« helmikuu 2010 | Pääsivu | huhtikuu 2010 »

31.3.2010

月刊Microsoft Update 緊急臨時増刊号(3月)

月刊Microsoft Update、今年2回目の臨時増刊号が出てます
ラインナップは、緊急1本で例のExploit対応となっています
きっちりしっかり当てておましょう


Internet Explorer 用の累積的なセキュリティ更新プログラム (980182)(MS10-018) [緊急]
対象は、Windows 2000/XP/2003/Vsita/2008/7/2008R2上のInternet Explorer
単体パッチではなく累積パッチの形で登場風味
件のExploitはIE 6/7が対象風味でしたがそれ以外の脆弱性にも修正が加えられているためIE 8も対象となっている点に注意


<参考>
Internet Explorerのセキュリティ更新プログラムを提供開始 (MS10-018) [日本のセキュリティチーム (Japan Security Team)]


この他にも本日はJavaの更新(JDK 6 Update 19)があると事前にありましたので利用されている方は是非

Java SE ダウンロード [ORACLE]


(追記)
Thunderbirdも上がってた風味なんで貼っときます……既出?

Thunderbird 3.0.4


(さらなる追記)
本日各地でアップデート祭開催中風味です......orz
Firefoxも出てたのには気付けませんでした(3.6.xはすでに3.6.2が出てるので3.0.x系と3.5.x系となります)

Firefox 3.0.19
Firefox 3.5.9

Quicktime 7.6.6も出てます、脆弱性の修正が行なわれてますのでアップデートしておきましょう
また、iTunes 9.1もiPad対応ってことで出てますね(iTunesのパッケージにはQuicktimeが含まれます)
Quicktimeの出るタイミングってiTunesのリリースに合わせられてる風味なんで、このあたりどーにかなんないもんなんでしょうか?>スティーブ
セキュリティパッチに関しては早めにリリースして欲しいですねえ~

このほかボク的には、Lunascapeとかもありましたけど

| | Kommentit (1)

30.3.2010

Mac OS X 10.6.3 アップデート

Mac OS X v10.6.3 アップデート [apple]

なんか出てるっぽいのでメモ

| | Kommentit (0)

29.3.2010

Process Explorer 12.0リリース

MS謹製の便利ツール Process Explorer のアップデート、キました
ただ、上記リンクだとまだ先月のバージョン風味って書いてある風味ですがorz (悪い子の直リン先と同じURLなのになんででしょう?w)
上記URLクリックするのまんどくせ風味な方向けにいつもの

Process Explorer 12.0 [悪い子の直リン]

| | Kommentit (0)

28.3.2010

Twitterはじめました

Syynyaって名前ででんぱなことを思いつくままにつぶやいてみる予定

てきとー is はっぴー☆風味な

| | Kommentit (0)

23.3.2010

Firefox 3.6.2 リリース!

Firefox 3.6.2

詳細確認してませんがとりあえず

Opera 10.51も出てますね

| | Kommentit (0)

17.3.2010

Thunderbird とか Internet Explorer 9 Preview とか

Thunderbird 2.0.x系の方でアップデートがありました。
また、Thunderbird 3.1 "Lanikai"のBetaも登場した風味

Thunderbird 2.0.24

Thunderbird 3.1 "Lanikai" Beta 1


また、Internet Explorer 9のPlatform Previewも登場している風味……あ、XPは対応してないんですね(それもそうか)

Internet Explorer 9 Platform Preview 1.9.7.7.45.6019 [悪い子の直リン]

なお、現在テスト環境がないため上記Beta版に関しては未検証につき、ご利用の際には自己責任にてよろ(ぉ

| | Kommentit (0)

12.3.2010

Safari 4.0.5リリース!

出てましたが、内容は確認してないです(マテ

Safari 4.0.5 [apple]

まだCheck Update機能からは落ちてこないようですが、Foxit Readerも出ている風味

Foxit Reader 3.2.0.0303 [Foxit Software Company]

利用されてる方はアップデートしておきましょう

| | Kommentit (1)

11.3.2010

スキマーの設置の仕方風味な

ATMスキマーはどのように設置されるか? [エフセキュアブログ]

スキマーって何?という極々一般の善良な市民の方向けに説明しますと、スキマーとはクレジットカードやキャッシュカード等の不正読み出し用の機器のことです
ATMのキャッシュカード読み込み口とかに設置することによってカードに記録されている磁気情報なんかを読み込んだりします
この手の設置型の機器の場合、小型で目立たず着脱が容易ものだと上記リンク先みたいな感じに設置しているんでしょうね(無線タイプのものは回収不要になるんでそっちの方が主流なんでしょうが)
また暗証番号入力を録画するためのカメラを別に設置する場合には、小型のものを入力キーの近くの死角になるあたりに設置したりします
また事例的には箱型ATMの上部にあるドーム型の防犯カメラに偽装したカメラってのもありましたっけね……

またこういった流れとは別の方法も過去の事例的にはあるようです
ボクが聞いた中で一番凄いなと思ったのは、ATMから出ている回線を直接分岐させて近くの建物に引き込んでいた事例でしょうか
深夜にこっそり電線工事をした可能性もありますが、白昼堂々いかにも電線工事でござ~い風味にコスプレして工事中の看板立ててやったらほとんど怪しまれないような気もしますし

| | Kommentit (0)

10.3.2010

月刊Microsoft Update 3月号

月刊Microsoft Update、今月も出てます
ラインナップは、重要2本の計2本となっています
きっちりしっかり当てておましょう

なお今月は「やや月刊Adobe Update」については、今のところありません


Windows ムービー メーカーの脆弱性により、リモートでコードが実行される (975561)(MS10-016) [重要]
対象は、Windows XP/Vista/7搭載もしくはインストール可能なムービーメーカー

Microsoft Office Excel の脆弱性により、リモートでコードが実行される (980150)(MS10-017) [重要]
対象は、Office XP/2003/2004/2007/2008、Excel Viewer、SharePoint Server 2007


<付録>
MicrosoftR WindowsR 悪意のあるソフトウェアの削除ツール (KB890830)
恒例の付録

2010 年 3 月 セキュリティ リリース ISO イメージ
恒例の付録その2


<参考>
2010年3月10日のセキュリティ情報 (月例) [日本のセキュリティチーム (Japan Security Team)]

| | Kommentit (0)

9.3.2010

第11回 まっちゃ445勉強会レポート風味

「実はジョン・ウーは私の親戚です…………嘘です」という心温まる掴みではじまったMicrosoftのジョン・ルー氏のSDL(Security Development Lifecycle)話
同じMSが昔提唱していたSimple DirectMedia Layerとは違うんです

各プロセスと分離した別のプロセスとしてセキュリティを配置するのではなく、各プロセスに内包させるといったアプローチといえばいいんでしょうか
ボクは開発者じゃないんでそんなに奇異に思わなかったけど、今までってそんな感じだったんでしょうか?とむしろ聞いてみたくもあったり
……そもそもセキュリティって概念が存在しなかったって可能性も高いですけどね、ええ(^^;;;;;;;


全部を話すには時間がないので、ということでここからトレーニングの話とか脅威モデルの話をメインにといった流れに
脅威モデルというのは設計段階のリスク特定のモデリングであり、よくある脅威としてSTRIDE脅威モデルを元に各工程でこれに該当するものがないか考えるといったやり方
STRIDE脅威モデルは以下のように想定される各脅威の頭文字をとった命名となっている

 ・S なりすまし (Spoofing identify)
 ・T 不正改竄 (Tampering)
 ・R ユーザーによる処理事実の拒絶 (Repudiation)
 ・I 情報漏洩 (Infomation disclosure)
 ・D DoS攻撃 (Denial of Service attack)
 ・E 特権昇格 (Elevation of Privilege)

わかりにくい表現になっちゃってますが、Repudiationは例えば注文したものを届けたのに「そんなの注文してない」とかいう、いわゆる「とぼけ」行爲のことです
後はまあ、割とよく聞く単語だと思うんでスルーしていきます

ジョン・ルー氏はここで簡単な投票ページを例にとって、このページにどのような脅威があるのか?といった流れで説明されていましたので、ボク的にもここは2001年に実際にあったTIME誌の「今年の人 (PERSON OF THE YEAR)」の事件を例にとって説明を


2001年、TIME誌の恒例企画「今年の人」をインターネット投票で決めようと言うことで投票ページが立ち上がりました
ここまではよくある(?)話なのですが、2ちゃんねるで盗撮 や覗き、覚せい剤所持で捕まったタレント田代氏を「今年の人」にしようぜ!的な動きが妙に盛り上がってしまいました
最初のうちは手作業での連投だったのですが、自動スクリプト(一般に田代砲として知られる)が登場し、サーバーが過負荷で逝ってしまったりしたあげく、実際に田代氏が1位となるもTIMEの中の人の賢明なる判断により1位をスルーして、2位だったOsama bin Laden氏を1位とした……と言った話です(当時を知らない人は何それ?風味な話だとは思いますが、実話です)


当時はまだまだ牧歌的な時代でしたので、事前に脅威の分析をするとかは無かったのですが、もし現代で同じことをするのならば以下のように分析できます

 ・S なりすまし (無記名投票だったので要素なし)
 ・T 不正改竄 (同一人物・グループの連投による投票結果の改竄)
 ・R ユーザーによる処理事実の拒絶 (要素無し)
 ・I 情報漏洩 (要素無し)
 ・D DoS攻撃 (田代砲によるDataServerへのDoS)
 ・E 特権昇格 (要素無し)

なので、対策としては

 ・クッキーの使用によるアクション制限
 ・IPブロッキング(特定IPの排除)
 ・ユーザー認証(ユーザーしか投票できないって感じになりますが)
 ・HIP(文字入力認証(変形している文字を入力させるアレ))の使用

と言った方法が導き出せるという感じです

また、コードの自動チェックツールをMSでは無償で提供して頂いているようで、「CAT.NET」「FXCop」と言ったツールなんかも紹介して頂きましたが、対象はC#とのことでwwwww

単語はなんとか聞き取れるんですが文として頭の中で理解できないので、単語に反応するのが精一杯でした>TOYOTAとかね
通訳さん頼りでしたが、内容的には興味深かったです


で、おいしい勉強会恒例のお菓子!!!

はらロール南青山和菓子まめの大福他

Ts3e0037

実はもう一つテーブルがあって、そっちには違う味のものや道明寺もあったっぽい
で、ボクが選んだのがコレ

Ts3e0039

黒いはらロールは、ごま風味でクリーム部分にやや大きめにクラッシュしたマロン入り
ボク的にはクリームがやや甘すぎたかな
黒いはらロールは黒い人用ということで、TOTORO氏もすすめられておりました、黒い人なので(激しくマテ
大福の方はいわゆるイチゴ大福で、大きいイチゴがメインで少しだけこしあんが入っている感じでこちらは美味!!
堪能させて頂きました


で、その後はOracleの澤井氏によるXACMLの話
認証・認可の標準化技術の話だったのですが、聞いたときにはイマイチぴんと来ませんでした......orz
懇親会で、bugbird氏とお話しする機会がありそこで、今話題になっているクラウドの認証は動的じゃなくっちゃいけないのだが、動的認証にかんしては標準化された技術について云々……といった話を聞いて、おおおおぉぉぉぉとか思ったのですが、何分アルコールが入っていたので細かいとこまでは覚えておらず......orz
グレープフルーツジュースにも厳密に言えばアルコール成分が含まれるとかそんな話は覚えているんですが(ダメジャン


とまぁ、かなりてきとーに書いちゃってるとこもあるので、間違ってるとこあったら教えてくださいm(__)m

| | Kommentit (0)

8.3.2010

Apache HTTP Server 2.2.15 リリース風味

本家Apacheの方でアナウンスあるものの、現時点ではDownloadページに出てない風味ですが(激マテ
とりあえず海外のミラーサイトで発見はしたので貼っとくだけ貼っときます(ぉ

Apache HTTP Server 2.2.15 (for Win) [悪い子の直リン] (ftp.riken.jp)

上記リンクに関しては自己責任でよろ

| | Kommentit (1)

3.3.2010

Opera 10.50 リリース

Opera 10.50


ここのトコ体調ボロボロのためこまめに見てませんでしたが、いつのまにやら正式リリースされてた風味(Beta Newsだと3/2(USA時間)付けになってるんで日本だと今日なのかな?)
現在ベータ版使われてる方や、IEやFirefox以外のブラウザ探している方は是非

結構表示が軽快になってる風味なんで、インスコしてみてもいいかも……とか思ってたり

| | Kommentit (1)

« helmikuu 2010 | Pääsivu | huhtikuu 2010 »