2009年8月アーカイブ

とりあえずAES使っとけ、ということで・・・

無線LANセキュリティ技術として利用されているWPAだが、より安全なシステム構築のためには早々にWPA2へと移行が必要かもしれない。
日本の2人の研究者の発表によれば、同氏らが開発した手法を使えばWPAを利用したいかなるシステムであっても、1分とかからずに突破が可能だという。WPAの前身となるWEPの解読が数秒程度で可能なことはすでに知られているが、WPAもまたその脆弱性が明らかになりつつあるようだ。
今回の研究を発表したのは広島大学の大東俊博氏と神戸大学の森井昌克氏の2名で、8月6-7日に台湾で開催されたJWIS 2009 (Joint Workshop on Information Security 2009)の学会でその詳細が公開されている。JWIS 2009のサイトでその論文「A Practical Message Falsification Attack on WPA 」の内容が確認できる。
鍵長が短く、通信中に鍵の内容が変化しないWEPは潜在的な脆弱性を抱えていることは早期から知られており、その数々の問題を解決すべく実装が行われたのがWPAでサポートされている「TKIP (Temporal Key Integrity Protocol)」という方式だ。
TKIPの暗号化方式自体はWEPと同じものだが、鍵長が長くなっているほか(128bit)、一定時間ごとに鍵の内容が変化し、さらにパケット改竄やアクセスポイント偽装に対抗するためにMIC (Message Integrity Check)という64bitのメッセージダイジェストが追加されている。
WPAは無線LANのセキュリティ標準であるIEEE 802.11iの実装の一部であるとされ、より強力な暗号方式であるAES (Advanced Encryption Standard)を搭載したWPA2をサポートする機器が、802.11i標準準拠の製品として市販されている。これが802.11i、WPA、そしてWPA2の関係だ。

翻訳精度云々の話はありますが、お手軽に翻訳して大まかな流れを掴める、しかも無料で、って点では秀逸なんじゃないかと。良い世の中になったものだ。後は音声自動翻訳機が出てくれることを・・・

 米Googleは8月27日、Google Docsに翻訳機能を導入した。
 Google Docsの「ツール」メニューから「Translate document」を選択すると、文書を丸ごと自動翻訳できる。対応言語は日本語も含めて42言語。どの言語に翻訳してもレイアウトは保持されるという。
 機械翻訳のため訳文には不自然な点もあるが、Googleは「われわれは絶えず翻訳品質の改善に取り組んでいる」と述べている。

これが本当なら超危険。。。

 Twitterには深刻な脆弱性があり、ユーザーが特定のつぶやきを見ただけでアカウントを乗っ取られてしまう恐れがある――。英国のSEO情報ブログにそんな情報が掲載された。
 この情報は、SEOサービスの専門家デビッド・ネイラー氏のブログに8月25?26日に掲載された。それによると、脆弱性はサードパーティーのアプリケーションに起因する。Twitterのつぶやきは、例えばTweetDeck、TwitterFox、HootSuiteといった専用アプリケーションから投稿することもでき、この場合は使われたアプリケーション名がつぶやきの下に表示される。
 しかしこの部分は、外部のアプリケーション開発者がTwitterのフォームに入力した内容がそのまま反映され、例えばHTMLコードやJavaScriptのscriptタグでさえも表示させることができてしまうという。これを悪用すれば、ユーザーを別のページに誘導したり、ユーザーのアカウント情報を変更させたり、フォロワーを削除するといったことができてしまうとブログ筆者は解説する。
 Twitterは、Webアプリケーション開発において、外部から提供されたデータを盲目的に信頼するという基本的な過ちを犯したと筆者は断言。Twitterでは指摘を受けて問題を解決したとしているが、同社の取った措置では解決になっていないとブログ筆者は反論している。

Chromeがバージョンアップしました。4件の脆弱性に対応したようです。

 米Googleは8月25日、ブラウザ「Google Chrome」の脆弱性を修正したアップデート版のバージョン2.0.172.43をリリースした。
 Googleのブログによると、Chrome 2.0.172.43では4件の脆弱性およびセキュリティ問題に対処した。このうち3件は、深刻度が4段階で上から2番目に高い「High」となっている。
 V8 JavaScriptエンジンの脆弱性は、Webページ上で細工を施したJavaScriptを使って悪用される恐れがあり、場合によってはデータが流出したり、攻撃者に任意のコードを実行されたりする恐れがある。
 libxml2にかんする2件の脆弱性では、攻撃者が不正なXMLを使ってGoogle Chromeのタブプロセスをクラッシュさせ、Sandbox内部で任意のコードを実行できてしまう。
 もう1件のセキュリティ問題は、MD2またはMD4のハッシュ関数アルゴリズムによる証明書を使うHTTPS(SSL)サイトの安全性が不十分だとして、アクセスできないようにする措置を取った。

なったそうです。ようやく・・・

本日より Google 検索で、検索結果のウェブページについて作成日時で絞り込みを行うことができるようになりました。 「最近 1 年以内」、「最近 24 時間以内」といった固定期間での絞り込みは以前から可能でしたが、今後は「1999 年」や「2008 年 4 月 26 日から 2008 年 5 月 6 日」といった、任意の期間を指定することができます。
ためしに先程のクイズの答えを検索してみてください。 「液晶モニター 価格」で検索して、検索結果ページ上部の「+検索ツールを表示」というリンクから「日付を指定」というオプションを開き、「開始日」と「終了日」それぞれに「1999 」と入力してその下の検索ボタンを押すと、下のような検索結果が得られます。

とりあえず始まったらしい。

 ミクシィは8月24日、SNSサイトのmixiでソーシャルアプリケーション「mixiアプリ」の提供を開始した。PC版から提供開始し、9月下旬のグランドオープンで、モバイル対応版も提供を開始する予定という。また、企業がmixiと協業してmixiアプリを提供する「コラボアプリ」も開始。すでにアフラック、ナイキ、JTなどがコラボアプリの提供を開始しているという。

Delphiを使ってる人は要注意ってことで・・・

 オンラインソフトのダウンロードサイト「Vector」で公開されていた一部ソフトに、プログラム開発環境「Delphi」を狙ったウイルス「Induc」が感染していたことがわかった。Vectorが対策を実施した21日20時40分時点で公開されていたソフトのうち、1人の作者が開発した7タイトルに感染していたという。
 ウイルス感染が確認されたのは、「BellTheCat 3.60/3.61/3.62」(ダウンロード数14件)、「BOB 3.22」(同13件)、「Clips 8.61」(同15件)、「HiG(BeS Tools)4.00」(同28件)、「kOSU 1.41/1.42」(同13件)の7タイトル。いずれも1人の作者が開発したもので、7タイトルに含まれる12ファイルへのウイルス感染が確認された。
 また、24日1時20分、詳細な検査を実施した結果、23日まで公開されていた「PicBack」(同188件)と「PickBack2」(同29件)の2タイトル・2ファイル、6月16日から8月5日まで公開されていた「Wise Disk Cleaner 4 Free4」(同8423件)と「WiseRegistryCleanerFree」(同2517件)の2タイトル・7ファイルにも感染の疑いがあることが判明した。
 Vectorは収録するソフトについて、「ウイルスバスター」「ノートンアンチウイルス」「McAfee VirusScan」の3種類のセキュリティソフトでウイルス検査を実施した上で、公開していた。しかし、ウイルス感染が確認されたソフトは8月17日までに公開したもので、各セキュリティソフトのウイルス定義ファイルが当該ウイルスに対応したのが8月18日以降だったため、公開時には感染を確認できなかったとしている。
 また、感染の疑いがあるとしたソフトについては、Vectorが数十種類のスキャナーでウイルス感染の有無を調査したもの。Vectorによれば、一部のスキャナではウイルス感染の恐れがあるという結果が出たものの、「現時点では『ウイルス』と判断できるレベルの調査結果が出ていない」ことから、「感染の疑いがある」として発表したという。

らしい。Gmailって登録はしてあるけどほとんど使ってないな(笑

「Gmail 以外の Web メールに保存してあるメールや連絡帳を、まとめて Gmail へインポートしたい」 「今使っている Web メールから Gmail に乗り換えたい」 とお考えの皆様にうれしいお知らせです。
@hotmail.com、@aol.com などの Web メールに保存されているメール・連絡帳を、Gmail へ簡単にインポートする機能が、全ての Gmail ユーザでご利用できるようになりました。サポートされているメールプロバイダの一覧など、詳細についてはこちらをご覧ください。なお、このリストに含まれていない @yahoo.co.jp などの Web メールでも、全く同じ手順でメールのインポートができるようになっています(連絡帳のインポートは非対応。必要に応じて事前に POP の設定を行う必要があります)。

されました。便利そうではありますが、使い方を間違えると不味いことになる人がいるんじゃ、みたいな(笑

 米Twitterは8月20日、ユーザーの「つぶやき」に発信場所情報を付加する機能を追加する計画を発表した。まずはサードパーティーの開発者に新APIを提供する。
 これまでもサードパーティーによる幾つかの位置情報機能はあったが、ユーザーのアカウント情報を利用したリアルタイムではないものがほとんどだった。だが新APIはつぶやきにリアルタイムの緯度と経度の情報を付加できるようにするという(具体的な方法については公式ブログには明記されていない)。なお、この機能はユーザーが選択しないとオンにならないオプトインで提供する。
 同社はまずサードパーティーの開発者にこのAPIを提供し、Twitter用モバイルアプリなどでの位置情報機能の実現を先行させる計画。その後TwitterのモバイルサイトおよびTwitter.com本体にもこの機能を追加するとしている。

とうとうMT4.31が。いい加減にバージョンアップしないとなぁ・・・

Movable Type 4.31 では、PHP/ASPでページ分割機能を利用する場合のセキュリティ対策等に加え、いくつかのバグが修正されています。
セキュリティ対策については、archive_type パラメータが存在する場合のみ、template_id パラメータを許容し、拡張子が php かasp である場合は、template_id パラメータの使用を許可しないようになりました。ただし、新たに追加された環境変数 SearchAlwaysAllowTemplateID により、常に template_id を使用することが可能です。
また、ブログ記事編集画面のアイテム管理部分がなんとなくローカライズされました。

何だろうと思ってたら引用ってことだったのね。

Twitterは日々進化を続けている。公式機能としてのRTの実装や新たなトレンド分析サービスの台頭はユーザーの働き掛けから広がったものだ。一方で選挙活動において政治家はTwitterを使えなくなるなど、問題も見えてきた。8月中旬のTwitter動向を振り返る。

正式公開されたようです。これを使ったspamが増えなきゃ良いんですけど・・・

 グーグルは米国時間の8月19日、「Google Apps Script」を正式にリリースしたことを発表した。Google Apps PremierおよびEducation Editionのユーザーが利用できる。
 Google Apps Scriptは、Google SpreadsheetsやGoogle Docs、カレンダーといった各アプリケーションのさまざまな機能を自動化し、カスタム機能を作成することができる。スクリプトは、Google Spreadsheetsに用意されたスクリプトメニューからScript Editorを呼び出し、JavaScriptで記述する。同社は5月にこの機能のパイロット版を公開していた。
 Google Apps Scriptを活用すると、例えば、Spreadsheets上のボタンを押すだけでメールを送信したり、入力された数値の単位を変換するといった作業を自動的に実行できる。Googleがブログで紹介した例では、経費申請/承認処理作業にGoogle Apps Scriptを活用し、入力漏れなどがある場合は「要審査」とフラグを立ててワークフローと連動させることが可能という。
 また、スクリプトによるタスクの自動化は珍しくないが、Google Apps Scriptの場合は、外部のWebサービスなどと連動することで、より応用範囲が広がる点が特徴だ。上記の例では、外貨の精算については、外部のWebサービスを呼び出して当時の為替レートを調べるといった応用が可能という。

Namazuって名前、久しぶりに聞いた。古いバージョンには脆弱性があるそうなので、対象の方はバージョンアップを。

 情報処理推進機構(IPA)は8月20日、オープンソースの日本語全文検索システム「Namazu」のユーザーを対象に、バージョンアップを求める注意喚起を行った。既知の脆弱性を抱えた旧バージョンを使用しているサイトが多数あるという。
 IPAによると、2008年以降にインターネット利用者などから、脆弱性に対処したバージョンが公表されているが、Webサイト運営者がそのバージョンを適用していないのではないかという内容の届出が増加している

これは便利そうだ。

共有フォルダへのアクセスを監視し、利用状況を教えてくれるネットワーク管理ソフト。
「FAccLog Free」は、Windowsネットワークで使われるフォルダ/ファイルの共有を監視・記録するためのソフト。ネットワーク経由でアクセスしてきたユーザの名前やアクセスの内容などを自動的に記録し、表示する。共有フォルダへのアクセスを記録することで、情報漏洩やファイルの不正利用などを監視できるようになる。
記録されるのは、
  • アクセスしてきた日時
  • アクセスしてきたユーザ名(ユーザアカウント)
  • アクション
  • アクセス元のコンピュータ名またはIPアドレス
  • アクセス対象となったファイル/フォルダのパス
  • 操作(アクセスの内容)

などの情報。「アクション」は、共有に「接続した」「アクセスした」「ログオフした」など、ネットワーク経由でユーザが何を行ったかという状況のこと。「操作」は、そのファイルが新規作成されたのか、参照されたのか、削除されたのかといった、ファイルに対する操作内容を示すもの。これらの情報を総合すれば、共有フォルダ/ファイルに対して誰が何を行ったのかを把握することが可能だ。

SQLインジェクションによるwebサイト攻撃が急増中だそうだ。気をつけねば。

 独立行政法人情報処理推進機構(IPA)は8月17日、ウェブサイトの改ざんやウェブサイトからの機密情報の漏えいなど深刻な被害が頻発していることから、2008年5月に続き再度、注意喚起を発表した。
 IPAが公開している「脆弱性対策情報データベースJVN iPedia」について、2009年4月から7月までのアクセスログを「SQLインジェクション検出ツールiLogScanner」で解析したところ、2008年激増したSQLインジェクション攻撃が6月頃から再び急増していることがわかったという。攻撃と思われる痕跡は、4月の21件に対して7月は534件と、約25倍に増えている。また、ディレクトリトラバーサルの脆弱性を狙った攻撃も継続している。
 この現状からIPAは、ウェブサイト運営者に対し、ウェブサイトがどれほどの攻撃を受けているのか、また攻撃によって被害が発生していないか、常に状況を把握し対策を講ずることが必要と警告している。ウェブサイトの脆弱性を検査し、脆弱性がある場合は早急に脆弱性対策をするよう呼びかけている。
 現状の把握のために、IPAではウェブサーバのアクセスログ調査ができる無料ツール「iLogScanner」を配布している。このツールによって、ウェブサイトが日頃どれだけの攻撃を受けているか、また、攻撃が成功した可能性があるかを解析できるという。ただし、簡易ツールであるため攻撃が検出されなくても脆弱性が存在する可能性はある。

なんだそうだ。もっと多いと思ってたのでちょっと意外。ま、意味のある投稿なんてしようと思ったら続かないしー(笑
やっぱり意味のあることを書き続けられるライターさんって偉いと思うの。

 Twitterの投稿の約4割は、自分が何をやっているかを書くだけの意味のないつぶやきだ。Web調査会社Pear Analyticsがこのような調査結果を報告した。
 同社はTwitterの投稿をランダムに抜き出して、その内容を調査した。調査は2週間(ただし平日のみ)、午前11時から午後5時まで30分おきに実施した。合計で、公開されているタイムラインから2000件のメッセージ(英語)を抽出した。
 これらのメッセージを「ニュース(CNNなどメインストリームのニュース)」「スパム」「宣伝(企業の宣伝)」「意味のないつぶやき(「今サンドイッチ食べてる」のような投稿)」「会話(ほかのTwitterユーザーとのやりとり)」「転送(RT)」の6つのカテゴリーに分類したところ、最も多かったのは意味のないつぶやきで、40.55%を占めた。次に多かったのは会話で37.55%、3番目は転送で8.7%だった。以下、宣伝(5.85%)、スパム(3.75%)、ニュース(3.6%)と続く。

ちょっと気をつけないといけませんね。。。

 Adobe Flashを使ってネット上のユーザーの行動を追跡し続ける「秘密cookie」を利用するサイトが増えているという。米カリフォルニア大学バークリー校などの研究チームがこのほど論文を発表した。
 「Flash cookie」は通常のcookieとは異なり、ブラウザのセキュリティ設定ではコントロールできないという。研究チームが大手サイトによる同cookieの利用実態について調べたところ、調査対象としたサイトの半数以上がFlash cookieを使ってユーザー情報を保存していることが判明した。
 中にはユーザーが削除したHTTP cookieを、Flash cookieを使って復活させているケースもあった。しかしその存在についてはサイトのプライバシーポリシーでもほとんど触れられておらず、ユーザーがプライバシー設定をコントロールする手段は存在しないという。
 SANS Internet Storm Centerはサイトやニュースレターでこの論文について触れ、Flash cookieをブロックできるアドオンとして、Firefox向けの「Better Privacy」を紹介している。

これを使えば分かるらしい。とりあえず困ったらこれを使え、ってことで。
ほんとはWindowsのタスクマネージャーがこのぐらいの機能を持ってたら何も迷うことはないんですけどね。

タスクマネージャでよく見かける「svchost.exe」が一体何なのか気になっている人も多いと思いますが、このフリーのオープンソースソフト「Process Hacker」を使えば各プロセスやサービスの正体がわかるだけでなく、CPU使用率やネット経由で通信しているかどうかなども把握できるようになります。Windows標準のタスクマネージャと入れ替えることも可能で、かなり細かい各種情報が取得できるため、非常にお役立ちです。タスクトレイにCPUやメモリなどのグラフを常に小さく表示させることもでき、監視間隔を短くすることで普通では把握できないプロセスなども捕まえることができます。

えーっと、警戒しろと言われても何もできないんですが・・・

 それによると、DHAは特定のドメインあてに無作為の件名や内容のメールを何通も送りつける攻撃のこと。受信側の電子メールサーバを通過したアドレスはすべて有効と見なされ、スパム送信用のアドレス帳データベースに登録されてしまう。
 DHAで収集されたアドレスにはスパムやマルウェアが次々に届くことになりかねない。さらに、攻撃により負荷が発生してメールサーバのシステムリソースを大量消費してしまう恐れもあるとして、Symatecは警戒を呼び掛けている。ckquote>

MACがPowerPCをやめてAdobeも対応しない方針を決定したそうです。これでもう終わりかなぁ。

 アドビシステムズは8月13日、PhotoshopやDreamweaverなどを含むクリエイティブ向けソフトウェア製品群「Creative Suite」(CS)で、将来バージョンではPowerPCを搭載したMacintoshはインストールサポートをしない方針を決めたと発表した。今後、MacintoshはIntel製プロセッサ搭載モデルのみ対応する。
 米Appleが、9月に発売予定のMac OS X 10.6(Snow Leopard)以降のOSでPowerPCに対応しない方針を発表したのを受けて決定したとしている。

iGoogleにSNS機能が追加されたらしい。

 米Googleは8月12日、パーソナライズドホームページのiGoogleにソーシャル機能を追加したと発表した。まずは19本の「ソーシャルガジェット」を公開し、友人のアクティビティをフィードする機能「Updates」を追加した。
 ユーザーはソーシャルガジェットをiGoogleに追加することで、同じガジェットを使っているiGoogleユーザーとチェスなどのゲームをしたり興味のあるニュースについて情報を共有したりすることができる。例えば「ToDo」では家族やグループでタスク管理を共有できる。ガジェットを共有するかどうかは簡単に設定でき、ガジェットを共有したい相手を招待したり、共有する範囲を設定することが可能。

9件中緊急が5件だそうです。緊急多すぎ・・・

 Microsoftは米国時間8月11日、9件の修正パッチを公開した。そのうち5件は「緊急」レベルで、「Windows」などのソフトウェア製品の脆弱性を修正するものだ。
 9件のパッチは、Windows、「Windows .NET Framework」「Microsoft Office」「Microsoft Visual Studio」「Microsoft ISA Server」「Microsoft BizTalk Server」「Remote Desktop Connection Client for Mac」の19件の脆弱性に対処している。
 今回対応した脆弱性の中には、Microsoftが2009年7月に警告した、「Office Web Components」に関係する脆弱性も含まれている。同コンポーネントは、スプレッドシートやチャートなどのドキュメントをウェブ上に掲載するのに使用される。Microsoftは今回の発表で、この脆弱性を突いた攻撃をすでに確認していると述べた。影響を受けるのは、「Office XP」「Office 2003」「Internet Security & Acceleration Server 2004」および「同2006」「Office Small Business Accounting 2006」だという。

TypePadリニューアル、だそうです。

ブログ・ソフトウェアおよびサービス大手のシックス・アパート株式会社(本社:東京都港区、代表取締役:関 信浩)は、個人向けブログ・サービス「TypePad(タイプパッド)」を機能強化し、本日リニューアルしました。本日より個人のお客様向けに先行してサービスを提供開始し、法人のお客様へは年内の提供を予定しています。

SSLが使えないならせめてこのぐらいはやれ、ということで。

 jCryptionは、HTMLフォームデータ(POST/GET-Data)を暗号化するプラグイン。RSAアルゴリズムとjQueryを利用してクライアント側でデータを暗号化する。解読は、サーバー側でPHPを利用して行う。
 SSLがない状態でもデータを高速かつシンプルに暗号化できることが特徴だが、認証の機能がないことなどから、SSLの代わりにはならないとしている。土台レベルのセキュリティ提供を目指すという。
 「Internet Explorer 6」以上、「Mozilla Firefox 3」以上、「Opera 9」以上、「Safari 3」、「Google Chrome」で動作確認済みとのこと。
jCryption.org
http://www.jcryption.org/ Google Codeの「jCryption」プロジェクトページ
http://code.google.com/p/jcryption/

下手にVistaで貯め込んだゴミを残したままアップグレードするより、さっくりHDDフォーマットしてクリーンインストールした方が良さそうな気がするのは気のせいだろうか?
しかし66分の14ってひどいな(w

 Wall Street Journalのコラムニスト、ウォルト・モスバーグ氏が、Microsoftから入手した「Windows 7へのアップグレード一覧表」を公開。この表では、Windows XPおよびVistaからWindows 7の各エディションにアップグレードするときに、「In-Place Upgrade」か「Custom Install」のどちらのアップグレードプロセスになるかを示している。In-Place Upgrade(緑)の場合はファイルや設定、プログラムを保持したままアップグレードでき、Custom Install(青)はクリーンインストール(HDDの中身を消してWindows 7をインストールする)が必要になる。66のアップグレードパターンのうち、In-Place Upgradeが可能なケースは14しかない。

Javaスクリプトの修正だそうです。忘れないうちに入れ替えようっと。

小粋空間: 休日表示付リアルタイムカレンダープラグイン for Serene Bach 修正

皆さん大変ですなぁ・・・

 8月6日朝に集中的なサービス妨害(DoS)攻撃を受けて一時ダウンしていた米Twitterでは、1日経過した7日もまだ修復作業が続いている。Twitterの共同創設者ビズ・ストーン氏が7日、公式ブログで状況を説明した。
 今回の攻撃は多様で大規模なものであり、これに対処するためにシステムを調整しすぎた。サービスはおおむね復旧したものの、Twitterのプラットフォームで稼働するアプリケーションの幾つかが同社の防御策の影響を受けており、現在それらのアプリケーションを修復しているという。

SSL通信時の情報漏えいなどに対処したそうです。

 今回のバージョン5.1.4では、Firefox 3.5.2と同じ最新のGeckoエンジン(バージョン 1.9.1.2)を搭載。「証明書の正規表現パースにおけるヒープオーバーフロー」 「SSLで保護された通信の情報漏えい」などの問題に対処したという。

なるらしい。とりあえずDeveloper向けだけど(w

 米Googleは8月1日、Webブラウザ「Google Chrome」の開発者向けバージョンに、複数のPCで稼働するGoogle Chromeのブックマークを同期する機能を追加すると発表した。将来的にはブックマーク以外のユーザーデータの同期も可能にする計画という。
 データはGoogleのサーバに保存され、Googleアカウントでアクセスする。1つのブラウザでブックマークを変更すると、サーバにアクセスしているすべてのブラウザに反映される。サーバにアクセスせずに行った変更は、次にアクセスしたときに反映される。リアルタイムの反映を実現するため、XMPPベースで稼働しているGoogle Talkサーバを利用する。

脆弱性の対応だけじゃなく、パフォーマンスの改善も行われているらしい。

 米Sun Microsystemsは8月4日、Javaの更新版となるJDK/JRE 1.6.0_15(6 Update 15)をリリースした。
 Java SE 6のリリースノートやSunのセキュリティブログによると、1.6.0_15では多数の脆弱性を解決するとともに、パフォーマンス改善などのバグ修正が盛り込まれた。脆弱性については8件のアラートを公開して詳しい情報を掲載する予定。
 JDK/JRE 5.0 Update 20、JDK/JRE 1.4.2_22、JDK/JRE 1.3.1_26もリリースされた。

まさかこんなのに騙される人もそうそういないとは思いますが・・・

 Windowsのブルースクリーンに見せかけた画面でユーザーをだまして有料のソフトを買わせようとする新手のマルウェアが見つかった。セキュリティ各社がブログで伝えている。
 米Sunbelt Software英Sophosによると、このマルウェアはセキュリティソフトを装ったトロイの木馬の1種。感染するとWindowsの壁紙を変えてしまい、重大なトラブルが起きた場合に表示されるブルースクリーンに見せかけた画面を表示する。次いで英語の警告メッセージを流し、「あなたのコンピュータはスパイウェアに感染しています」などの文言で脅してシステムのスキャンを迫る。
 最終的には、マルウェアを削除するためと称して有料の偽セキュリティソフトを購入させられる。今回の手口ではブルースクリーンを使っているためだまされやすいが、Sophosなどはマルウェア作者の狙いが金銭をだまし取ることにあるのは明らかだと指摘している。

3件の脆弱性に対処したFirefox3.5.2がリリースされました。3件中2件は危険度が最高レベルですので早々にアップデートを!

 Mozilla Foundationは、Firefoxブラウザの更新版「Firefox 3.5.2」をリリースした。Mozillaのセキュリティアドバイザリーによれば、3件の脆弱性が存在し、このうち2件が危険度「最高」に分類している。
「証明書の正規表現パースにおけるヒープオーバーフロー」(MFSA 2009-43)の脆弱性は、悪用されると攻撃者に任意のコードを実行される恐れがある。ただし、Firefox 3.5にアップデートしていれば影響を受けないという。
 「SSLで保護された通信の情報漏えい」(MFSA 2009-42)の脆弱性では、SSLクライアントと、サーバ証明書を発行する認証局(CA)との間でドメイン名の扱いに食い違いがあることが発覚。攻撃者がクライアントとサーバ間の暗号化された通信を傍受したり、改ざんしたりすることができてしまう恐れがある。この2件の脆弱性は、MozillaのThunderbirdとSeaMonkeyにも影響する。
 残る1件(MFSA 2009-38)は、特定のSOCKS5プロキシからの応答受信にまつわるデータ破損問題に対処したもので、危険度は4段階で最も低い「低」となっている。

これはありかも。10ルーメンでも部屋を暗くしたらちゃんと見えるんでしょうね。Niconきたー、って感じですな。

 ニコンは8月4日、小型プロジェクターを内蔵したコンパクトデジタルカメラ「COOLPIX S1000pj」を発表した。本体の前面中央にLED光源の小型プロジェクターを内蔵。撮影した画像をその場で壁などに投映して仲間や家族と楽しめる。9月発売予定で、価格はオープン。店頭では5万2000円前後になる見込みだ。
 プロジェクターを操作するリモコンとプロジェクタースタンドが付属。「プロジェクターボタン」を押せば、撮影した静止画や動画を投映できる。内蔵プロジェクターの解像度はVGA相当で、明るさは10ルーメン。5型(投映距離は26センチ)から40型(同2メートル)まで拡大投映できる。また、写真に音楽やキャラクターなどの効果をつけたスライドショーを再生することも可能だ。

これは面白いかも。しっかし色々考えつくもんですなぁ。

 「読んだ4!」は、Twitter上の分身である"yonda4″ユーザーに向けて、twitter上で書名をつぶやく。たとえば、
@yonda4 断る力
とぶつやいたり、
@yonda4 断る力 面白かった
のように感想を付け加えると、自分のページに自分の読書履歴が表示される。読書履歴はAPIにて取り出すこともできるほか、有志のユーザーによるブログパーツ、ブックマークレットなども開発されている。
 開発運営者のAkky 秋元氏は、サイボウズ・ラボのブロガーとして、「アルファブロガー2006」を受賞したほか、日本のウェブを海外に紹介する英語ブログ「アジアジン」や比較表コミュニティ「ならべて.com」などの運営でも知られている。

脆弱性を修正したリリースです。

 米Adobe Systemsは7月31日、Adobe ReaderとAcrobatの最新版となるバージョン9.1.3をリリースし、深刻な脆弱性に対処した。前日にFlash Playerの更新版をリリースしたのに続く措置。
 Adobe ReaderとAcrobatの最新版では、9.1.2までのバージョンに存在するメモリ破損の脆弱性を解決した。この問題を突かれた場合、悪質なSWFファイルを組み込んだPDF文書をユーザーが開くと、攻撃者が任意のコードを実行できるようになる。
 AdobeはReaderとAcrobatのパッチを四半期に1度の定例公開とする方針を決め、6月から実行している。しかし、今回の脆弱性はAdobeが対処する前に情報が公開されてゼロデイ攻撃も発生していたことから、臨時パッチの公開に踏み切った。次回定例パッチは10月13日にリリースする予定。
 Adobe Reader 9.1.3とAcrobat 9.1.3は、Windows、Mac、UNIXの各OS版が用意されている。ReaderをAdobeのサイトからインストールした場合は、最初に立ち上げた時点でAdobe Updater技術を使って最新版に更新される。既存ユーザーはヘルプ画面から「アップデートの有無をチェック」をクリックして確認できる。

数億ドルって景気の良い数字が出てますが、こんなの出してしまったらあきませんな。
しかしオソロシイ時代になったもので・・・

 見せたくない「PowerPoint」スライドが間違って人の目に触れてしまったら、あなたならどんな気持ちだろうか。同じような経験をしたのが、Microsoftの最高経営責任者(CEO)、Steve Ballmer氏だ。Ballmer氏は米国時間7月30日、金融アナリストを集めてアナリスト向けのカンファレンス「Financial Analyst Meeting(FAM)」を開催中、公開するつもりのない情報が入ったスライドをうっかりダウンロードサイトに掲載してしまったようだ。

無線通信ってあちこちでギガビット化を狙って開発しているらしいですけど、どっかでまとめてくれないと規格が乱立して携帯端末に拡張デバイス付けまくらないといけなくなって携帯性を損なう、なんてことになりそうな。。。

PANもLANも、無線通信はギガビットの時代へ ? @IT

2009年7月のページビューを集計しました。

種類ページビュー
html77,330
rss3,364

災害伝言板(災害伝言ダイヤル)の横断検索機能を開発するそうだ。
まぁそれは良いとして、こんなのは官が旗を振って最初から共同でやるべきなんでは?こんなんで偉そうにふんぞり返って高い給料を保障されてるんだから馬鹿馬鹿しいったらありゃしない。

 現在、固定電話の「災害用伝言ダイヤル171」は共同運用の形がとられており、固定系の電話は登録・確認とも各事業者の機能が統一されている。しかし、携帯電話・PHSの「災害用伝言板」は各事業者が別個に運営しており、利用者は、知りたい相手先が加入している事業者を事前に知っているだけでなく、複数の相手先について確認する場合は、複数の事業者のサービスに当たらなければならなかった。
 今回、総務省主催の「重要通信の高度化の在り方に関する研究会」の報告書での提言を受けて、携帯電話・PHS事業者5社は、災害時における緊急連絡用ツールを実現するため、災害用伝言板横断検索機能を協力して開発し、今年度末をめどにサービスの提供を開始する。

ウェブページ

Powered by Movable Type 5.2.8

このアーカイブについて

このページには、2009年8月に書かれたブログ記事が新しい順に公開されています。

前のアーカイブは2009年7月です。

次のアーカイブは2009年9月です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。