今日の気になった記事

Security関連

• アドビ製品に新たな脆弱性　ゼロデイ攻撃の発生も確認！
• アドビ製品へのゼロデイ攻撃でマシンにバックドア--トレンドマイクロが警告
  • 今、Adobeが旬ですねぇ。しつこく狙われています。まぁ、ActionScriptなんか導入したからと言うことで、自業自得。
• タイ：ハッカー攻撃で高校生ら数千人が大学受験できず
  • ハッカー攻撃ってなに？しかしすごい記事だ。
• ユーザーに全く気付かれない新型クリック詐欺が登場！
  • ううむ、新手の手法だし、効果もありそうだなぁ。これ、マジで引っかかりそう。
• オレンジ工房・カンプリ系列情報漏洩問題まとめ
  • ううむ、この対策はあまりにも無知な対策だし、人をなめているなぁ。この会社存続できるか知らん？
• 大規模なWebサイト改ざんとゼロデイ攻撃：危険な組み合わせ
  • はい、その通りです。でもね、ゼロデイに対処する方法は一般的には知られていないのですよ。だからゼロデイなわけで。
• マイクロソフトとアドビ、「ゼロデイ攻撃」対処のパッチを公開へ
  • Windowsは祭り状態かな。Adobeも大変だねぇ。
• Mac OS X 用 Java の Java Web Start コマンドランチャーにおけるバッファオーバーフローの脆弱性
  • アナウンスが遅いのはAppleの対策が遅いからである。困ったもんだ。
• Cyber Security Awareness Month - Day 11 - RPCBind aka Portmapper
• Cyber Security Awareness Month - Day 12 Ports 161/162 Simple Network Management Protocol (SNMP)
  • まだ続いております。
• Some Users May Lose Data on a T-Mobile Smartphone
• Loss of Sidekick data casts shadow on cloud services
• ネット史上最大の惨事のひとつ発生―Microsoft Danger、T-MobileのスマートフォンSidekickのユーザーデータのすべてを失う
• T-Mobile Sidekickのユーザー・データが消失，MS子会社のサーバー障害で
  • いやぁ、すごいですねぇ。

Computer関連

• IPアドレスに関する統計・各種リスト
• 地域インターネットレジストリ(RIR)ごとのIPv4アドレス、IPv6アドレス、AS番号配分状況
• アジア太平洋地域の国別IPv4アドレス、IPv6アドレス、AS番号配分状況
• JPNICが管理するIPアドレス・AS番号・IRRサービスに関する統計
  • まとめて公開されました。傾向は変わっていない模様ですね。
• 国別の「ソフトウェア海賊版率」と「マルウェア率」
  • へぇぇ。こんな調査データがあったなんて。
• Apple『Time Capsule』の寿命は17カ月？ 「追悼サイト」の主張
  • 某所でも使っているなぁ。これが本当ならそろそろ壊れると思われ。
• アップル、「Snow Leopard」でのデータ消失問題を認める--修正へ取り組み
  • うん、今までの膿がさんざん出てきていると言うことでしょうね。
• 絶好調のTwitterと苦戦するMySpace――訪問ユーザー数調査で明暗
  • なんぼなんでも変化が早すぎないか？

その他 特にありませんでした。

Security関連

• 偽ウイルス対策ソフトの配布、今度はSkypeで
  • 配布手法のみの変化ですな。まぁ、ある意味よくある話ですが。
• Hotmailに加えてGmailやYahoo!も、アカウント流出被害が拡大
  • いろいろ漏れていますが、yahoo!なんてあっという間にアカウントが漏れます。そんなの、前から判っていたこと。でも未だに対策されないんだよね。
  • ただ、対策が難しいのは事実で、結局使われるアカウントである以上、必ず漏れるはずなんですよ。だから、どこまで個人情報を収集しないか？が企業側の問題。
• 岩本隆史の日記帳
• htmlspecialcharsのShift_JISチェック漏れによるXSS回避策
• Shift_JIS では、htmlspecialchars() を使用しても XSS が可能な場合がある
  • ああ、もうPHPはだめだ。だめすぎる。代わりはないものかなぁ？
• 全スパム送信の9割弱にボットネットが関与、メッセージラボ調査
  • Botnetを駆逐する方法を、そろそろ本気で考えて実行しないともうだめですね。
  • 法律に触れることを厭わないなら「攻勢防壁」もあり得るんだけど、これは要するにVirusだからなぁ。
• 「ウィニー」開発者に逆転無罪　大阪高裁
• 「Winny」開発者・金子勇氏、逆転無罪、大阪高裁で控訴審判決
• ウィニー：２審は逆転無罪　著作権侵害ほう助認めず
• ウィニー開発者に逆転無罪…「著作権侵害の意図なし」
• Winny開発、第2審で逆転無罪
  • ソフトウェアはあくまで道具である。道具である以上、誤った使い方をしたからと言って制作者を責めるのはおかしい。という当然の結果が認められただけ。
  • ただし、開発当時のWinnyはあくまで「未完成」といえるものであって、今の時代に合わせた対応をしなければならないという意味では問題が大きいものではある。
  • 逮捕という行為のおかげで、ソフトウェアを改変することができず（作者にその意志があったかは不明）現状のまま放置してしまったことは最悪の失敗であったと思う。
• 新種ウイルスを捕獲する“人柱型”ハニーポット，フォティーンフォティが発売
  • ハニーポット自身を販売するのか。すごいなぁ。
• MySQL のコマンドラインクライアントにおけるクロスサイトスクリプティングの脆弱性
• MySQL におけるサービス運用妨害 (DoS) の脆弱性
  • JPCERT/CC方面。しかし、かなりいやーんな攻撃です。
• Linux kernel の eCryptfs サブシステムにおけるヒープベースのバッファオーバーフローの脆弱性
• Linux kernel の eCryptfs サブシステムにおけるスタックベースのバッファオーバーフローの脆弱性
• Linux kernel の personality サブシステムにおける NULL ポインタ参照の脆弱性
• Linux kernel の ptrace_start 関数におけるサービス運用妨害 (DoS) の脆弱性
• Linux kernel の e1000_clean_rx_irq 関数における整数アンダーフローの脆弱性
• Linux カーネルの libata におけるサービス運用妨害 (DoS) の脆弱性
• Linux kernel におけるサービス運用妨害 (DoS) の脆弱性
• Linux kernel の hrtimer_start 関数における整数オーバーフローの脆弱性
• inux kernel の execve 関数におけるサービス運用妨害 (DoS) の脆弱性
• Linux kernel の do_sigaltstack 関数における情報漏えいの脆弱性
• Linux kernel の ext4_fill_super 関数におけるサービス運用妨害 (DoS) の脆弱性
• Linux kernel の ext4_isize 関数におけるサービス運用妨害 (DoS) の脆弱性
• Linux kernel の make_indexed_dir 関数におけるサービス運用妨害 (DoS) の脆弱性
• Linux kernel の ext4_group_add 関数におけるサービス運用妨害 (DoS) の脆弱性
  • 転記するのも面倒なくらい出てます。さっさと2.6.31-rc4以降に移行しなさい。
• Sun Java SE における任意のファイルを改ざんされる脆弱性
• Sun JRE で使用している Apache Xerces2 Java におけるサービス運用妨害 (DoS) の脆弱性
• Sun JRE の unpack200 ユーティリティにおける整数オーバーフローの脆弱性
• Sun JRE の Sun Java Web Start における整数オーバーフローの脆弱性
• Sun JRE のプロキシ機構実装におけるアクセス制限を回避される脆弱性
• Sun JRE のプロキシ機構実装における Web セッションを乗っ取られる脆弱性
• Sun JRE の SOCKS プロキシ実装における重要な情報を取得される脆弱性
• Sun JRE のオーディオシステムにおける重要な情報が取得される脆弱性
  • もういいからさっさとVersion Upしてくれ。いっそのこと、JREを全面交換するのもありだ。
• Apache Tomcat における Web アプリケーションに関連するファイルを読まれる脆弱性
• Apache Tomcat における有効なユーザ名を列挙される脆弱性
• Apache Tomcat のサンプル用 calendar アプリケーションにおけるクロスサイトスクリプティングの脆弱性
• Apache Tomcat におけるサービス運用妨害（DoS）の脆弱性
• Apache Tomcat における情報漏えいの脆弱性
• Apache Tomcat において不正な Cookie を送信される脆弱性
  • SUN JREだけでなく、Apache-Tomcatもだめですか。早く更新しなさい。
• Cyber Security Awareness Month - Day 5 - port 31337
• Cyber Security Awareness Month - Day 6 - ports 67&68 udp - bootp and dhcp
• Cyber Security Awareness Month - Day 7 - Port 6667/8/9/7000 - IRC: is it evil?
• Cyber Security Awareness Month - Day 8 - Port 25 - SMTP
• Cyber Security Awareness Month - Day 9 - Port 3389/tcp (RDP)
• Cyber Security Awareness Month - Day 10 - The Questionsable Ports
  • シリーズもの。全部読みましょう。
• かんぽ生命の顧客情報1万3,500件以上が、Winny経由で流出
  • というか、もうWinnyはいいじゃん？やめればいいのに。
• 「あなたのオンラインゲームのキャラクターは狙われている」IPAが注意喚起
• オンラインゲームの不正アクセス被害に注意～IPAが呼びかけ
  • だって。気をつけましょう。でも、どうしたらいいのか判らないというところが味噌ですね。
• 「最もよく使われるパスワード」が判明：流出情報分析で
  • ううむ、こんなパスワードつける人いるんだ…。
• CSKシステムズ、「PCIDSS対応システム構築サービス」を提供
  • へぇぇぇ。PCI/DSSもそれなりに知名度が上がってきたんだねぇ。
• 大塚商会、公開サイトのぜい弱性を診断する「FMS Web脆弱性診断サービス」
  • うわ、安い。なんでこんな金額でできるんだ？まぁ、ツールだけなんだろうけど、どこまでできるのかねぇ。

Computer関連

• ZFSはRAIDと相性が悪い
  • ああ、そうか。確かにZFSとRAIDは相性が悪そうだなぁ。考えてもみなかった。
• iPhoneアプリユーザーの1割が「毎日ダウンロード」　IMJモバイル調査
  • すごい、毎日ダウンロードですか。
• 24時間有人監視付きで1ラック8万円から
  • 安い、マジで安い。回線とかはどうなんだろう？

その他

• 東京で無言の「すれ違い通信」が流行る理由
  • コミュニケーション能力がこれだけ劣化していると認めるのはつらいですねぇ。
• 09年のカード決済市場2.5％減に、クレジット不振、電子マネーは堅調
  • おお、クレジットカードから電子マネーに移行しているとみていいのか知らん？
  • って、そういう訳じゃないよね。単純に財布のひもが締まっているからクレジットカードは使わず、事前決済だから電子マネーが伸びているんだろうね。
• 最も多かった「不備」はIT統制関連，監査役協会がJ-SOX初年度の状況を調査
  • こんだけJSOXとかISO27001(ISMS)とかPmarkとか言っててもこれですかい！

週末はSnow Leopardへの移行で結局つぶれてしまった。

判ったこと。

• 現在利用中のMacBook Proでは、64bit kernelは動かない。
  • これは、そもそも起動時に64を押していてもだめだった。
• アプリケーションはほとんど64bitモードで動く
  • kernelが32bitなので、うれしさは半減
• Mail.appのプラグインはほとんど全滅
  • MIMEfix位しかだめじゃないかな？
  • WideMailとGPGmailが早く動くようになってほしい。前者は時間の問題だろうけど、後者はだめかもしれないなぁ。
• loginが早くなったのは朗報。今まで待ち過ぎだったのでこれは改善された。
• ほとんどの市販アプリケーションがそのまま動く
  • Adobe CS3も一応動作している。まぁ、早くUpGradeしないとだめなんだろうけど。
• Emacsがいまいちうまくいかない
  • 結局Mewに乗り換えるのも難しい。

まぁ、もうしばらく時間が必要でしょう。

今日の気になった記事。

Security関連

• OWASP Code Crawler 2.5
  • OWASP製ソースコード診断ツール。Visual Studio用Plug-Inの模様。
• パッチ未公開の『超特大』のセキュリティ・ホールを「Microsoft Fix it」で回避
  • しかし、いつになったらMicrosoftからPatchが出るんだろう？
• Cyber Security Awareness Month - Day 1 - Port 445 - SMB over TCP
• Cyber Security Awareness Month - Day 2 - Port 0
• Cyber Security Awareness Month - Day 3 - Port 5900 - VNC
• Cyber Security Awareness Month - Day 4 - Port 20/21 - FTP-data/FTP
  • 今週のシリーズらしい。
• PHP の JSON_parser 関数におけるサービス運用妨害 (DoS) の脆弱性
• PHP の php_zip_make_relative_path 関数におけるサービス運用妨害 (DoS) の脆弱性
• PHP の imageRotate 関数における任意のメモリ内容を読まれる脆弱性
• OpenSSL におけるサービス運用妨害 (DoS) の脆弱性
• OpenSSL の CMS_verify 関数における不正な署名を正当なものとして処理する脆弱性
  • JPCERT/CCもの。
• 「ウイルス情報をXML形式で共有」、業界団体が標準化作業
  • そうか、IEEE ICSGでやっているのか。
• タイ政府関連Webサイトが改ざん。偽セキュリティソフトをばら撒く
  • 政府系組織でこれをやられるとつらいですね。
• オンラインゲーム情報の盗難被害が急増、IPAが注意喚起
  • 実質、RMTがこれだけはびこると、いくらでも騙しが効くわけですから。

Computer関連

• 100ギガ・イーサ製品がいよいよ登場
  • おお、ついに時代は100GbEですか。JuniperとAlcatel-Lucent。Ciscoはどうするんだろう？そもそも対応できるんだろうか？
• オンライン広告をクリックしたのは米国ユーザーのわずか16％
  • これは難しい。16%「も」クリックしたと考えるか、16%「しか」クリックしなかったと考えるか。その上で、たった8%のユーザーしかクリックしていないというのは重要。
  • 要するにWebにおけるClick広告モデルはそろそろ転換期ということですね。
• ブロードバンドは学校や道路と同様に重要---有識者団体が米政府に勧告
  • 有識者団体という名前の業界団体じゃないの？インフラとして重要度が増してきていることは事実であるし、今後、その重要度は上がることはあっても下がることはないだろう。
  • ただ、問題が山のようにある現在のインターネットを、ある程度の制御が効いている他のインフラと同列に扱うのはどう考えてもおかしいとしか思えない。
  • インフラとして強化を図るならば、普及を促進するだけでなく、安全対策も提言されなければならないと思う。
• 「アルゴリズムは特許の対象外に」，Red Hatが米最高裁に意見書
  • 大賛成。

その他

• 河川からタミフル、薬剤耐性に懸念：京都大の研究
  • どういえばいいのか。要するに、人間が排出したものだということ。要するに下水はすでに、薬漬けということなんだろう。
• 宇宙のタンポポ：高速移動で生じる銀河の「はぎ取り」
  • 高速で移動する銀河はやっぱりガスを残していってしまうのね。

なんと10月になってしまいました。まぁ、当たり前なんですが。

さて、今日の気になった記事です。

Security関連

• 最強のウイルス対策ソフトはどれなのかランキング2009年8月版
  • えーと、こんな試験で最強とか言うのか。ひどい話だなぁ。
  • Consumer Anti-Malwareを見れば判るけど、Virus対策ソフトの評価をするなら、こういう評価をしないと駄目だと思う。
• Windowsのタスクマネージャは使えていますか？パスワードは変更できますか？
  • 自分のマシンで試してみましょう。
• ついに登場、マイクロソフトの無料ウイルス対策ソフト日本語版
  • さぁ出た。これで、どれだけのTerminal Security企業がダメージを受けるだろう？
• 個人情報の流出を防ぎたい。対策はどうすべきか
  • こういうことが常識にならないといけませんね。

Computer関連

• htmlspecialcharsは不正な文字エンコーディングをどこまでチェックするか
  • プログラマはいいから読んでおけ。
• 第1回　トランスレータの役割
  • 今後必要になる技術ですけどね。
• Yahoo!傘下のZimbra，オープンソースWebコラボ・スイートの最新版「ZCS 6.0」
  • サービスの種？

その他

• なんか、今日はぐっと来る記事が見あたりませんねぇ。