【写真】クエスチョンマーク
ドーナツ状の面白い雲を見つけました。
次第にクエスチョンマークとなりました。
はじめて見る雲です。不思議ですね
| 固定リンク | コメント (0) | トラックバック (0)
2009年7月に作成された記事
Microsoftが2009年7月緊急パッチを公開
Microsoft(マイクロソフト)は、2009年7月緊急パッチのリリースしました。
- MS09-034 Internet Explorer 用の累積的なセキュリティ更新プログラム (KB972260) 緊急 要再起動
- MS09-035 Visual Studio の Active Template Library の脆弱性により、リモートでコードが実行される (KB969706) 警告 要再起動
以上、計2件です。
WindowsXP SP3及びWindowsVista SP2にインストールしましたが問題は発生しませんでした。
今回の脆弱性はMicrosoft Active Template Library (ATL) に起因するものです。
Microsoftは、同社のブログ(Security Development Lifecycle(SDL))の中で、コード内の「&」(アンパサンド)の有無が原因であると認めました。
MicrosoftのセキュリティプログラムマネージャーであるMichael Howard氏が提示したコードによると
__int64 cbSize;
hr = pStream->Read((void*) &cbSize, sizeof(cbSize), NULL);
BYTE *pbArray;
HRESULT hr = SafeArrayAccessData(psa, reinterpret_cast(&pbArray));
hr = pStream->Read((void*)&pbArray, (ULONG)cbSize, NULL);
の中の「&」があることで問題が発生する。
正しいコードは、最後の行にある引数が違うと…
hr = pStream->Read((void*)pbArray, (ULONG)cbSize, NULL);』
最後の行にある最初の引数「pbArray」には「&」がありません。
この一文字で、意味が大きく変わってきます。
「&pbArray」は、変数自身のアドレスを表します。
「&」がついていない「pbArray」変数の場合、「pbArray」変数にに格納されているアドレスを表すのです。
したがって、「&pbArray」を引数で渡した場合、pbArray変数自身を参照したり書き換えようとします。
「pbArray」を引数で渡した場合は、「pbArray」が指し示すアドレスを参照したり書き換えるのです。
「&」ひとつの有無で、参照したり書き換えたりするアドレスが違うのです。
なので一文字とは言え、この違いはとても大きいのです。
MS、IEと「Visual Studio」の緊急パッチを公開--ActiveX攻撃に対処
「IE」に対する最新攻撃の原因、たった1つのタイプミス--MSが認める
Security Development Lifecycle(SDL)
| 固定リンク | コメント (0) | トラックバック (0)
Microsoftが2009年7月緊急パッチを予告!
Microsoft(マイクロソフト)は、2009年7月緊急パッチのリリースを予告しました。
公開日は7月29日です。リリース予定は、
- Internet Explorer 緊急 リモートでコードが実行される 要再起動
- Visual Studio 警告 リモートでコードが実行される 要再起動
以上の2件です。
今回のパッチの詳細や、緊急リリースの理由などは明らかになっておりません。
しかし、来月の定例パッチまでに公開という事を考えると、緊急にリリースしないといけない理由があるはずです。
なので、個人的な考えとして、公開後は速やかにパッチを導入する事が必要と思われます。
マイクロソフト セキュリティ情報の事前通知 - 2009 年 7 月 (定例外)
IEとVisual Studioの脆弱性修正パッチ、29日に緊急リリースへ
マイクロソフト、定例外のセキュリティ更新プログラムを提供へ
MS、29日に臨時パッチを緊急リリース
| 固定リンク | コメント (0) | トラックバック (0)
オンラインソフトリリース情報「Firefox 3.5.1」
Mozilla Foundationは「Firefox 3.5.1」をリリースしました。
今回のアップデートは、先日見つかった「Firefox 3.5」に搭載されているジャストインタイム(JIT)JavaScriptコンパイラの脆弱性が修正されております。
Mozilla Japan
モジラ、「Firefox 3.5.1」をリリース--JavaScriptエンジンの深刻な脆弱性などに対応
| 固定リンク | コメント (0) | トラックバック (0)
Firefox 3.5にゼロディ攻撃の脆弱性
先日Mozilla Foundationが公開した「Firefox 3.5」に搭載されているジャストインタイム(JIT)JavaScriptコンパイラに脆弱性が見つかりました。
それまで、JITを切ることで回避できますが、Javascriptのパフォーマンス低下は避けられないとのことです。
JITを切るには、
- URLを入力する所に「about:config」と入力する。
(「動作保障対象外になります」と表示されますが、「細心の注意を払って使用する」をクリック) - 上部にあるフィルタボックスに「JIT」と入力する。
- 二つ出てくるうちの「javascript.options.jit.content」の値を「True」から「False」に変更する。
これで「JIT」は無効になります。
JITを有効にするには、
- URLを入力する所に「about:config」と入力する。
(「動作保障対象外になります」と表示されますが、「細心の注意を払って使用する」をクリック) - 上部にあるフィルタボックスに「JIT」と入力する。
- 二つ出てくるうちの「javascript.options.jit.content」の値を「False」から「True」に変更する。
現時点にて、修正パッチは未公開ですが、近々に公開されるでしょう。
Critical JavaScript vulnerability in Firefox 3.5
「Firefox 3.5」のJavaScriptコンパイラに脆弱性、攻撃コードも
「Firefox 3.5」にゼロデイ攻撃に悪用可能な脆弱性--モジラ報告
| 固定リンク | コメント (0) | トラックバック (1)
Microsoftが2009年7月定例パッチ公開!
Microsoft(マイクロソフト)は、2009年7月定例パッチを公開しました
- MS09-029 Embedded OpenType フォント エンジンの脆弱性により、リモートでコードが実行される (KB961371) 緊急 要再起動
- MS09-028 Microsoft DirectShow の脆弱性により、リモートでコードが実行される (KB971633) 緊急 再起動の可能性あり
- MS09-032 ActiveX の Kill Bit の累積的なセキュリティ更新プログラム (KB973346) 緊急 再起動の可能性あり
- MS09-033 Virtual PC および Virtual Server の脆弱性により、特権が昇格する (KB969856) 重要 要再起動
- MS09-031 Microsoft ISA Server 2006 の脆弱性により、特権が昇格される (KB970953) 重要 要再起動
- MS09-030 Microsoft Office Publisher の脆弱性により、リモートでコードが実行される (KB969516) 重要 再起動の可能性あり
以上、計6件です。
WindowsXP SP3及びWindowsVista SP2にインストールしましたが問題は発生しませんでした。
2009 年 7 月のセキュリティ情報
MS、7月の月例パッチを公開--「DirectShow」の脆弱性など6件
MS月例パッチが公開、ゼロデイ攻撃につながる脆弱性に対処
| 固定リンク | コメント (0) | トラックバック (0)
Microsoftが2009年7月定例パッチを予告!
Microsoft(マイクロソフト)は、2009年7月定例パッチを予告しました。
公開日は7月15日です。リリース予定は、
- Windows 緊急 リモートでコードが実行される 要再起動
- Windows 緊急 リモートでコードが実行される 再起動の可能性あり
- Windows 緊急 リモートでコードが実行される 再起動の可能性あり
- Virtual PC/Virtual Server 重要 特権の昇格 要再起動
- ISA 重要 特権の昇格 要再起動
- Publisher 重要 リモートでコードが実行される 再起動の可能性あり
今回は、緊急3件、重要3件の計6件の予定です。またDirectX関係のパッチも含まれているようです。
マイクロソフト セキュリティ情報の事前通知 - 2009 年 7 月
MS、7月の月例パッチを事前通知--「DirectX」の脆弱性など6件
| 固定リンク | コメント (0) | トラックバック (0)
WindowsVistaのネットワークマップ
WindowsVistaには、ネットワークマップというものがある。
簡単に言えば、ネットワーク図を表示してくれるものである。
フルマップを見れば、ネットーワーク機器がどう繋がっているのか一目瞭然であるので、セキュリティ上の問題もあるんだけれども。
ネットワークマップに表示されるには、ネットワーク機器がLLTD(Link Layer Topology Discovery)と呼ばれるプロトコルに対応していなければ、ネットーワーク図には配置されず下部に表示される。
このLLTDドライバが標準でインストールされているのはVistaである。
WindowsXPは、別途マイクロソフトよりダウンロードしインストールすれば、フルマップに配置表示される。
私のVistaでは、なぜかそのフルマップ表示ができない。
ネットワークドライバを更新してもだめである。
使っているネットワークチップはマザーオンボード上のMarvell製…
ただ、フルマップ表示が出来ないだけで、インターネットは可能である。
原因を調べていると、ウイルス対策ソフトをアンインストールすれば表示されることが判明した。
使用しているのは「カスペルスキー インターネット セキュリティ 2009(KIS2009) 」
このKIS2009が使用するNDIS6ドライバ「Kaspersky Anti-Virus NDIS6 Filter」を無効にすれば、KISがインストール状態でも表示が可能であることもわかった。
しかしこのドライバを無効にするのはセキュリティ上危険である。
現時点にて判明しているのは、ここまでであるけれど、海外サイトでも散見される。
今のところは、フルマップ表示が出来ないだけで、他の問題はないので様子を見ているところである。
| 固定リンク | コメント (0) | トラックバック (0)
オンラインソフトリリース情報「Firefox 3.5」
Mozilla Foundationは「Firefox 3.5」をリリースしました。
同バージョンはJavaScriptエンジン「TraceMonkey」やレンダリングエンジン「Gecko」の改善し速度及び安定性が向上しました。
現時点にて、多くのアドオンやテーマ等が対応していないため、当方のメインマシンにはインストールしておりません。
しかしながら、逐次対応すると思われるので近々に同バージョンに更新しようと思っております。
ちなみに使用されているテーマやアドオンが同バージョンで使用可能かどうかはFirefoxの更新画面から確認できます。
Mozilla Japan
Mozilla、「Firefox 3.5」正式版をリリース
モジラ、「Firefox 3.5」を正式リリース
| 固定リンク | コメント (0) | トラックバック (2)
最近のコメント