い (F-Secure, 2005.09.08)

■ SYM05-013: ローカル LiveUpdate サーバーのユーザー名／パスワード情報がクライアントにより公開される (シマンテック, 2005.09.02)

■ いろいろ (various)

■ マイクロソフト セキュリティ アドバイザリ (897663) Windows ファイアウォールの例外がユーザー インターフェイスに表示されない可能性がある (Microsoft, 2005.09.01)

■ 住民民基本台帳カード用のクライアントソフトを配布すると Path 環境変数が消える (登 大遊＠筑波大学情報学類の SoftEther VPN 日記, 2005.08.31)

2005.09.23 追記:

■ webif.cgi CSRF脆弱性 (ハイパー日記システムプロジェクト, 2005.09.01)

■ JVN#31226748: 複数のウェブブラウザにおいてリクエスト分割攻撃が可能な脆弱性
(JVN, 2005.09.29)

■ ソニーPSPの静止画データ表示機能にセキュリティ・ホール
(日経 IT Pro, 2005.09.27)

■ RealPlayerとHelix Playerに任意のコードを実行されるセキュリティ・ホール
(日経 IT Pro, 2005.09.28)

■ いろいろ
(various)

■ [SA16935] Qpopper poppassd Insecure Trace File Creation Vulnerability
(secunia, 2005.09.27)

■ いろいろ
(various)

■ Infected files found on mozilla site
(viruslist.com Analyst's Diary, 2005.09.20)

■ いろいろ
(various)

■ Opera 8.50 for Windows Changelog
(Opera, 2005.09.20)

■ Firefox 1.0.7 Release Notes
(mozilla.org, 2005.09.21)

■ JVN#62914675: Ruby においてセーフレベル 4 がサンドボックスとして機能しない脆弱性
(JVN, 2005.09.21)

■ SYM05-014: VERITAS Storage Exec DCOM Server Buffer Overflows
(Symantec, 2005.09.19)

■ JVN#40940493: Webmin および Usermin における認証回避の脆弱性
(JVN, 2005.09.20)

■ いろいろ
(various)

■ 誤解される「自動的にダイアログを表示」の意味
(高木浩光＠自宅の日記, 2005.09.18)

■ Secunia Research: Ahnlab V3 Antivirus Multiple Vulnerabilities
(Secunia, Thu, 15 Sep 2005 21:22:48 +0900)

■ IEにまた新たな脆弱性報告
(ITmedia, 2005.09.17)

■ [Clamav-announce] announcing ClamAV 0.87
(ClamAV, 2005.09.16)

■ タイピングの「音」でパスワードを「盗聴」――どうしたら防げる？
(ITmedia, 2005.09.14)

■ いろいろ
(various)

■ JVNVU#102441: X server に複数の整数バッファオーバーフローの脆弱性
(JVN, 2005.09.13)

■ Google はユーザの行動を収集している模様
(くらさば, 2005.09.07)

■ Remote Vulnerability Found in Snort - Fix and Workaround Available
(snort.org, 2005.09.12)

■ SFS3.02 の新たなクロスサイトスクリプティング脆弱性へ対応したSFS3.02a、および3.02aへのアップデートモジュールの提供開始
(IAJapan, 2005.06.10)

■ ドキュメントいろいろ
(various)

■ いろいろ
(various)

■ [Full-disclosure] Secunia Research: NOD32 Anti-Virus ARJ Archive Handling Buffer Overflow
(full-disclosure, Thu, 08 Sep 2005 19:40:45 +0900)

■ IDN バッファオーバーフローのセキュリティ問題について Firefox および Mozilla Suite ユーザが知っておくべきこと
(mozilla-japan.org, 2005.09.09)

■ Zebedee DoS の脆弱性
(bugtraq-jp, Fri, 9 Sep 2005 14:09:42 +0900)

■ マイクロソフトセキュリティ情報の事前通知 (2005.09)
(Microsoft, 2005.09.09)

■ IIS 5.1 allows for remote viewing of source code on FAT/FAT32 volumes using WebDAV
(Inge Henriksen's Technology Blog, 2005.09.04)

■ Windows / Linux アンチウィルス製品ホットフィックス適用のお願い　
(F-Secure, 2005.09.08)

■ SYM05-013: ローカル LiveUpdate サーバーのユーザー名／パスワード情報がクライアントにより公開される
(シマンテック, 2005.09.02)

■ いろいろ
(various)

■ マイクロソフトセキュリティアドバイザリ (897663) Windows ファイアウォールの例外がユーザーインターフェイスに表示されない可能性がある
(Microsoft, 2005.09.01)

■ 住民民基本台帳カード用のクライアントソフトを配布すると Path 環境変数が消える
(登大遊＠筑波大学情報学類の SoftEther VPN 日記, 2005.08.31)

■ webif.cgi CSRF脆弱性
(ハイパー日記システムプロジェクト, 2005.09.01)