OLSリリース情報「Firefox 2.0.0.6」

Mozilla Foundationは「Firefox 2.0.0.6」をリリースしました。今回は、セキュリティ対策のアップデートです。

修正内容は

• エスケープされていないURIが外部プログラムに渡される。
• クロームによって読み込まれたabout:blankウィンドウを通じた特権昇格。

です。「Thunderbird 2.0.0.6」「Thunderbird 1.5.0.13」でも修正されております。

Mozilla Japan
モジラ、脆弱性2件を修正した「Firefox 2.0.0.6」公開

DIONがメール送信時の認証方式変更へ

KDDIは、同社インターネット接続サービス「DION」が提供しているメールサービスに関して、メール送信時の認証方式を「SMTP AUTH」に一本化すると発表しました。

現在、「DION」をはじめプロパイダの多くは「POP before SMTP」を採用しておりました。この方式はメール送信する直前、一度POPサーバからメールを受信する事で認証の代わりをしておりました。
しかし、現在SMTPサーバ自身で認証を行う「SMTP AUTH」対応が増えているため「POP before SMTP」よりセキュリティが高い「SMTP AUTH」にシフトすると思われます。またこの流れは「DION」だけでなく、他のプロパイダも追随すると思われます。

「DION」に関しては、2007年末に「POP before SMTP」を廃止するようです。

DION、メール送信時の「POP before SMTP」を廃止し「SMTP AUTH」に一本化

FirefoxとIE7の組み合わせで脆弱性

Mozilla FirefoxとMicrosoft Internet Explorer7の組み合わせで深刻な脆弱性が報告されております。
Firefoxは、数日前「2.0.0.5」をリリースしたばかりです。

お互いどちらに問題があるのか論議されているようですが、ユーザにとっては早急に対応してほしいと思ってます。
問題は、FirefoxがURIにフィルタをかけないで、アプリケーションにデータを引き渡すことにあるようです。
したがって、Firefoxが中継路になってしまうようです。
また、同問題を使用したエクスプロイトコードも既に公開されているようです。

対象環境は、WindowsXP、Windows Server 2003にFirefox2.0.0.5、IE7を入れている環境のようです。

FirefoxとIEの相互作用でまた新たな脆弱性、エクスプロイトも公開

OLSリリース情報「タブブラウザ Sleipnir 2.5.15」

Fenrir＆Co.のタブブラウザ「Sleipnir 2.5.15」が公開されました。
アップデートしてみましたが、現時点にて大きな問題はありません。

「メニューエディタ機能」の追加により、マウス割り当ての右ダブルクリックが正常に動作しない問題が修正されてます
その他、仕様変更と修正がされております。

タブブラウザ Sleipnir 公式ページ
「Sleipnir 2.5.15」の変更点

Windowsを吹っ飛ばした…

「Pioneer DVR-A12J」に起因するトラブルで、Windowsを再インスト…インスト中も、なんかDVDドライブがおかしい。

DVDは、一応動作していたので、WindowsやデバイスドライバをインストしMicrosoftUpadeを実行しアップデートしました。81件も、あってびっくり…
そして、アップーデート終了間際の79件目でシステムエラーでブルーバックに…内容は

A problem has been detected and windows has been shut down to prevent
damage to your computer.

A process or thread crucial to system operation has unexpectedly exited or
been terminated.

If this is the first time you've seen this stop error screen, restart your computer.
If this screen appears again, follow these steps:

Check to make sure any new hardware or software is properly installed.
If this is a new installation, ask your hardware or software manufacturer
for any windows updates you might need.

If problems countinue, disable or remove any newly installed hardware
or software. Disable BIOS memory options such as caching or shadowing.
If you need to use safe Mode to remove or disable components, restart
your computer, press F8 to select Advanced Startup options, and then
select safe mode.

Technical information:
***STOP: 0x000000F4 (0x00000003,0xXXXXXXXX,0xXXXXXXXX,0xXXXXXXXX)

Beginning dump of physical memory
Physical memory dump complete.

Contact your system administrator or technical Support group for further assistance.

再起動後、イベントログには、

イベントの種類: エラー
イベント ソース:    System Error
イベント カテゴリ:  (102)
イベント ID:    1003
日付:       2007/07/XX
時刻:       0:00:00
ユーザー:       N/A
コンピュータ:   XXXXXXXX
説明:
エラー コード 000000f4、パラメータ1 XXXXXXXX、パラメータ2 XXXXXXXX, パラメータ3 XXXXXXXX、パラメータ4 XXXXXXXX.

詳細な情報は、http://go.microsoft.com/fwlink/events.asp の [ヘルプとサポート センター] を参照してください。

ハードウェアではなさそうです…理由は、保存されたミニダンプから判明しました。
csrss.exeと呼ばれるWindows基幹プロセスが落ちたためでした。ただ、なぜ落ちたのかは、現在調査中です。同プロセスに関する事は、何かわかり次第掲載します。

不具合を起こしたドライブは、Pioneerの「DVR-A12J」
購入したのはのは、LG電子の「GSA-H62N バルク」です。

現在、「GSA-H62N」は問題なく動作しております。使用感は、また掲載します。

「Pioneer DVR-A12J」の調子が…

「Pioneer DVR-A12J」の調子が悪くなってきたようです。特にCD-ROMの読み込みが悪く、認識しないものもあります。
ちなみにファームは「1.21」で2006年12月製です。

このドライブはCD関係でのトラブル情報がちらほらと散見されます。DVD-RAMのVRでの映像でもデジタルノイズが出るところがあり、そこを「Panasonic LFM-621JD」で再生すると問題なく読めるような状況です。

とりあえず、別のドライブを購入しました。購入したのは、「LG電子 GSA-H62N ブラック バルク」です。使用感は、また掲載します。

「OpenOffice.org 2.2.1」日本語版リリース

6月15日に「「OpenOffice.org」に脆弱性見つかる…」を掲載いたしましたが、その修正日本語版「OpenOffice.org 2.2.1」が公開されました。
今回の脆弱性は、悪意のあるRTFファイルを開いた時、リモートで任意のファイルが実行できるというものです。
OpenOffice.orgはアップデートを推奨しております。

OpenOffice.org日本ユーザー会
「OpenOffice 2.2.1」日本語版がリリース
OpenOffice.orgに危険度の高い脆弱性

OLSリリース情報「タブブラウザ Sleipnir 2.5.14」

Fenrir＆Co.のタブブラウザ「Sleipnir 2.5.14」が公開されました。
インストしてみましたが、今のところ問題なしです。

タブブラウザ Sleipnir 公式ページ
「Sleipnir 2.5.14」の変更点

Adobe Systems「Flash Player」の脆弱性対策版リリース

Adobe Systemsは「Flash Player」プラグインに3件の脆弱性に対応したバージョンをリリースしました。
脆弱性が存在するのは、

「Adobe Flash Player 9.0.45.0」及びそれ以前。
「Adobe Flash Player 8.0.34.0」及びそれ以前。
「Adobe Flash Player 7.0.69.0」及びそれ以前。

Adobe Systemsは対象ユーザに対し、Windows、Mac、Solaris版は「9.0.47.0」、Linux版は「9.0.48.0」アップするよう呼びかけてます。
私自身、アップデートしましたが問題なく終わりました。

「Adobe Flash Player」
アドビ、Flash Playerの脆弱性を修正

BlogScouter（ブログスカウター）に参加してみました

サイバー・バズのブログスカウターに参加してみました。
きっかけは、サイバー・バズのキャンペーンで紹介されていたこと、私自身サイバー・バズ会員であるので参加しました。

数日、様子見しました。ネーミングや機能は面白いですね。
ただ、始まりたてという事もあり、あれっと思う点があります。

• ブログスカウターの値の基準が分からない。訪問者数は大きな変化が無いにもかかわらず、初日65でしたが、昨日55に、今日は24でした。
• 15項目のうち使用ブログサイトにより更新されない項目がある。

まだ始まりたてなので仕方ないですね。しかしサイバー・バズの対応は良かったです。
面白い物なので、今後に期待したいと思います。

BlogScouter（ブログスカウター）

脆弱性を修正した「QuickTime 7.2」リリース

Appleは、8件の脆弱性を修正した「QuickTime 7.2」をリリースしました。
対象は、Mac OS XとWindowsです。修正した脆弱性は、

1. CVE-2004-2295 悪意のあるH.264ムービーファイルを再生するとアプリのクラッシュや任意のコードが実行される。
2. CVE-2007-2392 悪意のある動画を再生するとアプリのクラッシュや任意のコードが実行される。
3. CVE-2007-2296 悪意のある.m4vファイルを再生するとアプリのクラッシュや任意のコードが実行される。
4. CVE-2007-2394 悪意のあるSMILファイルを再生するとアプリのクラッシュや任意のコードが実行される。
5. CVE-2007-2397 悪意のあるサイトを見ると任意のコードが実行される。（Java）
6. CVE-2007-2393 悪意のあるサイトを見ると任意のコードが実行される。（Java）
7. CVE-2007-2396 悪意のあるサイトを見ると任意のコードが実行される。（Java）
8. CVE-2007-2402 悪意のあるサイトを見ると任意のコードが実行される。（Java）

です。
ダウンロードはこちら

アップル、「QuickTime 7.2」リリース--セキュリティ問題8件を修正
「Pro」でなくても全画面表示――QuickTimeとiTunesが更新

MS、7月月例パッチ公開！

MSは、7月の月例パッチを公開しました。WindowsXP SP2にインストールしましたが、今のところ、問題は出ておりません。

• MS07-036 Microsoft Excel の脆弱性により、リモートでコードが実行される (KB936542)
• MS07-039 Windows Active Directory の脆弱性により、リモートでコードが実行される (KB926122)
• MS07-040 .NET Framework の脆弱性により、リモートでコードが実行される (KB931212)
• MS07-037 Microsoft Office Publisher 2007 の脆弱性により、リモートでコードが実行される (KB936548)
  MS07-041 Microsoft インターネット インフォメーション サービスの脆弱性により、リモートでコードが実行される (KB939373)
• MS07-038 Windows Vista ファイアウォールの脆弱性により、情報漏えいが起こる (KB935807)
• Microsoft Windows 悪意のあるソフトウェアの削除ツール

以上です。

2007 年 7 月のセキュリティ情報
マイクロソフト、7月の月例パッチをリリース
MS月例パッチ公開、Excelや.NET Frameworkの深刻な問題に対処

MS、WindowsVista SP1のテスト開始か？

MSが、来週にもWindows Vista Service Pack 1（サービスパック）のテスト開始との情報が流れております。
SP1では、シャットダウン、ファイルのコピーの高速化やパフォーマンスアップが図られているとの事です。正式版は11月に公開との情報もあります。

ただMSの公式発表ではなく、またこの件に関しコメントを出してません。
従い、真偽の程はわかりません。

マイクロソフト、来週にもWindows Vista Service Pack 1のテストを開始か

OLSリリース情報「SP+メーカー Ver 0.74.0」

A.K. Officeは「SP+メーカー Ver 0.74.0」をリリースしました。
このソフトは、Windows 2000/XP/Server 2003やMS OfficeにService Packやパッチ適用させたブート可能なISOイメージを作成するソフトです。

A.K. Office

MS、7月月例パッチを予告

MSは、7月月例パッチを予告しました。公開日は7月11日です。
リリース予定の内容は、

• 緊急 Office, Excel リモートでコードが実行される
• 緊急 Windows リモートでコードが実行される
• 緊急 .NET Framework リモートでコードが実行される
• 重要 Office, Publisher リモートでコードが実行される
• 重要 WindowsXP Professional リモートでコードが実行される
• 警告 WindowsVista 情報漏えい
• Microsoft Windows 悪意のあるソフトウェアの削除ツール

以上です。

2007 年 7 月のセキュリティ情報
マイクロソフト、7月度月例パッチを予告--6件の脆弱性に対処へ
7月のMS月例パッチ、緊急レベルは3件

Windowsアプリの開発者が減少傾向？

Windowsのアプリケーション開発者が減少傾向にあるようです。

Evans Dataの同調査によると、Windowsのいずれかのバージョン向けにアプリケーションを開発するソフトウェア開発者は、2006年は全体の75％近くであったのに対し、2007年は65％弱であるいう。同調査グループは、今後1年間のうちにこの数字がさらに2％減少すると予測している。
CNET Japanより

との事です。
確かに、Windowsで開発するのに、必要な技術やソフトはMSに依存せざる終えません。
また、個人ユースなら開発ツールが無料で手に入りますが、少し上の機能を使おうとすると、たちまちコストが高くなります。
そして、新しい開発ツールが出て、その度有償でアップグレード…これでは、コストがかかりすぎます。

減った開発者は、Linux関係に流出しているようです。また、Webプログラミングなどに代表されるように、環境がWebベースの開発が主流になりつつあるのが現状かもしれません。

Windows向け開発者の数が減少--米調査
進む開発者のWindows離れ――Evans Data調べ

iPhone人気を利用したスパムメール

先日アメリカで発売され、とても大きな人気の「iPhone」が当選しましたという、スパムメールが登場しているようです。
送られてきたメール内のリンクをクリックすると悪意のあるサイトへ誘導され、悪意のあるソフトウエアがインストールされます。
また、ユーザが再度同サイトを訪れても無害なページに変わる、いわゆるイベイシブ（evasive）攻撃も確認されているようです。

「iPhone」を利用したスパムメールは、これからも登場すると思われるので、騙されず気をつけてください。

iPhone人気を悪用するフィッシングメールが登場

「+Lhaca」脆弱性が再び…修正版再リリース

先日、圧縮・解凍ソフト「+Lhaca」で発見された脆弱性に対し修正版が公開されましたが、その修正版で再び脆弱性が見つかったようです。そして、その脆弱性を修正した「1.23」がリリースされております。
まだ暫定対応ですが動作確認の後、正式版として公開される予定との事です。

今回も同じくバッファーオーバーフローによる脆弱性で、LZHファイルの展開に使用していた「strcat」が原因との事です。
対策として「strcat」を「strncat」に変更し対処したようです。
また、テストコードにより解凍処理が出来ない場合がある問題を修正したとの事です。

+Lhaca
修正したばかりの+Lhacaにまた脆弱性、新たな修正版をリリース