PDF に誰でもできるクロスサイトスクリプティングの脆弱性 Σ（ﾟдﾟlll）ｱﾌﾞﾅｯ!

ふっきー「歯ーみがけよー」

PDF XSS vulnerability announced at CCC (SANS)

>> Universal XSS with PDF files: highly dangerous (grin の勝手気ままに戯言メモ)

2007年しょっぱなで、イターイ脆弱性が発見されますた。まさかの Acrobat にクロスサイトスクリプティングの脆弱性。Web サイト上に PDF ファイルがあるだけで、クロスサイトスクリプティングを実行可能。あまりにも簡単で、PDF を置いてるサイトはいっぱいあるし、素人には判別が難しいので、危険ナリ。ぼくも IE6, Firefox 2.0.0.1 で確認済み。IE7 では実行できず（なぜ？）。なんかいい対策方法はないもんかね～… Σ（ﾟдﾟlll）ｱﾌﾞﾅｯ!

www.lac.co.jp 上の PDF ファイルへのリンクを張り、テスト用の XSS を仕掛けておりましたが、これが、www.lac.co.jp の脆弱性であると誤解を与え、株式会社ラック様の信頼に悪影響を与える恐れがあるとご指摘を頂きました。本サイトの情報は、www.lac.co.jp とは無関係で脆弱性を示すものではございません。不適切なリンクは削除修正させていただき、並びに関係者様に心よりお詫び致します。申し訳ございませんでした。 (2007/01/15)

台湾南部沖の地震で各社の国際ローミングサービスに障害 [復旧] (impress)

ソフトバンクは、12月29日午後3時頃に全ての地域において復旧したと発表。NTT ドコモは、1月3日午後4時38分に全て回復したと発表。

年末年始返上で復旧作業っスか？大変だなぁ。 (,,ﾟДﾟ) ｶﾞﾝｶﾞﾚ!

「Month of Apple Bugs」プロジェクトに対抗 — Darwin 主要アーキテクトがパッチ公開 (CNET Japan)

Kevin Finisterre 氏と「LMH」と名乗る2人の研究が開始した、Apple Computer 製ソフトウェアの脆弱性を発見して公開するプロジェクトに対して、あるソフトウェアエンジニアがパッチを迅速に公開していくことを約束した。

FSF の BadVista キャンペーンを MSN のサーチエンジンが排除？ (Slashdot)

>> BadVista Blog — BadVista
BadVista キャンペーンのサイトを Microsoft の Live サーチで検索してみた所、BadVista キャンペーンに言及しているサイトの結果は出るが、肝心の BadVista サイトのページが検索結果に含まれないとのこと。Google など他の検索画面ではトップに badvista.fsf.org が出るにも関わらず、Microsoft のサーチだけでこのような事が起きるということは Microsoft の検索ロボットと我々(BadVista キャンペーン)のサイトの間を通信する部分に何か技術的な問題があるのでは無いか。と皮肉混じりに Microsoft の姿勢を批判。

経産省、製品事故情報のポータルサイト開設へ (IT-PLUS)

これまでに発火や死傷事故を引き起こした製品のリコール情報約600件を掲載するほか、随時発生する事故の詳細や製品情報を更新する。製品の回収や宣伝資金余力のない中小企業の事故情報も同サイトで周知する方針。

ドコモ、日テレ株3%取得、フジに続き民放キー局2社目 (asahi.com)