ANI ゼロデイ: 緊急パッチ MS07-017 リリース ヨカターヨ・゚・(ノД`)・゚・
GDI の脆弱性により、リモートでコードが実行される (925902) (MS07-017)
ANI ゼロデイ対策の Windows の更新プログラム MS07-017 が緊急でリリース。Windows Update / Microsoft Update から更新できる。再起動が必要になるので業務開始前に適用するのがいいでしょう。サードパーティパッチを適用した人は、更新プログラムの適用後にアンインストールをお忘れなく。緊急パッチはいろいろ不具合出そうだが、今のところちゃんと動いてるぽ。念のため適用後に DoS するだけの実証コードで試したが IE6 が落ちなくなってた。 ヨカターヨ・゚・(ノД`)・゚・
BUFFALO のスイッチ HUB も燃えるらしいよ ((;゚Д゚)オレシラナイ
104ビット WEP は1分あれば破れる (Slashdot)
WEP がセキュリティ的に脆弱なのは以前から知られていたことだが、それでもキーの解読には50万から200万のデータパケットを捕捉することが必要と考えられていた。しかし Tews らのページによると、今回改良された手法を使えば40,000パケットの捕捉で 50%、85,000パケットの捕捉なら 95% の確率で WEP キーは解読可能だという。
もはや WEP なんてあってないようなものか。 Σ(゚д゚lll)ガーン
MIT Kerberos に深刻な脆弱性 (ITmedia)
LAN 分岐のスイッチング付属品から発火のおそれ (asahi.com)
MS 事前通知内容を改善 φ(`д´)カキカキ
マイクロソフト、セキュリティ情報の事前告知の内容を改善-個々の深刻度や影響を明確に (impress)
今回の施策では、セキュリティ情報1つ1つの深刻度をきちんと記載するとともに、関連する製品バージョンも明記する。併せて、従来の事前告知には記載のなかった“脆弱性の影響”や“影響を受けるソフトウェア”に関しても、本番の「マイクロソフト セキュリティ情報」と同等に記述する。また、適用した更新プログラムの検出方法に関する情報についても、1つ1つのセキュリティ情報ごとに明示するとした。
FCC、「プリテキスティング」防止策を強化 (ITmedia)
米連邦通信委員会(FCC)は4月2日、電話会社および携帯電話会社に対し、顧客の通話記録を保護する新たな規制を発表した。新規制は顧客の承諾なく、顧客のネットワーク利用に関する個人情報(CPNI: Customer Proprietary Network Information)へアクセスすることを厳しく取り締まり、他人になりすます「プリテキスティング」予防を目的としている。
海の向こうの“セキュリティ” 第7回:TWNCERT によるソーシャルエンジニアリングのドリル ほか (impress)
Web 上の個人情報登録、約 91% が「抵抗を感じる」 (Japan.internet.com)
ネットマイル、元アルバイトの私有PCから個人情報を含む企業情報が流出 (ScanNetSecurity)
ActiveX なサイトはクソだよ (#゚Д゚)ヤメレ!!
「ActiveX を入れない訪問者には何も見えない」ブログ盗用防止技術が登場 (Slashdot)
韓国企業テルテンの日本法人が、ブログなどの盗用を防止する用途で、ウェブページの印刷、画像やテキストの保存、ソースの表示、画面キャプチャ、クリップボードへのコピーをできなくする「WebShell」という製品のサービスを5月からスタートするという。テルテン社の ActiveX プログラムをインストールした人だけに当該ページが表示される仕組みになっているようだ。つまり、インストールしなかった訪問者には何も見えないという仕組み。どうやら「発行元:Teruten, Inc.」と出るようだが、いったいどれだけの人が「Teruten, Inc.」という署名を確認してインストールするだろうか。こういうのが流行すると、意味もわからず ActiveX をインストールする人たちが増えてしまいそうで心配だ。
ActiveX をインストールしなければ閲覧できないブログ?そんなブログにアクセスするかよ。ってゆーか ActiveX をインストールさせるサイトは極悪サイトだよ。 (# ゚∀゚);y=ー(・ω・)・∴ターン
米 XenSource、サーバー仮想ソフト最新版をリリース (impress)
セキュリティ強化のニーズに応える人材育成に向けて協業(CompTIA、トレンドマイクロ) (ScanNetSecurity)
プロなら絶対 CISSP だろ。CISSP 持ってないセキュリティコンサルタントはモーグリだよ。 m9っ`Д´)ヘキサゴン!!
JPCERT/CC REPORT 2007-04-04
- Microsoft Windows のアニメーションカーソルの処理にスタックバッファオーバーフローの脆弱性
- BASP21 に脆弱性
- 「CruiseWorks」および「みんなでオフィス」にアクセス制限回避の脆弱性
- Overlay Weaver にクロスサイトスクリプティングの脆弱性
- MailDwarf に複数の脆弱性
Red Hat Security Advisory
- [RHSA-2007:0132-01] Important: libXfont security update (RHEL5)
- [RHSA-2007:0126-01] Important: xorg-x11 security update (RHEL4)
- [RHSA-2007:0127-01] Important: xorg-x11-server security update (RHEL5)
- [RHSA-2007:0095-01] Critical: krb5 security update (RHEL2.1, RHEL3, RHEL4, RHEL5)
- [RHSA-2007:0033-01] Important: openoffice.org security update (RHEL3, RHEL4)
- [RHSA-2007:0125-01] Important: XFree86 security update (RHEL2.1, RHEL3)
- [RHSA-2007:0131-01] Moderate: squid security update (RHEL5)
- Xoops Module PopnupBlog <= 2.52 (postid) BLIND SQL Injection Exploit
- MyBulletinBoard (MyBB) <= 1.2.3 Remote Code Execution Exploit
- HP Mercury Quality Center 9.0 build 9.1.0.4352 SQL Execution Exploit
- MS Windows Animated Cursor (.ANI) Overflow Exploit (Hardware DEP)
- WordPress 2.1.2 (xmlrpc) Remote SQL Injection Exploit
- MS Windows Animated Cursor (.ANI) Universal Exploit Generator
