Cisco Releases Security Advisories(US-CERT Current Activity)
CiscoからIOSに関する複数のセキュリティアドバイザリが出ています(4件)
Cisco has released five security advisories to address multiple vulnerabilities in Cisco IOS. These vulnerabilities may allow a remote, unauthenticated attacker to cause a denial-of-service condition on the affected device.
US-CERT encourages users to review the Cisco Security Advisories and apply the appropriate updates or workarounds.
Symantec Security Response Weblog: Neosploit Updated with Exploit
NeosploitがアップデートされてCA BrightStor 'AddColumn()' ListCtrl.ocx ActiveXのバッファオーバフロー(まだパッチ無し)に対応したそうです。
The main addition that was found in the new iteration of Neosploit is the addition of an exploit for the CA BrightStor 'AddColumn()' ListCtrl.ocx ActiveX Control Buffer Overflow Vulnerability. There is no patch available for this vulnerability as of this writing.
マイクロソフト セキュリティ情報 MS07-040 - 緊急 : .NET Framework の脆弱性により、リモートでコードが実行される (931212)
(すたっきー経由)
MS07-040がVista SP1とWindows Server 2008の.NET Framework 1.0と1.1に影響があったそうで、パッチが追加されています。
2008/03/26: このセキュリティ情報ページを更新し、Windows Vista Service Pack 1 および Windows Server 2008 で影響を受けるコンポーネントに .NET Framework 1.0 (KB928367) および .NET Framework 1.1 (KB929729) を追加しました。
関西電力、業務情報がWinny流出
また、関西電力がWinnyで情報漏洩したそうですよ。それも社員が。
関西電力は、業務情報が「Winny」のネットワーク上に流出していることを3月18日に確認したと発表した。同社社員の個人所有PCがウイルスに感染し、PC内にあった情報が流出したという。
流出したのは、工事関係書類や人事関係書類、本人の趣味などに関する個人的な情報で、竣工検査計画書や工事工程表、社員の自己評価シートなどが含まれていた。顧客の個人情報や電力の供給に影響を与える機微情報は含まれていないという。
工事関係の資料と個人的な物を流したそうです。
当社社員の個人所有パソコンがウィルスに感染し、パソコン内にあった情報が、ウィニーソフトを介して流出したもので、工務部門における工事関係書類などが含まれていました。
なお、お客さまの個人情報ならびに電力の供給に影響を与える機微情報等は含まれていません。<今回流出した主な情報>
1. 当社業務に関する資料
・工事関係書類(竣工検査計画書、工事工程表 等)
・人事関係資料(当該社員が業務の成果を自己評価したシート)
2.その他
・本人の趣味などに関する個人的な情報 等
具体的に技術的に何かしているのだろうか・・・既に持ち出せない体制で持ち出せたのであればかなりの問題
持ち出せなくする前の情報であれば、難しいところだが・・・
当社としては、情報流出が社会に多大な不安を与えることを、改めて全従業員に周知し、情報管理に対する意識の向上を図った上で、情報流出防止のために遵守すべき事項(※)の再徹底を図るなど、今後、同じことを繰り返さないよう努めてまいります。
(※) 個人所有のパソコンで業務情報を扱わない
個人所有のパソコン内に業務情報がある場合には全て削除する 等
「ブログの引っ越し」を騙るフィッシング、livedoor Blogが注意喚起
ライブドアのフィッシングサイトが出ているそうです。ブログ引っ越しという名目でユーザ・パスワードを入力要求するそうです。
ライブドアは26日、同社が運営するブログサービス「livedoor Blog」の「引っ越し」を騙るフィッシングサイトを確認したとして注意喚起した。同日、livedoor Blogの「開発日誌」で明らかにした。
そのフィッシングサイトでは、「ブログの引っ越し」などを理由に、livedoor IDとパスワードを入力させるという。開発日誌では、「ライブドアが運営するサービス以外でlivedoor ID/パスワードを入力するのは大変危険」と注意喚起している。
まもなくNASA TVでランディング
Windows Updateを適用していない人がいます:日経パソコンオンライン
蔵出しです。MicrosoftUpdateについて、IPAの2006年のアンケート結果でも24%も知らない人がいるとのこと。
2006年にIPA(情報処理推進機構)が行った意識調査によれば、Windows Updateをやっていない人が「わからない」という回答を含めて24%もいるのです。2006年以降、いつかのワーム騒ぎのときのように急激に認知度が上がったということはありませんので、この数字はおそらくそれほど変わってはいないでしょう。ちなみに2005年度の調査では21%でしたので、利用者が増えて初心者も増え、結果としてWindows Updateをそもそも知らない人が増えているということなのでしょうか。
F-Secure Malware Information Pages: Exploit:W32/JetDb.C
Jetの脆弱性をつくExploitのF-Secureの検知名です。
This sample arrives together with a malicious MS Word document file as a package or attachment to email messages. The specially crafted file exploits a known Remote Code Execution vulnerability on Microsoft Jet Database Engine.
Computer Security Research - McAfee Avert Labs Blog
Jetデータベースエンジンの脆弱性について、攻略手法が出ています。
In the following example, the threat arrived as 2 files with “.doc” extensions (xxx1.doc and xxx2.doc); however one of the files is actually a Microsoft Access database containing the MS Jet exploit. The whole story is depicted in Figure 1.
When users open the MS Word file xxx1.doc, the MS Access file xxx2.doc is loaded through the data link properties. Then the shellcode in the xxx2.doc file runs (triggered by the MS Jet exploit in the same file) and decodes itself in typical fashion. The shell code launches WinWord.exe to open the innocent Word file embedded in “xxx1.doc”.
ついにパソコン用の外付け地デジチューナーの販売解禁、USBタイプなどが登場へ - GIGAZINE
ついに、パソコンでも外付け地上デジタルチューナが販売されるそうです・・・よかったよかった。
日本経済新聞社の報道によると、パソコン用の外付け地上デジタルチューナーの単体販売が解禁されるそうです。
これまでパソコンで地上デジタル放送(地デジ)視聴機能が内蔵されていないパソコンで地デジを楽しもうと思った場合、画質の低いワンセグチューナーを買うしかありませんでしたが、これで手軽に高画質な地上デジタル放送の視聴や録画が可能になります。
最近のメーカパソコンは内蔵型が主流になってきましたが、デジタルチューナが売り出されると、内蔵型も安くなるかなw
わざわざ内蔵型を買わなくとも、自分の好きなパソコンで地上デジタル放送を見られるようになるというのは、視聴者にとっては非常にありがたいですね。
Bloodhound.Exploit.183 - Symantec.com
MDBファイルの解析の脆弱性に関する検知名です。
Bloodhound.Exploit.183 は、Microsoft Jet DataBase エンジンの MDB ファイル解析におけるリモートバッファオーバーフローの脆弱性(BID 26468 http://www.securityfocus.com/bid/26468(英語))を悪用するファイルに対する、ヒューリスティック手法による検出名です。
asahi.com:ミスチルらの楽曲の演奏・合唱、ユーチューブに使用許可 - 文化・芸能
これで、やっとfuni2な人とか、種な人とかのライブ動画が見れるよ!やったよ!
JRCが管理する約5000曲が許諾の対象。浜田省吾や布袋寅泰、椎名林檎らの曲も含まれる。契約期間は27日から1年間。JRCはグーグルから定額の使用料を受け取り、楽曲の著作権を持つ音楽出版社に分配する。グーグル側から曲ごとの視聴回数など利用実績を報告してもらい、そのデータを元に各出版社への分配額を算出する。
一般ユーザーは、自作の映画にミスチルらの曲をBGMとして自ら演奏して流したり、中学や高校の卒業記念に同級生と一緒にミスチルらの曲を合奏・合唱する様子を映像化したりして、YouTubeに投稿することができるようになる。
Windows Server 2003向けのユーザー操作ログ記録ソフト,アイベクスが販売:ITpro
Windows Server 2003上で、操作のログを記録するソフトだろうです。
JSOXだけじゃないですが、管理する上での証跡などに使えそうですね。
IVEX Meta Logger for Serverは,米MicrosoftのサーバーOSであるWindows Server 2003環境において,いつ誰が何をしたのかというユーザー操作ログを記録するソフトである。同社の既存のログ記録ソフトの技術を,Windows Server 2003用としたもの。こうした既存のログ記録ソフトには,Citrix XenApp(旧Presentation Server)向けの「Meta Logger」やWindowsクライアント向けの「Meta Logger for Desktop」がある。
旧形式のファイルがブロックされる : 投稿 : HotFix Report BBS
ぇーーーーーーーーーーーっ!(驚愕
MS08-014適用後、旧形式のファイルが開いたり保存できなくなりました。
Office2003SP3後に出てくるパッチを当てると、下記が適用されちゃうんですね。。
■Office 2003 Service Pack 3 のインストール後にブロックされる特定のファイルの種類に関する情報
:
http://support.microsoft.com/kb/938810/ja
絶品チーズバーガー、大ヒットの秘密 - TOPICS - 日経レストラン ONLINE
ロッテリアの絶品チーズバーガー食べたいなぁw
「ファストフードは通常、商品のライフサイクルがとても短いのに、絶品チーズバーガーは4カ月経っても売れ行きは全く落ちる気配がありません。360円という価格がちょっと高いかなと思ったのですが、当初予想した10倍売れています」。
チーズもバンズもこだわりの逸品らしい。うまそうだ。
絶品チーズバーガーは引き算の発想で、ケチャップもトマトもレタスも入れず、バンズ(パン)、パティ、チーズの3種類のみというシンプルなバーガーになりました。逆に言うと、シンプルだからこそ、一つひとつの素材によりお金をかけ、とことんおいしいものを作ろうというコンセプトができたのです。
パンには一等粉や酒種を使用し、チーズにはファストフード業界では初めてというナチュラルチーズを使用しました。パティは豪州産牛の内もも肉と肩肉、国産・カナダ産豚の背脂を使用し、重量も通常45gのとろ、80gにしています。味付けは素材の良さを生かすため最小限にとどめました」。
