Last modified: Thu Feb 21 16:38:36 2008 +0900 (JST)
このページの情報を利用される前に、注意書きをお読みください。
》 Web proxy 型アンチウイルスのススメ! (ニフティ伊藤求のセキュリティ・スコープ, 12/25)。 ニフティの「常時安全セキュリティ24」におけるウイルス検知数グラフが興味深い。伊藤さん情報ありがとうございます。
》 はいて歩けばメタボ対策? “歩き”を変える男性用下着「エクサウォーカー」 (日経 BP, 12/25)。3 か月続けるのが重要みたい。
》 サーベラスの収益性が悪化 ハゲタカの成長神話がついに崩壊? (日経 BP, 12/27)
》 Top-Performing Antivirus Solutions (Windows IT Pro, 12/26)。 Virus Bulletin による Windows 2000 (!) での調査結果を紹介している。
》 例の無い、同一案件で3回の不起訴不当議決 検察はどう動く (response.jp, 12/17)、岡山検察審査会:死亡事故で3度目の「不起訴不当」議決 (毎日, 12/12)。横山さん情報ありがとうございます。
過去2回の不起訴不当議決について岡山地検は「酒気帯び運転が事故の決定的な原因とする証拠は認められない」などとして不起訴とした。
スゲー。不起訴になっている「女性(23)」ってどういう人なんだろう。
》 「エキサイトメールのリニューアル状況について最新状況のお知らせ」 (エキサイト)。12/21 に「エキサイトメール」をリニューアルしたのだけれど、これに伴うトラブルがいまだに続いており、断続的にメンテナンス停止が発生している模様。 Benjamin さん情報ありがとうございます。
》 都市から地方へ 〜 税移転の裏にあるシナリオ (日経 BP, 12/21)。「税源移転、目的は消費税率アップの地ならし」という分析。
地方法人特別税に回される金額というのは2兆6000億円になるのだが、これはぴったり消費税1%分に該当するのだ。
》 世界のエネルギー需給はどうなるか[前編] IEAが指摘する中印の“危険度” (日経 BP, 12/25)
「基準シナリオ」に沿って考えると、中国とインドのエネルギー需要の増加を受け、世界の石油需給はひっ迫が予想される。具体的には、世界全体で2006年〜2015年に、原油の生産能力を累計で日量3750万バレル分拡大する必要がある。OPEC(石油輸出国機構)・非OPECの産油国は、生産能力を日量2500万バレル増やすことを発表しているが、それでも1250万バレルが不足することになる。
》 部外者がマンションの共用廊下に立ち入ると… (日経 KEN-Plats, 12/19)
判決に従えば、理事会が「部外者立ち入り禁止」を決定して告知・掲示すれば、ことわりなく共用廊下にいるだけで、どんな部外者でも逮捕されて住居侵入罪を問われる可能性が出てきます。この判決はいくらでも拡張解釈が可能なように見える点が心配です。
》 リフォーム工事の“フローリング偽装”を見破った (日経 KEN-Plats, 12/25)
》 被害者VS検察、踏み字強要元警部補の公判異様な展開 (読売, 12/28)。担当検事である室井和弘・福岡高検刑事部長 (読売記事ではなぜか氏名は伏せられている) から「あなたの証言は全部うそ。その通り言ったら逮捕する」と脅迫を受けた、という話。
「高検幹部が逮捕すると発言した」との川畑さんの主張を巡り、この日の公判は異様な展開となった。
川畑さんは開廷直後、高検幹部を指さし「逮捕すると脅された。検察官を代えてほしい」と陳述。一方、高検幹部も「今や天下の悪徳検事となった私から質問させていただきます」と切り出し、証人尋問が始まった。高検幹部は肝心の踏み字の回数は1回も問わず、尋問後、「踏み字は1回だけで、川畑さんはオーバーに話している」との浜田被告の供述調書を読み上げ、提出した。
閉廷後、川畑さんは「自分が被告みたいだった」と振り返り、代理人の弁護士も「被告の言い訳がこれだけ詳細に書かれた調書は珍しい」と批判した。
関連:
この手の「言った、言わない」系の話をなくすには、取り調べ可視化を全面展開するしかないと思いますけどねえ。
》 守屋事件から「防衛利権の全体像」の解明へ (保坂展人のどこどこ日記, 12/30)
》 UNAMID 12月31日に展開 (国連情報誌SUNブログ対応版, 12/29)。 United Nations-African Union Mission in Darfur (UNAMID) の話。 関連: 2007−08年の課題:ダルフール危機は解決するか (JANJAN, 12/30)
》 空気清浄機よりすごい、細菌を死滅させる空気浄化機「NS-457」レビュー (gigazine, 12/29)。なるほど、業務用を買ってしまうという手があるのか。
》
D1 bugcheck (blue screen) on Microsoft Exchange Servers with VirusScan Enterprise 8.5 Patch 3
(McAfee)。VSE 8.5i patch 3 で直っているはずの
A D1 bugcheck (blue screen) can occur with
VirusScan Enterprise 8.5i when installed on a
Microsoft Exchange server
の話、実は patch 3 では直っていなかった模様。
patch 3 + HotFix 360824 で直るのだそうだ。
最新は patch 4 ですが、これには入っているんですかね。
関連: Stop 0x000000D1 bugcheck occurs on computers with McAfee VirusScan Enterprise installed
(Microsoft KB946939)
さきほどマカフィーのダウンロードページをのぞいてみたら、 5.2.00 エンジン + Patch4 + Common Management Agent 3.6 Patch3 バンドル版の VSE 8.5i が用意されていた。
》 温室ガス削減:政府が方針転換、数値目標の新基準提案へ (毎日, 12/30)。後ろ向きはやめるようですが、ではどこ向きになるのか。 関連:
[SA28239] PDFlib "pdc_fsearch_fopen()" Buffer Overflow Vulnerability 。 PDFLib 7.0.2 の pdc_fsearch_fopen() に欠陥があり、その影響で PDF_load_image() などで buffer overflow が発生する模様。 CVE-2007-6561
》 「適法マーク」認定団体の持ちうる力の大きさ (日本違法サイト協会 ブログ, 12/28)
ウイルス配布屋さんがさっそくこれを利用しているようで:
》 特防秘漏出の海自3佐を起訴 日米秘密保護法違反罪で初 (asahi.com, 12/28)。イージス艦情報流出話。
》 「ふげん」強度不足、原因は施行不良 (asahi.com, 12/28)。よくよく調べたら最初から不良でした、だそうで。
》 高卒認定試験、3年連続採点ミス…600人前後に影響か (読売, 12/28)。2005 年から「大検 (大学入学資格検定)」が「高卒認定 (高校卒業程度認定) 試験」に変わったのだけど、その時からずーっと採点ミスしていたのだそうで。採点プログラムの開発は日立製作所。
》 Winny稼動ノード数が減少中 (高木浩光@自宅の日記, 12/28)。高木氏による観測結果と分析。 ここでも減少傾向が観測されている。 また AgiYukio 氏による、アンケートの方法に関する分析、ファイル交換ソフトの利用者は急増しているのか? (監査とセキュリティのあいだ, 12/27) が紹介されている。 たいへん興味深い。
》 デジタル放送の暗号化に疑問の声が相次ぐ、総務省の検討委員会 (Internet Watch, 12/27)。B-CAS = ぶっちゃけカス、で FA?
デジタル放送のスクランブルについては、権利者の側からも疑問の声が挙がった。実演家著作隣接権センターの椎名和夫氏は、「スクランブルを外すことなど権利者が承知するわけがないなどと言われることもあるが、コピーワンスの時と同様に、スクランブルの導入についても我々は一切関与していない」と説明。また、ダビング10という形でコピーワンスの緩和に向けて努力をしてきたが、「それをあざ笑うような機械がこうして出てきており、こうした実態に照らせば、現状のスクランブルはエンフォースメントとしての役割が既に失われてしまっていると考えられる」と主張。こうしたことから、椎名氏は「この際、スクランブルは解除する方向で話をしていけばいいのではないか」と述べ、スクランブル解除の方向での検討を求めた。
(中略)
日本音楽事業者協会の堀義貴氏も、「権利者がスクランブルで権利保護をしてくださいとお願いしたことは1回もない」と述べ、技術的な方法だけで権利が守られるとは考えていないと説明。問題なのは機器よりも出回っているコピー商品の方であり、こうしたコピーを売ったり頒布したりする行為への対策を強化していくことが重要だと訴えた。
》 年金記録・旧台帳問題の真実を究明するために (保坂展人のどこどこ日記, 12/27)
》 Notes from the Underground (Symantec blog, 12/27)。29A 死亡、VX シーンの終焉。
》 13万人に966億円未払い 厚生年金基金、請求なく (中日, 12/28)
》 薬害肝炎、全面解決へ 弁護団代表が明言 (中日, 12/28)。よかった。
》 ニセ学位で採用・昇進 全国4大学で4教員 文科省調べ (asahi.com, 12/28)
》 来春の花粉飛散東日本1.5—3倍 時期やや早め環境省予測 (東京新聞, 12/28)
》 血液製剤グロブリンからもC型肝炎ウイルス、被害拡大か (読売, 12/28)。問題があるのはフィブリノゲン製剤だけではない模様。
》 緊急寄稿 薬害肝炎事件は終わらない(1) 〜薬害肝炎事件と個人情報〜 (日経 BP, 12/27)
フィブリノゲン製剤は1990年代まで、主に産科や外科で30万人近くの患者に投与され、1万人以上がC型肝炎ウイルスに感染したといわれています。しかし、そのデータの出典を調べていくと、この1万人という人数は、製造販売していた製薬会社の試算と分かりました。当の製薬会社ですら実数を把握できておらず、製剤が卸されたほとんどの病院で記録が残っていません。 (中略) 自分がC型肝炎に感染しているかどうか知るには、簡単な検査で分かります。自分が住む自治体に相談すれば、適切な方法をアドバイスしてくれるはずです。
》 コジマの家電リサイクル法違反で思うこと (日経 IT Pro, 12/28)
12月5日の経産省の勧告発表について新聞報道各社は「異例の再勧告」と形容した。繰り返し書くが,コジマにおける家電リサイクル法違反の発覚は2度目だったからだ。それでも経産省が刑事告発しない理由が,筆者にはわからない。
月間廃棄物という雑誌があるのですか。
》 Microsoft Security Vulnerability Research and Defense blog というものがあるそうです。
》 著作物性の有無および二次的創作物の判断基準 (日本違法サイト協会 ブログ, 12/27)
》 アンケートご協力のお願い (日本違法サイト協会 ブログ, 12/27)。答えようとしたら、もう終っていた。
》 指1本でドア開く 走行中離席は危険 小5バス転落死・専門家検証 (西日本新聞, 12/28)。 転落:マイクロバスの男児死亡 ドア開き路上に 東京外環 (毎日, 12/24) の件。関連:
状況としては、
このとき、ドアノブにちょっと触れたくらいでも、ドアが (風圧のために) いきなり全開になってしまう。報道ステーションで実証実験をやっていましたが、本当にいきなり開いてしまってびっくり。
これねぇ……フェイルセーフよりも利便性を優先した結果ですよねえ。 開き方向が逆 (前方に向かってスイング) であれば、「ドアノブにちょっと触れたくらいではビクともしない」という結果になるはずですよね。しかし利便性のため (右腕を使って開閉するため) に、後方に向かってスライドすると。このデザインは正直どうよと思うんですが、そういう車ってけっこう多いような。
》 「強制」認めよと抗議集会 検定審に評価割れる沖縄 (中日, 12/27)
県民ら約300人が参加した集会で琉球大の山口剛史准教授は「結局、文部科学省は何も認識を変えていないことが分かった」と批判。「いくら背景記述を増やしても、軍は住民を守らず死に追いやったという一番書かれるべきことが書かれていない。『軍の強制』を文科省が認めるまで運動を続けよう」と訴えた。
やっぱりそこですよね……。関連:
》 ロシア版GPSが本格的運用を開始、2010年には全24機体制に移行 (technobahn, 12/27) (typo fixed: 笹部さん感謝)
》 緊急シンポジウム「ダウンロード違法化の是非を問う」の様子 (日本違法サイト協会 ブログ, 12/26)、 「『ダウンロード違法化』阻止、まだチャンスある」—— MIAUがシンポジウム (ITmedia, 12/27)
》 ネットにはびこる偽コーデック —— NFLビデオの検索結果にトロイの木馬サイト (ITmedia, 12/27)
》 「健全なケータイサイト」認定機関設立へ準備委発足 (ITmedia, 12/26)
》 Word文書に感染する“巧妙な”ウイルス、「研究者も気付いていない」 (日経 IT Pro, 12/27)、 Morphing (Your Own) Documents into 2008 (McAfee blog, 12/26)。USB メモリなどにくっつく自動実行型ウイルス autorun に、Word 文書にも感染するものがあるそうで。
》 「バイオメトリクス製品データベース」の公開について (IPA, 12/27)
》 CSIS報告:全面核戦争ならイラン側死者2800万人 (毎日, 12/28)。イスラエル - イラン全面核戦争シナリオ。 Center for Strategic and International Studies (CSIS) による分析だそうで。
国 | 人口 | 推定死者数 | 割合 |
---|---|---|---|
イスラエル | 約 700 万人 | 20万〜80万人 | 3〜11% |
イラン | 約 7,000万人 | 1600万〜2800万人 | 22〜40% |
全面核戦争に突入した段階で「どっちも負け」だと思うけどな。
関連: US institute: Israel could survive nuclear war (The Jerusalem Post, 12/24)
The report cites Israel's Arrow missile defense system as an obstacle facing a possible Iranian strike and says that it could shoot down most of the missiles. Israel, on the other hand, would be capable of hitting most of the Iranian cities with pinpoint accuracy due to the high resolution satellite imagery systems at its disposal.
そりゃまたいさましいことで。Arrow (israeli-weapons.com)、Arrow TMD (FAS.org)
さらに関連: イランに防空ミサイルシステム、ロシアが数十基供与 (読売, 12/27)。S-300PMU (SA-10) Missile Air Defence System (sinodefence.com)、 S-300PMU (FAS.org)
》 UNDACチームの派遣が多かった2007年 (国連情報誌SUNブログ対応版, 12/27)。 United Nations Disaster Assessment and Coordination (UNDAC) (UN)。
》 山谷剛史のマンスリー・チャイナネット事件簿 年末特集:2007年の中国インターネットを振り返る (Internet Watch, 12/27)
》 原子力機構の業務情報がWinny流出、核物質防護に関する情報は含まれず (Internet Watch, 12/26)。つい最近洩れた話。なさけないのう。
関連: Winny流出の傾向と対策 第4回:情報漏洩マルウェアから身を守る方法 (Internet Watch, 12/26)。
》 A Remote Assistance session fails when the /3GB switch is enabled in the Boot.ini file on a Windows XP-based computer (Microsoft KB942432)。有償 patch があるようです。
》 NTTデータがデータセンターの環境対策サービス,The Green Gridにも加入 (日経 IT Pro, 12/26)
》 初音ミクJASRAC問題の「雨降って地固まる」について (栗原潔のテクノロジー時評Ver2, 12/27)
》 自分の家で火災が起きた後、何をすればいいのか? (gigazine, 12/25)。実際に火災に遭ってしまった gigazine 編集部による、当事者ノウハウ入り記事。
その結果、保険の対象は「建物」と「商品」であることが判明。今回は商品には何も被害はなかったので「建物」のみ。会社所有の什器や製品などは対象に入っていないのでサヨウナラ、残念。次回からはちゃんと保険をかけておくことを決意。いわゆる家財保険などがそれに該当します。
家財保険……なるほど……
》 グーグルで厚労省「偽サイト」が最上位に、丸1日続く (読売, 12/26)。 偽ページがGoogleでトップ? (Okumura's Blog, 12/26) の件。まぁ、Google ですから。 slashdot.jp によると、「国税庁」でも同様の状態が発生していたようです。
関連: 転送サービスを悪用した不正サイトへの誘導 (トレンドマイクロ セキュリティ blog, 12/27)
我々はすぐさまSEOポイズニング(* 参考情報1)の可能性を疑い、サイトのソース分析を実施しました。しかしながら、ウイルス配布に悪用されているような形跡は認められませんでした。
このため、該当サーバの所在地 / 所有者情報よりサイトの意図について分析を行いました。
その結果、サーバの所在地が台湾であること、WinPerTurn Corp.によって提供されている翻訳サービス(MojoLingo 全球通 *注釈1)によって生成されたURLであることを特定しました。
(中略)
このような問題はGoogleに限らず、他の検索サイト / 転送サービスでも十分に発生しうる問題です。想定される悪用事例からその可能性を探ります。
》 カスパロフが語る、「今年の人」プーチン (バイナフ自由通信、 12/23)。Time の Person of the Year 2007 が Vladimir Putin である件について。
タイム誌は、プーチンを選出した理由として、彼がロシアを国際舞台に復帰させ、「無秩序状態」を克服し、愛国心を復活させたことを挙げています。タイム誌は、プーチンが人権上「困った」行為をしていることについて懸念を示してもいます。これと同じことが1938年のアドルフ・ヒットラーにも言えました。ヒットラーは、1938年にタイム誌の「今年の人」に選ばれました。当時、タイム誌は「ファシズムは自覚している。報道と言論、集会の自由が、自らの存続のために潜在的な危険となることを」と書いていました。これと同じ台詞が、今年の受賞者にも当てはまると思います。
ヒトラーが 1938 年に死んでいたら、少なくとも国内的には英雄として末永く扱われたでしょう。プーチンもまた現時点では、少なくとも国内的には英雄であるようです。今後も英雄とされるかどうかはまた別ですが。
》 ファイル交換ソフトの「現在利用者」は9.6%、ACCSなどが調査 の件について、ネットエージェントの杉浦さんから (ありがとうございます):
ネットエージェントと日本レコード協会らの調査の違いは、Winnyのほうは原因はわかりませんが、Shareのほうはノード情報の交換では死んでいるノードがかなりあり、数日前のノードまでカウントしているのではないかと思います、そのようにカウントすると90万ぐらいは出てくるはずなんですがね。ネットエージェントのほうは以下のURLでカウント方法を掲示しています。
以下コピー
http://forensic.netagent.co.jp/share-node.html
★Shareのノード数に関して
ノードとは「Shareをインストールされたパソコンが、インターネットに接続された状態で、Shareを起動している(つまりShareをその時点で使用している)1台」を示します。一人で複数台のパソコンを使用している人は非常に少ないと考えられることから、1ノード=1ユーザとカウントしています。
このノード数は弊社が開発したShare調査システムによって得られたファイル情報を元に測定しています。Shareのノード数は単に発見されたノードを集計するだけでは計測できません。Winnyとは違い、ノード情報の寿命が長いため、発見されたノードを集計すると1日約90万ノード発見できますが、既に多くのノードはIPアドレスが変更されている、または、Shareが起動されていません。そのため、発見されたファイル情報より更新日時(ダウンロードしたファイルブロックの最新の日時)がその日と同じファイルを持つノードを集計、重複を除いたノード数が最もShareネットワークの実態ノード数に近いと考えられ、この値を1日のノード数として発表しています。ダウンロードしたファイルがまったくないノードは集計されていません。
関連: クリスマス期間中のWinny利用者動向,ネットエージェントが公表 (日経 IT Pro, 12/27)、Winnyノード数の推移 (ネットエージェント)。こちらも減少傾向を示していますね。 日本レコード協会らによるアンケート調査には何か重大な問題があったのでは、という疑念がさらに深まった。
》 教科「情報」必履修に反対する日高教・教育長・教育委員長 (Okumura's Blog, 12/26)。むしろ情報教育の強化こそが必要だと思うのですが、「日高教・教育長・教育委員長」という人達は、世の中で急激に進んでいる情報化から見事なまでに取り残されているということなのかなあ。
》 米国:イラク駐留米軍兵士の心の闇 (JANJAN, 12/27)。 ブライアン・デ・パルマの新作 Redacted の話。(第64回ベネチア国際映画祭で銀獅子賞 (最優秀監督賞) を受賞)
》 パキスタン:『テロとの闘い』に非協力的なパキスタン軍 (JANJAN, 12/27)
》 国勢調査はどう変わる? 総務省との話し合いから (JANJAN, 12/27)
》 ワーキングプア切々と 越年電話相談受け付け (JANJAN, 12/27)
》 日本の「元素戦略」、世界へ向け動き出す (JANJAN, 12/27)
》 Emerging Threats というサイトができています。Snort の bleeding- ルールセットは http://emergingthreats.net/rules/ で配布されることになったみたい。
》 電動ベッドの可動部にはさまれ4歳男児が窒息死 (asahi.com, 12/26)。ベルーナが販売した中国製の電動ベッドだそうで。 お買得電動リクライニングベッド (ベルーナ) かなあ。
父親の説明によると、事故を起こしたベッドは、リモコン機器に震動を少し与えただけでマットレスが勝手に下がったり、リモコン操作ボタンがある面を下にして置いただけでマットレスが動いたりした。センター職員が男児宅で調査中も、リモコン操作しないのに突然、マットレスが動き始めたという。
チャイナリスク……
HPSBGN02298 SSRT071502 rev.2 - HP Quick Launch Button (QLB) Running on Windows, Remote Execution of Arbitrary Code, Gain Privileged Access (HP, 2007.12.26 改訂)。 Compaq / HP のノートパソコンに塔載されている Quick Launch Button ソフトに任意のコードの実行を許す欠陥がある。 patch が出ている:
SP38181 と SP38171 は rev.2 への改訂で追加されたもの。
KB946676 より、Home Server 上での不具合の発生が確認されている Microsoft 製品:
Home Server 上での不具合の発生が報告されている 3rd party 製品:
3rd party はともかく自社製品ですら不具合発生となると、恐くて使えないよなあ……。「バージョン 1.0 は使うな」伝説にまた 1 ページか。
関連: Webプロキシ自動発見(WPAD)の脆弱性に関する注意喚起と予約ドメイン名の追加指定について (JPRS, 2007.12.21)
JPRSでは、この脆弱性への対策の一環として、下記の対象文字列を当面の間予約ドメイン名として指定し、この文字列を第3レベルまたは第4レベル(属性型・地域型JPドメイン名の<組織ラベル>)に使用したドメイン名の登録ができないようにしました。この予約ドメイン名の指定に関する「属性型(組織種別型)・地域型JPドメイン名登録等に関する技術細則」の改訂については、今後の混乱防止の対策状況等を考慮の上、必要に応じてお知らせいたします。
(中略)○対象文字列 属性型・地域型JPドメイン名 * <組織ラベル>に"WPAD"を使用したドメイン名 例:WPAD.CO.JP、WPAD.CHIYODA.TOKYO.JP など 汎用JPドメイン名 * 予約文字列の追加はありません。
》 内閣支持率の低下と遅すぎた「福田流政治決断」 (保坂展人のどこどこ日記, 12/24)
明らかな矛盾や合理性を欠く議論の破綻が明らかになっても、最後までその正当性を譲らないのが「日本の役人」である。そこを、ガツンと転換させることを「トップの政治決断」と言う。
福田総理は、あえて「国会に丸投げ」することで、これらの「日本の役人の無謬神話」を増長して国の責任を曖昧にし、さらに「被害者」が将来増大した時に備えて、野党にも「共同責任」を負わせるという作戦で「議員立法」を思いついたのではないか。狡猾で、役所臭い「福田の決断」に原告団が「半信半疑」と言っているのも当然の感覚だ。
》 飛行停止中の米空軍のF-15戦闘機、機体の検査は長期化の見通し (technobahn, 12/25)
》 BフレッツにおけるIPv6映像視聴等機能の標準装備について (NTT 東, 12/26)
》 セキュリティ対策の行き着くところは…… 最終手段? 京都に究極のセキュリティ対策を見た (@IT, 12/26)
》 東工大が導入したコラボレーション方式のスパム対策、その効果を聞く (Enterprise Watch, 12/26)。CloudMark の宣伝か?
》 最高裁「裁判員広報費」、会計検査院が報告書提出 (保坂展人のどこどこ日記, 12/21)
》 「デスノート」などのパクリで少年マガジン編集部謝罪 36ページの大半が盗用と判明…豪村中さんの「メガバカ」 (痛いニュース, 12/22)。シワまで忠実にトレスですか……。
》 三菱化学の火災・災害は忘れた頃にやってくる (JANJAN, 12/23)。 かつて、当該災害現場の安全統括者だったという人による記事。 鬼軍曹 (優秀な下士官) はいつでもどこでも必要。
》 政治:民主化実現に暗雲ただようパキスタン情勢 (JANJAN, 12/24)
》 対クリスタル裁判、ダイヤモンド社の勝訴確定 (SLAPP WATCH, 12/23)
》 改正PSE法が施行 PSEマークなしでも中古品の販売が可能に (ITmedia, 12/21)
》 Knight ウイルスという USB ウイルスがあるのですか。ニセの騎士がくっつく模様。
》 JPNIC News & Views vol.509【臨時号】2007.12.26 (JPNIC, 12/26)
》 「沖縄戦」教科書記述めぐる政治決着は果たされたか (保坂展人のどこどこ日記, 12/26)
》 「第3回首都圏のICカード自動改札機におけるトラブルに関する検討会」 の開催について (国土交通省, 12/25)。今日やってたのですね。
》 アルコール・インターロック装置に関する検討会最終取りまとめについて〜アルコール・インターロック装置の技術指針案を策定しました〜 (国土交通省, 12/26)
》 3機のロッド周辺で腐食 静岡のヘリ墜落で国交省 (中日, 12/25)。ユーロコプター EC135 T2。 関連:
本件は、14日に発行された耐空性改善通報TCD-7194A-2007で指示していた点検を50飛行時間毎に繰り返し実施するものです。
》 PKK掃討で協力約束 米大統領、情報提供も継続 (中日, 12/25)。トルコ方面話。
》 廃止・民営化、6法人止まりに 独立行政法人 (中日, 12/25)。与党はこの程度。
》 アフガン支援に103億円緊急拠出 政府、給油中断踏まえ (中日, 12/23)。ワーキングプアは死ぬにまかせ、アフガンに 103 億円。
》 道徳教育 戸惑う教師 (読売, 12/26)。教育再生会議と中央教育審議会が正反対の方針を出している模様。
》 2007年のクロスサイトスクリプティングを振り返って (葉っぱ日記, 12/26)。Merry XSSmas ですか。
》 フリーオ駆逐の最終兵器、「合法外付けチューナー」の胎動 (日経 IT Pro, 12/25)
今回日経パソコンの取材に応じた複数のメーカーは「開発はほぼ完了しており、コンテンツ保護を含めARIBの標準規格を問題なくクリアできる自信がある。放送業界からのゴーサインさえ出れば、数カ月で発売できる」と異口同音に語る。未開拓の大市場に期待を込める思いは各社とも共通だ。
とっとと出してくれ。でないと Friio 買っちゃうぞ。
》 1台5000円以下、格安の地上デジタルチューナーが登場か (gigazine, 12/26)。とりあえず見れる、というレベルのもの。
》 Common Management Agent 3.6 Patch3 での修正項目一覧 (マカフィー, 12/26)。Windows Server 2008 対応など。
》 海外情報セキュリティ関連文書の翻訳・調査研究(NIST文書など) (IPA ISEC)。SP 800-40 ver.2 - パッチおよび脆弱性管理プログラムの策定 が公開されました。
》 InterScan Gateway Security Appliance 1.5 Critical Patch(クリティカルパッチ) Build 1196の概要および適用方法 (トレンドマイクロ, 12/20)
》 Google、DoubleClick買収を巡る連邦議員からの質問状に回答 「プライバシーに関する懸念は1社だけで解決できるものではない」 (computerworld, 12/26)
》 今度は「動画スパム」が出現、「テレビCMなみのクオリティ」 (日経 IT Pro, 12/26)
》 “グリーンIT”を真剣に考えるべき3つの理由 (@IT, 12/19)。この半年くらいで急激に立ち上がってきている感じ。 京都議定書の達成にはさらなる努力が必要なようですし。
それでですね。「グリーンIT」とだけ言うと目が向かないのですが、10 年以上前のクーラーをリプレースしたりすると、CO2 削減効果がすごくあるみたいですよ。
》 FreeBSD/SSP (Jeremie Le Hen)。FreeBSD 6.x / 7.x / 8.x で SSP/ProPolice を有効にする方法。
》 やる夫で学ぶ著作権。冬休みの復習教材か。山口さん情報ありがとうございます。
配役が見事すぎます。特に CASRAC。
一度受けた依頼は・・・
地獄の底までターゲットを追い詰めてでも達成する・・
それが、プロの著作権スナイパーという物だ・・・
》 ドワンゴとクリプトンが「初音ミク」で協業へ、共同コメント発表 (Internet Watch, 12/25)
》 求められる著作権知識と「情を知って」との関係 (日本違法サイト協会 ブログ, 12/25)
》 Apple、不正コピー防止技術の特許を申請 10分間に1回“抜き打ちチェック”する可能性も示唆 (computerworld, 12/25)
》 「Office 2003 SP3」の自動更新による適用、開始を2008年1月30日に前倒し (Internet Watch, 12/25)
》 EU、メディアリテラシー問題「コントロールよりも教育」との認識 (Internet Watch, 12/25)
》 第4四半期の脅威動向まとめ (トレンドマイクロ セキュリティ blog, 12/25)
「技術の体系化と教育、トレーニングが重要」ですか。 まずは教官を一定数養成するところからはじめないといけないんだよな。
ところで Upcoming Advisories なのですが、7 月 8 月のものがいまだにけっこう残ってますね……。あと、[FFRUA-20071216] 文書作成ソフトウエアの脆弱性 というのが増えています。
JVN#44736880 WinAce におけるバッファオーバーフローの脆弱性 (JVN, 2007.12.25)。詳細: [FFRRA-20071225] WinAceのuueファイル処理におけるヒープオーバーフローの脆弱性 (フォティーンフォティ技術研究所, 2007.12.25)。 uue ファイルで長大なファイル名を指定した場合に heap overflow が発生、任意のコードを実行できる。 WinAce 2.69 で修正されているそうです。 CVE-2007-6563
JVN#33044255 GreaseKit および Creammonkey における許可されていない関数が実行される脆弱性 (JVN, 2007.12.26)。GreaseKit 1.4 で修正されている そうです。
bid 26946: ClamAV 'mspack.c' Off-By-One Buffer Overflow Vulnerability (securityfocus, 2007.12.19)。 ClamAV < 0.92 の libclamav/mspack.c に off-by-one エラーがあり、攻略 zip ファイルを使って任意のコードを実行できる話。 CVE-2007-6336
ClamAV 0.92 で修正されている。LZX_ENSURE_BITS マクロの定義が変更された。
》 日立ソフト、1台のPCで機密情報向けと一般用環境を同時利用できるセキュリティソフト (Open Tech Press, 12/25)。VMware + SELinux。
》 Windows Explorerが使用不能に--カスペルスキー製品が誤作動 (CNET, 12/25)。 Kaspersky Lab corrects false positive detection in threat signature database (Kaspersky, 12/20) の話。豪快ですね。
》 Shareaza、公式サイトを乗っ取られマルウェアを配布される (P2Pとかその辺のお話, 12/25)。itochan さん情報ありがとうございます。
》 JPNIC News & Views vol.508【臨時号】2007.12.25 (JPNIC)。IPv6 話。
極論として、議論を実施する時間が無駄なので、Teredoのような、危険なプロトコルは使用禁止としてしまうだけでよい、といった意見もありました
あいかわらず過激派はいるんですね。
》 大澤工業がエレベーター152基に強度の低い鋼材使用、全製品の86% (日経 KEN-Plats, 12/20)
》 ニチアス製の“偽装”耐火間仕切り壁、BCS会員企業の3分の2が使用 (日経 KEN-Plats, 12/21)。BCS = 建築業協会。
》 【改正建築基準法】福田首相が経済への悪影響に反省の弁 (日経 KEN-Plats, 12/20)
》 中型ロケット「GX」計画、文科省が見直し検討 (読売, 12/23)。日本の宇宙計画がいかにずさんかを如実に示すエピソードですな。
》 医師不足:国の緊急対策に都道府県は期待薄 毎日新聞調査 (毎日, 12/25)
》 地デジをコピー可能な「海外製の機器」規制へ (slashdot.jp, 12/24)。フリーオ話。
》 あの「ゴルゴ13」が来春から満を持してテレビアニメに (gigazine, 12/25)。声は誰が? ゴルゴはエロシーン多数な作品なのだが、やっぱり深夜枠なんだろうか。
個人的には、実写版の高倉ゴルゴも好きなんですが。
》 ファイル交換ソフトの「現在利用者」は9.6%、ACCSなどが調査 (Internet Watch, 12/21)、ファイル交換ソフトの「現在利用」は9.6%、被害は一層深刻に〜利用実態のアンケート調査、クローリング調査の結果まとまる〜 (日本レコード協会, 12/21)。調査期間は 2007.09.14〜2007.09.24。
今回の調査では、「現在利用者」がインターネット利用者の9.6%との結果となり(2006年6月の調査では3.5%)、ファイル交換ソフト利用者の急増が明らかになりました。
利用者の絶対数が 3 倍にも急増しているのなら Winny や Share のノード数も同様に急増しているはずだが、少なくともネットエージェントが公開している情報からは、そういう状況にはないように見える。
日本レコード協会らは今回、P2P FINDER を使った クローリング調査の結果も公開しているのだが、それとネットエージェントとの調査結果を比べると、Winny については小さめ (およそ 26 万ノード)、Share については大きめ (およそ 20 万ノード) の結果が出ている。しかし Share ですら 3倍も違うわけではなく、現在利用者が約 3 倍になったというアンケート結果と整合しない。
というわけで、日本レコード協会らによる今回の調査には何か重大な問題があったのでは、という疑念を払拭できない。
》 Vine Linux 4.2 が出ています。リリースアナウンス。
》 安倍前首相提唱の日本版NSC、白紙に 福田首相指示 (asahi.com, 12/24)。しょせんその程度の構想だったということですかね。
Heap overflow in PeerCast 0.1217。 PoC あり。 PeerCast 0.1218 / SVN 347 で直っているそうです。 CVE-2007-6454
ZSA-2007-029: syslog-ng Denial of Service。 syslog-ng 2.0.6 / syslog-ng Premium Edition 2.1.8 で直っているそうです。 CVE-2007-6437
[CVE-2007-5342] Apache Tomcat's default security policy is too open。 Tomcat 5.5.9〜5.5.25、6.0.0〜6.0.15 の欠陥。 JULI logging component に関して、デフォルトでは tomcat-juli.jar に権限が与えられすぎているため、信頼されていない Web アプリケーションがファイルを追加したり上書きしたりできてしまう。 CVE-2007-5342
SVN では既に修正されている。
[SA28186] Sun Java System Web Proxy Server Multiple Vulnerabilities、 [SA28216] Sun Java System Web Server / Web Proxy Server Cross-Site Scripting (secunia)。patch が用意されている。 関連: JVN#89292430 Sun Java System Web Server および Sun Java System Web Proxy Serverにおけるクロスサイトスクリプティングの脆弱性
Buffer-overflow and format string in VideoLAN VLC 0.8.6d。 欠陥が発見されて修正されたばかりの VideoLAN (VLC) 0.8.6d にまたもや欠陥。 PoC あり。 SVN 版では既に修正されている。
Security Update 2007-009 / Safari 3 Beta 3.0.4 Security Update を適用すると Safari が異常終了する問題が発見され、出し直し版の修正プログラム v1.1 が公開されています。
ARP spoofing HTTP infection malware (Websense blog, 2007.12.21)
ジャストシステム製品の脆弱性を悪用した不正なプログラムの実行危険性について (ジャストシステム) が 12/18 付で改訂されました。 影響を受ける製品がさらに追加されています。
また、ラベルマイティに関して「+[プラス]・LE・JE・セレクト・ゴールドパック・ブルーパック・スターターキット・小学生版、ビジネス編・プレミアム・わがままシリーズ・ラベルコレクション・ステッカー魂・DIGAを含む」という註釈が追加されました。
さらに、一太郎 for Linux の修正プログラム、花子ビューア新版、はっぴょう名人ビューア新版が公開されています。利用者は適用してください。
この欠陥を攻略する Web ページが登場しているようです。
なお、さきほど RealPlayer 11 にアップグレードしてみたら、ビルド番号は 6.0.14.748 でした。
》 ダウンロード違法化の動き 2007年12月20日-24日 (日本違法サイト協会 ブログ, 12/24)
》 一太郎Zero-day攻撃発覚経緯の謎——非国民は誰? 追記(24日) (高木浩光@自宅の日記, 12/24)
また、上の「報道を並べてみる」のところに追記した。
INTERNET Watch の他に『24日追記:ITmediaとマイコミジャーナルを追加した』そうですが、そういうものを並べたところで、「どいつもこいつも揃いもそろって Symantec しか見てやがらねぇ」という可能性を否定できないと思うのですよね。 Symantec は一太郎方面に強くコミットしているようなので使いやすい、という面もあるでしょうし。
たとえば……
一太郎の脆弱性を悪用した不正なプログラムの実行危険性について (ジャストシステム, 8/3) に関する三大ベンダーの日付を見てみるとですね……
というわけで、この場合、Symantec と Trendmicro はほとんど同時だと思うのです。
一太郎の脆弱性を悪用した不正なプログラムの実行危険性について (ジャストシステム, 4/6) に関する三大ベンダーの日付を見てみるとですね……
この脆弱性を悪用するウイルスを発見し、報告したMcAfee Avert Labs(緊急ウイルス対策チーム)の本城信輔氏によると、同社でも2〜3社から調査依頼を受けているという。
というわけで、この場合、3 社ともほとんど同時だと思うのです。
そもそも Trendmicro は日本政府御用達なわけで、「どこかで検体を入手したのに Symantec にしか送らない」可能性というのは、私には考えづらいものがあるのです。
Secunia Personal Software Inspector の宣伝ではあるのだが、実際便利です。正月前にチェックしてみると吉かも。 あらゆるアプリに対応しているわけではないですけどね。
Multiple problems in Wireshark (formerly Ethereal) versions 0.8.16 to 0.99.6 (Wireshark.org, 2007.12.18)。Wireshark 0.99.7 登場。複数の欠陥が修正されている。 CVE-2007-6438 CVE-2007-6439 CVE-2007-6440 CVE-2007-6441 CVE-2007-6442 CVE-2007-6443 CVE-2007-6444 CVE-2007-6445 CVE-2007-6446 CVE-2007-6447 CVE-2007-6448 CVE-2007-6449 CVE-2007-6450 CVE-2007-6451
これらの欠陥は、HTTP, DCP ETSI, SSL, DHCP/BOOTP, MMS dissector を無効にすれば回避できる。
Linux Kernel 方面
》 緊急シンポジウム「ダウンロード違法化の是非を問う」開催のお知らせ (MIAU)。2007.12.26、東京都渋谷区、たぶん無料。
関連: 緊急シンポジウムやっちゃうよう (コデラノブログ3, 12/22)
7000通を超えるパブコメのうち8割が反対にも関わらず、既定路線として強行突破しようとする点だけでも十分問題だが、さらにそれに便乗する形で出された補償金廃止とDRM化の未来像、これについて、たぶん多くのメディアは問題点がわかってない。
これ、私的複製を認めた30条を全面廃止するという話なのである。
世界的な潮流はむしろ、DRM 廃止の方向だと思うんですけどねえ。 「完璧な DRM」などと妄想するのはベッドの中だけにしてほしい。
》 マック「×××はいけない」 週刊誌中づり広告を黒塗り (asahi.com, 12/22)。週刊現代 2007.12.22/29 号の中吊り広告において、 『マクドナルド』を食べてはいけない! の「食べて」を黒塗りさせられた話。こういうのは、むしろ逆効果だと思いますけどねえ。 関連:
》 GnuPG生誕10周年で、1.4.8と2.0.8同時リリース (slashdot.jp, 12/22)
》 Apple:情報サイトを閉鎖に追い込む 新製品暴露で (Open Tech Press, 12/21)。いつもの Apple。そういう会社。
》 Microsoft、EU命令に従いWindows互換性情報をSambaチームに開示 (computerworld, 12/21)。
》 2007年 マイクロソフト セキュリティ更新プログラムの振り返り(後編) (トレンドマイクロ セキュリティ blog, 12/21)
》 USENに警告 無料なのに「加入金ゼロ当選」 総務省 (asahi.com, 12/21)。USEN が当選商法。 匿名希望さん情報ありがとうございます。
USENの勧誘を巡っては、9月までの1年間に全国の消費生活センターに約1000件の苦情が殺到。衛星放送への勧誘に関する苦情の96%を占めていたという。
》 ネットワークウォリア — 戦う管理者のための知識とテクニック (O'Reilly, 12/22 発売予定)
MS07-065 - 重要 メッセージ キューの脆弱性により、リモートでコードが実行される (937894) の exploit が出ています。
Sendmail with clamav-milter < 0.91.2 Remote Root Exploit (milw0rm)。多分 CVE-2007-4560 の exploit 。こんなに簡単なんですね。
》 地球温暖化を受けて、ついに白熱電球の製造販売が打ち切りへ (gigazine, 12/19)。 白熱電球製造中止へ (slashdot.jp, 12/19) も興味深い。 全部まるっと置きかえられるほど世の中は甘くない模様。
》 私が最も感謝する創作者とは (崎山伸夫のBlog, 12/20)。RMS。彼が GNU プロジェクトをはじめていなければ、今ごろ世の中はどうなっていたことやら。
》 国家施策としてのセキュリティ対策について議論、SecurityDay2007 (Internet Watch, 12/19)
》 Web経由の感染が急増、バレる前に「消える」マルウェアも ラックが2007年のセキュリティ動向を解説 (Internet Watch, 12/19)
Webサイトを閲覧しただけでウイルスに感染する事例が増え、さらには感染を疑ってPCをネットワーク環境から切り離すと、自動的に消滅するマルウェアも確認したという。同社研究開発本部の新井悠氏は「感染に気づかずに、企業内で他のPCに感染するケースも多い」として、今後は、感染したマルウェアがPC から「消える」ことを前提とした対策が必要であると訴えた。
関連:
》 Googleのテキスト広告を乗っ取るトロイの木馬 - BitDefender報告 (マイコミジャーナル, 12/20)。ニセ page2.googlesyndication.com を hosts ファイルに追加する模様。
》 第14回 NT-Committee2九州勉強会ご案内。 2008.01.19、福岡県春日市、一般1000円。「Windows Server 2008と最新マルウエア対策」だそうです。
》 カザフスタン〜アフガニスタン〜パキスタンの港からの核燃料輸送 (関組長の東京・永田町ロビー活動日記blog版, 12/20)
》 16年度潜水艦 「そうりゅう」進水 スターリング機関の最新型 「龍」から初の命名 (12月の朝雲ニュース, 12/13)。潜水艦をつくるのって、時間がかかるんですね。
》 ダウンロード違法化の動き 2007年12月19日-20日 (日本違法サイト協会 ブログ, 12/20)、 「ダウンロード違法化」なぜ必要 文化庁の配付資料全文 (ITmedia, 12/20)
》 「損害額は算出不能」、猛威を振るった「Pinch」ウイルスの作者逮捕 (日経 IT Pro, 12/21)
》 The darker side of online virus scanners (viruslist.com, 12/20)
》 ロジテックのポータブルHDD製品、計1,600台にウイルス混入 (Internet Watch, 12/20)。またロジテックか。
》 「20XX年、DRMの普及で補償金は廃止」文化庁がビジョン提示 (Internet Watch, 12/20)。妄想と言った方が正しいのでは。
》 著作権の議論がなぜ腑に落ちないかを今度は白田先生の話から考えてみる (日経 Tech On, 12/17)、 法政大学 准教授 白田秀彰氏インタビュー,「法は単なる調整手段,技術者は自由に進め」 (日経 Tech On, 12/14)
》 共謀罪TV(ティーブイ) 志布志事件と警察幹部の責任、取り調べの可視化 (共謀罪反対 THE INCIDENTS, 12/21)
》 EUデータ保護責任者、EUの航空機乗客データ収集計画を痛烈批判 (computerworld, 12/21)
》 スーパーゼネコン施工ミス 監理者が見逃すワケ (JANJAN, 12/21)
「建築確認」上の設計者、工事監理者である日建設計は世界最大級の建築設計事務所として著名な組織だ。しかし、その契約は不可解だ。
日建設計は、施工者から提出された「自主品質管理記録」を書面検査(目視は抜き取り検査のみ)することでよしとする「工事監理委託契約」を建築主(特定建築者)と結んでいるという。
「書類を審査」するだけで、工事監理者の務めを果たせるのなら、こんなオイシイ仕事はない。(中略)
タイトル中の「監理者が見逃すワケ」は、「監理者は現場を見ていなかった」と言うべきだろう。
》 「使用済み携帯電話」問題は国際的争点、速やかな協力体制を (JANJAN, 12/21)
》 やっぱり捕らない?ザトウクジラ (JANJAN, 12/21)、ザトウクジラ捕獲、1〜2年見送り 政府方針 (asahi.com, 12/21)
》 ファイル交換ソフトの「現在利用者」は9.6%、ACCSなどが調査 (Internet Watch, 12/21)
調査によれば、「現在、ファイル交換ソフトを利用している(2006年9月以降に利用したことがある)」とする回答が全体の9.6%、「過去にファイル交換ソフトを利用していた(2006年8月以前に利用していた)」とする回答が全体の10.9%に上ったという。2006年9月に行なった同様の調査では、「現在利用者」は3.5%、「過去利用者」は8.6%となっており、ファイル交換ソフトの利用者急増が明らかになったとしている。
調査方法がおかしいことが明らかになった、の間違いじゃないのか。
》 警察庁が懲戒処分の指針を改正、Winny流出させたら免職も (Internet Watch, 12/21)
》 「みくみく」JASRAC登録問題で、クリプトンとドワンゴの双方がコメント (Internet Watch, 12/21)。関連: JASRACと信託契約を結ぶ場合の課題について (栗原潔のテクノロジー時評Ver2, 12/20)
》 トレンドマイクロがパターン・ファイルの動作検証センターをフィリピンに設立 (日経 IT Pro, 12/21)、フィリピンに「ソリューション総合検証センター」を設立 〜脅威の変化に対応する横断的なソリューション検証を開始〜 (トレンドマイクロ, 12/21)。『日本IBM大和研究所内に設けた「トレンドマイクロ テストセンター」』というのは、例の 594 バグ騒動を受けて設立されたものです。
「自社内でのチェック」と「トレンドマイクロ テストセンターでのチェック」で 2 重チェックになる、というのがウリだったはずですが、
今回設立する「ソリューション総合検証センター」では、以前から取り組んできた個々のソリューションの検証および、IBM大和研究所施設内における「トレンドマイクロテストセンター」における検証作業を統合・自動化して実施します(※1)。(中略) ※1:ソリューション総合検証センターの設立に伴い、トレンドマイクロテストセンターにおける検証作業は終了となります。
594 バグからたったの 2 年で、早くも 1 重チェックに逆戻りですか?
》 コンビニ:営業短縮は省エネに「効果ない」「ある」 (毎日, 12/17)
コンビニエンスストアの営業時間を24時間から16時間に短縮しても、二酸化炭素(CO2)排出量は3〜4%しか削減できないとの試算を、日本フランチャイズチェーン協会がまとめた。(中略) 12月14日の (小島注: 中央環境審議会と産業構造審議会の合同) 会合で再び議論され、「省エネ効果は限定的である一方、企業活動へのマイナスは大きい」として営業時間短縮は先送りされた。
「企業活動へのマイナスは大きい」ということにしたいのですね。 審議会のみなさんは、議論をはじめる前に「コンビニ 不都合な真実」を読んでおくべきだと思います。p.180 です。実際には、マイナスどころかプラスの方がずっと大きいのです。
》 辺野古に関するニュース (グリーンピース)。今日の辺野古方面は、ちょっとだけニコニコしていたようです。
》 強姦致傷事件で無罪の男性、愛知県と国提訴 岐阜地裁 (asahi.com, 12/20)。うわ、天白署じゃん……。
》 1908年「ツングースカ大爆発」に新説:小さな小惑星でも危険 (WIRED NEWS, 12/21)
》 ユーザ様とバッファローとのコミュニケーションにより進化する無線LANルータ“AirStation α(エアステーション・アルファ) ” (Buffalo, 12/20)。直販のみ。見たところ、 DD-WRT が塔載された AirStation のようで。WHR-HP-G54DD の日本語版なのかな。
DD-WRT の方は、もうすぐ DD-WRT v24 RC6 が出るようです。
》 ヨドバシカメラ、月額380円で使い放題の公衆無線LANサービス「ワイヤレスゲート」を開始 (RBB TODAY, 12/20)
ヨドバシカメラでは、12月22日から東京都秋葉原にある店舗“マルチメディアAkiba”と“ヨドバシ・ドット・コム”にて販売を開始、(中略) 2008年1月中にはヨドバシカメラ全店舗にて展開の予定とのこと。
yodobashi.com ですか。
ところでみあこネットですが、来年 4 月からは「自律分散型」を標傍する「みあこネット 3」になるそうです。
「おもてなし」ですか。なるほど、確かに。「基地局作成キット」が出たら、手元でも試してみようかしら。
》 「神世界」と警備公安、公安調査庁 (ESPIO, 12/20)。つながる人脈@公安。関連:
吉田警視は警備部の主要ポストを歩く「エース」。来年の北海道洞爺湖サミットに向け、県内の警備対策に取り組んでいた。別の幹部らも「まさか…」「重要ポストなのに、今後どうなるのか」と動揺を隠しきれない。
県警は一九九九年にも、現職警部補の覚せい剤使用もみ消し事件など不祥事が相次ぎ発覚。苦い経験から、県民の信頼回復を最優先に取り組んできただけに、刑事、交通両部の幹部からは「残念だ」との声が漏れた。
ある幹部は「年の瀬に大変なことになった。九九年のようにならないことを祈っている」と顔をこわばらせる。
》 PAC3:初の迎撃実験へ 財務省原案に10億円計上 (毎日, 12/20)。ミサイルを撃つ金なら ok ok ですか。
》 薬害C型肝炎訴訟:和解交渉が決裂 政府案基金30億円、原告団が受け入れ拒否 (毎日, 12/20)
舛添厚労相は会見で (中略) 一律救済には「(救済範囲を限定した)和解骨子案と矛盾する和解はできないことが前提」と話した。
まさに「法令尊守コンプライアンス」の典型。政府・与党は問題解決どころか問題認識すらできていないのでは。関連:
現在の IGSA はパターンファイルをコンパクトフラッシュカードに保存しているが、近い将来あふれる可能性があるため、一部を HDD に保存するように変更する patch、だそうだ。
過去のマルウェア平均的な発生件数をもとにした想定では、2008年2月ころに到達すると思われ、また、マルウェア発生が大幅に増加する状況を想定すると、2008年1月末日ごろとなる可能性もあります。
お客さまのセキュリティリスク回避を最優先いただき、すべてのお客さまにおいて2008年1月中の適用をお願いいたします。
上記設定用と思われる「修正プログラム」が公開されました。
》 Arrested mules (F-Secure blog, 12/20)。資金洗浄のための運び屋を逮捕。
》 インクジェットプリンター、最悪の場合インクの64%は使われずに捨てられている (technobahn, 12/20)。この話の調査資金を出したのは EPSON だそうで。 どうも宣伝臭い。
》 Googleら検索大手3社、違法なネット賭博の広告問題で司法省と和解 (Open Tech Press, 12/20)
》 「情報セキュリティ」を、なめんなよ! (日本のセキュリティチームの Blog, 12/20)。何故なめねこ……
》 第2回神戸情報セキュリティ勉強会 (CMUj)。 2008.01.12、兵庫県神戸市、無料。
権利者に無断で著作物等が送信可能化された(利用者の求めに応じ自動的に 送信できる状態のことをいう)サイトや個人のパソコン(サイトやパソコン自体が違法なわけではない)を便宜的に「違法サイト」という。日本違法サイト協会は、文化庁の示した上記の定義に基づき、違法サイトを積極的に認定していきます。第1号として、かつてアップル社のMac OS Xの画像を権利者に無断で送信可能化した文化庁を違法サイトに認定します。以上の事実を知った上で文化庁のウェブサイトを閲覧しに行くことは、今後著作権法違反に問われる可能性があります。
文化庁は違法サイト!!!!!!!!。文化庁自身が定義したのだから間違いない。
日本違法サイト協会 ブログもあります。切れ味鋭いです。
さて、あのサイトは違法サイト?ちょっと今のサイト事情を考えてみるよ! (しっぽのブログ, 12/18) を読むまでもなく YouTube は「違法サイト」なわけですが、そういうサイトに政権与党が「ブランドチャンネル」とやらを開設している現状はどう捉えればいいんですかねえ。まじめに政治をやるつもりがあるのでしょうか。
》 「捜査特別報奨金に関する公告(平成19年12月14日官報掲載)」 (警察庁, 12/14)
》 自動車保管場所標章、仕様を変更 公取委調査受け警察庁 (asahi.com, 12/20)
自家用車へのはり付けが義務づけられている「自動車保管場所標章」を国立印刷局と凸版印刷の2法人が独占的に受注している問題で、発注側の各警察本部を監督する警察庁は20日、新規参入しやすいように標章の仕様を新たに作成し直すこととし、仕様案を公表した。(中略) 91年の制度開始以降、凸版が31都道府県分を、印刷局が残る16府県分の受注を続けており、公正取引委員会が独占禁止法違反の疑いで10月から調査している。
警察庁ホームページにはまだないみたい。
》 フレッツ・シリーズ故障情報(大阪府)2007年12月19日(水) 11:08〜14:25 (NTT 西日本, 12/19)。Benjamin さん情報ありがとうございます。関連:
SNS サイト Orkut に外部からのスクリプト挿入を許す欠陥があり、 これを悪用したワームが大流行した模様。現在は鎮静化されているようだ。
Orkut のスクラップブック機能は Flash や JavaScript を (一部フィルタして) 許可するようなのだが、 攻撃者は SWFObject を経由して JavaScript を外部から挿入、Orkut のフィルタはこれに対応できなかった模様。Orkut spam worm spotted! (McAfee blog, 2007.12.19) にワームスクリプトが掲載されている。
富士通の PRIMERGY サーバに添付されている管理ソフト ServerView のソフトウェアコンポーネント ServerView AlarmService / WebExtension / S2 に欠陥。 remote から任意のシェルコマンドを Web サーバ権限で実行できてしまう。
ServerView V3.60L99E 以降 / ServerView Console for Linux V4.20.27 以降で修正されている。
Opera 9.25 登場。4 種類のセキュリティ欠陥が修正されている。 CVE-2007-6524 CVE-2007-6523 CVE-2007-6522 CVE-2007-6521 CVE-2007-6520
Google Toolbar 5 beta for Internet Explorer / 4 for Internet Explorer / 4 for Firefox に欠陥。Google ツールバーにカスタムボタンを追加する際にアクセスするリンクの URL をオープンリダイレクタ (例: http://www.google.com/local_url?q=) 経由にすることで、カスタムボタン追加時に表示されるダウンロード先のダイアログにはオープンリダイレクタのドメイン名が表示される。結果として、ダウンロード先が信頼できるサイトであると偽装できてしまう。
Google は現在修正作業中の模様。回避策としては、カスタムボタンを追加する際にアクセスするリンクを入念に確認するくらいか。関連:
》 DVD再生ソフトウェアを起動中にディスクの取り出しを行うとソフトウェアの終了ができなくなる (トレンドマイクロ, 12/18 更新)。ウイルスバスター2008 + Windows XP 話。 patch があるそうです。benjamin さん情報ありがとうございます。
》 SPEC、サーバのエネルギー効率を評価するベンチマークのテスト・スイートを公開 (Open Tech Press, 12/19)
》 Webサイト「XSOX.name」とプロキシのボット (日経 IT Pro, 12/19)。 https://xsox.name/ (オレオレ証明書なので注意)。$50/月ですか。安いなあ。
》 柏崎刈羽原発「震災」の影響(3)隠していた活断層:東電・保安院による過去の隠蔽(活断層調査)をあぶり出し (JANJAN, 12/19)
この赤い線は、すでに2003年に東電が確認したものということですが、明らかにしたのは今月5日です。すなわち、4年前に認めておきながら、東電と保安院は今まで黙っていたのです。地震が起きてからも、これが震源断層ではないかという大きな疑いを抱えながら、5ヶ月近くも沈黙していたのです。
》 Winny流出の傾向と対策 第3回:マルウェアを実行させるための偽装工作 (Internet Watch, 12/19)
》 コピーワンス緩和でも補償金は不要、JEITAが私的録画小委員会で発言 (Internet Watch, 12/18)
》 ダウンロード違法化は「やむを得ない」、文化庁著作権課が見解示す (Internet Watch, 12/18)。最初に結論ありきですから。
この発言に対して川瀬氏は、「違法ダウンロード問題については、反対・慎重意見が多数出ているのは十分踏まえて整理したつもり」と反論する。
十分踏まえて (最初の結論とできるだけ整合するように) 整理したつもり。
》 「被害を連鎖させるダウンローダの先でボットが待ち受けている」−ラック (Enterprise Watch, 12/19)、「最新の脅威は痕跡を残さない」、ラックが2007年のセキュリティを総括 (日経 IT Pro, 12/19)。新井悠氏による解説。
また検体から分析した結果からは、リダイレクトされるWebサーバーはほとんどブラックリストに登録されていないものだったということも判明。「犯罪者にとってこの一見回りくどい手口は、マルウェアをホストするサーバーの1台がブラックリスト化されて使えなくなっても、すぐに別経路を利用できるようにする保険の意味合いもあるようだ」(同氏)という。
》 「生体認証導入・運用のためのガイドライン」「生体認証利用のしおり」を公開 (IPA, 12/19)
》 Updates: AutoRuns v9.0, PsExec v1.93, New Video, New Site Front-End (Sysinternals Site Discussion, 12/18)
》 マイクロソフト、Windows XP SP3候補版を一般公開 (PC Watch, 12/19)
》 首相「政策結果予期できず反省」 成長率下方修正で (asahi.com, 12/19)。冬柴不況ねた。
》 国連総会、死刑執行停止求め決議 大差で採択 (asahi.com, 12/19)、孤立深める日本 「死刑停止」の国連決議で (asahi.com, 12/19)。日本は USA や中国やイランと同じなんですな。
》 経済産業省、迷惑メール送信業者に懲役刑などを導入へ (gigazine, 12/19)
》 Internet Explorer 7 の自動更新による配布 (Microsoft) が 12/17 付で改訂されています。
Internet Explorer 7 の配布予定日
(中略)
日本語 2008 年 2 月 13 日
韓国語、中国語よりもさらに 3 か月遅いのはなぜなんでしょう。
》 Another Mass Compromise at a Hosting Facility (trendmicro blog, 12/17)。こういう事例が今後増えるのだろうか。
》 「送信ドメイン認証」に乗り遅れて“メール村八分”? (日経 BP, 12/17)
》 組織の情報セキュリティ対策自己診断テスト 〜 情報セキュリティ対策ベンチマーク 〜 (IPA)。12/18 付で version 3.0 が公開されている。 プレスリリース
》 定番Webプロキシ「Squid 3.0」が正式にリリース (マイコミジャーナル, 12/18)。ICAP を正式サポート、など。 ICAP 対応のコンテンツフィルタと組みあわせて利用できる。
》 また英政府がデータ紛失,今度は運転免許試験局が300万人分の個人情報 (日経 IT Pro, 12/19)
》 個人情報保護法ガイドライン改正へ,経産省が業務委託に関する内容を強化する案 (日経 IT Pro, 12/19)、「個人情報保護法についての経済産業分野を対象とするガイドラインの改正案」に関する意見募集について (経産省, 12/18)
》 【続報】NTT西の通信障害,工事をきっかけにユーザー収容装置が高負荷に (日経 IT Pro, 12/18)。benjamin さん情報ありがとうございます。
B-CAS社とユーザーとの契約は、いわゆるシュリンクラップ契約である。B-CASカードの入ったフィルムの封を切った段階で、ユーザーは契約条項に合意したとみなすというものだ。そんな契約をした覚えのある消費者がどれだけ存在するのか。B-CAS カードのフィルムの封を切るのは TV などを据えつけに来た電気屋さんであって、消費者じゃないでしょ。
いやあ、1 消費者としては、これは欲しい。でもどうして欲しいのだろうと考えると、既存の機器が自由度低すぎだから。録画したコンテンツで商売する気もネットに流す気もないけれど、自宅内では自由に扱いたい。利用者にとって現状があまりに不自由なために、こういうゲリラ商品に関心を寄せてしまう。B-CAS の改良などというカスな部分ではなく、 もっと根本のところを改善しない限り、ゲリラは続くのでは。
》 [AML 17429] 検討委員全員が「生活保護基準引き下げ慎重が委員の総意」。 生活保護、都市部減額し地方増額 一律引き下げは見送り (asahi.com, 12/12) には
生活保護基準については、厚労省の検討会が先月末、低所得者の生活費よりも現行の支給基準は高いとする報告書をまとめたことを受け、舛添厚労相は引き下げの検討を表明していた。
とあるが、実は、検討会はそんなこと言っていない模様。 [AML 17429] の末尾に『「生活扶助基準に関する検討会報告書」が正しく読まれるために』という文書が添付されている。
》 日本の裁判官がおかしい 時代錯誤のエリート主義が生み出すトンデモ判決 (日経 BP, 12/14)。 溝口さん情報ありがとうございます。 貸し込み ですか。
》 建設業の11月の倒産件数が約3割増加,2008年は民間工事も厳しく (日経 KEN-Plats, 12/12)
》 エイズ実態「しゃべらせるな!」 中国 (産経, 12/12)
》 「攻撃可能なポイントを最小限に」−−Service Hardening (日経 IT Pro, 12/13)。Vista 話。
》 続・どうする日本の電子投票--リスク低減策は後回しで法案が可決へ (日経 IT Pro, 12/13)
MS07-069 Cumulative Security Update for Internet Explorer - Post Install Issue (MSRC blog, 2007.12.18)。問題の存在は認識されている模様。レポートが増えれば対応も早くなるはずなので、現象が発生した場合はどんどんレポートしてあげて下さい。 あと、MSRC blog では KB946627 が紹介されているのだが、アクセスすると「お探しのサポート技術情報は現在利用できません」と言われてしまうなあ。
……あ、出た: Internet Explorer 6 crashes after you install security update 942615 on a computer that is running Windows XP Service Pack 2 (Microsoft KB946627)。 レジストリで FEATURE_PROTECT_DECOMPRESSION_FILTER_FROM_ABORT_KB942367 を設定してみよ、となっている。KB942367 …… On a Windows XP SP2-based computer that has certain cumulative security updates for Internet Explorer installed, Internet Explorer 6 may stop responding when you try to visit a Web site (Microsoft KB942367) ですか。 このレジストリが自動的に設定されるべきであったにもかかわらず設定されない、というのが問題なのかな。
ZDNet に関連記事: Microsoftの月例パッチでIEに不具合 (ZDNet, 2007.12.18)。Windows XP SP2 + IE6 の不具合、Windows を再起動したら解決したという話。
上記の問題は、私のデフォルトホームページを開いたときに起きた。私のホームページはかなりのカスタマイズを施した「My MSN」だ。
Internet Explorerの一時ファイルフォルダをきれいにして、ホームページを空白のページに変えると問題は解決された。しかし、これは満足できる解決方法ではなかった。
次に私はマシンをリブートし、デフォルトホームページを元に戻してIE6をもう一度起動してみた。今度はマシンは正しく動作し、何度かオープンとクローズを繰り返しても問題はなかった。
KB942615の更新はリブートを強制するようにプログラムされるべきなのに、そうなっていないのではないか。
Internet Explorer 6 crashes after you install security update 942615 on a computer that is running Windows XP Service Pack 2 (Microsoft KB946627) の patch は再起動必須となっていますから、再起動は必要なのでしょう。
関連: Post Install Issues with MS07-069 (IE6 on XPSP2) (IEblog, 2007.12.18)
Apple Mac OS X mount_smbfs Stack Based Buffer Overflow Vulnerability (iDefense) を追記。
TYPO3 4.1.4 には重大な (非セキュリティの) 欠陥が 1 つあったそうで、TYPO3 4.1.5 がリリースされています。神戸さん情報ありがとうございます。
Flash Player 9.0.48.0 以前 / 8.0.35.0 以前 / 7.0.70.0 以前に複数の欠陥。 Flash Player 9.0.115.0 for Windows / Linux / Mac で修正・対応されている。
複数の個所で、remote からの任意のコードの実行を許すような入力値検証の不足が発見され、修正された。 CVE-2007-4768 CVE-2007-6242
DNS rebinding attack の影響を軽減するための処置のサポート。 CVE-2007-5275。 Security changes in Flash Player 9 (Adobe) も参照。
クロスドメイン ポリシーファイルを処理するための、より制限的な手法を新規にサポート。CVE-2007- 6243。 Security changes in Flash Player 9 (Adobe) も参照。
潜在的なクロスサイトスクリプティング欠陥に対応するため、 asfunction: プロトコルを制限 (もともとサポート対象ではない)。 これは Flash 8 / 9 特有の話。 CVE-2007-6244
潜在的なユニバーサル クロスサイトスクリプティング攻撃を防止するため、 navigateToURL 関数の仕様を変更。これは Flash Player ActiveX コントロール / Internet Explorer 特有の話。 CVE-2007-6244
remote の攻撃者が、クライアントが要求した HTTP ヘッダの内容を改変し、HTTP Request Splitting 攻撃を実施できる欠陥を修正。 CVE-2007-6245
Flash Player を使って port scan を実施できる問題を軽減。 CVE-2007-4324。 Security changes in Flash Player 9 (Adobe) も参照。
Linux 版 Flash Player において、権限上昇を招くメモリのパーミッションの問題を修正。 CVE-2007-6246
[APSA07-05] Potential Vulnerability with Adobe Flash Player and Opera on Mac OSX を修正。 CVE-2007-5476
Solaris 版の Flash Player 9.0.115.0 は後刻用意される。 Flash Player 9 に移行できない人用の Flash Player 7 だが、Flash Player 7r73 で終了となる。Flash Player 9 へ移行するシカ。 (でも FreeBSD では安定しないんだよなぁ)
関連: Security changes in Flash Player 9 (Adobe)
XSS Vulnerabilities in Common Shockwave Flash Files (Rich Cannings)。asfunction: プロトコルの話の詳細。
FreeBSD ports で Flash Player 7r73 と Flash Player 9.0r115 が用意された: Adobe Acroread 8登場,PostgreSQLセキュリティ更新,PostgreSQL向け全文検索機能ludia追加,libgpodで新iPod Classic/Nano Video対応,Linux Flash 7/9更新 (FreeBSD Daily Topics, 2008.01.08)
ClamAV libclamav MEW PE File Integer Overflow Vulnerability (iDefense, 2007.12.18)。 ClamAV に欠陥。MEW で圧縮された PE ファイルの処理において integer overflow する欠陥があり、攻略 PE ファイルによって任意のコードを実行できる。 CVE-2007-5759
ClamAV 0.92 で修正されている。
JVN#75130343 Google Web Toolkit におけるクロスサイトスクリプティングの脆弱性。 最新版では修正されているそうです。
》 ウイルスバスター 2008(ビルド16.0.1645)の緊急公開につきまして (トレンドマイクロ, 12/18)
一部の環境で、アップデート中にウイルスバスターが停止し、 コンピュータがハングアップするという問題を修正いたしました。
》 フィッシング詐欺:被害は年間360万人、総額32億ドル (Open Tech Press, 12/18)
》 イラクへのトルコ空軍による空爆を懸念 (国連情報誌SUNブログ対応版, 12/18)、 トルコ軍、イラクのクルド自治区に侵攻…特殊部隊300人 (読売, 12/18)
》 韓国で7日に発生した原油流出事故は同国史上最悪に (国連情報誌SUNブログ対応版, 12/15)
》 来春の花粉、多め 気象会社ウェザーニューズが予想 (asahi.com, 12/18)。うぐぅ。
》 53年映画、著作権消滅 最高裁、格安DVD認める (asahi.com, 12/18)。当然の判断、立法者がまぬけすぎ。
》 身近に潜む受動的攻撃の脅威 添付されたPDFファイルには要注意 (日経 IT Pro, 12/17)
》 WindowsからExt2/Ext3のファイルを読み取る「DiskInternals Linux Reader」 (gigazine, 12/18)
》 薬害C型肝炎「一律一括救済を」訴え (JANJAN, 12/18)
》 使用済み携帯電話が中国に環境汚染を輸出 (JANJAN, 12/18)
》 iptablesで商用のファイアウォールを置き換える (Open Tech Press, 12/18)
》 なぜPHPアプリにセキュリティホールが多いのか? 第11回 スクリプトインジェクションを防ぐ10のTips (技評, 12/17)
》 Security is not all about Security Updates (The Security Development Lifecycle, 12/17)
》 吉野家、“豚丼騒動”の教訓 安部修仁社長が語る「経営の足りない部分」 (日経 BP, 12/18)
全国1000店舗を超える規模にもかかわらず、すぐに特定できたのは、週に2〜3回は担当店舗をチェックしているエリアマネージャーの存在が大きい。まず動画に映っている厨房の様子から、該当する店舗を絞り込んでいった。「什器の設置状況やポスターの張り位置などが店舗で違うので、エリアマネージャーが見れば分かる」(吉野家)。また、盛りつけ方もヒントになったという。店員それぞれにクセがあるためだ。
》 護衛艦「しらね」の火災、8時間後に鎮火・指揮中枢、火元か (日経, 12/15)、横須賀の護衛艦火災:「艦全体が釜状態」 複雑構造、鎮火まで8時間も /神奈川 (毎日, 12/16)。構造物が溶ける、とかいう事態にはなっていない模様。
》 海自イージス艦、初の弾道ミサイル迎撃に成功…ハワイ沖 (読売, 12/18)
現地時間17日午後0時5分、カウアイ島の米海軍太平洋ミサイル射場から、1発の模擬弾道ミサイルが発射された。同島北部海域で待機していた「こんごう」は、発射と同時に、模擬弾の探知、追尾を開始。発射から約4分後、迎撃ミサイル「SM3」(ブロック1A型)を発射し、その約3分後、高度100キロ以上の宇宙空間で模疑弾の弾頭に命中、破壊した。
過去、SM3による迎撃実験は、米軍が13回実施し11回成功しているが、海自が実験するのは初めて。今回は、北朝鮮が保有する中距離弾道ミサイル・ノドン(射程約1300キロ)を想定、模擬弾も、発射後にミサイルの推進部分と弾頭部分が分離する「ノドン型」と呼ばれるもの。分離しない「スカッド型」と呼ばれる模擬弾に比べ、飛行速度(マッハ10前後)が速く、迎撃の難易度は高い。実験の成功によって、イージス艦による迎撃の信頼性の高さが証明された。
標的には Aries (Minuteman 1 の第2段ベース) ではなく Hera (Minuteman 2 の第2段、第3段ベース) を使った、ということかな。 Minuteman 一族 は元気ですねえ。関連:
日本のミサイル防衛は、北朝鮮の脅威を念頭に置いたもので、整備には当面、8000億円から1兆円もの経費がかかり、負担増が課題となっています。国内に今日を生きるのにせいいっぱいの人達が大量にいる現状で、ですからねえ。防衛族には「国民あっての国家」という概念はないんだろうなあ。
あと、「こんごうが」「自衛隊が」と言っても、中身はほとんど米国製ですからねえ。 ぶっちゃけ、日本製新幹線を自慢している中国人とあまり変わらないのでは。
》 大阪・難波の新名物「絶叫マシン」、1日で営業休止 (asahi.com, 12/18)。絶叫マシン「ヤバフォ」。
運転中に異音がしたとして、オープン翌日の14日夜から営業を休止している
自分自身がヤバフォ。
》 「軍命あった」 沖縄戦専門家の林教授が講演 (JANJAN, 12/18)
6.米軍が上陸した島々 沖縄本島の周辺には慶良間諸島のほかに多くの離島がある。日本軍のいない島ではハワイなどからの移民帰りの老人たちが「米英は鬼畜ではない」として住民と共に投降して、助かっている。米兵と英語で交渉したケース。粟国島では村の幹部が白い旗を掲げて投降して米軍の攻撃をまぬがれている。とにかく、日本軍がいない島では住民は自由な判断ができ、助かっている。
》 ウイルスバスター コーポレートエディション 8.0 Patch 1.1 公開のお知らせ (トレンドマイクロ, 12/18)。修正項目は多数ありますが、こんなのも:
16. ウイルスバスター Corp.クライアントのファイアウォールドライバ(TM_CFW.sys) がメモリを二重に開放してしまい、システムのブルースクリーンを引き起こす 場合がある問題 この問題は、ウイルスバスター Corp.クライアントのファイアウォールドライバ (CFW) でIPパケットを管理しているメモリを特定のタイミングで二重に開放して しまうことにより発生していました。 17. ウイルスバスター Corp.のファイアウォールドライバ (TM_CFW.sys) によって Windowsがクラッシュする場合がある問題 これはVPNへの接続中に発生するカーネルスタックオーバフローの問題による ものです。
》 SecurityDay2007、 今日やってます。
》 セキュリティパニック2007 (日経 IT Pro)。JavaScript を有効にしないと目次が読めない。
》 中国では7割以上の中小企業が海賊版を利用 (日経 IT Pro, 12/14)。ひとむかし前の日本も似たようなもんだったのでは。
》 Nmap 4.50 が出たそうです。次期 GUI と言われた UMIT は Zenmap という名前に変わって実装されているようです。
》 「フィッシング詐欺の過半数は彼らの仕業」、暗躍する「Rock Phish」 (日経 IT Pro, 12/17)
「Rock Phish」とは、“正体不明”のオンライン犯罪組織。RSAセキュリティでは「フィッシング犯罪者の代名詞」と形容している。
世の中のテロはなんでもアルカイダのせいにされがちですが、ここでもそういうことになっていたりはしないんですかねえ。
》 Yahoo! BB顧客情報流出の損害賠償訴訟、1人5,500円の賠償が確定 (Internet Watch, 12/17)
》 ケータイメールが奪ういくつかの大切なこと (ITmedia, 12/17)
リアルタイムで人を捕まえることができるのは、ケータイのメリットであるが、その反対に、いつまでも関係が切れないというデメリットも生み出している。
その象徴的なものが、ケータイメールである。(中略) 今の中学生は、通学中だろうが家に居ようが、場所と時間に関わりなく、常にメールで誰かと繋がっている。物理的制約によって関係が途絶えるということがないため、ひとたび人間関係でトラブルが起これば、クールダウンする余裕もなく、いつまでもそれを抱え続けることになる。
》 リデル・ハート「戦略論−間接的アプローチ」。祝復刊。
》 食料戦略会議:どう転んでも食料不足 悲観の3シナリオ (毎日, 12/17)。日本政府はその一方で農家をバンバン壊滅させているわけで。
》 公開質問状は“場外乱闘”ではない、権利者側がJEITAの対応を批判 (Internet Watch, 12/17)
》 福田内閣「年金炎上」、反省するなら扉を開けろ (保坂展人のどこどこ日記, 12/17)、 本社世論調査:福田内閣支持率33%…13ポイント急落 (毎日, 12/17)
》 京の繁華街から看板消える? 新景観政策、撤去進む (asahi.com, 12/17)
Windows XP + IE 6 の環境に MS07-069 patch (942615) をインストールすると、 http://jp.msn.com/ などにアクセスしたときに urlmon.dll のエラーにより crash することがあるという話。手元では全く再現できないのでよくわからないのだが、 Microsoft Update失敗したらageるスレ 17 には複数のエラー報告が上がっている。 benjamin さん情報ありがとうございます。
HTTP/1.1 を使わないように設定すると改善されるという報告があるが、常に有効なわけではない模様。
また、Windows 2000 SP4 + IE6 + MS07-068 patch (941569) の環境でも別の不具合が発生することがある模様。
MS07-069 Cumulative Security Update for Internet Explorer - Post Install Issue (MSRC blog, 2007.12.18)。問題の存在は認識されている模様。レポートが増えれば対応も早くなるはずなので、現象が発生した場合はどんどんレポートしてあげて下さい。 あと、MSRC blog では KB946627 が紹介されているのだが、アクセスすると「お探しのサポート技術情報は現在利用できません」と言われてしまうなあ。
……あ、出た: Internet Explorer 6 crashes after you install security update 942615 on a computer that is running Windows XP Service Pack 2 (Microsoft KB946627)。 レジストリで FEATURE_PROTECT_DECOMPRESSION_FILTER_FROM_ABORT_KB942367 を設定してみよ、となっている。KB942367 …… On a Windows XP SP2-based computer that has certain cumulative security updates for Internet Explorer installed, Internet Explorer 6 may stop responding when you try to visit a Web site (Microsoft KB942367) ですか。 このレジストリが自動的に設定されるべきであったにもかかわらず設定されない、というのが問題なのかな。
ZDNet に関連記事: Microsoftの月例パッチでIEに不具合 (ZDNet, 2007.12.18)。Windows XP SP2 + IE6 の不具合、Windows を再起動したら解決したという話。
上記の問題は、私のデフォルトホームページを開いたときに起きた。私のホームページはかなりのカスタマイズを施した「My MSN」だ。
Internet Explorerの一時ファイルフォルダをきれいにして、ホームページを空白のページに変えると問題は解決された。しかし、これは満足できる解決方法ではなかった。
次に私はマシンをリブートし、デフォルトホームページを元に戻してIE6をもう一度起動してみた。今度はマシンは正しく動作し、何度かオープンとクローズを繰り返しても問題はなかった。
KB942615の更新はリブートを強制するようにプログラムされるべきなのに、そうなっていないのではないか。
Internet Explorer 6 crashes after you install security update 942615 on a computer that is running Windows XP Service Pack 2 (Microsoft KB946627) の patch は再起動必須となっていますから、再起動は必要なのでしょう。
関連: Post Install Issues with MS07-069 (IE6 on XPSP2) (IEblog, 2007.12.18)
上記設定用と思われる「修正プログラム」が公開されました。
About the security content of Java Release 6 for Mac OS X 10.4 (Apple, 2007.12.14)。Mac OS X 10.4 用の Java アップデート。 内容は、 Mac OS X 10.5 には関係ないか、あるいは既に対応されているもの。
About Security Update 2007-009 (Apple, 2007.12.17)。 Mac OS X 10.4 / 10.5 における多数のセキュリティ欠陥の修正。
name | CVE | 10.4 | 10.5 |
---|---|---|---|
Address Book | CVE-2007-4708 | V | |
CFNetwork | CVE-2007-4709 | V | |
ColorSync | CVE-2007-4710 | V | |
Core Foundation | CVE-2007-5847 | V | |
CUPS | CVE-2007-5848 | V | |
CVE-2007-4351 | V | V | |
CVE-2007-5849 | V | ||
Desktop Services | CVE-2007-5850 | V | |
Flash Player Plug-in | CVE-2007-5476 | V | V |
GNU Tar | CVE-2007-4131 | V | |
iChat | CVE-2007-5851 | V | |
IO Storage Family | CVE-2007-5853 | V | |
Launch Services | CVE-2007-5854 | V | V |
CVE-2007-6165 | V | ||
CVE-2007-5855 | V | V | |
perl | CVE-2007-5116 | V | V |
python | CVE-2007-4965 | V | V |
Quick Look | CVE-2007-5856 | V | |
CVE-2007-5857 | V | ||
ruby | CVE-2007-5770 | V | V |
CVE-2007-5379 CVE-2007-5380 CVE-2007-6077 | V | ||
Safari | CVE-2007-5858 | V | V |
Safari RSS | CVE-2007-5859 | V | |
Samba | CVE-2007-4572 CVE-2007-5398 | V | V |
Shockwave Plug-in | CVE-2006-0024 | V | V |
SMB | CVE-2007-3876 | V | |
Software Update | CVE-2007-5863 | V | |
Spin Tracer | CVE-2007-5860 | V | |
Spotlight | CVE-2007-5861 | V | |
tcpdump | CVE-2007-1218 CVE-2007-3798 | V | |
XQuery | CVE-2007-1659 CVE-2007-1660 CVE-2007-1661 CVE-2007-1662 CVE-2007-4766 CVE-2007-4767 CVE-2007-4768 | V |
関連:
About the security content of Safari 3 Beta Update 3.0.4 Security Update (Apple, 2007.12.17)。CVE-2007-5858 を修正。これ、いつになったら beta が取れるのでしょう。
Apple Mac OS X mount_smbfs Stack Based Buffer Overflow Vulnerability (iDefense) を追記。
Security Update 2007-009 / Safari 3 Beta 3.0.4 Security Update を適用すると Safari が異常終了する問題が発見され、出し直し版の修正プログラム v1.1 が公開されています。
ジャストシステム製品の脆弱性を悪用した不正なプログラムの実行危険性について (ジャストシステム) が 12/17 付で改訂されました。 影響を受ける製品が 4 つ追加されています。
花子ビューアの新版はまだ出ていないようです。
関連:
追記:
改ざんによって、リモートからのファイル読み込みを招くような欠陥が埋め込まれていた。 CVE-2007-6348
Security Advisory (BEA07-182.00) (WebLogic)。 WebLogic Mobility Server 3.3 / 3.5 / 3.6 の欠陥。patch はまだないみたい。 CVE-2007-6384
TYPO3 Security Bulletin 20071210-1: SQL Injection in system extension indexed_search (typo3.org, 2007.12.10)。TYPO3 4.0.8 / 4.1.4 で修正されている。 TYPO3 3.x への修正は行われないみたい。 CVE-2007-6381
Juniper Networks JUNOS Malformed BGP Remote Denial of Service Vulnerability (securityfocus, 2007.12.14)。JUNOS 7.3 〜 8.4 に、細工した BGP によって crash する欠陥。JUNOS 8.5.R1 で修正されている。 CVE-2007-6372
CVE-2007-6359。Mac OS X 10.5.1 で local user が DoS 攻撃を実施できる。 PoC あり。
CVE-2007-6358。pdftops < 1.20 に付属の files/pdftops.pl が作成する一時ファイルが symlink attack を招く話。
TYPO3 4.1.4 には重大な (非セキュリティの) 欠陥が 1 つあったそうで、TYPO3 4.1.5 がリリースされています。神戸さん情報ありがとうございます。
》 セガ、陸上自衛隊専用の「戦闘糧食」をUFOキャッチャーの景品に (gigazine, 12/17)
》 「ファイル共有ソフトを通じた情報漏えいに対する技術的手法の提案」の公募について (IPA, 12/14)。Winny に限っていないように思うし。
》 一太郎Zero-day攻撃発覚経緯の謎 —— 非国民は誰? (高木浩光@自宅の日記, 12/16)
このように、すべて「シマンテックが」「Symantecが」だ。なぜこうなるのだろう? 偶然にしては不自然ではないか?
Internet Watch 担当者がそこしか見ていない、という可能性は考えなかったのだろうか。出発点がずさんすぎるように感じる。
一太郎 0-day については、3 大ベンダー (シマンテック、トレンドマイクロ、マカフィー) はほぼ同時期に対応しています。シマンテックは世界最大のセキュリティベンダーなのですから、対応が早くてあたりまえだと思います。
個人的にはむしろ、自社でセキュリティ製品を扱っているのに、そのセキュリティ製品が自社製品の 0-day に対応していないというジャストシステムのていたらくの方が問題だと思います。 と言うか、カスペルスキーに限らず、中小のセキュリティベンダーは検体の収集力が弱いために 0-day 対応ができない、という事態が発生しているように思います。技術力だけあってもどうしようもない感じです。
もし、一次情報源である Symantecが「悪意あるWebサイトを訪れただけで」と書いてくれたなら、危険性は正しく周知されただろう。
Symantecにそれができないのは、彼らは脆弱性分析のプロではないからだ。
あらゆる 3rd party 製品について 1 から 10000 まで理解しないとプロではありませんか。そうですか。
あと、国辱国辱言うのなら、OS が外国製である時点で国辱でしょう。 ネットワークも外国製、http://takagi-hiromitsu.jp/ が動作している Server: Apache/1.3.39 (Unix) も外国製ですね。
》 第7回JDSFデータストレージWORLD。 2008.01.09〜10、東京都千代田区、無料。 受講申込ページに変なことが書いてあるのだが、手元の IE7 (Windows XP) / Firefox 2.0.0.11 / Opera 9.24 で試した限りでは、そういう警告は表示されなかった。また、Opera 9.24 ではアドレスバーが消えてしまう。(Opera を設定すれば、アドレスバーが消えないようにできるけど)
内容は、基調講演がいきなり「東京都における地球温暖化対策のこれまでの取組と今後の展開」で、グリーン IT 系のネタが複数あり。
CVE-2007-6183。Ruby-GNOME 2 0.16.0 / SVN 版 < 20071127 に format バグ話。
squids ICAP implementation lacks a defer check when reading from ICAP server (2007.12.10)
Possible cross-site scripting (XSS) condition in the username field of the Web Reporting Tools portal page (websense, 2007.12.07)、Advisory: Websense XSS Vulnerability
》 The Cookie Tools v0.3 が出たそうです。cookiesniffer とか、そういうもの。
》 討論 “SOX”は病原菌か福音か (日経 IT Pro, 12/14)、 ITPro 「討論 “SOX”は病原菌か福音か」 (まるちゃんの情報セキュリティ気まぐれ日記, 12/16)。 こういうのって、安易に取り組むと「法令尊守コンプライアンス」一直線なんだよね。
関連: 「混乱する内部統制議論を正しい方向に」、日本内部統制研究学会が発足 (日経 IT Pro, 12/10)
日本内部統制研究学会の発起人の1人であり、金融庁企業会計審議会内部統制部会の部会長を務める八田進二 青山学院大学大学院教授は、創立総会のなかで「日本で内部統制の議論が混乱している理由は2つある」とした。1つは日本が「形式重視になっている点」(同)である。「内部統制は、健全な企業経営のための考え方。文書さえそろえれば良い、という考え方は本来の考え方とは異なっている」(同)。
もう1つは、「日本では内部統制の議論の歴史が浅い点」(八田教授)だ。「日本で行われている内部統制の議論は、米国の孫引きになっている。米国では30年以上の内部統制の議論の末、米SOX(サーベインズ・オクスリー)法404条が適用された。やり方に問題があり混乱が起きたものの、財務報告の適正性を確保するたに内部統制を整備・運用するという体制は間違っていなかったと法律の立案者も考えている」(同)という。
》 「年金記録」資料出し渋り、視察妨害、審議拒否の現実 (保坂展人のどこどこ日記, 12/16)
》 情報化社会と青少年に関する意識調査 (Okumura's Blog, 12/16)
》 Error message when you install a network adapter driver on a Windows Server 2003 64-bit-version-based computer that has more than 32 processors: "Stop 0x000000D1" (Microsoft KB945778)。64 までイケるようにする patch があるそうです。
》 Proxy server settings are not set correctly in Internet Explorer after you download a proxy script that uses chunk encoding (Microsoft KB843289)。 MS07-069 patch を適用した後でレジストリを設定すると直るそうです。
》 日立の銀行用ソフトウェアキーボードが利用者の危険を増大させている (高木浩光@自宅の日記, 12/15)。なぜか IE の「スクリプトによる貼り付け処理」を有効にしないと使えないらしいサービスを利用している銀行があるらしい。
》 ひこにゃん残った、作者と滋賀・彦根市の調停が成立 (読売 / Yahoo, 12/14)。とりあえず円満解決のようです。 関連: ひこにゃんのその後について (栗原潔のテクノロジー時評Ver2, 12/16)
》 The Sleuth Kit 2.10 が出ています。
》 [Full-disclosure] BackTrack 3 Beta Released。USB / DVD 版もあるそうです。
》 佐世保の容疑者に銃所持許可 警察審査で訴訟の例も (asahi.com, 12/15)
》 第六種オレオレ証明書が今後増加するおそれ (高木浩光@自宅の日記, 12/12) が 12/15 付で訂正されている。 Firefox 2 でも自動処理はされていないそうだ。
》 年金記録と住基ネットの使用に関する質問主意書&答弁書 (保坂展人のどこどこ日記, 12/15)
》 NATO事務総長「日本はアフガンでヘリ輸送を」 (JANJAN, 12/15)
冒頭、事務総長は「2回目の来日、これは日本とNATOの関係を拡大・強化する証だ」と“外交辞令”を述べた。要するに日本に更なる資金援助を求めているということだ。
思い出したセリフ: 「同情するなら金を出せ」
》 Cisco password tricks (SANS ISC, 12/14)。 Type 7 decryption in Cisco IOS (Cisco IOS hints and tricks, 11/14) の話など。 ♪見えすぎちゃって困るのォ〜 (26 曲目)
samba 3.0.0〜3.0.27a に欠陥。 send_mailslot() 関数に buffer overflow する欠陥があり、local network から任意のコードを実行できる。 domain logons パラメータが有効な場合に欠陥が発現する。 CVE-2007-6015
samba 3.0.28 で修正されている。また 3.0.27a 用の patch が用意されている。 神戸さん情報ありがとうございます。
関連: [Full-disclosure] Secunia Research: Samba "send_mailslot()" Buffer Overflow Vulnerability
》 <山岡ジャーナル>第11回「ウェブマネー詐欺 これが驚きの手口だ」 (情報紙「ストレイ・ドッグ」(山岡俊介取材メモ), 12/12)。この話:
ストレイ・ドッグ経由でアクセスジャーナルを読む限りでは、その手口はクエリストリングの改竄によるものみたい。つまり、低レベルすぎて驚きという……。
》 長崎県平戸市のサイトが21回にわたり改竄、ウイルス感染の恐れも (Internet Watch, 12/11)。豪快ですね。
関連: MS06-069 Cumulative Security Update for Internet Explorer - Bulletin Webpage Upload Times (MSRC blog, 2007.12.14)。 MS07-069 - 緊急 Internet Explorer 用の累積的なセキュリティ更新プログラム (942615) の読み込み (patch のではなく、bulletin page の) に時間がかかるというフィードバックが複数あった模様。これへの対応として、 英語版では Security Update Deployment の File Information 部分を KB942615 に分離した。日本語版でも早晩そうなると思われ。
関連:
SquirrelMail 1.4.11 / 1.4.12 が改ざんされていた模様。 リリースメインテナの一人のアカウントが破られたのが原因らしい。
これを受けて、緊急に SquirrelMail 1.4.13 がリリースされている。 "We STRONGLY advise all users of 1.4.11, and 1.4.12 upgrade immediately" だそうだ。
改ざんによって、リモートからのファイル読み込みを招くような欠陥が埋め込まれていた。 CVE-2007-6348
》 JR北海道の防護無線誤作動で100本運休、5万人に影響 (読売, 12/14)
》 北朝鮮映画の著作権、保護義務なし 北朝鮮側の請求棄却 (asahi.com, 12/14)
日本と北朝鮮は「同盟国の国民の著作物の著作権が保護される」としたベルヌ条約に加盟している。判決は、北朝鮮が条約に加盟していても、国交のない日朝間では保護義務が生じないと判断。国家として承認していない国との間の条約上の義務について「集団殺害や拷問の防止など、普遍的な国際公益の実現を目的としている場合」には例外的に適用される余地があることにも言及したが、ベルヌ条約上の著作権保護はこうした場合にあたらないとして保護義務はないと結論づけた。
へぇ〜、「国家として認めないもんね」と言いさえすれば ok ok なんだ。 裁判所に倫理なし。(法令遵守コンプライアンスですから)
》 霜降り馬肉、実は馬脂注入 居酒屋チェーンに排除命令 (asahi.com, 12/14)
排除命令の対象となったのは、居酒屋「白木屋」などを展開する「モンテローザ」(東京)▽「村さ来」を展開する「村さ来本社」(同)▽「八剣伝」などを展開する「マルシェ」(大阪)▽全国のスーパーなどに販売していた肉加工販売業「ファンシー」(東京)▽業務用食品スーパー「A—プライス」を展開する「トーホー」(兵庫)の5社。
》 GoogleのDoubleClick買収を審査中のFTCに利益相反の疑い——人権擁護団体が指摘 (computerworld, 12/14)
》 Turkish Defacement (F-Secure blog, 12/14)。forum.f-secure.com ヤラレるの巻。
》 旧台帳・倉庫は長い間、年金記録の「墓場」だったのか? (保坂展人のどこどこ日記, 12/14)
》 姿を変えるウイルスの脅威! 対策ソフトの検出率で観測 Web経由でパソコンに侵入、対策ソフトで検出できない場合も (日経 BP, 12/14)。興味深い。
》 DivX Proのシリアルナンバーが期間限定で無料配布中 (gigazine, 12/14)
》 2007年はスパムおよびウイルス・メールの手口が巧妙化,史上最悪の年に (日経 IT Pro, 12/14)。Google による分析。
》 南アフリカ:金鉱山の一帯に広がる放射能汚染 (JANJAN, 12/14)
》 建築業界の大混乱 官僚の情報は“性悪説”をもって識別せよ! 国交相 (JANJAN, 12/14)
》 左右イデオロギー対立の終焉 韓国大統領選挙(下) (JANJAN, 12/14)
》 放射性検査薬が供給不安に、カナダの原子炉停止が引き金 (読売, 12/14)。モリブデン99 が足りないのだそうで。 国内でつくれないんですかねえ。 関連:
》 センター試験の問題資料盗難、1教科の冊子急きょ刷り直し (読売, 12/14)。「出題予定の問題の資料を入れたパソコンと電子記録媒体を盗まれ」たため、問題の差しかえが必要となり、結局、当該のとある教科 1 教科の冊子を全て (!) 刷り直したのだそうだ。ひえ〜。
問題作成者であっても資料を外部に持ち出すことは厳しく禁じられており、管理体制の甘さに批判が集まるのは必至だ。
》 ノートン・ファイターって、web で映像作品が公開されていたのですね。
》 暗殺 リトビネンコ事件 (litvinenko-case.com)。12/22 からユーロスペースでロードショーだそうです。
ちなみに先日のロシア下院選挙ですが、 多くの投票所の投票記入所では、秘密投票を行うための備品が置かれていなかった (バイナフ自由通信, 12/14) そうです。
ふぅむ……
InterScan VirusWallがQuoted Printableエンコードを実行しようとすると、通知メールのサイズがディスクの許容量まで増大することがある問題
InterScan VirusWallがオリジナルメールの件名を使用して通知メッセージを構成し、Quoted Printableエンコードを実行しようとすると、メッセージの最後のCR文字を正しく処理できないためにメッセージの終了を認識できません。その結果、InterScan VirusWallは通知メールのサイズがディスクの許容量に達するまで一時ファイルに繰り返しCR文字を記述し続けます。この問題は、オリジナルメールの件名の最後がCR文字で、通知メッセージの最後にオリジナルメールの件名を記述するよう設定している場合に発生します。
本Patchの適用後は、通知メッセージの最後がCR文字の場合でもInterScan VirusWallがQuoted Printableにより正常にメッセージをエンコードできるようになります。
それって remote から DoS 攻撃可能なセキュリティ欠陥だよね……。
告知と patch 出ました: ジャストシステム製品の脆弱性を悪用した不正なプログラムの実行危険性について (ジャストシステム, 2007.12.14)。影響範囲がメガでかいです。いや、これはひどい。
修正プログラムは JS共通 セキュリティ更新モジュールという名前ですね。 「ジャストシステム製品共通ファイル」ですか。一太郎ビューアは最新版を再インストールします。
一太郎 for Linux と花子ビューアのみ、まだ修正プログラム / 修正版がありません。
関連:
QuickTime 7.3.1 が登場、ようやく修正された。 About the security content of QuickTime 7.3.1 (Apple)
利便性しか見ていない事務屋、金しかみていないメーカ / 政治屋、は少なくないのだろうなあ。まあ、立法と運用は別 layer なので、しっかりした製品だけが導入・運用されるようになればいいんですが、世の中そんなに甘くないだろうしなあ……。 NISC の人からも言ってやって下さいよ。 (typo fixed: 武田さん感謝)
QuickTime 7.3.1 登場。 RTSP の欠陥 (CVE-2007-6166) に加えて、別の 2 件の欠陥が修正されている。
QTL ファイルの処理に buffer overflow する欠陥があり、攻略 QTL ファイルによって任意のコードを実行できる。 CVE-2007-4706
Flash media handler に複数の欠陥があり、これを利用すると任意のコードを実行できる。QuickTime 7.3.1 では、安全であると判断される既存の QuickTime ムービー形式を除いて、handler を無効にする。 CVE-2007-4707
13:50 に QuickTime 7.3 をインストールした Windows XP で Apple Software Update を試してみたが、「お使いのソフトウェアは最新のものです。」と言われてしまった。 なんだかなあ。
》 YouTubeの著作権保護技術は不完全 Red Zeppelin再結成コンサートのビデオ・クリップは排除不能の状態に (computerworld, 12/13)。 Led Zeppelin(レッド・ツェッペリン)、再結成公演速報!全16曲を演奏! (doors.jp, 12/11) の様子を撮影した観客が YouTube へガンガン upload しているのだが、YouTube の著作権保護技術はそれをうまく見つけられない、という話みたい。
同社は最近、多くの著作権所有者から無許可のビデオ・クリップを掲載しないよう求められたのを受け、こうした動画を特定するためのデジタル指紋技術を導入した。この技術は、投稿されたクリップが無許可で掲載されたものかどうかを、YouTubeに提供された分析用の参照ビデオとの比較により特定するというものだ。
この方法では難しいでしょうねぇ……。
》 smalltalk on securiy - Chapter 1:TOMOYO Linux meets PacSec (thinkit, 12/12)。原田さんによる PacSec 2007 レポート。 日本語版もあります。匿名希望さん情報ありがとうございます。
ちなみに、せきゅめもは emacs + html-helper-mode.el + Vz.el でできています。メールは vi で書くのですが。
》 CIAC.org 期限切れ?。Whois 情報を見ると、Pending Renewal or Deletion とか書いてある。ana log さん情報ありがとうございます。
% host -a www.ciac.org Trying "www.ciac.org" ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 59870 ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 2 ;; QUESTION SECTION: ;www.ciac.org. IN ANY ;; ANSWER SECTION: www.ciac.org. 11853 IN CNAME ciac.org. www.ciac.org. 4652 IN A 209.62.72.173 ;; AUTHORITY SECTION: ciac.org. 83852 IN NS ns1.pendingrenewaldeletion.com. ciac.org. 83852 IN NS ns2.pendingrenewaldeletion.com. ;; ADDITIONAL SECTION: ns2.pendingrenewaldeletion.com. 135857 IN A 205.178.189.51 ns1.pendingrenewaldeletion.com. 135857 IN A 205.178.190.51
》 迷惑メール:07年送信メールの約95%は「スパム」 米社調査 (Open Tech Press, 12/13)
》 今朝、「旧台帳」年金倉庫の扉が開いた (保坂展人のどこどこ日記, 12/13)
たしかに整然と箱が並んでいる。ところが、この箱は平成9年(1997年)から11年が経過した当時からのものと言うが、埃ひとつない。最近、体裁を整えたのではないかと思ってしまったが、真相は判らない。
》 ボーイング、実験用高出力レーザーのC-130Hガンシップへの実装を完了 (technobahn, 12/12)。そういう時代です。映画やアニメのおかげで、レーザーが当たると大爆発が起こると思われがちですが、
米軍の説明によると、例えば、ガソリンを搭載したタンクローリーを停止させるために通常兵器を使用した場合、ガソリンに引火して、タンクローリーが爆発を起こす可能性が高いが、高出力レーザーの場合は、狙ったエンジンの機能だけを無力化させるといった使用方法が可能で、通常兵器では避けられない副次的なダメージ(Collateral Damage)を軽減することが可能になると述べている。
今まで以上にピンポイントな攻撃ができる、というのがウリのようです。
》 中国:「ネット検閲は貿易障壁」 米団体がWTO提訴を要求 (Open Tech Press, 12/11)。WTO ですか。
》 Communicating Threats 人に脅威をお伝えすること Rev.2.0nb (まっちゃ 139)。 関連: Nice boat. (はてなダイアリーキーワード)、スクールデイズ放送中止から生まれた新語「Nice boat」 (new-akiba.com)。
》 会社法施行後における監査役監査の実践事例 調査結果 (日本監査役協会, 10/11)
》 情報セキュリティ政策会議 第15回会合(平成19年12月12日) (内閣官房情報セキュリティセンター, 12/12)。
関連: 「全19省庁にメール・サーバーは約1900台,セキュリティ対策が不十分なものも」,NISC調査 (日経 IT Pro, 12/12)
》 八ッ場ダム事業の最新報告 (保坂展人のどこどこ日記, 12/12)
八ッ場ダムは2003年に国土交通省が行った基本計画変更で、当初の建設費2110億円を2倍以上に膨らませた4600億円となり、関連事業や起債を含めれば、総工事費は9000億円を超えることになる。(水資源開発問題全国連絡会の試算による) 西の川辺川ダムと比べて、東の八ッ場ダムは「日本最大級のダム事業」と言えるだろう。 しかも、八ッ場ダム予定地は、旧群馬3区で福田赳夫元総理が、中曽根元総理と激しい選挙戦を繰り広げたところで、福田陣営はダム建設推進の中心軸だった。いわば、親子二代の「福田ダム」と呼んでもいい八ッ場ダムの事業状況を視察する意味は大きい。 (中略) 最大の問題は、このダム工事によってつくられようとしているダムの「水需要」はすでになく、「治水」「洪水防止」機能は極めて弱い。防災どころか災害規模を大きくする危険すらある。
》
第六種オレオレ証明書が今後増加するおそれ
(高木浩光@自宅の日記, 12/12)。中間認証局の証明書が必要なのに設置していないサイトにおいて、一部のブラウザではオレオレ化する話。
IE は中間認証局の証明書が設置されていなくても自動処理してくれるため気がつきにくい。
最近 Firefox も自動処理してくれるようになったため、より気がつきにくくなる恐れがあるそうだ。Firefox 2 でも自動処理はされていないそうだ。
》 マイクロソフト、「Windows Vista SP1 RC」を一般公開 (Internet Watch, 12/12)。ヒトバシラーなあなたに。
》 Movable Typeがオープンソースに (ITmedia, 12/13)
》 ePolicy OrchestratorとCommon Management Agentのバージョン一覧 (マカフィー, 12/13 更新)
またしても一太郎で 0-day らしいですよ奥さん! 少なくとも一太郎 2005〜2007 に影響するようです。 関連: Trojan.Tarodrop.F (Symantec)、 Zero-day Vulnerabilities: Following the Trailblazers (Symantec blog, 2007.12.13)
告知と patch 出ました: ジャストシステム製品の脆弱性を悪用した不正なプログラムの実行危険性について (ジャストシステム, 2007.12.14)。影響範囲がメガでかいです。いや、これはひどい。
修正プログラムは JS共通 セキュリティ更新モジュールという名前ですね。 「ジャストシステム製品共通ファイル」ですか。一太郎ビューアは最新版を再インストールします。
一太郎 for Linux と花子ビューアのみ、まだ修正プログラム / 修正版がありません。
関連:
ジャストシステム製品の脆弱性を悪用した不正なプログラムの実行危険性について (ジャストシステム) が 12/17 付で改訂されました。 影響を受ける製品が 4 つ追加されています。
花子ビューアの新版はまだ出ていないようです。
関連:
ジャストシステム製品の脆弱性を悪用した不正なプログラムの実行危険性について (ジャストシステム) が 12/18 付で改訂されました。 影響を受ける製品がさらに追加されています。
また、ラベルマイティに関して「+[プラス]・LE・JE・セレクト・ゴールドパック・ブルーパック・スターターキット・小学生版、ビジネス編・プレミアム・わがままシリーズ・ラベルコレクション・ステッカー魂・DIGAを含む」という註釈が追加されました。
さらに、一太郎 for Linux の修正プログラム、花子ビューア新版、はっぴょう名人ビューア新版が公開されています。利用者は適用してください。
CVE-2007-5968 REJECT されている。
CVE-2007-5969。 Bug #32111。 MySQL 6.0.4 / 5.1.23, MySQL Community Server 5.0.51 で修正される。
CVE-2007-5970。 Bug #32091。 DATA DIRECTORY と INDEX DIRECTORY オプションを使って partitioned table を作成することで、同じ名前の任意の table の操作権限を取得できるみたい。
MySQL 6.0.4 / 5.1.23 で修正される。
CVE-2007-6303。 Bug #29908。 MySQL 6.0.4 / 5.1.23, MySQL Enterprise 5.0.52 で修正される。
CVE-2007-6304。 Bug #29801。 MySQL 6.0.4 / 5.1.23, MySQL Enterprise 5.0.52 で修正される。
関連:
ANNOUNCE: balsa-2.3.20 released。IMAP サーバとのやりとりで buffer overflow する欠陥が修正された。 CVE-2007-5007
HMC Security: Privilege escalation by some HMC commands for HMC V3R3.7 (IBM)。 CVE-2007-6293 CVE-2007-6294
JVN#52846259 JP1/Cm2/Network Node Manager におけるクロスサイトスクリプティングの脆弱性。 修正版があるそうです。
JVN#23120863 Rainboard におけるクロスサイトスクリプティングの脆弱性。 Rainboard 2.10 で修正されているそうです。
サイボウズ方面
サイボウズからの告知:
いずれも 7 月に出ているのに、どうして JVN は 12 月なんですかねえ。
HPのノートPCソフトに未パッチの脆弱性 (ITmedia, 2007.12.13)。 HP notebooks remote code execution vulnerability (multiple series) の件。HP Info Center に含まれる ActiveX コントロール HPInfoDLL.dll に欠陥があり、remote から任意のシェルコマンドを実行したり、任意のレジストリエントリを読み書きできる。 CVE-2007-6333 CVE-2007-6332 CVE-2007-6331
patch はまだない。回避するには、当該 ActiveX コントロール (CLSID: 62DDEB79-15B2-41E3-8834-D3B80493887A) に kill bit を設定して無効にする。
WordPress Charset SQL Injection Vulnerability (yohgaki's blog, 2007.12.12)。文字エンコーディングねた。 元記事 では Big5 と GBK を挙げているが、SJIS でも同様。 CVE-2007-6318
Apache 1.3.0 - 1.3.39 / 2.0.35 - 2.0.61 / 2.2.0 - 2.2.6 に欠陥。 Apache 1.3 / 2.0 の mod_imap および Apache 2.2 の mod_imagemap に欠陥があり、XSS 欠陥が発現する。 CVE-2007-5000
Apache 1.3.40 / 2.0.62 / 2.2.7 で修正される。既に各バージョンの開発版では修正されている。
Apache 1.3.40 / 2.0.62 / 2.2.7 はリリースされず、 Apache 1.3.41 / 2.0.63 / 2.2.8 で修正される模様。
Active Exploitation Using Malicious Microsoft Access Databases (US-CERT, 2007.12.10) の話。 MS Access Exploit in the Wild (McAfee blog, 2007.12.12) によると、 CVE-2007-6026 (Microsoft Jet Engine MDB File Parsing Stack Overflow Vulnerability, PoC) ではないかと噂されている模様。 しかし McAfee Avert Labs でも詳細は掴めていないようだ。 CVE-2007-6357
関連:
以下を追記:
》 ステルス戦闘機の姿を捉えるレーダー・システム、SAAB社が開発 (WIRED NEWS, 12/12)。SAAB キターーー。
》 [Tomoyo-dev 726] Wiki 荒らしへの対策について (Tomoyo-dev ML, 12/8)。Wiki にウイルスサイトへのリンクを注入された話。
不便になるけど Wiki を使わないようにするか、 ログインしないと編集できないタイプの Wiki に移行すべきと考えます。
そういう時代なのですね。なお、TOMOYO さんのところでは PukiWiki 1.4 + Basic 認証で回避するそうです。
》 ジャストシステム,一太郎のぜい弱性対応期間の延長を検討 (日経 IT Pro, 12/11)
同社のワープロ製品は現在,発売からわずか3年で全サポートが終了している。
事実上「エンタープライズ向け製品は存在しない」ってことだよね。
》 iPhoneの解析が進行中 - "Black Hat Japan 2007"見聞録 (ITセキュリティのアライ出し, 12/12)。アライ出し、だんだんフーテンの寅さんのようになってきているような (注: 寅さんは盆と正月に公開)。
》 忍び寄るコンプライアンス不況 (日経 IT Pro, 12/12)
とはいっても100%内製化することは難しい。それを支えるのが、実は中国やインドへのオフショア開発である。技術力が高いということもあるが、下請法が適用されないことが大きな理由の1つになっているという。だから、中堅ソフト会社の経営者は「下請法が本当に、中小ソフト会社を守れるのだろうか」と疑問を呈する。
「法令遵守コンプライアンス」の典型か。関連:
》 攻撃の高度化,「Fast-Flux」から「RockPhish」まで——その1 (日経 IT Pro, 12/11)
》 HTML5策定におけるOgg Vorbis/TheoraとDRMの扱いを巡る攻防 (slashdot.jp, 12/11)。 Apple はそんなことする暇があったら、とっとと欠陥を修正しなさい。
》 「離婚前の妊娠」救済へ超党派で一致 (JANJAN, 12/12)
》 Teredo Security Concerns (SANS ISC, 12/11)
》 「保護する責任」特別顧問任命 (国連情報誌SUNブログ対応版, 12/12)
》 Winny流出の傾向と対策 第2回:WinnyやShareが狙われた理由 (Internet Watch, 12/12)
》 これしかない!今年の漢字はずばり「偽」 (読売, 12/12)。とくダネ! の予想、ずばり当たってますね。
》 海賊:ソマリア沖で襲われたタンカーと乗組員22人解放 (毎日, 12/12)。関連:
「ゴールデン・ノリ」が解放されたことで、現在ソマリア沖で海賊の手中にある商業船舶は存在しなくなり、このような状態はこの1年間で初めてだという。
》 脱税疑惑:大光受注額の97%はキヤノン工事…00年以降 (毎日, 12/12)
一方、御手洗冨士夫・キヤノン会長の横浜市にある自宅の新築工事は、大賀社長の兄が経営する大分県佐伯市の建築資材販売会社が、設計・施工を行っている。兄は御手洗会長とは大分県立佐伯鶴城高校の同級生で、大賀社長も同窓にあたる。
大賀社長はキヤノンとの関係を背景に、ゼネコン工事の仲介や下請け受注をしていたとされる。地元業者はゼネコン施工の大型工事の下請けに入るためには、「大光参り」が必要なほどだった。
》 IE Automatic Component Activation Preview Now Available (IEBlog, 12/11)
[Vulnerability Closure] Trend Micro Antivirus plus AntiSpyware 2008 UUE Decoding Format String Vulnerability (トレンドマイクロ, 2007.12.10)
You can download the TIS16.0 English language security patch here.
Other L10N languages including EMEA/APAC/JP GM packages have already included this modification so there is no need to apply the patch.
日本語版の利用者には関係ない模様。
今月は 7 件です。
緊急: 3
対象: Windows 2000 / XP / Server 2003 / Vista, DirectX
2 つの欠陥が修正されている。
SAMI の件は Windows 2000 のみ、WAV の件は Windows 2000 / XP / Server 2003 / Vista に影響。
対象: Windows 2000 / XP / Server 2003 / Vista, Windows Media Format ランタイム 7.1 / 9 / 9.5 / 11, Windows Media Services 9.1
Windows Media Format ランタイムに欠陥。 ASF ファイルの処理に欠陥があり、remote から任意のコードを実行される。 CVE-2007-0064
「Windows Media Format のリモートでコードが実行される脆弱性の解析 ASF」って何……いくらなんでもこれは、日本語じゃないだろう。
対象: IE 5.01 / 6 / 7
4 つの欠陥が修正されている。
なんだか区別がつかないが (^^;)、いずれも任意のコードの実行を招く重大な欠陥。
この他に kill bit の設定が:
また、Windows Server 2003 または Windows XP を実行しているコンピュータで、ページを表示できないという内容のエラー メッセージが Internet Explorer で表示される (Microsoft KB921090) の修正が含まれている。
重要: 4
対象: Windows Vista
SMBv2 署名に欠陥があり、攻略 SMBv2 署名によって任意のコードを実行される。デフォルトでは SMB 署名は無効となっている。 CVE-2007-5351
対象: Windows 2000 / XP
メッセージキューサービスに欠陥があり、攻略メッセージによって任意のコードを実行できる。Windows 2000 の場合は remote から攻略できる。 CVE-2007-3039
対象: Windows Vista
Windows Vista カーネルにおける Windows Advanced Local Procedure Call (ALPC) の処理に欠陥があり、local user による権限上昇が可能、管理者権限を奪取できる。CVE-2007-5350
対象: Windows XP / Server 2003
Macrovision secdrv.sys Local Privilege Escalatio の件。CVE-2007-5587
関連:
》 政党ビラ配布:1審無罪の僧侶、罰金の逆転有罪…東京高裁 (毎日, 12/11)
》 コロナ製ストーブ不具合で灯油漏れ 火災6件1人死亡 (中日, 12/11)。関連: 本日の一部報道について (コロナ, 12/11)。製品評価技術基盤機構の調査により判明だそうで。
ストーブの火が付いたまま、給油タンクを引き抜いたり、差し込んだりした際に起きたとみられている。
無茶な使い方をすれば燃えることがあるのは他社製品でも同じだと思うのだが……。
》 政府、原油高対策を正式発表 灯油代支援など盛り込む (asahi.com, 12/11)、 原油高騰:民主が揮発油税の暫定税率一時凍結案など発表 (毎日, 12/11)
》 笹島市民フォーラム2007、雨宮処凛さんトークライヴ (JANJAN, 12/11)。ワーキングプア方面。
》 More Malware-Laced Codecs (McAfee blog, 12/10)
》 インターネット犯罪のブラック・マーケットを理解する (日経 IT Pro, 12/10)
》 Western DigitalのNAS装置,著作権に配慮し音声/映像ファイルの共有を禁止 (日経 IT Pro, 12/10)。やりすぎだと思うが……
》 Microsoft Windows Server 2008日本語版RC1の提供を開始 (Microsoft, 12/10)。 関連:
ただし、インストール後、「Administrator」のパスワードを入力するときに、とまどった。Windows Server 2008 RC0では、短いフレーズのパスワードでも大丈夫だった。しかし、RC1では、初期設定で「パスワードの複雑さ」が有効になっている。そんなの当然なので、ふつうは戸惑わないでしょう。
この設定は、管理者権限でログインして、管理ツールにある[ローカルセキュリティポリシー]→[アカウントポリシー]→[パスワードのポリシー]で変更できる。セキュリティ的には弱くなるが、いつも使い慣れているパスワードでないとという人は、変更しておいた方がいい。なにそれ……。「いつも使い慣れているパスワード」がロクなもんじゃないってことなんだから、パスワードを改めるべきでしょ。
》 福田内閣「年金炎上」の始まり (旧台帳質問主意書Q&A付) (保坂展人のどこどこ日記, 12/11)
旧台帳(紙台帳)1365万件を保管しているワンビシ・アーカイブズの視察を6月以降、繰り返し厚生労働省・社会保険庁に対して要求してきた。今回、衆議院厚生労働委員会が12月13日(木)に同倉庫を短時間視察することになったが、倉庫滞在時間はわずか30分と短い。これ以上、隠し立てするのをやめて、国民の前に旧台帳がどのような状態で保管されて、また地方の社会保険事務所の職員が手作業で照合している様子をこれ以上、隠すべきではないと思う。
関連:
》 有害情報から子どもを守る!有害サイトアクセス制限サービス(フィルタリングサービス)の更なる普及促進に向けた取組みの実施について (NTT ドコモ, 12/10)。関連:
(2) 2007年12月20日〜この「制限」によって何が「保護」されるんだろう。
・18歳未満のミニメールを大幅に制限・・・ユーザの年齢前後2歳までの送受信のみに制限
※13歳未満のユーザはミニメールの利用を禁止
・18歳未満の友達検索を大幅に制限・・・ユーザの年齢前後2歳までの友達検索のみに制限
・メールアドレス交換禁止の徹底・・・システム対応の強化
》 Yahoo! JAPANにおけるセキュリティ関連国際規格ISO/IEC15408認証取得を支援〜NECの認証取得支援サービス「SecureSociety/SD15408」を提供〜 (NEC, 12/6)
》 QRコードを応用した簡単・安心なパスワード管理ツール ”貼るパスワード”『HaruPa』の販売を開始 〜携帯電話を使って安全なパスワードの設定と更新を簡単に実現〜 (NTTアイティ, 12/11)。パスワードを暗号化した上で QR コード化して貼っておく、というソリューション。
》 落とし物はネットで検索 改正遺失物法きょう施行 (ITmedia, 12/10)、都道府県警察における遺失物の公表ページ (警察庁)。 警察庁ホームページには 改正遺失物法についてというページもあるのですが、Internet Explorer でしか見れないというすばらしさ。仕方ないので IE で見てみると、アレなのは top ページだけで、本体内容は PDF で用意されている。
警察庁は、ブラウザを選ばず表示できるふつうのページを用意しましょう。 IT スキル皆無と思われるよ。
》 元米兵が撮った1945年の東京 (毎日, 12/11)。 この潜水艦は「海龍」でしょうか? 参考: 特殊潜航艇甲標的「蛟龍」「海龍」;日米開戦劈頭の特攻兵器 (鳥飼行博研究室)
》 EchoVNC 2.30 というものが出たそうです。Ultr@VNC 1.02 をベースとして、 echoWare や Vnc2swf、 Mirage Driver などの機能を追加・統合したものだそうです。
Radmin というシェアウェアがあるんですね。日本語版もありますが、本家は 3.1 なのに日本語版は 3.0 のままです。
》 「どんだけぇ〜」「そんなの関係ねぇ」大手270社のIT活用実態、年忘れ大公開 (日経 IT Pro, 12/11)。まあ、XP の時だって最初は「2000 でいーじゃん」だったし。 SP1 で安定するだろうから、徐々に Vista になっていくのでしょう。 手元の次期システムも Vista になるだろうしなあ。
告知が遅かった言いわけ: Vulnerability in Skype for Windows versions older than 3.6.x.216 (Skype, 2007.12.10)、 Skype for Win 3.6.x.216以前に脆弱性 (Skype, 2007.12.11)
》 ワーキングプア I&II (NHK スペシャル) 放映終了。 「ワーキングプアII 努力すれば抜け出せますか」 にあった八代尚宏の意味不明コメントは削除されていた。 安倍晋三政権に配慮する必要はもうないしね。
つづき: ワーキングプアIII 〜解決への道〜 (NHK スペシャル, 12/16 放送予定)
》 日本経済 タブーの教科書 [別冊宝島] という本があるそうで。関連: <記事紹介>「上場企業とヤクザマネー(2) 東理ホールディングスの黒い増資」(『別冊宝島1429』宝島社) (情報紙「ストレイ・ドッグ」(山岡俊介取材メモ), 12/10)
》 住宅着工激減で首相「我々にも責任」 周知不足認める (asahi.com, 12/10)。若干じゃねーだろ。
》 鳥インフル:中国・南京市で「ヒト・ヒト」感染か (毎日, 12/10)
》 IETFに行ってきた (高木浩光@自宅の日記, 12/9)
》 EZwebブラウザの「お気に入り登録」は偽サイトを見分ける手段にならない (高木浩光@自宅の日記, 12/8)。 <meta name="vnd.up.bookmark" content="任意のURL" /> と書いておくと任意の URL を登録させることができちゃうそうで。
》 もいちどイチから! HTTP基礎訓練中(3)Ajaxのセキュリティ、特殊なものだと思ってました (@IT, 12/7)
》 Adobe Readerの再配布版(スタンドアロン・インストール版)を入手する (@IT, 12/7)
》 「原簿が消えた」年金統合困難に(毎日新聞)を読んで (保坂展人のどこどこ日記, 12/9)
》 PacSec 2007 レポート (高橋晶子のセキュリティ漂流記, 12/9)。おせわになりました。_o_
PacSec 2007 で fuzzer のすごい進化の状況を垣間見たのですが、本当は、ふつうのプログラマにふつうの開発工程で使ってほしいツールですよね。ふつうのプログラマから見ると、いまどきの fuzzer はどう映るんだろうなあ。
それにつけても Python だ……みんな Python 使ってるし。勉強しなくちゃまずいよなあ。
》 Scan二誌横断特集:アジアのセキュリティ動向 韓国の国際セキュリティカンファレンス POC2007 に参加してみた(1) (netsecurity, 12/6)
》 Rated M for Malicious (RBN hit again?) (MCRC Blog, 12/9)。XSS がガンガン利用される例。
》 ネット配信で「広く薄くあまねく」徴収する“閲覧権”創設を 角川会長が国益から見た「制度イノベーション」の必要性を力説 (Internet Watch, 12/6)
》 McAfeeの「SiteAdvisor」でGmailのアクセスに不具合 (Internet Watch, 12/7)。IE7 + Gmail + SiteAdvisor な場合に不具合発生。 SiteAdvisor の設定で回避できる。
》 Gmailで一部のユーザー・アカウントが無効化されるトラブルが発生 原因はスパム・メール対策の機能強化 (computerworld, 12/10)。既に修正されているそうです。
》 オリコン訴訟第六回口頭弁論は明日、12月11日 (SLAPP WATCH, 12/10)。♪今週のヤマ場〜
》 ホットライン機能せず マクドナルドのトップが語る内部告発の限界 (日経 BP, 12/10)
》 年末年始の営業に関するご案内 (サポート情報 : トレンドマイクロ, 12/10)
》 JASRAC許諾サイトのアフィリエイトについて (栗原潔のテクノロジー時評Ver2, 12/10)。アフィリはだめでしょう。アフィリ抜きで単にリンクすればいいだけですし。
》 船場吉兆、組織的偽装認める 物販部門「当面撤退」 (asahi.com, 12/10)
そういえば、<御福餅本家>営業再開…消費期限偽装で自粛1カ月 三重 (毎日 / Yahoo, 12/5) だそうで。
》 総務省のせいでモバゲータウンはいったいどうなってしまうの? (崎山伸夫のBlog, 12/9)。「携帯有害サイト」の範囲は、ふつうの人が想像するよりもはるかに広いという話。
》 「冬柴不況」到来!!改正建築基準法の影響とその背景(その1) (JANJAN, 12/10)
》 明らかになった事実「軍命はあった」〜集団自決をめぐる教科書検定問題 (JANJAN, 12/9)
そうみてくると、提訴自体に無理なものがあり、教科書検定意見で「軍命はなかった」という証拠づくりのための裁判でしかない。それこそ、文部科学省が検定制度をゆがめており、政治介入していることになるだろう。教科書検定の審議に「口をはさむことはできない」とか、「政治介入はできない」と報道されているが、「軍命はなかった」という文部科学省の態度は自己矛盾に満ちたものである。
》 Description of the Jet 4.0 Database Engine hotfix package for Windows XP SP2, for Windows Server 2003 SP1, for Windows Server 2003 SP2, and for Windows Vista: October 23, 2007 (Microsoft KB943509)
》 異例の再勧告〜家電量販大手のコジマ 廃家電の不正処理で (JANJAN, 12/10)。経産省、コジマにリサイクル品の取扱いを改善するよう勧告 〜全国規模で7万台超が不適切な処理 (家電 Watch, 12/5) の件。
》 COPYコマンドを使ったデータ隠し (B-) の独り言, 12/9)。 copy /B foo.jpg + bar.7z foobar.jpg のようにすると、
ようなファイルを生成できるそうで。
ところで 7-zip、バージョン 4.57 が出てますね。
》 東京ディズニーランドでシステム障害。 電気系統トラブル→停電→コンピューターシステム障害だそうで。
イーバンク銀行をご利用いただきありがとうございます。
メッセージがあります。詳細はログイン後「メッセージボックス」をご覧ください。(CC65)
http://t-ch.net/hp/ebankfes/login.html
イーバンク銀行
プ。どれどれ。
Received: from www321.sakura.ne.jp (www321.sakura.ne.jp [202.181.99.41]) by hiryu.st.ryukoku.ac.jp (Postfix) with ESMTP id 48172DEF23 for <[email protected]>; Sun, 9 Dec 2007 21:10:54 +0900 (JST) Received: from D427 (p8046-ipbffx02matuyama.ehime.ocn.ne.jp [122.20.254.174]) (authenticated bits=0) by www321.sakura.ne.jp (8.13.6/8.13.6) with ESMTP id lB9CArn2091810 for [email protected]; Sun, 9 Dec 2007 21:10:53 +0900 (JST) (envelope-from [email protected])
なお、http://t-ch.net/hp/ebankfes/login.html には既にアクセスできない模様。
》 「IPv4アドレス在庫枯渇問題に関する検討報告書」を公開 (JPNIC, 12/7)
Owning Outlook Web Access (OWA) users (gnucitizen, 2007.12.08)。
Windows Media Player Issues (SANS ISC, 2007.12.09)。この話:
[SA27962] WordPress PictPress Plugin "path" Disclosure of Sensitive Information。 PoC
》 伊藤穰一氏の報告:アラブ首長国連邦で禁止される『Twitter』:『Flickr』や『Skype』も禁止 (WIRED NEWS, 12/7)。関連: 武田圭史の報告:カタールで(一部)禁止される『2ちゃんねる』:『Twitter』『Flickr』や『Skype』は使用可 (武田圭史, 12/10)
》 TCP Port randomization paper。 draft-ietf-tsvwg-port-randomization-00 だそうです。複数のアルゴリズムが記載されています。
》 「医療事故調法案提出へ」——やっぱりハシゴを外された検討会 (日経 Medical Online, 12/5)。「医療事故調」実現へ 警察関与、重大事のみ 与党案 (asahi.com, 11/30) の話。
新聞報道によればこの原案は、自民党の「医療紛争処理のあり方検討会」が厚労省と法務省、警察庁と協議してまとめ、これを基に厚生労働省が法案化する、とあります。厚労省は実に不誠実な省庁です。検討会であれだけ議論させておきながら、こうしたことが同時進行していることを、検討会ではおくびにも出さなかった。本当なら、検討会に、自民党の「医療紛争処理のあり方検討会」のメンバーを参加させなければおかしい。官僚の医療軽視を、雄弁に物語っています。
まあ、これが厚労省の得意技、ハシゴ外しです。紛糾してまとめきれない検討会をすっ飛ばし、一気にケリをつけたのでしょう。しかし、厚労省はなぜ、そんなに焦っているのでしょう。
》 国産ステルス実証機「心神」、2011年に初飛行 (読売, 12/9)。予定は未定。 心神 (航空機) (ウィキペディア)、 めざす先進技術はステルス性能だけではありません。
》 忘れ物、落し物はネット検索…警察で保管、半年→3カ月に 改正遺失物法、10日から施行 (フジサンケイ ビジネスi, 12/9)
》 日中経済対話 中国、公表文書書き換え 日本側は抗議 (asahi.com, 12/9)。あり得ねぇ……
》 広がる「学校裏サイト」、親まで悪口を書き込む惨状に【続・子どもとケータイの闇】 (日経 BP, 12/6)
》 Inside the "Ron Paul" Spam Botnet (secureworks.com, 12/4)
》 Defense board sounds louder alarm about foreign software development (Goverment Exective, 11/30)
[Full-disclosure] netkit-ftpd/ftp uninitialized vulnerability。 netkit-ftpd-0.17 / netkit-ftp-0.17 の話。 CVE-2007-5769 CVE-2007-6263
[Full-disclosure] Heimdal ftpd uninitialized vulnerability。
heimdal 0.7.2 の話。
CVE 的には↑と同じ
CVE-2007-5769
CVE-2007-5939 でしたすいません。
[Full-disclosure] MIT Kerberos 5: Multiple vulnerabilities。 CVE-2007-5894 CVE-2007-5901 CVE-2007-5902 CVE-2007-5971 CVE-2007-5972
Cisco Security Response: CiscoWorks Server XSS Vulnerability。 CVE-2007-5582、 Advisory: Cross Site Scripting in CiscoWorks (liquidmatrix.org)
DRUPAL-SA-2007-031 - Drupal core - SQL Injection possible when certain contributed modules are enabled。 Drupal < 4.7.9 / 5.4 に欠陥。 taxonomy_menu, ajaxLoader, ubrowser などのモジュールは taxonomy_select_nodes() にユーザ入力を直接注入するため、SQL injection を実行できてしまう。 Drupal 4.7.9 / 5.4 で修正されている。また Drupal 4.7.8 / 5.3 用の patch が用意されている。 CVE-2007-6299
DRUPAL-SA-2007-032 - Shoutbox - Cross site scripting。 3rd party モジュール Shoutbox 5.x に XSS 欠陥があり、 Shoutbox 5.x-1.1 で修正されている。
[Full-disclosure] Heimdal ftpd uninitialized vulnerability ですが、CVE-2007-5769 じゃなくて CVE-2007-5939 でしたすいません。
BrightStor ARCserve Backup Security Notice (CA) だが、 少なくとも CVE-2007-5327 が実は直っていなかった模様で、新しい patch が公開されている。 関連: [UPDATE] CA BrightStor ARCServe BackUp Message Engine Remote Stack Overflow Vulnerability (cocoruder)
》 グランドステージ藤沢の建て替え事業がようやくスタートラインに (日経 KEN-Plats, 12/4)
》 性善説に立った私が甘かった… (日経 KEN-Plats, 12/4)
》 改ざんや隠ぺいを促す「漠然とした過剰な不安」 (日経 KEN-Plats, 12/4)
》 NGNの潜在能力: 回線認証でVPN接続が手軽に (日経 IT Pro, 12/5)
》 "Automated JavaScript Deobfuscation" at PacSec 2007 (Websense blog, 12/7)
》 ネット規制に反対するブロガーの声が届いた?!〜が、通信・放送融合法案の致命的欠陥は修正されず… (情報流通促進計画 by ヤメ記者弁護士(ヤメ蚊), 12/7)
》 徳島刑務所の異常事態、法務省再調査へ (保坂展人のどこどこ日記, 12/8)。関連:
》 「BPOを知っていますか」〜第27回放送フォーラム開催される (JANJAN, 12/8)
》 ガソリン、来年4月に値下がり? 民主が暫定税率「廃止」の方針 (中日, 12/8)
》 やじうまWatch 2007/12/07 (Internet Watch, 12/7)。 「Xbox LIVEで地名に「竹島」が登録できない件でマイクロソフトがお詫び 」など。
》 JEITAが「公開質問状」に回答しなかった理由〜亀井委員長に聞く (Internet Watch, 12/7)
正式な審議の場があるのに、場外(公開質問状)でやりあうというのはどうでしょうか。プロレスで、リングから降りてハンマーを振り上げている人に「来い」と言われ、こちらもリングサイドに降りていけば観客は喜ぶかもしれませんが、降りたところで何をするんだというのがある。これはあくまで私個人の意見ですが、JEITA全体でも同じ感覚を持っていると思います。
》 C型肝炎:ウイルス検査導入後も被害拡大 29人感染 (毎日, 12/8)
》 道交法違反:自転車の摘発、92件に急増 愛知・昨年1件 (毎日, 12/8)
Opera 9.50 beta and prior remote DoS (freeze)。 DoS ねた。手元の Opera 9.24 だと、確かにフリーズはするみたいなのだけど、CPU 100% というわけでは必ずしもない感じ。
[SA27889] e2fsprogs libext2fs Integer Overflow Vulnerabilities。 e2fsprogs の libext2fs に複数の integer overflow する欠陥があり、攻略ファイルシステムイメージによって任意のコードを実行できる。 CVE-2007-5497。
CVE-2007-6109。emacs のコマンド行処理において buffer overflow する欠陥がある模様。 SUSE Linux には修正パッケージが用意されている。
CVE-2007-6276。Mac OS X 10.5 の vpnd に remote から DoS 攻撃を受ける欠陥。 PoC コード。
MS07-042 - 緊急: XML コア サービスの脆弱性により、リモートでコードが実行される (936227) の patch と TRACE メソッドの件だが、@IT のスクリプトは
という状況だそうです。山口さん追加の情報ありがとうございます。
関連: Sun Alert 103141 Manipulated Database Documents for StarOffice/StarSuite 8 May Lead to Arbitrary Code Execution (Sun Security Blog)
》 2007 Office system SP1をまもなく提供 IMEの辞書が壊れる問題を修正、マイクロソフト (@IT, 12/7)。逆に読むと、SP1 でようやくマトモになるってこと? まあ、Office IME 使ってない人には関係ないのだろうけど。
》 .NET Framework 2.0 SP1 と 3.0 SP1 が WSUS に流れてきてますね。
》 GNUCITIZEN Wordpress Plugins (gnucitizen, 11/29)。Wordpress IPS は PHPIDS のものをベースにしたのだそうで。 他にもいろいろ。
》 CoreAPI (simple multi-purpose JavaScript library) (gnucitizen, 12/2)。AttackAPI だそうです。
》 Cross Browser Cookies (ts0.com, 12/5)。 Flash を使って、異なる Web ブラウザ間で cookie を共有できるのだそうで。 デモページあり。 現時点では Windows でのみ動作。
関連: Flash Cookie Object Tracking (gnucitizen, 12/6)。公開されていない Flash のソースを独自に作成されたようです。
》 年金記録は取りもどせるか 〜社会保険事務所からの報告〜(仮) (NHK スペシャル, 12/17 放送予定)
政府は、5000万件を超える“宙に浮いた年金記録”の照合作業を来年3月までに終える予定だが、現場での作業は困難を極めている。舛添厚労大臣は、最終的に解明できない年金記録も出てくるとしているが、実はその実態は想像以上に深刻である。
》 ワーキングプアIII 〜解決への道〜 (NHK スペシャル, 12/16 放送予定)。ウォッ、part I, II を再放送するだけじゃないんだ。
》 LSM Performance Monitor (LSMPMON) (岡山大学大学院自然科学研究科 田端研究室)。「LSMのオーバーヘッドを測定するための機能」だそうです。「SELinux, AppArmor, TOMOYO Linux, LIDSの性能評価結果」が掲載されています。
》 ブリヂストンなど5社排除命令へ 国際カルテルで公取委 (asahi.com, 12/7)
》 警官不祥事:留置場の女性へのわいせつ行為で逮捕…千葉 (毎日, 12/7)。また千葉県警だそうです。
》 イラン核開発「停止」、米側は軍会話メモで判断…米紙報道 (読売, 12/6)
》 大使館PCの公文書がネット流出、トリニダード・トバゴで (読売, 12/7)
今日は衆議院法務委員会が開かれた。9時に理事会が開かれて、9時10分から自民党の水野賢一委員の質問が行われた。テーマはずばり「死刑」だった。(中略) 11時20分から質問に立った民主党の細川律夫委員の「今日、死刑執行があったという情報が間接的に入ってきたが、本当か」との質問に対して、「9時38分までに執行した」と鳩山法務大臣が述べた。まさに、前代未聞の出来事である。法務委員会での死刑の議論と同時並行で死刑執行が進むということが起きたのだ。「議論中? でもそんなの関係ねぇ!」ってことなんでしょうか。
》 最高裁で無罪を!仙台・北陵クリニック事件:守大助さん (JANJAN, 12/7)
》 マルウェア組織もSEO対策を積極活用 (ITmedia, 12/7)
》 カナダのパスポート申請情報、単純なURL書き換えで丸見えに (ITmedia, 12/6)
》 最新仕様「OpenID 2.0」が公開 (@IT, 12/6)
》 総務省、『情報通信法』で通信と放送の融合を後押し? (CNET, 12/6)、 「情報通信法」(仮)が最終報告——ネットに「最低限の規律」 (@IT, 12/6)
》 マカフィー、新しい研究報告を発表 サイバー諜報活動が国家安全保障に対する脅威として拡大 (マカフィー, 12/6)
》 企業の情報漏洩対策、最大の課題は従業員の意識改革 半数以上が社外秘情報を無断で持ち出した経験アリと回答 (computerworld, 12/7)
》 クラスター爆弾:改良型でも不発率10%超 (毎日, 12/7)。不発率 1% のはずが 10%。さすがアメリカン・テイスト。
同爆弾の全面禁止を求めるNGO「クラスター爆弾連合」は「英独仏など一部の国は自爆装置付きは不発率が低いので禁止対象から外すべきだ、と主張してきたが、根拠を失った」としている。
》 「第2の夕張」迫る2市村 北海道赤平市と長野・王滝村 (asahi.com, 12/7)
》 ジェットコースター事故が起きた「エキスポランド」、休園へ (gigazine, 12/7)。関連:
同園は事故のあった5月5日から休園し、8月に営業を再開。しかし再開後の入場者数は前年同時期と比べ約20%に落ち込んでいるといい、山田会長は「事故による信用の失墜は、私どもの想像を超えていた」と述べた。
》 日本で発売される「段ボール肉まん」の製品画像を入手 (gigazine, 12/7)。1個420円、半年限定。 産経 MSN によると、『秋葉原のイメージに合わせたオリジナル美少女キャラクター「マリリン」「コーリン」のコスプレ店員が販売する』そうです……。
》 スターバックス:中国製マグカップを回収 やけどの恐れで (毎日, 12/7)、Starbucks Recalls Coffee Mugs Due to Burn Hazard; Product Manufactured by lab921 (starbucks, 12/6)。
Description: This recall involves two styles of Starbucks 14-ounce Fusion Coffee Mugs. The mugs are white and have a black plastic handle, and a stainless steel base. The cups have "Starbucks Coffee" printed on a black stamp or a brown original Starbucks logo stamp.
これの「plastic handle」がマグから外れてしまう事故が発生しているようなのですが、これ、日本でも売って(る|た)んですかね? Starbucks Recalls Coffee Mugs Due To Burn Hazard; Product Manufactured by lab921 (cpsc.gov) には写真もあります。
》 [WSJ] 中国の「心のファイアウォール」はなぜできる? (ITmedia, 12/6)。A.T.フィールドは心の壁なんだよ。
》 「ゴキブリ揚げた」ケンタッキー元バイト嘘書き込み (産経 MSN, 12/6)。「こんなに騒ぎになると思わなかった」ですか。 迷惑なんだよな。 関連: ケンタッキー、「ゴキブリを揚げた」という従業員の投稿に関して釈明 (gigazine, 12/7)
こちらも続いているようで: 「テラ豚丼ください」 吉野家店員処分後も騒動 (ZAKZAK / ITmedia, 12/7)
》 Some problems occur after installing Windows Server 2003 SP2 (Microsoft KB945977)。中途半端なタイトルだな……。
The problem may be the result of combining the NIC driver, and the TCP Chimney feature that comes with the Scalable Networking Pack, which is included in Windows 2003 SP2.
The TCP Chimney feature is a stateful offload that is enabled to be the default in Windows Server 2003 Scalable networking Pack. TCP Chimney offload enables TCP/IP processing to be offloaded to network adapters that can handle the TCP/IP processing in hardware.
With TCP Chimney feature, some NIC driver cause high NonPaged pool usage. The tag is MmCm.
Once there is less than 30MB of available non paged pool memory, HTTP.sys starts rejecting connections.
不具合を解消するには、NIC ドライバを対応版に更新するか、あるいは TCP Chimney feature を無効にして回避する。
》 DNS name resolution does not work on Windows Server 2003 (Microsoft KB945980)
This problem may occur if the following registry values were deleted.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"Domain"=""
"NV Domain"=""
両方とも空白だと、他の部分が設定されていてもだめということらしい。
This may happen If the Windows Server 2003 computer is imaged using the some imaging software.
ふぅん……。
》 “旗振り役”のホットな英訳は Champion (日経 IT Pro, 12/7)。日本語でチャンピオンと言えばこれだしなあ (違)。車田正美をチャンピオンで読む時代が来るとは思いもしなかったよ。
》 粉飾決算防止マニュアルは飲酒運転防止マニュアルと同じ? (まるちゃんの情報セキュリティ気まぐれ日記, 12/7)。 「飲酒運転防止マニュアル」よりは「運転直前にアルコール検知器で確認」の方がはるかに実効性がありそうだしなあ。 蔵出しセキュリティの リテラシーvs技術もそういう系の話だろうなあ。 まあ、技術技術というと得てしてガチガチになりがちなのだけど、「運転直前にアルコール検知器で確認」のように、本業そのものには影響しないような技術の入れ方ができれば、その方がいいよね。
》 編集長インタビュー JPCERT/CC 経営企画室 兼 FIRST運営委員会ディレクタ 伊藤 友里恵氏【後編】脅威は見えにくくなっている,国際連携がますます重要に (日経 IT Pro, 12/7)。 昨日のつづき。
》 司法省、音楽著作権侵害訴訟の高額賠償は合憲との見解 (computerworld, 12/6)
JVN#02854109 - HttpLogger におけるクロスサイトスクリプティングの脆弱性。更新版があるそうです。
今月は 7 件です。
緊急: 3
対象: Windows 2000 / XP / Server 2003 / Vista, DirectX
2 つの欠陥が修正されている。
SAMI の件は Windows 2000 のみ、WAV の件は Windows 2000 / XP / Server 2003 / Vista に影響。
対象: Windows 2000 / XP / Server 2003 / Vista, Windows Media Format ランタイム 7.1 / 9 / 9.5 / 11, Windows Media Services 9.1
Windows Media Format ランタイムに欠陥。 ASF ファイルの処理に欠陥があり、remote から任意のコードを実行される。 CVE-2007-0064、 Microsoft Windows Media Player .ASF でのリモート コード実行の複数 (4 つ) の脆弱性 (ISSKK)
「Windows Media Format のリモートでコードが実行される脆弱性の解析 ASF」って何……いくらなんでもこれは、日本語じゃないだろう。
対象: IE 5.01 / 6 / 7
4 つの欠陥が修正されている。
なんだか区別がつかないが (^^;)、いずれも任意のコードの実行を招く重大な欠陥。
この他に kill bit の設定が:
また、Windows Server 2003 または Windows XP を実行しているコンピュータで、ページを表示できないという内容のエラー メッセージが Internet Explorer で表示される (Microsoft KB921090) の修正が含まれている。
重要: 4
対象: Windows Vista
SMBv2 署名に欠陥があり、攻略 SMBv2 署名によって任意のコードを実行される。デフォルトでは SMB 署名は無効となっている。 CVE-2007-5351
対象: Windows 2000 / XP
メッセージキューサービスに欠陥があり、攻略メッセージによって任意のコードを実行できる。Windows 2000 の場合は remote から攻略できる。 CVE-2007-3039。 ZDI-07-076: Microsoft Windows Message Queuing Service Stack Overflow Vulnerability
対象: Windows Vista
Windows Vista カーネルにおける Windows Advanced Local Procedure Call (ALPC) の処理に欠陥があり、local user による権限上昇が可能、管理者権限を奪取できる。CVE-2007-5350
対象: Windows XP / Server 2003
Macrovision secdrv.sys Local Privilege Escalatio の件。CVE-2007-5587
関連:
公開されたので全面的に書き直した。
以下を追記:
関連: MS06-069 Cumulative Security Update for Internet Explorer - Bulletin Webpage Upload Times (MSRC blog, 2007.12.14)。 MS07-069 - 緊急 Internet Explorer 用の累積的なセキュリティ更新プログラム (942615) の読み込み (patch のではなく、bulletin page の) に時間がかかるというフィードバックが複数あった模様。これへの対応として、 英語版では Security Update Deployment の File Information 部分を KB942615 に分離した。日本語版でも早晩そうなると思われ。
MS07-065 - 重要 メッセージ キューの脆弱性により、リモートでコードが実行される (937894) の exploit が出ています。
MS07-065 - 重要 メッセージ キューの脆弱性により、リモートでコードが実行される (937894) だが、実は Windows XP Home SP2 にはこの欠陥はなかったそうだ。
Skype for Windows < 3.6.0.216 に欠陥。 skype4com URI ハンドラに欠陥があり、短い文字列を処理させるとメモリ破壊が発生、任意のコードを実行できる。 CVE-2007-5989
Skype for Windows 3.6.0.216 (Skype 3.6 正式版) 以降で修正されている。 Skype for Windows ver. 3.6.0.216 変更ログ (Skype 日本語ブログ) の最後の方にある「バグ修正 API: Skype4comが音声出入力を正しくりセットしなかった」がそれか?
告知が遅かった言いわけ: Vulnerability in Skype for Windows versions older than 3.6.x.216 (Skype, 2007.12.10)、 Skype for Win 3.6.x.216以前に脆弱性 (Skype, 2007.12.11)
HP OpenView Network Node Manager 7.51 以前に欠陥。 CGI プログラムに buffer overflow する欠陥があり、remote から local SYSTEM 権限を奪取できる。欠陥があるのは ovlogin.exe, OpenView5.exe, snmpviewer.exe, webappmon.exe。 CVE-2007-6204
patch が用意されているので適用すればよい。参照: [security bulletin] HPSBMA02281 SSRT061261 rev.1 - HP OpenView Network Node Manager (OV NNM) Remote Unauthorized Execution of Arbitrary Code
IE には、 <meta name="DownloadOptions" content="nosave"> と書いておくと、ダウンロードダイアログにおいて [Save] が表示されない ([Run] と [Cancel] しか存在しない) というすばらしい機能がある、という話。 関連: CONTENT Attribute | content Property (msdn: Internet Explorer Developer Center)
Firefox, Opera, Safari にはこの問題はないそうだ。
》 ターゲットはWindowsから「マルチOS」へ、トレンドマイクロ調査 (Internet Watch, 12/6)
》 米国防総省、F-15の老朽問題を受けてF-22の増産を検討 (technobahn, 12/5)。お金あるの? そんなこと言ってられない?
関連: 米空軍F15の2機に亀裂 沖縄・嘉手納基地 (中日, 12/6)
》 経産省、コジマにリサイクル品の取扱いを改善するよう勧告 〜全国規模で7万台超が不適切な処理 (家電 Watch, 12/5)
》 セキュリティベンダー「G DATA」が日本市場3カ年計画 (Internet Watch, 12/6)
新製品「G DATA TotalCare USB」を紹介。USBメモリにセキュリティソフトを内蔵したもので、PCにUSBメモリを挿入するだけで、管理者権限のないPCでもウイルスチェックが可能になる。G DATA TotalCare USBは、Knoppix OSでソフトを起動し、バックアップもUSBメモリ内に行なう。容量は1GB。発売は2008年春の予定で、価格は未定。「パッケージ製品のG DATA TotalCare 2008(8,190円)に、プラス2,000〜3,000円の価格を考えている」という。
へぇ……。
》 「トイザらス・ベビーザらス オンラインストア」 サイト一時休止に関するお詫びとお知らせ (トイザらス)。11/15 にリニューアルオープンしたもののトラブルが発生、11/17 から止まっているそうです。もう 3 週間ですね……。大熊さん情報ありがとうございます。
》 第1回神戸情報セキュリティ勉強会 (CMUj)。ML 案内追加されてます。
》 2008 Security Predictions (Websense, 12/5)。こんなん出ましたけど。
》 2007年上期ABC部数 出てます (fx-it.com, 12/6)
全体にIT系専門誌の実売部数は完全に下げ止まった感じで、専門誌としての落ち着きを取り戻していると言えそうです。
一般向けのPC誌では「YOMIURI PC」は善戦を続け、5万部台を死守。 中級以上の読者のハートを掴んでいる「日経PC21」も16万部台に微増。 マイコミとアスキーのMac誌2誌も非常に安定しています。
ABC部数ってどのくらい信用できるのでしょうね……。
》 改正入管法と外国人の「指紋情報強制採取」に関する質問主意書&答弁書 (保坂展人のどこどこ日記, 12/6)。PacSec 2007 には、対抗策として指紋を物理変形して難読化したらしい人がいましたね……。
》 米専門家が分析、中国の月面映像は本物 ただし科学研究用としては落第 (technobahn, 12/6)。ここですかさず「ではハイビジョンをどうぞ」とババンと公開すればかっこいいのに > NHK
》 車の車軸工場爆発、社員1人軽傷 国内シェア7割 宮城 (asahi.com, 12/6)
同社の主な製造品はトラックやバスの車軸。同社によると、国内シェアは約7割を占め、いすゞ自動車や日産ディーゼル工業などに納入している。生産は止まり、復旧のめどはたっていないという。
》 ネットも法規制、提言へ 新法に向け総務省研究会 (asahi.com, 12/6)
》 吉野家:アルバイト店員2人を処分 山盛り豚丼動画 (毎日, 12/6)。 テラ豚丼の件。
》 Microsoft、海賊版利用者への罰則などをVista SP1で見直し (Internet Watch, 12/5)
》 Winny流出の傾向と対策 第1回:かろうじて「イタズラ」で済んだキンタマ系ウイルス (Internet Watch, 12/5)
》 海の向こうの“セキュリティ” 第15回:「捕獲再捕獲法」でフィッシングサイトを調査 ほか (Internet Watch, 12/5)
》 山谷剛史のマンスリー・チャイナネット事件簿 2007年11月 (Internet Watch, 12/6)
》 警察捜査における取調べの適正化について (警察庁, 12/4)。可視化すれば済む話が大半のはずなのにそうしないからうさん臭いんだよな。
》 編集長インタビュー JPCERT/CC 経営企画室 兼 FIRST運営委員会ディレクタ 伊藤 友里恵氏【前編】攻撃者のコミュニティは強大化,守る側も結束を固めて対抗を (日経 IT Pro, 12/6)。日経コンピュータ 2007.11.26 のインタビュー記事ですね。
》 「インターネット・ホットラインセンター」を別の立場から見てみる (崎山伸夫のBlog, 12/6)。
》 Facebook,プライバシ騒動の「Beacon」機能を完全無効にできるよう修正 (日経 IT Pro, 12/6)
》 Worm-Like Anti-Theft (F-Secure blog, 12/4)
》 Studying Malicious Websites and the Underground Economy on the Chinese Web (honeyblog.org, 12/3)。
》 Characterizing the IRC-based Botnet Phenomenon (honeyblog.org, 12/3)。フェノメノンと言われるとバオーだなあ。
》 日本郵政、11月分給与もミス システム誤作動 (asahi.com, 12/5)
》 NTTドコモ関西、滋賀県内の販売代理店で顧客情報を流出 (CNET, 12/5)、【お詫びとお知らせ】滋賀県内の販売代理店におけるお客様情報の漏えいについて (NTT ドコモ関西, 12/4)
》 経済産業省 「IT投資価値評価ガイドライン(試行版)」を公表 (まるちゃんの情報セキュリティ気まぐれ日記, 12/4)
CVE-2007-6228。Yahoo! ツールバー 1.4.1 の yt.ythelper.2 ActiveX の Helper クラスが buffer overflow するため、remote から DoS 攻撃が可能だそうです。
CORE-2007-1004: VLC Activex Bad Pointer Initialization Vulnerability。VLC media player 0.8.6d で修正されているそうです。 CVE-2007-6262。 PoC。
CVE-2006-7225。PCRE < 6.7 話。POSIX 文字クラスのように解釈できる変な文字列によって DoS になる模様。PCRE 6.7 で修正されているこの話か:
18. A valid (though odd) pattern that looked like a POSIX character class but used an invalid character after [ (for example [[,abc,]]) caused pcre_compile() to give the error "Failed: internal error: code overflow" or in some cases to crash with a glibc free() error. This could even happen if the pattern terminated after [[ but there just happened to be a sequence of letters, a binary zero, and a closing ] in the memory that followed.
PCRE < 6.7 については CVE-2006-7227 というのも。これですかね:
10. There was no check on the number of named subpatterns nor the maximum length of a subpattern name. The product of these values is used to compute the size of the memory block for a compiled pattern. By supplying a very long subpattern name and a large number of named subpatterns, the size computation could be caused to overflow. This is now prevented by limiting the length of names to 32 characters, and the number of named subpatterns to 10,000.
CVE-2006-7228 というのもあるけど、よくわからん……。
CVE-2007-6156。BASE < 1.3.9 の base_qry_main.php に欠陥があり、sig[0] と sig[1] から任意のスクリプトを注入される模様。BASE 1.3.9 で修正されている。
FreeBSD 方面
FreeBSD-SA-07:09.random - Random value disclosure。 FreeBSD 5.x / 6.x の random(4) / urandom(4) に欠陥があり、 生成される擬似乱数を推測できる場合がある模様。 CVE-2007-6150
patch があるので、適用してカーネルをつくりなおしてインストール、再起動すればよい。
FreeBSD-SA-07:10.gtar - gtar directory traversal vulnerability。 FreeBSD 5.x に同梱されている gtar に directory traversal 欠陥がある。 CVE-2007-4131
patch があるので、適用して gtar をつくりなおしてインストールすればよい。
Asterisk 方面
Asterisk Project Security Advisory - AST-2007-025: SQL Injection issue in res_config_pgsql。Asterisk 1.4.x の欠陥。1.4.15 で修正されている。 CVE-2007-6171
Asterisk Project Security Advisory - AST-2007-026: SQL Injection issue in cdr_pgsql。Asterisk 1.2.x / 1.4.x の欠陥。1.2.25 / 1.4.15 で修正されている。 CVE-2007-6170
PR07-37: XSS on Apache HTTP Server 413 error pages via malformed HTTP method。Apache 2.0.x / 2.2.x に異常な HTTP メソッドをリクエストすると、413 応答で XSS が発生する。 CVE-2007-6203
QEMU code_gen_buffer overflow POC。 QEMU v0.9.0 上の Windows XP SP2 ゲスト OS 用の PoC。 CVE-2007-6227
CVE-2007-6207。64bit 版の Xen < 3.1.2 に欠陥があり、VTi ドメインから他のドメインのメモリを読むことができる。Xen 3.1.2 で修正された模様。
CVE-2007-6209。zsh 4.3.4 に付属する difflog.pl を使うと、local user が symlink attack を使って任意のファイルを上書きできる模様。
Realplayer DoS 方面
Windows Media Player AIFF Divide By Zero Exception DOS POC (milw0rm)。CVE-2007-6236
Cisco Security Advisory: Cisco Security Agent for Windows System Driver Remote Buffer Overflow Vulnerability。 Cisco Security Agent for Windows に buffer overflow する欠陥があり、 攻略 SMB プロトコル (139/tcp, 445/tcp) を使って任意のコードを実行できる。 CVE-2007-5580
Cisco Security Agent for Windows 4.5.1.672 / 5.0.0.225 / 5.1.0.106 / 5.2.0.238 で修正されている。
[SA27907] Firefox Charset Inheritance Cross-Site Scripting Security Issue 。charset をブラウザかから手動で選択した場合、その値が子のページに引きつがれてしまう。その結果、UTF-7 のような言語を使用すると XSS 欠陥が発現してしまう。 デモ: http://www.maths.usyd.edu.au/u/psz/ff-utf7-uxss.html
JVNVU#433819 - Apple Mail に任意のコマンドが実行される脆弱性。 Mac OS X 10.5 に付属の Apple Mail で昔の欠陥が復活しており、 攻略リソースフォークによって任意のシェルコマンドを実行してしまう。 Apple Mailのセキュリティ問題がLeopardで「復活」 (ITmedia, 2007.11.21) の件。 CVE-2007-6165
[SA27884] Mac OS X Local Denial of Service Vulnerability。 Mac OS X 10.4.11 / 10.5.1 における Mach-O バイナリフォーマットの処理に integer overflow する欠陥があり、local user が DoS 攻撃を実施できる。 CVE-2007-6261。 PoC code。
[SA27908] Linux Kernel "do_coredump()" Information Disclosure。 Linux 2.6.24-rc4 で修正されている。 CVE-2007-6206
[SA27929] avast! Home/Professional Unspecified TAR File Processing Vulnerability。 avast! における tar ファイルの扱いに欠陥があった模様。 avast! 4.7.1098 で修正されている。 CVE-2007-6265
関連: [Full-disclosure] Avast! AntiVirus TAR Processing Remote Heap Corruption
[SA27917] SonicWALL Global VPN Client Configuration File Format String Vulnerability。 SonicWALL Global VPN Client 4.0.0.830 で修正されている。
CVE-2007-6039。PHP 5.2.5 以前において、dgettext(), dcgettext(), dngettext(), gettext(), ngettext(), dcgettext(), stream_wrapper_register() で DoS が発生する話。
CVE-2007-6035。Cacti < 0.8.7a に SQL injection 可能な欠陥があり、任意の SQL コマンドを実行できる話。 0.8.7a で修正されている。
CVE-2007-5500。Linux カーネル < 2.6.23.8 の wait_task_stopped() で DoS 話。
CVE-2007-6013。Wordpress 1.5 〜 2.3.1 では、パスワードの MD5 ハッシュに基づく MD5 ハッシュを cookie に使っているため、攻撃者は、ユーザデータベースから MD5 ハッシュを get できれば認証を回避できてしまう。
Samba 話
CVE-2007-4572 - GETDC mailslot processing buffer overrun in nmbd。 Samba 3.0.0 〜 3.0.26a の話。 CVE-2007-4572
CVE-2007-5398 - Remote Code Execution in Samba's nmbd。 Samba 3.0.0 〜 3.0.26a の話。 CVE-2007-5398
Samba 3.0.27 で修正されている。
例によって例のごとくの模様。Benjamin さん情報ありがとうございます。
対象のウイルス名称
36110103225.exe
JS_PSYME.ANT
EXPL_ANICMOO.GEN
内容:
「36110103225.exe」でぐぐってみると、弊社サイトのウイルス感染に関するお詫びとお願い (明治座, 2007.08.27) なんてのもひっかかりますね。
OpenOffice.org 2.x に同梱されているデフォルトのデータベースエンジン HSQLDB に欠陥があり、攻略データベースドキュメントを使って任意の static Java コードを実行できる。 CVE-2007-4575
OpenOffice.org 2.3.1 に同梱されている HSQLDB 1.8.0.9 で修正されている。
関連: Sun Alert 103141 Manipulated Database Documents for StarOffice/StarSuite 8 May Lead to Arbitrary Code Execution (Sun Security Blog)
rsync の 2 つの欠陥とその対処法が説明されている。いずれも rsyncd の欠陥。
書きこみ可能な rsyncd を use chroot = no つきで実行している場合に、モジュール階層外部を指すようなシンボリックリンクを作成できてしまう。 CVE-2007-6199
3.0.0-pre6 では新しいオプション munge symlinks が用意され、 このような状況に対応できる。 rsync 2.6.9 に munge symlinks を追加する patch も用意されている。 rsyncd.conf のマニュアルページも参照。
書きこみ可能な rsyncd で exclude / exclude from / filter オプションを利用している場合に、シンボリックリンクや特定のオプションを使ってこれらのフィルタリングを回避できる。 CVE-2007-6200
この状況を回避するには、シンボリックリンクについては上記と同様に munge symlinks を使い、 他については refuse options でオプションの使用を制限する。
関連:
squid 2.x / 3 に欠陥。 cache の更新処理に欠陥があり、remote から DoS 攻撃を実施できる。 CVE-2007-6239
patch が用意されている: squid-2.6 用、squid 3 用。また squid 2.6.STABLE17 で修正されている。
》 東京電力、活断層過小評価 中越沖地震主因の可能性 (asahi.com, 12/5)
今ならまだワクチン接種が間にあうようです。
》 英BBC、WiFiの電波は健康被害を与えるという放送は公平性を欠いていた (technobahn, 12/5)
》 「IEはFirefoxより安全」--MS幹部の調査報告書に批判の声 (日経 IT Pro, 12/5)。どっちもどっちって気がするけどな。
》 【iEXPO2007】画像認識とRFIDで不正侵入者を特定 (日経 IT Pro, 12/5)。NEC による参考出品。
》 UTF-8 TeraTerm Pro with TTSSH2 4.56 が公開されています。 Change Log によると、TeraTerm 部分だけでなく TTSSH 部分にもかなりの変更 (機能追加、修正) が加えられています。
》 風邪には市販薬よりも「はちみつ」の方が効果的? (gigazine, 12/5)
》 国家保安法に立ち向かうジャーナリスト・李時雨 (JANJAN, 12/5)。韓国の話。
》 TOMOYO Linux 1.5.2 が公開されました。 (熊猫さくらのブログ, 12/5)。PacSec 2007 話でもある。
》 「SIPに係る既知の脆弱性に関する調査報告書」の発行について (IPA, 12/5)
》 スパイウェア検索エンジン 5.2(ビルド1032) 公開のお知らせ (トレンドマイクロ, 12/5)
》 NHKと三菱、映画の盗撮場所・日時を特定できる電子透かし技術を開発 (gigazine, 12/5)
》 ITリスクの上手な“波乗り術”を広めたい——研究と教育の場からセキュリティ対策の大切さを1人でも多くの人に (日経 IT Pro, 12/5)
企業に対しては、一太郎のぜい弱性を突き、官公庁を狙い撃ちした事件のような、特定の相手を想定した一点突破型の攻撃が広がるでしょう。
「広がるでしょう」じゃなくて「広がっています」でおねがいします。
》 ヤフーがなりすましメール対策、受信時の送信ドメイン認証を開始 (日経 IT Pro, 12/4)
送信ドメイン認証を採用するプロバイダーが増えてきたこともあり、Yahoo!メールは12月3日以降、受信時にもSPFとDomainKeysを適用することに踏み切った。
》 「2007年はウイルス激増、50万件で過去20年分に匹敵」、エフ・セキュア (日経 IT Pro, 12/5)。先日のまっちゃでもウイルス大杉話が出てましたね。
》 MI5、中国によるサイバー犯罪に警鐘——中国のスパイ活動に注意するよう銀行などに書簡で呼びかけ (Open Tech Press, 12/5)
》 キヤノン製小型複合機・レーザープリンター・ファクシミリ使用時における注意と対策のお知らせ (キヤノン, 12/4)
製品の設置状況や電源コードの配線状況によって、電源コネクターの差し込み口に長期間のストレスが加わった場合などに、差し込み口のはんだ付け部に亀裂が生じて、電源が使用中に切れたり、場合によっては異臭や発煙に至る可能性のあることが判明しました。 (中略)
お客さまに安心してご使用いただくために、製品の使用環境を確認させていただいた上で、必要に応じて発生防止措置を無償で実施致します。
関連: 日本HPが販売したレーザープリンタ使用時における注意と対策のお知らせ (HP, 12/4)
他社から主要機構部品の供給を受け、HPブランドの製品として1995年11月から1999年10月までに出荷したレーザープリンタ「HP LaserJet (エイチピー レーザージェット) 5L/6L」において、(中略) 電源コネクターの差し込み口に長期間のストレスが加わった場合などに、差し込み口と基板を固定するはんだ付け部に亀裂が生じる可能性のあることが判明しました。
》 第11回 セキュリティもみじ セミナー 。 2007.12.08、広島県広島市、一般2500円。はまもとさん情報ありがとうございます。
》 「死にたい」で検索した人に自殺予防ページへのリンク、Yahoo!が自殺対策 (Internet Watch, 12/3)。へぇ……
Live Search …… 関連項目って……。
》 IPCop——ネットワークトラフィックを見張るLinuxディストリビューション (Open Tech Press, 12/4)
》 [サーバー運用編]二重化構成を信じてはいけない (日経 IT Pro, 12/4)
》 「絶対に払わないで!」——4%のユーザーが「架空請求」に支払い (日経 IT Pro, 12/4)。情報セキュリティに関する脅威に対する意識調査(2007年度第1回)の報告書公開について (IPA, 12/4) の話。
》 2007年 11月 22日 rev.22 以降のウイルス定義ファイルの更新に失敗する (シマンテック)。SAVCE 10.x クライアント、SEP 11.0、SEPM で発生。 「一部の環境で正常に適用できな」かったのだそうで、シマンテック内部のテスト環境では問題なかったということなのかな。 2007年 11月 23日 rev.49 以降で修正されているそうです。山口さん情報ありがとうございます。
》 IT関連で読むに値する5冊の推薦図書 (Open Tech Press, 12/4)。次の 5 冊だそうだ。
》 Flash Player 9 Update 3 (9.0.115.0) now available (Emmy Huang, 12/3)
》 米国/イラク:無関心が広がるなかで、憤りをもって抗議する(全訳記事) (JANJAN, 12/4)
「戦争がうまくいっていないことは、皆わかっている」とジャマイルは言う。「だが、イラク国民の半数が今では難民であるか、救援を必要としているか、負傷しているかあるいは死者となってしまったかのいずれかであるという事実の重大さは、一切伝えられていない。
関連: Beyond the Green Zone: Dispatches from an Unembedded Journalist in Occupied Iraq
》 オリンピックを前に死刑執行を控える中国 (JANJAN, 12/4)
》 水洗トイレからの脱却 (JANJAN, 12/4)。水洗トイレは「貴重な水を危険な汚水に変え」てしまう機械だ、もっと環境負荷の低い排泄物処理方法はないのか? という話。 水不足は今後世界各地でますます顕在化するはずなので、これはとっても重要。 (もっとも日本は逆に、雨多すぎになるかもなのだけど)
》 セキュリティーキャンプキャラバン with プログラミング (大阪電気通信大学)。2007.12.08、大阪府寝屋川市、無料。
大阪ではない場所については、こちらから。
》 まっちゃ139 Hiki - 第13回まっちゃ139勉強会 (まっちゃだいふくの日記, 12/4)。噂の資料 (お子様でも安心バージョン) が公開されています。私の奴も、ちょっと手直ししてから公開する予定。
関連: 漫画・アニメなどでの使用フォントまとめ その2 (ごった煮ちゃんぽん)。山口さん情報ありがとうございます。
》 Server Log Analysis of Phishing Web Sites (Symantec blog, 12/3)。フィッシングサイトへのアクセス数を半減させるには、6 時間以内に対処する必要がある模様。
》 Estonian Defense Minister Comments (SANS ISC, 12/3)
》 「セキュリティの心配なし」,ドコモがカメラなし法人向け携帯電話を発売 (日経 IT Pro, 12/3)。microSD もいらない、という人も少なくないような気がする。
》 「日本のデータセンターは人に依存」——シマンテックが指摘: 自社基準の緩いSLA、仮想化への慎重な態度など、“日本の特異性”が浮き彫りに (computerworld, 11/27)
》 BusyBoxをめぐるライセンス違反で新たに2件の提訴 (Open Tech Press, 11/27)
》 ボットはWeb経由で感染する傾向に、Telecom-ISAC JAPAN有村氏 (Internet Watch, 11/27)。サイバークリーンセンター方面。
現在調査中の手法として、「ソーシャルクラック手法」のウイルスを紹介。これは、ボットウイルス感染者が送るメールに、ボットが勝手に署名を挿入してしまうというものだ。署名に付けられたURLをクリックすると悪意のあるサイトに誘導され、ウイルスに感染する恐れがあるという。
上手いこと考えるねえ。いや、誉めてる場合じゃないんだけど。
》 「VistaはSP1を待つ必要なし」とマイクロソフト (日経 IT Pro, 11/27)。ふつう待つよね。主要アプリの SP1 対応も含めて。
》 Gadgets, feeds and blogs (Panda Research blog, 12/3)
》 CompareData 1.4.2 Released (PostgreSQL, 11/30)
》 なぜ私はJASRACと契約するに至ったか (栗原潔のテクノロジー時評Ver2, 12/4)。関連:
》 初飛行テストに成功した航空自衛隊の空中給油機「Japan #2」 (technobahn, 12/4)
》 ZANTAZ,電子証拠開示への対応を支援する製品を発表 (日経 IT Pro, 12/4)
》 ext3の最大ファイルサイズは2TBでなく16GB?! (yohgaki's blog, 12/3)。ブロックサイズに依存するようです。XFS にはこの制限はないそうです。
》 WIDE ProjectとJPRSがJP DNSサーバ「e.dns.jp」を増強 (JPRS, 12/4)
SonicStage の件、修正プログラムが公開されました: SonicStage CP(SonicStage Ver.4.0/4.1/4.2/4.3) セキュリティ脆弱性対策アップデートプログラムご提供のお知らせ (SONY)。 匿名希望さん情報ありがとうございます。
MS07-042 - 緊急: XML コア サービスの脆弱性により、リモートでコードが実行される (936227) の patch を適用すると、 Webアプリケーションに潜むセキュリティホール 第4回 エラーメッセージの危険性 (@IT) の最後にある、TRACE メソッドを (無理矢理?) 使うスクリプトが実行できなくなるそうだ。山口さん情報ありがとうございます。
Takahashi氏は,「このエクスプロイトが可能なのは,Second Lifeではユーザーが自分のキャラクターや仮想世界での所有物に映像や画像を組み込めるからだ」とし,さらに次のように続けた。「仮に(Second Life内で)ユーザーがある物体に近づき,その物体が見える位置まで来ると,Second LifeソフトウェアがQuickTimeを起動し,その物体の映像や画像を再生する。それらが再生されている間,QuickTimeはSecond Lifeソフトウェアをウェブサイトに誘導する。ハッカーたちはこの仕組みを利用し,QuickTimeの脆弱性を利用することにより,他のユーザーが Second Life内で使用するアバターを乗っ取る目的で作られた悪意あるウェブサイトにSecond Lifeソフトウェアを誘導するのだ」
ひぇ〜。
この話らしい: VeriSign: Flaw Is Bigger Threat to Grandma - International concerns surround Web Proxy Autodiscovery Protocol (WPAD) functionality in Web browsers (darkreading.com)。.nz には wpad.co.nz や wpad.net.nz や wpad.org.nz が存在するけど、これってマズくない? という話かな。 Microsoft のリゾルバ実装 + デフォルト設定だとマズいことが起こる模様。 .jp だと、wpad.jp が実在しますね……。
回避策:
関連:
関連: Webプロキシ自動発見(WPAD)の脆弱性に関する注意喚起と予約ドメイン名の追加指定について (JPRS, 2007.12.21)
JPRSでは、この脆弱性への対策の一環として、下記の対象文字列を当面の間予約ドメイン名として指定し、この文字列を第3レベルまたは第4レベル(属性型・地域型JPドメイン名の<組織ラベル>)に使用したドメイン名の登録ができないようにしました。この予約ドメイン名の指定に関する「属性型(組織種別型)・地域型JPドメイン名登録等に関する技術細則」の改訂については、今後の混乱防止の対策状況等を考慮の上、必要に応じてお知らせいたします。
(中略)○対象文字列 属性型・地域型JPドメイン名 * <組織ラベル>に"WPAD"を使用したドメイン名 例:WPAD.CO.JP、WPAD.CHIYODA.TOKYO.JP など 汎用JPドメイン名 * 予約文字列の追加はありません。
》 VirusScan Enterprise 8.5i Patch 4の修正項目一覧 (マカフィー, 12/3)。修正項目多いなあ。
》 Host Intrusion Prevention 6.1 Patch3の修正項目一覧 (マカフィー, 12/3)
》 脆弱性関連情報対策セミナー ---脆弱性情報の脅威分析とその対応支援ツールの解説--- 開催のご案内 (JPCERT/CC)。 2007.12.12、東京都千代田区、無料。
》 第12回重要インフラ専門委員会を開催 (内閣官房情報セキュリティセンター, 12/3)
》 目指すのは「そこそこの世界」か (ITmedia, 12/3)。ダビング10話。
》 安全に使える期間を表示 家電5品目に義務付けへ (中日, 12/3)。「洗濯機、換気扇、扇風機、ブラウン管テレビ、エアコン」だそうです。
》 SEOポイゾニング:不正サイトもSEO対策? (トレンドマイクロ セキュリティ blog, 12/3)。関連:
》 吉野家で「テラ豚丼」を作るムービーについて、吉野家に電話してみた (gigazine, 12/3)、動画投稿に対する当社の対応について (吉野屋, 12/3)
》 安全性について知っておくべき事 (yohgaki's blog, 12/3)。ふぅむ…… login password を MD5 じゃないもの (たとえば Blowfish) にしたいときはどうすればいいのかな。
関連: PS3で米大統領選の結果を「正確に」予知?…実はMD5脆弱性への問題提起 (slashdot, 12/2)。MD5 値を調整できる……うぅむ。
》 さまざまな問題を抱えたまま「完成」を迎えた諫早湾干拓 (JANJAN, 12/3)
》 SQL Injectionツール (T.Teradaの日記, 12/2)。 SQL Injectionツール 15 種類を独自に評価。
》 'BOT ROAST II' Cracking Down on Cyber Crime (FBI, 11/29)、FBIがボットネット摘発作戦で8人を起訴 被害総額は2000万ドル超 (ITmedia, 11/30)、 巨大ボットネット構築の容疑者が逮捕--100万台超のPCを不正操作か (日経 IT Pro, 12/4)
》 Linux Security 7.00 Beta 2 (F-Secure Linux blog, 11/29)
》 ウイルスに狙われたオンラインゲームアカウント (トレンドマイクロ セキュリティ blog, 11/30)
》 第13回まっちゃ139勉強会の反応とか (まっちゃだいふくの日記, 12/3)。 第13回まっちゃ139勉強会 、 ライトニングトークの「人に脅威をお伝えすること(山口也間斗さん)」に強い衝撃を受けた人が続出した模様。そして伝説へ。
関連: [感想]「School Days」第12話 (MOON PHASE 雑記, 9/27)
》 ITは本当に企業の競争力を高めるのか (日経 IT Pro, 12/3)。
裏を返せば,我々はIT万能主義の誤謬(ごびゅう)に陥っているのだ。
謎の円盤UFOの「宇宙人捕虜第二号 (THE COMPUTER AFFAIR)」を見ていれば、そういうことにはならないはずなのだが。 (さらば宇宙戦艦ヤマト / 宇宙戦艦ヤマト2 でも可: 「古代、この艦では勝てんよ」)
》 Google,マルウエア配布サイトの報告をネット・ユーザーに呼びかけ (日経 IT Pro, 12/3)
》 マカフィー、アップルのLeopard 対応 VirusScan ソフトウェアを発表 〜McAfee VirusScan for Mac v8.6、Mac OS X の最新版を防護〜 (マカフィー, 12/3)
》 VistaでTelnetクライアントを利用する (@IT, 11/30)。標準ではインストールされていないのですか。
》 「遺伝子診断はお金の無駄」——専門家が警告 (ITmedia, 12/3)
英国の教育研究病院トラストGuy's and St Thomas' NHS Foundation Trustの遺伝子カウンセラーで、英Human Genetics Commission会員のクリスティーン・パッチ氏によると、大部分が臨床学的な妥当性はほとんどないという。(中略) しかも、診断の結果リスクが浮上すれば無用な不安を抱くか、シロと判断されれば誤った安心感を抱くかのどちらかだとパッチ氏は言う。
》 「セボンの銀イオン除菌は効果なし」公取委、アースに排除命令 (家電 Watch, 11/27)
公取委によると (中略) 薬剤に含まれる銀イオンの量が極めて少なく、除菌効果は認められなかった
》 クリスマスのイルミネーション、延長コード使用で火災の恐れも 〜UL Japanが注意喚起 (家電 Watch, 11/30)
庭や玄関のイルミネーションのため、屋内用の延長コードを屋外で使ったり、屋内のコンセントから延長コードを引っ張って窓に挟んで使用しているケースを「危険な状態」と注意を促している。屋内用の延長コードは、基本的に防水または防滴処理が施されていないため、漏電するケースがあるという。また、窓にコードを挟むことでコードのカバーが剥がれ、剥き出しになった導電部がサッシの金属部分に接触することで、漏電が発生、停電あるいは最悪の場合は火災に至る恐れもあるとしている。
》 NEC、蛍光灯から電力を取得する無線カメラを開発 (家電 Watch, 11/29)。まだ製品にはなってません。しかし、
無線LAN機能を備えており、ネットワーク機能も蛍光灯からの電力供給で利用できる。
そんなにパワーがあるのか。盗聴器とか盗撮カメラとかにも応用できるわけで、……。
》 2500万人の個人データ紛失、英国政府機関の大失態 (Enterprise Watch, 12/3)
米Gartnerは (中略) データがID窃盗者の手に渡る可能性は「1%以下」としながらも、
その「1%以下」という数字はどうやって出てくるんだろう。元ねた (gartner.com) を見てみると、
The chances of a true data loss resulting in identity theft are usually extremely low - typically less than 1% for any given individual. However, the media attention this data loss is receiving means that criminals are likely to pursue the lost data as vigorously as the authorities, so this case has certainly not been resolved yet.
「1%以下」は、一般論としての数字みたいですね。
》 マイクロソフト、「Windows Live OneCare」の最新版を12月4日発売 (Internet Watch, 11/29)
Windows Vistaの64bit版にも対応した。
今まで対応してなかったのね……。
「Windows VistaおよびInternet Explorer 7に標準搭載される機能、無償のフィルタリングソフト『Windows Live OneCare ファミリーセーフティ』に加え、これらすべてを補完あるいは機能追加してトータルなケアを提供する製品が有償のOneCare」
Windows Live OneCare ファミリーセーフティというものがあるのですか。Firefox でも使えるようです。
》 会津若松市のサイトに不正アクセス、フィッシングページ設置 (Internet Watch, 11/30)
》 中国製茶碗から有害物質、大阪府が6万個回収命令 (asahi.com, 12/2)。「プーさん茶碗」などだそうで。
》 アンゴラでの謎の病気の原因は食卓塩 (国連情報誌SUNブログ対応版, 12/1)
患者の血液検査とは別に、ドイツとスイスの研究所で患者らが普段口にしていたものなどを検査し、そのどちらでも、食卓塩から高濃度の工業用と思われる臭化ナトリウム(NaBr)が検出されたようです。塩に含まれるのは塩化ナトリウム(NaCl)であるべきですが。
》 Windowsで動作可能な無料の無線LANパケットキャプチャ「Omnipeek Personal」 (gigazine, 12/2)。
田中さんから、 Squeezer というのもあると教えていただきました (ありがとうございます)。
》 「UPKIイニシアティブ」でサーバ証明書発行プロジェクト (高木浩光@自宅の日記, 12/2)
》 PKIよくある勘違い(10)「正規の証明書でやっているので警告が出たとしてもそれは安全だ」 (高木浩光@自宅の日記, 12/1)
》 NRIセキュアテクノロジー 「企業における情報セキュリティ実態調査2007」の結果を公表 (まるちゃんの情報セキュリティ気まぐれ日記, 11/30)
》 監査法人トーマツ 銀行のフィッシング対策26%が不十分。。。 (まるちゃんの情報セキュリティ気まぐれ日記, 11/30)
》 保坂展人のどこどこ日記から:
》 GPS携帯での幹部の行動把握を断念 GPS顔: 石破茂 (松村宏のNEWSな顔, 12/2)
》 日本:死刑存続論者にとって厄介な時期(全訳記事) (JANJAN, 12/2)。元記事は 11/14 付。
》 Installation of Windows 2003 Service pack fails when WMI breaks (Microsoft KB945763) だそうです。
》 Stop error message when a client logs off from a Terminal Services session on a server that is running Windows Server 2003 with SP1 or Windows Server 2003 with SP2: "Stop 0x000000AB (SESSION_HAS_VALID_POOL_ON_EXIT)" (Microsoft KB944916)。有償 patch あります。
》 Applications that use CDO process the current time in an incorrect time zone after you apply DST updates on a computer that is running Windows Server 2003 (Microsoft KB934273)。有償 patch あります。
》 Event ID 14079 is logged every 49.7 days on a Windows Server 2003-based computer that is running ISA Server 2004 (Microsoft KB944762)。まだあったのか 49.7 日。 CreateTimerQueueTimer() がダメみたいです。 有償 patch あります。
「49.7日」でぐぐってみたら、.NETコア部分で49日問題 再び?! という話もあったようで。.NET Framework 1.1 の話。
》 A Windows Server 2003 x64 Edition-based computer does not automatically restart as expected after the .crash command is executed to generate a dump file (Microsoft KB942004)。有償 patch あります。
》 You may experience slow Web browser performance when you view a Web page that uses JScript in Internet Explorer on a Windows Server 2003-based computer or on a Windows XP-based computer (Microsoft KB942840)。IE (というか Windows Script 5.6) DoS ねたっぽい。 patch あります。 Vista (Windows Script 5.7) にはこの問題はない。
》 On a computer that has Microsoft Data Access Components 2.8 installed, an application receives an incorrect value for the identity column from a SQL Server 2005 database (Microsoft KB940569)。有償 patch あります。
》 December 2007 cumulative time zone update for Microsoft Windows operating systems (Microsoft KB942763)。patch あります。
》 After you use a smart card to unlock a Windows XP-based computer, you are prompted for authentication when you access resources that require NTLM authentication (Microsoft KB939850)。有償 patch あります。
》 ボンバル機胴体着陸、原因は製造段階のボルト付け忘れか (読売, 12/2)。 航空事故調査報告書要旨 はまだ「調査中」。
》 窮地の国土交通省(4)90%が“改悪建築基準法”にNO! (JANJAN, 12/1)
》 Googleが検索結果問題に対処、マルウェア・サイトを大量削除か (Open Tech Press, 11/30)
》 Microsoft、Exchange Server 2007 SP 1をリリース (computerworld, 11/30)
》 ThinkPadが炎上、IBMはニセのバッテリー販売で通販会社を告訴 (technobahn, 11/30) (typo fixed: 水野さん、Maeda さん感謝)
》 Installation of Windows 2003 Service pack fails when WMI breaks (Microsoft, 2007.12)
》 Tools for Detecting Memory Leaks (MSDN blog, 11/29)
》 「もはやネットに『安全地帯』はなくなった」、専門家が警鐘 (日経 IT Pro, 11/30)
いよいよ in the wild
Windows Server 2003 に MS07-039 patch または SP2 を適用した場合に発生する不具合の話:
シングルドメインの場合には関係ありません。
》 新橋に眠る幻のホーム公開 地下鉄銀座線で戦前に使用 (asahi.com, 12/1)
》 Vista Forensics (B-) の独り言, 12/1)
》 Officeファイルのプロパティに注意 (Okumura's Blog, 11/30)
》 Snort 2.8.0.1 Now Available (snort.org, 11/30)
Firefox 2.0.0.11 出ました。リリースノート