Firefox 2.0.0.16 fixes two security vulnerabilities :SANS Internet Storm Center; Cooperative Network Security Community - Internet Security - isc
Firefox2.0.0.16がリリースされて、2つのセキュリティに対応しているそうです。
The Mozilla Foundation has just released Firefox 2.0.0.16 which fixes two critical security vulnerabilities:
InfoSec Handlers Diary Blog - Firefox 2.0.0.16 fixes two security vulnerabilities
MFSA 2008-35 (CVE-2008-2933) Command-line URLs launch multiple tabs when Firefox not running
MFSA 2008-34 (CVE-2008-2785) Remote code execution by overflowing CSS reference counter
Firefox 3.0.1 リリース - 取締役 平社員 ブログ (ベータ版)
あわせて、Firefox3.0.1もリリースされているそうですが、手元ではまだ上がってこないなぁ・・・
ダウンロードサイト:
Firefox 3.0.1 リリース - 取締役 平社員 ブログ (ベータ版)
Mozilla Foundation http://releases.mozilla.org/pub/mozilla.org/firefox/releases/
今朝方は、まだでしたが、20:15(JST) 現在は表示されてきます
関連記事
- Mozilla Firefox 3 URI Launching and XUL Error Page Vulnerabilities - Advisories - Secunia-セキュリティホール memo
- Mozilla Firefox 3 URI Launching and XUL Error Page Vulnerabilities - Calendar Of Updates
- US-CERT Current Activity
- モジラ、Firefox 3のセキュリティアップデートをリリース:ニュース - CNET Japan
- SANS Internet Storm Center; Cooperative Network Security Community - Internet Security - isc
- 「じゅうたん爆撃」問題にも対処:Firefox 3で初のアップデートが公開 - ITmedia エンタープライズ
- Firefox 3.0.1 Released - F-Secure Weblog : News from the Lab
Xbox360のセキュリティも調べてみた:ITpro
JemesさんのXbox360のセキュリティ診断
表1からは二つのことが分かります。一つは,ネットワーク経由でTCPの1026番ポートに接続ができること。もう一つは,UDPではパケットの送信に対して何も返信されたなかったことから,ポートの開閉は不明だということです。TCPの1026番ポートを除くすべてのポートと,UDPのすべてのポートでパケットの送信に対して何も返信がなかったことから,Xbox 360はパケット・フィルタリングのようなアクセス制限の機能が実装されていると思われます。
Xbox360のセキュリティも調べてみた | 日経 xTECH(クロステック)
これはやらしいなぁ、大したことはないけど、、、シリアル番号・・・・
Xbox 360のTCP1026番ポートにIEで接続したときに表示される情報です。シリアル番号とUniversally Unique Identifier(UUID)は念のため隠しました。このようにXbox 360のTCP1026番ポートにIEで接続するだけで,ネットワーク経由で「
Xbox360のセキュリティも調べてみた(2ページ目) | 日経 xTECH(クロステック)Xbox 360 」や「XXXXXXXXXXXX 」などの情報が取得できます。また「uuid:XXXXXXXX-XXXX-XXXX-XXXX-00125aXXXXXX 」は左端12文字がシリアル番号で,右端12文字がMACアドレスでした。これらの情報が攻撃者に取得されることで発生する被害は今のところ思い付きませんが,WiiやPS3ではネットワーク経由で取得できなかった本体についての情報が,Xbox 360では取得できることが分かりました。
確かに。
ここまでの調査の結果でXbox 360のセキュリティを評価すると,多くの人がNAPT(network address port translation)を使って家庭内のローカル・ネットワークにあるXbox 360をインターネットに接続していることから,インターネット側から直接Xbox 360を攻撃することは難しいと言えます。また開いているポートが一つしかないことから侵入を試みることができるポートが一つしかなく,さらに開いているポートがTCPの1026番ポートという現時点ではぜい弱性が見つかっていないサービスが使用しているポートであることから,今回私が調べた限りの結果としては,Xbox 360はネットワーク経由の能動的な攻撃に耐えられる安全な状態でインターネットに接続されていると言えそうです。
Xbox360のセキュリティも調べてみた(2ページ目) | 日経 xTECH(クロステック)
ここまでIPフラグメントID連番がどのゲームにも実装されていると思うと、それって正しいのかと思っちゃいますね。
Xbox 360のIPフラグメントIDを調べた様子が図3です。図3にはHping2を使ってXbox 360のTCP1026番ポートにSYNパケットを10回送信し,そのパケットに対してXbox 360が返信したパケットの情報が表示されています。「id=+1」と表示されていることから,IPフラグメントIDが連番になっていることが分かります。このようにIPフラグメントIDに規則性があると,IPフラグメントIDポート・スキャンに利用される恐れがあります。
Xbox360のセキュリティも調べてみた(3ページ目) | 日経 xTECH(クロステック)
これでインターネットに接続可能な家庭用ゲーム機であるWii,PS3,Xbox 360の調査が終了しました。いずれのゲーム機も家庭内のローカル・ネットワークに設置されていて,NAPT経由でインターネットに接続していることから,攻撃者にインターネットから能動的な攻撃をされても被害に遭うことは,まず無いといえます。さらに今回Xbox 360のIPフラグメントIDの規則性を調査をするにあたってWiiやPS3も再度調査したところ,以前はWiiやPS3でも確認されたIPフラグメントIDが連番になっている問題がシステムのアップデートで修正されたようで,現時点ではWiiやPS3のIPフラグメントIDは連番ではなくなっています。考えてみれば最初にWiiを調査したときから1年以上も経過しているので,今度はWii,PS3,Xbox 360のシステムを最新のバージョンにして再調査を行い,WiiやPS3に施されたと思われるIPフラグメントIDの修正が十分なものかどうかも含めて,またセキュリティ徒然草に書きたいと思います。
Xbox360のセキュリティも調べてみた(5ページ目) | 日経 xTECH(クロステック)
NHKニュース 中国・近畿地方“梅雨明け”
近畿地方の梅雨明けが宣言されました。7月16日に梅雨明けだそうです。
16日は緩やかに高気圧に覆われて西日本を中心に青空が広がり、気象庁は「中国地方と近畿地方が梅雨明けしたとみられる」と発表しました。梅雨明けは、平年と比べて中国地方で4日、近畿地方で3日早くなっています。
http://www3.nhk.or.jp/news/t10015933981000.html#
高添はここにいます : 7/18(金) オープンソースカンファレンス京都で話しをすることになりました。
高添さんもOSC Kyotoに来られるんだ!、、、7月18日かぁ・・・いいなぁ、いいなぁ・・・
本当はマイクロソフトのいろんな取組みについてもアピールしたいところではありますが、今回は私一人なので大々的に何かやれるわけでもなく、あえてMSテクノロジを伝えることに専念をしようかと思っております。
http://blogs.technet.com/osamut/archive/2008/07/16/3089533.aspx
そして、京都という土地でセミナーをする機会は少ないので(私は初めて)、もし興味がありましたらのぞいてもらえればありがたいです。
それでは京都の皆さん、そしてオープンソースカンファレンスに参加しようと思っている皆さん、金曜日にお会いしましょう!!
Hyper-VやSoftGridのお話みたいです。
仮想化に関するトラックがあり、MSさんも・・・ということになったようでして、私がお受けすることになりました。
http://blogs.technet.com/osamut/archive/2008/07/16/3089533.aspx
Black Hat Japan 2008:ブラックハットジャパン2008
Blackhat Japan 2008は10月5日〜10月10日です。
よかったぁーまっちゃ445勉強会とかぶってなくって・・・
Black Hat Japan 2008:ブラックハットジャパン2008Black Hat Japan 2008
ブラックハットジャパンは、世界各国&日本国内から招聘した世界トップクラスのコンピューターセキュリティエキスパートによる最先端の講演・講義を受講できる国際セキュリティカンファレンスです。
トレーニング - TRAINING:
10/5(日)- 8(水) / October 5 - 8
ブリーフィングス - BRIEFINGS:
10/9(木)-10(金)/ October 9 - 10
「不正アクセス、銀行派遣のインド人逮捕」 News i - TBSの動画ニュースサイト
げぇーーーー!最近入社した某人の会社じゃないか!!!
「人種差別で正社員になれなかった」。新生銀行に派遣されていたインド人のシステムエンジニアの男が正社員になれなかったことに腹を立て、銀行の社内ネットワークに不正アクセスしたとして、警視庁に逮捕されました。
http://news.tbs.co.jp/newseye/tbs_newseye3901214.html
不正アクセス禁止法違反などの疑いで逮捕されたのは、新生銀行のシステムエンジニアだったアビナッシュ・シャルマ容疑者(32)です。
外部から70回不正アクセスして2600ファイルを削除したそうです・・・
シャルマ容疑者は、今年2月から3月にかけて新生銀行の社内ネットワークにおよそ70回不正アクセスした上、およそ2600件のファイルを勝手に削除するなどしてシステムを破壊。15時間にわたって全面停止させ、業務を妨害した疑いが持たれています。
http://news.tbs.co.jp/newseye/tbs_newseye3901214.html
ID管理はしっかりと!!!
シャルマ容疑者はインドから新生銀行に去年まで3年間派遣されていましたが、その際に使っていたIDなどを悪用して不正アクセスしていました。
http://news.tbs.co.jp/newseye/tbs_newseye3901214.html
5分で絶対に分かるマインドマップ − @IT自分戦略研究所
マインドマップって始めると、結構はまりますよね。一人ブレーンストーミング+図式化ですから
言葉を時系列に個条書きにする一般的なノート記法とは異なり、まず中心に主題を配置し、そこから関連するキーワードやイメージを放射状に広げていく方法を取ります。
5分で絶対に分かるマインドマップ (1/6):5分で絶対に分かる - @IT
人間の思考パターンに合わせて開発されたマインドマップは、自由な発想を促し、ブレインストーミングに最適なツールであるといえます。そのためコンサルタントやプランナーなどを中心に広まっていますが、本来は職種や業種を問わずに利用することができるものなのです。
発想を整理して、抜けを見つけることが出来ますよね。
会議の発言内容を整理して、抜けや、宿題をチェックしたり便利です。
欠点は、書いた本人は理解できるけど、他人は理解しにくい、議事録にならない感じでしょうか
マインドマップは、「発想を整理するツール」であるといえます。頭の中にあることを1枚の紙に書き出すことで、そこから発想を広げることができるからです。
5分で絶対に分かるマインドマップ (2/6):5分で絶対に分かる - @IT
思い付いたことから書けるシンプルさと、連想ゲームのように単語をつなげていく書き方が、思考を止めずにアウトプットしていくという作業に向くのです。
議事メモで俯瞰したマインドマップかぁ、本当に上でも書いたけど、自分とやり方、考えを理解してくれている人ならOK
上の人とかで、結論!!!結論!!!みたいな人には無理w
マインドマップを活用することで、全体を俯瞰しながら作成できますし、漏れを発見しやすく精度向上につながるというメリットもあります。
5分で絶対に分かるマインドマップ (5/6):5分で絶対に分かる - @IT
また、マインドマップをプロジェクトの定例会議の議事メモに活用することもできます。
重要なプロジェクトの正式な議事録では、書式や体裁なども重要になるため、マインドマップで記録し保管するわけにはいかないかもしれません。
しかしながら、プロジェクトのメンバーとして自分に関係するタスクを把握するには、正式な議事録のほかに「議事メモ」として手元に会議の内容を記録しておく必要があると思います。
定期的に会議が開催されるプロジェクトにおいて、過去の会議での発言内容や決定事項をすぐに確認できる状態にしておくことは、非常に便利です。また、プロジェクトの途中で参加したメンバーにこれまでの経緯を伝える際にも役立ちます。
マインドマップであれば、過去に記録した一連の議事メモを1つの枝にまとめておき、必要に応じて枝を展開することで、すぐに会議の内容を確認できます。
Javaバッチフレームワークで多重実行、非同期実行 (1/3) - @IT
Javaバッチフレームワークのお話です。xxx.shとかxxx.batだけで動かすのでは限界か?!w
このフレームワークで指定して、jobPostLogicListとか指定すると順番が設定できるんだw
バッチ処理では、大量件数データの処理を限られた時間で処理する必要があるときに、ジョブの多重化を行うことが一般的です。「ジョブの多重化」とは、あらかじめジョブスケジューラなどに同じジョブを複数個登録し、それらを同時に実行することでバッチ処理全体のスループットを向上させる手法のことを指します。
Javaバッチフレームワークで多重実行、非同期実行 (1/3):Javaバッチ処理は本当に業務で“使える”の?(4) - @IT
Javaでのバッチフレームワーク、結構使えるレベルなんですかねぇ。
バッチ処理をJavaで実装するということはまだまだ事例としては少ないと思いますが、オープンソースのフレームワークが出てきはじめていることからも伺えるように、徐々に一般的になってきています。その背景には、Javaの性能向上や、Java技術者の拡大、Web/バッチを統一的に扱うことによるコスト削減の要求、運用・保守性を向上したいという要求があります。これらを踏まえると、今後ますますJavaを利用したバッチ処理は一般的なものになっていくと考えられます。
Javaバッチフレームワークで多重実行、非同期実行 (3/3):Javaバッチ処理は本当に業務で“使える”の?(4) - @IT
つまり、Javaによるバッチ処理は業務で“使える”ようになってきた、といっても過言ではないでしょう。本連載を通して1人でも多くの人がバッチ処理の現状とJavaという新しいアプローチに興味を持っていただければ、幸いです。
貸金業者紹介のサイトで:金融庁をかたったサイトに注意 現在は「金融庁」の表記削除 - ITmedia エンタープライズ
金融庁をかたった貸金業者の比較サイトってのが出ていたらしいですが、今度は金融庁の文字を削除してアップデートされているみたいですw
金融庁をかたったWebサイトは、貸金業者の情報を扱っている「キャッシング比較」。Webサイトのタイトルを「金融庁」、サイト内のメニュー名を「大手金融庁」「裏系金融庁」などと表記して、ユーザーをあざむくような見せ方をしていた。
金融庁をかたったサイトに注意 現在は「金融庁」の表記削除 - ITmedia エンタープライズ
同サイトは現在サイト名を変え、サイト内にあった金融庁という表現を削除している。金融庁には「1週間前くらいにユーザーからの通報があった」(金融庁監督局総務課金融会社室)。同庁と関係のないWebサイトであることを知らせるために注意を呼びかけたという。
「北京五輪中止」で釣るStorm Wormの新たな手口、G DATAが注意
北京五輪中止と記載されたStormWormが出ているそうです。
StormWormさん結構がんばって、流行りに対応していますねぇ。。。
G DATA Softwareは16日、「北京五輪中止」と偽り、「Storm Worm」に感染させようとする英文メールが大量に出回っているとして注意喚起した。Storm Wormに感染したPCは、ボットネットの一部に組み込まれる恐れがあるという。
「北京五輪中止」で釣るStorm Wormの新たな手口、G DATAが注意
この英文メールは、「Beijing Olympics cancelled, move to Atlanta(北京五輪中止、アトランタ開催へ)」という件名で送られている。メール本文に記載されたURLのリンク先はポルノ動画サイトで、動画を見るためには「Video ActiveX Object」が必要であるというエラー画面が表示されるという。
StormWorm+ポルノ!!!!エロ強すぎw
活発化するStorm WormについてG DATAは、「犯罪者は誰もが興味をひきそうなニュースやポルノ動画を『餌』にして、マルウェアの感染率を上げ、自分たちのボットネットの拡張に励んでいる」と説明。ユーザーに対しては、セキュリティ対策ソフトを導入するとともに、怪しいメールを削除することを推奨している。
「北京五輪中止」で釣るStorm Wormの新たな手口、G DATAが注意
メールの96.5%は「迷惑メール」、まともなメールは28通に1通だけ:ニュース
まともなメールが28通に1通ですか・・・
セキュリティ企業の英ソフォスは2008年7月15日、2008年第2四半期(4月から6月)における迷惑メール(スパム)の送信状況などを公表した。同社によれば、迷惑メールの割合は96.5%で、2008年第1四半期の92.3%から増加。正規のメールは、28通に1通しかなかったことになる。
メールの96.5%は「迷惑メール」、まともなメールは28通に1通だけ | 日経 xTECH(クロステック)
メール+αで何かしないと、メール終了なのかなぁ・・・・
ソフォスによれば、2008年第2四半期に観測したメールの96.5%は迷惑メールであり、正規のメールはわずか3.5%(28通に1通)だったという。このため同社では、「多くの企業では、顧客や取引先からのメールが迷惑メールにまぎれてしまうので、何らかの対策を施さないと、メールをビジネスに利用することが難しくなっている」と強調。
メールの96.5%は「迷惑メール」、まともなメールは28通に1通だけ | 日経 xTECH(クロステック)
NHKニュース 京都 祇園祭「宵山」にぎわう
本当ににぎわってたみたいですねぇ。
山や鉾を見ようと、浴衣姿の若者や観光客など大勢の人でにぎわいました。訪れた人たちは、「コンチキチン」の祇園囃子が鳴り響くなか、厄よけのちまきを買ったり山や鉾の写真を撮ったりして伝統の祭りを楽しんでいました。
http://www3.nhk.or.jp/news/t10015948471000.html#
今日は山鋒巡行ですねぇ。そういえば、僕の友達も東京からバスで行ってるはず。
17日は午前9時から祭りのハイライト「山鉾巡行」が行われ、32の山や鉾が都大路を練り歩きます。
http://www3.nhk.or.jp/news/t10015948471000.html#
パターンアップ-5.413.00
Trendmicroのパターンがアップしました。
パターン番号:5.413.00
イエローアラート:なし アップデート理由:定期アップデート 新規対応 特筆なし 亜種対応 MS06-040 TROJ_DCOMRPC.AI イエロー TROJ_ZLOB.LN
パターンアップ-5.415.00
Trendmicroのパターンがアップしました。
パターン番号:5.415.00
イエローアラート:なし アップデート理由:JS_IFRAME.ABJ緊急対応 新規対応 緊急対応 JS_IFRAME.ABJ 亜種対応 特筆なし
