Trendmicroさんが前向きに対応

まっちゃ139

例の、第09回まっちゃ139目覚まし勉強会で、はせがわさんが、プレゼンされた内容(詳細は書けないのですがw)
Trendmicroさんに、改善依頼を出したところ、どうにかちゃんと対応をしてくれました。
ただ、まだパッチとしてはオープンになっていないので、そのうちSecurity Fixとして出ると思います。

あと、一応公開について詳細内容については、他社の対応もあるのでオープンにしないのと
まっちゃ139 はせがわようすけのSpecial Thanksを入れて貰うか(嘘

the Microsoft(R) Conference 2006 を全国11都市で開催

MS
Microsoft Conference 2006が今年も開催されます!

MSC 2006では、新しいデジタルワークスタイル実現に向けて、過去10年間で最大の変革を遂げる、Windows Vista、the 2007 Microsoft Office system、Exchange Server 2007の製品概要から、具体的な活用方法、システム構築や導入と展開方法などのセッションを全国11都市で延べ150以上実施します。

大阪は、11月29日か・・・いけないやん!!!!(てか、江戸予定かも)

東京: 東京国際フォーラム 11月15日(水)、16日(木)
名古屋: ヒルトン名古屋 11月21日(火)
大阪: 帝国ホテル大阪 11月29日(水)
札幌: 京王プラザホテル札幌 12月4日(月)
広島: ホテルグランヴィア広島 12月6日(水)
仙台: ホテルメトロポリタン仙台 12月12日(火)
福岡: JALリゾートシーホークホテル 12月14日(木)
沖縄: 沖縄ハーバービューホテル 1月16日(火)
金沢: 金沢エクセルホテル東急 1月18日(木)
高松: かがわ国際会議場 1月23日(火)
高崎: ホテルメトロポリタン高崎 2月22日(木)

C/C++セキュアプログラミング:武田圭史

セキュリティ
C++なんてさわってもないのですが、うーむJPCERT/CCセミナーいいなぁー

CMUピッツバーグのCERT/CC SEIからロバート・C・シーコード ( Robert C. Seacord )氏が来日してセキュアプログラミングに関する講演を行います。

(うちのプログラムを除き)なかなかセキュアプログラミングについてきちんと学ぶ機会も少ないかと思いますので、セキュアプログラミング実践的な内容を習得する良い機会ではないかと思います。

NMF:「コミュニティで顧客をつかむ極意は信頼を勝ち取ること」 - ニュース - nikkei BPnet

セキュリティ
監視のための人の工数も大変だし、判断基準も大変ですね。むぅぅぅ!(誰かのまねw

一方オウケイウェイヴは、「Q&Aサイトから不適切な投稿を積極的に削除している」(兼元氏)。理由はクオリティを保つためだが、投稿を削除するとバッシングが起こる恐れもある。兼元氏は、バッシングを受け止めてユーザーと話し合いながら一つずつ乗り越えていくことが大切だと述べ、「投稿を消すだけで熱くなるユーザーがいるということは、逆に信用を勝ち得るチャンスにもなる」と力説した。

Symantec Security Response - Bloodhound.Exploit.95

セキュリティ
SymantecさんはExploitやPoCへの反応早いですね。本当に。

Bloodhound.Exploit.95 は、Visual Studio 2005 における脆弱性に対するヒューリスティック手法による検出名です。この脆弱性を悪用する攻撃者は、ログオンしたユーザーの権限を使用して任意のコードを実行する可能性があります。

WebAppSec - WebAppSec Wiki - IEのexpressionとurl

セキュリティ
CSSのExpressionは除去が本当に面倒ですよねぇ・・・・本当に。てかInternetExplorerの仕様による脆弱性はWebアプリで対応するべきか、InternetExplorerで対応すべきか、、、本当に色々ありますねぇ。。。。

https://www.webappsec.jp/modules/bwiki/index.php?IE%A4%CEexpression%A4%C8url

ha.ckers.org web application security lab - Archive ≫ Selecting Encoding Methods For XSS Filter Evasion

セキュリティ
InternetExplorerの脆弱性によるWebアプリケーションに与える脆弱性については世界規模で有名になって居るみたいですね(何

てか、私は全然セキュリティについて詳しくないですが、セキュリティな人の会話では多々出てきます。
そして、某社も前向きに対応してくれていると・・・・

うーん、もっと一般的になるべきなのだろうか・・・Microsoftへの裏(表?)ルートを通しても仕様っていわれるらしいし・・・悩ましい・・・

Outpost Firewall PRO Local Denial of Service Vulnerability

セキュリティ
OutpostにローカルDoS脆弱性みたい。まぁローカルDoSなので放置か。

Outpost Firewall PRO is prone to a local denial-of-service vulnerability because the application fails to properly handle unexpected input.

Outpost Firewall PRO 4.0 (964.582.059)でも脆弱だそうです。

Outpost Firewall PRO 4.0 (964.582.059) is vulnerable to this issue; other versions may also be affected.

マイクロソフト セキュリティ アドバイザリ (927892): XML コアサービスの脆弱性により、リモートでコードが実行される

セキュリティ
XMLHTTP4.0 ActiveX コントロール脆弱性についての、セキュリティアドバイザリが出ています。

関連URL

シマンテック,「Backup Exec 11d」でExchangeの継続データ保護に対応:ITpro

セキュリティ
ExchangeのJetデータベース・エンジンのトランザクションログを継続してバックアップするそうです。Agentタイプなのかな?

Backup Exec 11dの新機能であるExchange Serverの継続的データ保護の実態は,Exchangeデータベース(Jetデータベース・エンジン)のトランザクション・ログのレプリケーションである。1度Exchange Serverのデータをフルバックアップした後は,トランザクション・ログだけをレプリケーションし続ける。従来のバックアップのような,日次や週次の定期バックアップは不要だ。データの復元には,データベースのフルバックアップ・データとトランザクション・ログを使用する。障害が発生する直前のデータだけでなく,任意の時点のデータを復元できる。

すごいすごい、ActiveDirectoryの個別項目まで対応ですか。

Backup Exec 11dでは,Exchange Serverだけでなく,SharePoint Portal ServerやActive Directoryにおける個別データの復元にも対応した。データベース全体を復元するのではなく,ユーザーがSharePointのポータル・サイトに保存したデータ・ファイルや,Active Directoryのユーザー・アカウントといった,個別のデータを復元できる。

ASTALAVISTA SECURITY GROUP | Extreme Big Brother fears to become a reality

セキュリティ
英国でRFIDタグを使ったBigBrother機能が有効となる見たいです。てか海外から持ってくればいいやん(ぇ

UK citizens will be tracked by RFID tags embedded in their clothes and have their movements monitored by unmanned "flying eyes in the sky" using facial recognition systems within 10 years, the nation's data protection watchdog has claimed.

メルアドだけで荷物を受け取れる宅配サービス、ピー・アールが開始 - ニュース - nikkei BPnet

セキュリティ
住所版エクスローサービスって感じかな。結構おもしろいですね。

新たに始めるDD便では、発送人が受け取り人に連絡のメールを送る際、同報先(Cc:)に専用アドレスを指定することで利用できる。

DD便がメールに記載された受け取り人と発送人の双方に、情報入力用WebフォームのURLを通知する。受け取り人と発送人は、それぞれのWebフォームで自分の住所などを入力することで、互いの個人情報を確認せずに集荷、宅配の手続きを完了できる。

Yahooゆうパックも安いけど、これも結構安いかも。

料金は全国一律で、荷物の縦、横、高さが合計60cm以内の場合は670円。80cm以内は790円、100cm以内は980円とし、いずれも最大10kgまでの荷物を受け付ける。

実用SSH(第2版)−セキュアシェル徹底活用ガイド発売!

セキュリティ


実用SSH(第2版)−セキュアシェル徹底活用ガイド

[openmya:036624]システム管理者のお友達、SSH の本が出ますにてNezさん曰く

監訳は、本MLでも著名なkjmこと、小島肇先生で、768ページ、
5,040円とボリュームも豪華です。
内容的にも、日本語版刊行にあわせて、説明しているソフトウェア
を日本国内で流行っているものに差し替えたり、近年のsshパスワード
アタックに鑑みて、JPCERT/CCから寄稿いただいたりと、「世界で一番
最新の事情」にも対応しています。

実用SSH 第2版―セキュアシェル徹底活用ガイド

実用SSH 第2版―セキュアシェル徹底活用ガイド

ブログやSNSなどのトラブル対応の方針検討で研究会発足へ--ミクシィなど - CNET Japan

セキュリティ
はてなMixiなど、監視系でこまってるところで対応方針を決めるために研究会を発足したそうです。

研究会に参加するのは魔法のiらんどミクシィはてな、paperboy&co.、関心空間、の5社とウィキペディアの管理者。

魔法のiらんどは、年齢層が低そうなので大変そうですね。

2007年3月には指針をまとめたうえ、CGMサポート研究会として正式に活動を開始することとなる。

spamhaus.orgをはじめとするIPアドレスベースのブラックリスト(RBL)を使ってはいけない

セキュリティ

spamhausネタ。巻き添え系のRBLみたいですね。

あとメンテナンスが十分出来ていないRBL使うと・・・みたいな・・

ITエンジニアの九十九折(新) 入り鉄砲と出女

セキュリティ

人間、システムも含め検疫の基本ですね。全てを見るのではなく必要最低限のパターンで全体が見れるってやつです。

と言うのも鉄砲は武器として、また大名子女は人質として脅威や価値を有するものであり、これらの流入や流出により、治世が脅かされることになるのは明らかです。