2005年12月のMicrosoft Update!

2005 年 12 月のセキュリティ情報 (Microsoft)

緊急 Internet Explorer 用の累積的なセキュリティ更新プログラム (905915) (MS05-054)
Internet Explorer に脆弱性が存在し、これにより攻撃者がこの脆弱性を悪用し、
影響を受けるコンピュータを完全に制御する可能性があります。
重要 Windows カーネルの脆弱性により、特権が昇格される (908523) (MS05-055)
Windows カーネルに脆弱性が存在し、影響を受けるコンピュータで特権の昇格が行われる可能性があります。
この脆弱性を悪用するためには、攻撃者は正しいログオン資格情報を使用しローカルにログオンする必要があります。

US-CERT Technical Cyber Security Alert TA05-347A — Microsoft Internet Explorer Vulnerabilities
Microsoft Internet Explore 用の累積的なセキュリティ更新プログラム(MS05-054)について (IPA)
JPCERT/CC Alert 2005-12-14: Microsoft Internet Explorer に含まれる脆弱性に関する注意喚起
マイクロソフト社のセキュリティ修正プログラムについて(MS05-054,055) (@police)
MSが月例セキュリティアップデート公開、IE脆弱性に対処 (ITmedia)
12月のMSアップデートはSONY BMGのDRMも駆除 (ITmedia)

…アップデートしていない人は今すぐしよう。再起動が面倒っていってるのは誰だ? ( ゚Д゚)マンドクセー

株価操作狙ったスパムに業界団体が注意呼び掛け (ITmedia)

「200%の利益が出る」などの文言で投資家をだまして大損させる携帯電話あてのスパムが横行しているが、このようなメールは無視するようにと全米証券業協会が勧告。

株価操作スパム、PCメールから携帯メールへ (ITmedia)

これまで投資家をだます目的のスパムメールはPCあてのものが多かったが、このところ携帯電話あてのものが急増している――全米証券業協会が投資家に注意を呼び掛けている。
…200%か、、、ぼくにはそんな夢みたいな話きてないな。騙す方も悪いが、騙される方も悪い。 (-_-)ナニカ?

国民公庫、顧客情報53件がネット上に流出 (NIKKEI)

流出したのは船橋支店と板橋支店の取引先である個人事業主らの氏名、住所、融資日、融資残高など。船橋支店の職員が自宅で個人所有するパソコンがコンピューターウイルスに感染し、パソコン内の顧客情報が流出したという。この職員は今年3月ごろ、無断で顧客情報をフロッピーディスクに記録して自宅に持ち帰っていた。
…「無断で」って、許可したら持ち出せるの?申請はすぐできるの?めんどくさくないの?日本人は働き者なんだから、安全に家で仕事できる体制を考えてあげないとね。この社員だけが悪いんじゃないと思ふ。 ・゚・(ノД`)ヽ(゚Д゚ )ナクナ ゴラァ!!

ネットユーザー数が最も少ないのは佐賀県、NS総研のIPアドレス調査 (ITmedia)

IPアドレス数の全国構成比で上位は、東京都の16.68%、神奈川県の8.69%、大阪府の8.00%、埼玉県の5.91%、愛知県の5.89%だった。下位5県は、徳島県の0.53%、高知県の0.43%、鳥取県の0.40%、佐賀県の0.36%、島根県の0.34%だった。
都道府県ごとのドメインシェアの上位は、東京都では1位「bbtec.net」、2位「usen.ad.jp」、3位「ocn.ne.jp」、4位「dion.ne.jp」、5位「home.ne.jp」、6位「infoweb.ne.jp」、7位「mesh.ad.jp」、8位「so- net.ne.jp」、9位「plala.or.jp」、10位「vectant.ne.jp」の順だった。「bbtec.net」は神奈川県や大阪府でも1位に入っている。
…「bbtec.net」ってヤフーBBでしょ?すごいね。 (・∀・)チゴイネ!

ウイルス対策ソフト、有償でも無償でも効果は同じ!? (internet.com)

全体300人のうち、 過去に有償のウイルス対策ソフトを使った経験のあるユーザーは66.0%(198人)。 彼らに有償のウイルス対策ソフトの使用をやめた理由を複数回答で聞いてみた。
トップは「ライセンスが切れた」(122人)、ついで「PC が重たくなるなどの不具合が出た」(58人)、「有償でも効果を実感できなかった」(26人)、「PC を買い換えて再度インストールしなかった/できなかった」(22人)、「ウイルスに感染した」(8人)など。
また、全体に対して、無償のウイルス対策ソフトを使用している理由を、複数回答で聞いてみたところ、「(有償のウイルス対策ソフトは値段が)高すぎる」(121人)がトップで、 ついで「有償でも無償でも効果は同じ」(118人)、「ウイルス対策ソフトにお金をかけたくない」(99人)、「有償ソフトは購入するのが面倒」(69人)などだった。
…無償でもないよりはマシと思ふ。「ウイルス対策ソフトが高すぎる」っていうのには賛成! (-∀ー#)

デスクトップ検索ソフト「Google デスクトップ」v2 日本語正式版が公開 (窓の杜)

「IT管理者には強力な権限を与えるべき」-マイクロソフト奥天氏 (impress)

MicrosoftのIT専任チームの社内への影響力がとても強いとのこと。たとえば「パッチを提供する中で、本当に危険なものは期間を区切って全社員が適用しろ、と強制され、違反者のPCには、パッチを強制的に適用した上で、見せしめのためにネットワークを遮断される」という。当然、遮断された人間の業務は停止してしまうことになるので、本来の業務施行という意味ではマイナスなのだが、それが許されるぐらいの権限が与えられているわけだ。
…普通の会社でやったら、逆にIT管理者が「業務の邪魔をするな、ボケ」と怒られるよね。いい風習を持ってるね、マイクロソフトさん。 (;´Д`)スバラスィ …ハァハァ

Cookieは悪くない――潜む漏えいパターンの真実 (ITmedia)

日ごろ何げなくPCに保存されているCookieという名の情報保存の仕組み。この仕組みには、アクセス先のサイトによって暗号化を行っていない場合や、無用に長い保存期間で設定されている場合がある。サーバ管理者やユーザーは何に注目すればよいのか。

「粘土」でも指紋認証はだませる――米研究者が警告 (ITmedia)

指紋認証のスキャン用デバイスの脆弱性を実証する実験の結果、生体や死体から採取した指紋で作った偽の指でも、90%以上が認証されてしまうという結果が出た。

OperaにもIEと同じセキュリティ・ホール,バージョン8.02以降では修正済み (IT Pro)
Secunia、Operaの脆弱性に警告 (ITmedia)

新しいブラウザウィンドウ内でのマウスクリック処理のエラーと、「ファイルダウンロード」ダイアログボックスの表示位置が予測できることに関連している。攻撃者はこれらを悪用することで、ファイルダウンロードダイアログボックスの上に新しいブラウザウィンドウを重ねて表示させることができる。ユーザーに新しいウィンドウ内の特定の領域内をダブルクリックさせると、その下に隠れたファイルダウンロードダイアログボックスの「開く」ボタンがクリックされたことになってしまう。

米McAfeeをかたるフィッシング,トロイの木馬をパッチに見せかける (IT Pro)

6th ICCC 2005の分科会の講演資料(PDF)を掲載 (IPA)
JPCERT/CC REPORT 2005-12-14

[1] RealNetworks 製品のバッファオーバーフローの脆弱性
[2] Sun Java System Communications Services の脆弱性
[3] Sun Java System Application Server の Proxy プラグインの脆弱性
[4] xpdf の複数の脆弱性
[5] HP-UX IPSec の脆弱性
[6] 携帯電話の Web ブラウザにおける referer ヘッダの扱いに関する問題

Exploit Code

タイトルとURLをコピーしました