December 15, 2004
12月度WindowsUpdate
予告通り、本日WindowsUpdateが出ていますね
http://www.microsoft.com/japan/security/default.mspx
緊急がないだけあって、確かに即入れろ!みたいなのはないですね。
クライアント向けで、入れておくべきものは
あんまり使っている方、いないかもしれませんが、どちらも標準でインストールされているし、誤ってその形式のファイル開くと、権限取られるので、気を付けた方が良いでしょう
後はご自由に♪
もち、全部当てることをお奨めします〜
http://www.microsoft.com/japan/security/default.mspx
緊急がないだけあって、確かに即入れろ!みたいなのはないですね。
クライアント向けで、入れておくべきものは
MS04-041: WordPad の脆弱性により、コードが実行される (885836)
MS04-043: ハイパー ターミナルの脆弱性により、コードが実行される (873339)
あんまり使っている方、いないかもしれませんが、どちらも標準でインストールされているし、誤ってその形式のファイル開くと、権限取られるので、気を付けた方が良いでしょう
後はご自由に♪
もち、全部当てることをお奨めします〜
December 13, 2004
セキュリティ12カ条
オイラが師と崇めるブルース・シュナイアー氏のコラムを紹介。この方はセキュリティの専門家ですが、内容は全然難しくなく、むしろ一般人の方向けに書いてくれます。だから、素人のオイラにも分かりやすい(^^;)
http://www.itmedia.co.jp/enterprise/articles/0412/13/news068.html
面白そうな所をピックアップ♪続きを読む
http://www.itmedia.co.jp/enterprise/articles/0412/13/news068.html
面白そうな所をピックアップ♪続きを読む
また、Yahoo!BB流出事故
一時期、世間を騒がしたYahoo!BBの個人情報流出事故ですが、また起きたそうです。
http://www.softbankbb.co.jp/press/2004/p1213.html
これ以外に
だそうな。
全部で36500件。以前流出したデータと同じであるかはまだ分かりませんが、色々な出版社に出回っているところを見ると、まだ首謀者は捕まってないのではないでしょうか?
そして、流出情報が危険です。
まさに、「オレオレ詐欺」「振り込め詐欺」にはもってこいですね。
「携帯電話番号」って電話帳が正規には存在しない分、非常に価値が高そうです
さ〜て、次はどんな言い訳するんですかね?
もう、500円じゃ通用しませんよ(笑)
http://www.softbankbb.co.jp/press/2004/p1213.html
1500件(週刊新潮誌)
5000件(週刊フラッシュ誌)
これ以外に
週刊新潮誌から、30000件のデータを入手したとの連絡を受けましたが、現時点では、入手しておらず照合しておりません
だそうな。
全部で36500件。以前流出したデータと同じであるかはまだ分かりませんが、色々な出版社に出回っているところを見ると、まだ首謀者は捕まってないのではないでしょうか?
そして、流出情報が危険です。
(1)氏名、(2)住所、(3)電話番号、(4)携帯電話番号
まさに、
「携帯電話番号」って電話帳が正規には存在しない分、非常に価値が高そうです
さ〜て、次はどんな言い訳するんですかね?
もう、500円じゃ通用しませんよ(笑)
December 10, 2004
セキュリティパッチ事前通知
マイクロソフトが14日公開予定のセキュリティパッチを事前通知しています
http://www.microsoft.com/japan/technet/security/bulletin/advance.mspx
今月はセキュリティ情報は5件のようですね・・
・・って、5件もあるのかよ(^^;)
深刻度は「重要」ですが、ものによっては直ぐに当てた方が良さそうですね。
ちなみに、日本の場合は15日なります。
15日は出来ればWindowsUpdateの情報を見ましょう♪
http://www.microsoft.com/japan/technet/security/bulletin/advance.mspx
今月はセキュリティ情報は5件のようですね・・
・・って、5件もあるのかよ(^^;)
深刻度は「重要」ですが、ものによっては直ぐに当てた方が良さそうですね。
ちなみに、日本の場合は15日なります。
15日は出来ればWindowsUpdateの情報を見ましょう♪
December 06, 2004
IE6.0SP1でフリーズするコード?
IE6.0SP1を使用しているとフリーズしてしまうページのコードが発表されました!
http://support.microsoft.com/default.aspx?scid=kb;ja;890900
マイクロソフトの正式発表だから、まあ良いでしょう
実証コードも載っています(その辺りも凄いけどね)
単にページを見ただけではフリーズせず、何回も更新していると、メモリリークが発生するみたいです。
オイラはまだやっていません(^^;)
今、ちょっとアプリケーション開きすぎているので、後でやりたいと思います。
ちなみに、パッチはまだ無いです。
あんまり害は無いから良いのかな?
http://support.microsoft.com/default.aspx?scid=kb;ja;890900
マイクロソフトの正式発表だから、まあ良いでしょう
実証コードも載っています(その辺りも凄いけどね)
単にページを見ただけではフリーズせず、何回も更新していると、メモリリークが発生するみたいです。
オイラはまだやっていません(^^;)
今、ちょっとアプリケーション開きすぎているので、後でやりたいと思います。
ちなみに、パッチはまだ無いです。
あんまり害は無いから良いのかな?
December 02, 2004
12月度・IE向け緊急パッチ
Internet Explorer 用の累積的なセキュリティ更新プログラム (MS04-040)が公開されています。
http://www.microsoft.com/japan/technet/security/bulletin/ms04-040.asp
対象外になるのは、XPSP2、WindowsServer2003等。
XPSP1の方は対象になります
既にこの脆弱性は攻撃コードが出回っていますので、出来るだけ早めに当てた方が良いです。
IEを使っていない方でもOSにWindowsを使っているならば、当てるべき。
どこで使っているか分かりませんからね>IEの機能を
http://www.microsoft.com/japan/technet/security/bulletin/ms04-040.asp
対象外になるのは、XPSP2、WindowsServer2003等。
XPSP1の方は対象になります
既にこの脆弱性は攻撃コードが出回っていますので、出来るだけ早めに当てた方が良いです。
IEを使っていない方でもOSにWindowsを使っているならば、当てるべき。
どこで使っているか分かりませんからね>IEの機能を
November 29, 2004
XPSP2でまた不具合?
最近、SP2でも結構不具合が起きているようですね。
本日は発表されたのは、「Windows Updateで更新プログラムが表示されない不具合」です
http://internet.watch.impress.co.jp/cda/news/2004/11/29/5578.html
この不具合の凄いところは、「優先度が高い更新プログラム」が表示されないそうです。
おいおい。それじゃ意味無いだろうって!
んで、MSの対応策
せっかくのWindowsUpdateが意味無しですなヽ(´ー`)ノ
速報によれば「MS04-038」を適用していないユーザに起きることがあるので、自分のPCにどんなパッチが当たっているか調べた方が良いかも〜
11/30追記
どうやら解決したようです
http://support.microsoft.com/default.aspx?scid=http://www.microsoft.com/japan/support/sokuho/default.asp#Record_117
本日は発表されたのは、「Windows Updateで更新プログラムが表示されない不具合」です
http://internet.watch.impress.co.jp/cda/news/2004/11/29/5578.html
この不具合の凄いところは、「優先度が高い更新プログラム」が表示されないそうです。
おいおい。それじゃ意味無いだろうって!
んで、MSの対応策
Windows Updateではなく、同社技術情報サイト「Microsoft TechNet」のセキュリティ情報関連ページなどから直接ダウンロードするよう呼びかけている
せっかくのWindowsUpdateが意味無しですなヽ(´ー`)ノ
速報によれば「MS04-038」を適用していないユーザに起きることがあるので、自分のPCにどんなパッチが当たっているか調べた方が良いかも〜
11/30追記
どうやら解決したようです
http://support.microsoft.com/default.aspx?scid=http://www.microsoft.com/japan/support/sokuho/default.asp#Record_117
November 26, 2004
XPSP2のみで起きる不具合!
WindowsXP2のSP2で、ブルースクリーンなる不具合が発見されました!
http://internet.watch.impress.co.jp/cda/news/2004/11/26/5546.html
既に修正プログラムが出ていますので、SP2を導入している方は入れてみてはいかがでしょうか。
けど、これには条件がありまして、単にSP2を入れているだけでは起きないようです。
その条件とは
・・・・何コレ?
セキュリティに敏感な人はやっている当然の策がまさか仇になるとは・・・
嫌がらせですか?>マイクロソフト殿
http://internet.watch.impress.co.jp/cda/news/2004/11/26/5546.html
既に修正プログラムが出ていますので、SP2を導入している方は入れてみてはいかがでしょうか。
けど、これには条件がありまして、単にSP2を入れているだけでは起きないようです。
その条件とは
ウイルス対策ソフトやファイアウォールをインストールしたWindows XP
・・・・何コレ?
セキュリティに敏感な人はやっている当然の策がまさか仇になるとは・・・
嫌がらせですか?>マイクロソフト殿
November 16, 2004
不審なハガキにご注意を!
国民年金協会という団体から年金受給者へ、保険料を請求してくるハガキが届いているそうです
http://www.asahi.com/national/update/1116/021.html
その数、なんと416件!!
全国レベルで出回っているようですね。こりゃ
間違ってもお金を振り込まないように注意しましょう
と、これだけ色々なところで注意しても、引っかかる人は引っかかるんですよね〜
何でだろう?
http://www.asahi.com/national/update/1116/021.html
その数、なんと416件!!
全国レベルで出回っているようですね。こりゃ
間違ってもお金を振り込まないように注意しましょう
と、これだけ色々なところで注意しても、引っかかる人は引っかかるんですよね〜
何でだろう?
November 15, 2004
NTT西日本、危うく情報漏洩
NTT西日本のWebサイトで約7000人の顧客情報が閲覧可能状態だったらしいです
http://internet.watch.impress.co.jp/cda/news/2004/11/15/5402.html
17:30〜18:30の1時間の間は見ることが出来る状況だったようなので危険ですね。
いや、正確には気が付いたのが17:30だからその前から見ることが出来ていたかもしれません。
結局情報漏れたのかどうなのかは分かりませんね〜
報道機関から連絡を受けたって事は、最低でもその報道機関は中身を見ちゃったんだろうなあ(^^;)
http://internet.watch.impress.co.jp/cda/news/2004/11/15/5402.html
17:30〜18:30の1時間の間は見ることが出来る状況だったようなので危険ですね。
いや、正確には気が付いたのが17:30だからその前から見ることが出来ていたかもしれません。
結局情報漏れたのかどうなのかは分かりませんね〜
報道機関から連絡を受けたって事は、最低でもその報道機関は中身を見ちゃったんだろうなあ(^^;)
November 14, 2004
携帯電話もウイルス対策
携帯電話用のウイルス対策ソフトが開発されているようですね
http://www.asahi.com/business/update/1114/002.html
遂にこういうものが出る時代になったんですね。
けど、例えば必要なソフト自体をROMにしておいて、ユーザーが使えるメモリ上はプログラム実行出来ないようにすれば良いだけな気もするんですがね・・
あ、それじゃ、Javaアプリとか動かないか・・(^^;)
PHSだとアプリケーション落として実行とか出来ないから、ある意味安全かもしれませんね
おお!自動更新されるなら、知らないうちにパケット代取られるわけですな。これは危険だ(爆)
ある意味、それが「ウイルス」ですね>身に覚えのない料金が請求される
後、コレの場合、やっぱり年間更新料取られるんですかね?それも自動更新ですか?(^^;)
http://www.asahi.com/business/update/1114/002.html
遂にこういうものが出る時代になったんですね。
けど、例えば必要なソフト自体をROMにしておいて、ユーザーが使えるメモリ上はプログラム実行出来ないようにすれば良いだけな気もするんですがね・・
あ、それじゃ、Javaアプリとか動かないか・・(^^;)
PHSだとアプリケーション落として実行とか出来ないから、ある意味安全かもしれませんね
ウイルス情報はiモード通信で更新することで、新たなウイルスの発生にも対応する
おお!自動更新されるなら、知らないうちにパケット代取られるわけですな。これは危険だ(爆)
ある意味、それが「ウイルス」ですね>身に覚えのない料金が請求される
後、コレの場合、やっぱり年間更新料取られるんですかね?それも自動更新ですか?(^^;)
November 12, 2004
XPSP2に既に10件の脆弱性あり!
マイクロソフトが万を期して発表した「XPSP2」ですが、既に10件の脆弱性があるそうです
http://www.itmedia.co.jp/enterprise/articles/0411/12/news010.html
http://www.finjan.com/company/NewsRoom/press_show.asp?press_release_id=165(リリース記事)
やり方に関しては当たり前ながら発表されていませんが、リモートからPCを乗っ取ったり、ファイルの書き込みや実行が出来るそうな
これは危険すぎですね。
MS側は既にパッチ作成を始めているようですが、SP2でこれじゃねえ〜
何時になったら、安全なOSになるんですかね〜
基本的には同じOS・・ごもっともですm(_ _)m
http://www.itmedia.co.jp/enterprise/articles/0411/12/news010.html
http://www.finjan.com/company/NewsRoom/press_show.asp?press_release_id=165(リリース記事)
やり方に関しては当たり前ながら発表されていませんが、リモートからPCを乗っ取ったり、ファイルの書き込みや実行が出来るそうな
これは危険すぎですね。
MS側は既にパッチ作成を始めているようですが、SP2でこれじゃねえ〜
何時になったら、安全なOSになるんですかね〜
SP2はある程度のセキュリティ機能を提供している。しかし、これは依然として基本的には同じOSであり、エンドユーザーのセキュリティを脅かす大きな欠陥がいくつかある
基本的には同じOS・・ごもっともですm(_ _)m
November 11, 2004
被害者の数も知りたい
WindowsXP SP2の国内ダウンロード数が1000万件を突破したそうです
http://internet.watch.impress.co.jp/cda/news/2004/11/11/5364.html
何か
と喜んでいるようですが、単純に米国や英国の方はSP2を入れるのに慎重なだけじゃないでしょうかね?
第一、勝手にダウンロードされて、インストールされるんだからね。そんなことさえ知らない人の分も数えているんでしょうかね?
後、勝手に入れられて、ソフトが動かなくなった人も多いようだし、被害状況も知りたいですねヽ(´ー`)ノ
つーか、勝手にダウンロードって・・ウイルスじゃん(爆)
http://internet.watch.impress.co.jp/cda/news/2004/11/11/5364.html
何か
日本のペースは米国や英国よりも速い
と喜んでいるようですが、単純に米国や英国の方はSP2を入れるのに慎重なだけじゃないでしょうかね?
第一、勝手にダウンロードされて、インストールされるんだからね。そんなことさえ知らない人の分も数えているんでしょうかね?
後、勝手に入れられて、ソフトが動かなくなった人も多いようだし、被害状況も知りたいですねヽ(´ー`)ノ
つーか、勝手にダウンロードって・・ウイルスじゃん(爆)
November 05, 2004
そろそろIEは止めるべきじゃないか
ここ最近、やたらとIEのセキュリティ欠陥が目立ちますね。本日もWebページを見ただけで被害を受ける障害が出ています。
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20041104/152149/
パッチはまだ無い。
回避策は書いてはありますが・・
これって、正常に表示されないサイトが沢山出てくるような気がするんですけどね。
こういうのはFireFoxやMozilaにすれば、もっと安全にブラウズできます。
第一、IEはここ4年間何にも進化していません。
日々進化するソフトウェアでここまで進化しないのも珍しいです。だから、Webはどんどん、サーバベースのJSPやPHPが流行るんでしょうね〜
そう言えば
ですね。
これは、もしかして、全員XPSP2を導入しろと言う、MSの陰謀なのでしょうかね?(笑)
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20041104/152149/
パッチはまだ無い。
回避策は書いてはありますが・・
IEのセキュリティ設定でアクティブスクリプトを無効
これって、正常に表示されないサイトが沢山出てくるような気がするんですけどね。
こういうのはFireFoxやMozilaにすれば、もっと安全にブラウズできます。
第一、IEはここ4年間何にも進化していません。
日々進化するソフトウェアでここまで進化しないのも珍しいです。だから、Webはどんどん、サーバベースのJSPやPHPが流行るんでしょうね〜
そう言えば
ただし,Windows XP SP2を適用している環境(IE 6)は影響を受けない。
ですね。
これは、もしかして、全員XPSP2を導入しろと言う、MSの陰謀なのでしょうかね?(笑)
November 03, 2004
あしあと、改善されたり、されなかったり・・
なんか、回復したと思っていた、あしあと履歴のプラグインですが、また元に戻っていたりしているようですね
一体どういう事なんでしょうか?
プログラムが勝手にロールバックしているとは思えないし・・手動で戻すしかないですからね。
となると、分散サーバのどこかで修正していないサーバがあって、そこに繋がると、元に戻ってしまうとしか。けど、ちからさんの記事見ると、全サーバに適用したようだし・・
後はミラーディスクを変更し損ねて、元に戻っているとか・・(^^;)
これは昔、あったなあ。
誤ってファイル削除したら、ミラー側も削除されたってやつ。
ミラーディスクが片方向ならば問題なさそうだけど、双方向ミラーだと、新しい日付のファイルになりそうですね。
つまり
あしあとのバグPG → 日付が新しい
あしあとのバグがないPG → 日付が古い(元はこの障害が起きていないので)
で、ファイルを戻したけど、ミラー側が、新しい方のファイルで上書きしていたりして・・(^^;)
さ〜て、祭り準備ですぞ(笑)
一体どういう事なんでしょうか?
プログラムが勝手にロールバックしているとは思えないし・・手動で戻すしかないですからね。
となると、分散サーバのどこかで修正していないサーバがあって、そこに繋がると、元に戻ってしまうとしか。けど、ちからさんの記事見ると、全サーバに適用したようだし・・
後はミラーディスクを変更し損ねて、元に戻っているとか・・(^^;)
これは昔、あったなあ。
誤ってファイル削除したら、ミラー側も削除されたってやつ。
ミラーディスクが片方向ならば問題なさそうだけど、双方向ミラーだと、新しい日付のファイルになりそうですね。
つまり
あしあとのバグPG → 日付が新しい
あしあとのバグがないPG → 日付が古い(元はこの障害が起きていないので)
で、ファイルを戻したけど、ミラー側が、新しい方のファイルで上書きしていたりして・・(^^;)
さ〜て、祭り準備ですぞ(笑)
November 02, 2004
昨日の祭・・もとい、あしあとプラグイン関連
昨日はちょいとした「祭」状態になっていた、あしあとプラグイン問題!
ここでちょっと整理してみます。
まず、2種類あって
1)あしあとプラグインの「続きを見る」を押すと、一番下に訪問した人の「あしあと」が表示される
2)直接URL「http://blogs.dion.ne.jp/xxxx/footmark.cgi」(xxxxはユーザ名)を入れると、表示されてしまう
です。
んで、1)は既に修正されています。
お得意の「密かに修正」です(^^;)。修正履歴くらいは発表して欲しいなあっと
2)は短期間には無理でしょう。
方式には、xxxxを暗号化するのと、あしあとの公開をしている人だけ表示させるがあります。
xxxxの暗号化は恐らく再設計が必要ですね。
テスト期間も長そうな感じがします。
あしあとの公開をしている人だけってのは、現在の管理画面をどのように管理しているかで決まりますね。
あしあと公開って、フラグがあれば、簡単に出来そうですが、どう見ても、サイドバーには色々追加できるので、そんなので管理しているようには見えません。
なんか、XMLファイルを直接管理しているだけな気もしますしね。そうなると、ファイル内から「あしあと」を検索する必要があるので、面倒だし、時間もかかりそう
まあ、そんな感じですね。
と言うか、DIONさんは何時公式発表するのでしょうか?また、「鯖遅杉祭」の時みたいに、放置状態にするつもりなんですかね?
footmark.cgiの機能を止めるだけでも、良いと思うのですがね?
ここでちょっと整理してみます。
まず、2種類あって
1)あしあとプラグインの「続きを見る」を押すと、一番下に訪問した人の「あしあと」が表示される
2)直接URL「http://blogs.dion.ne.jp/xxxx/footmark.cgi」(xxxxはユーザ名)を入れると、表示されてしまう
です。
んで、1)は既に修正されています。
お得意の「密かに修正」です(^^;)。修正履歴くらいは発表して欲しいなあっと
2)は短期間には無理でしょう。
方式には、xxxxを暗号化するのと、あしあとの公開をしている人だけ表示させるがあります。
xxxxの暗号化は恐らく再設計が必要ですね。
テスト期間も長そうな感じがします。
あしあとの公開をしている人だけってのは、現在の管理画面をどのように管理しているかで決まりますね。
あしあと公開って、フラグがあれば、簡単に出来そうですが、どう見ても、サイドバーには色々追加できるので、そんなので管理しているようには見えません。
なんか、XMLファイルを直接管理しているだけな気もしますしね。そうなると、ファイル内から「あしあと」を検索する必要があるので、面倒だし、時間もかかりそう
まあ、そんな感じですね。
と言うか、DIONさんは何時公式発表するのでしょうか?また、「鯖遅杉祭」の時みたいに、放置状態にするつもりなんですかね?
footmark.cgiの機能を止めるだけでも、良いと思うのですがね?
November 01, 2004
あしあとプラグインに脆弱性あり!
ちからさんのところで、こんな事が書いてあった
http://blogs.dion.ne.jp/chikara/archives/189335.html
へ?そうなの・・・
んじゃ、試しに、このブログに来ている、誰かで(←すいません、名前は書きません。悪気はないんです)やってみようっと♪
・・・って、まじに出たよ(^^;)
本来ならば管理者が設定しないと、「あしあと」は出ないはずなのに・・。
これだと、プラグインの設定をしていない人のブログでもそのページに誰が来ているか分かってしまいますね
こりゃ、DIONさん大問題でしょう
せめて、パスワードくらい付けないと・・
けど、そうすると、多分このプラグイン動かないんだろうなあ。それにしても、初歩的な・・
XXXXXの部分を名前そのままじゃなくて、暗号化でもすれば解決する話なのにねえ〜
http://blogs.dion.ne.jp/chikara/archives/189335.html
今気づいたんですけど、
http://blogs.dion.ne.jp/xxxx/footmark.cgi
ってxxxxにユーザー名を入れると、あしあと履歴のプラグインを
設定していなくてもあしあと履歴は表示できちゃうのね。
へ?そうなの・・・
んじゃ、試しに、このブログに来ている、誰かで(←すいません、名前は書きません。悪気はないんです)やってみようっと♪
・・・って、まじに出たよ(^^;)
本来ならば管理者が設定しないと、「あしあと」は出ないはずなのに・・。
これだと、プラグインの設定をしていない人のブログでもそのページに誰が来ているか分かってしまいますね
こりゃ、DIONさん大問題でしょう
せめて、パスワードくらい付けないと・・
けど、そうすると、多分このプラグイン動かないんだろうなあ。それにしても、初歩的な・・
XXXXXの部分を名前そのままじゃなくて、暗号化でもすれば解決する話なのにねえ〜
October 26, 2004
インターネット安全対策スクール
マイクロソフトが開催するそうです。
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=2093
どんな風に教えるのかは分かりませんが、セキュリティのレベルを高める意味では大変有意義な事ですね。
参加料が書いてありませんが、多分無料かな?
お近くの方は行ってみてはいかがでしょうか
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=2093
どんな風に教えるのかは分かりませんが、セキュリティのレベルを高める意味では大変有意義な事ですね。
参加料が書いてありませんが、多分無料かな?
お近くの方は行ってみてはいかがでしょうか
お気に入りBlogに登録