JVN#30451602 HTTPD-User-Manage におけるクロスサイトスクリプティングの脆弱性 − JVN
- JVN#30451602:「HTTPD-User-Manage」におけるクロスサイト・スクリプティングの脆弱性 − 情報処理推進機構:セキュリティセンター:脆弱性関連情報取扱い:脆弱性関連情報の調査結果
Multiple Vendor Insecure Call to CreateProcess() Vulnerability − iDefense
CreateProcess の第一引数を NULL にしているので、C:\Program.exe のようなプログラムが存在する場合にそれが起動してしまうという有名な話が何年も前からあるにも関わらず、著名ないくつものプログラムでそのような CreateProcess の使い方をしている、という話。
[xfocus-AD-051115]Multiple antivirus failed to scan malicous filename bypass vulnerability − Bugtraq
Unicode な文字を含むファイル名に対して、複数のアンチウイルスソフトが正常にファイル名を扱えないため、スキャンができないとのこと。この報告ではテスト条件が明確でないため、ここに記載されている内容が正確かどうかはわからない。
おそらく、ファイル名に ANSI コードページに変換できない Unicode 文字を含む場合にファイル名に "?" が含まれてしまうためうまくスキャンできないのであろうけれど、この実験を行った Windows のコードページが不明である。テストしたファイル名は16進で C0 D7 BA DC ということであるが、これは U+C0D7、U+BADC 、文字に直すと "샗뫜" ということだろうか…。
また、例えば、Unicodeな文字を含む名前のファイルやフォルダに対して、Explorer から直接それを右クリック、スキャンした場合にはファイルの取扱いに失敗してうまくスキャンできない場合でも、そのファイルやフォルダを含む親ディレクトリをスキャンした場合には正常にスキャンが実施できる可能性がある*1。
ちなみに、上記の Bugraq のアーカイブでは 「2. Detail: 」において
Uses the MS-DOS name specification, we can operate file with Open¡¢
Read¡¢Write¡¢ and duplicate¡£
と書かれているが、これは元のメールが GB2312 であるため文字化けしているのであり、もともとの内容は
Uses the MS-DOS name specification, we can operate file with Open、
Read、Write、 and duplicate。
である。
*1:実際に、とあるアンチウイルスソフトで確認済み
JIS情報処理用語DB検索
たまたま発見。
Microsoft Windows 20 周年特別記念パッケージ
懐かしの Windows 95 から Windows 2000 までのインストール CD 盤面を復刻したレプリカ CD セットを、特製フォルダに収納してでご提供。
って、中身ははいってないんだ。残念。
Windows XP Profssional アップグレードCD他が入って26,800円。9999本限定だそうで。
- Microsoft(R) Windows(R) 20周年記念パッケージを発売 − Microsoft PressPass
Google Base
検索をベースにした情報の共有サイト?
弊社サイトへのアクセス障害について (調査結果) − サイボウズ
本件につきまして、調査した結果、侵入の事実は確認されませんでしたので、ここにご報告申し上げます。
だそうです。
