安全なウェブサイトの作り方 щ(ﾟ▽ﾟщ)ﾂﾖｲ?

MSDNフォーラム (´･ω･)y–oO○ ｴﾄｰ

□ 下り最大50.5Mbps、上り最大12.5Mbpsの「Yahoo! BB 50M Revo」

BBテクノロジーは、下り最大50.5Mbps、上り最大12.5MbpsのADSL接続サービス「Yahoo! BB 50M Revo（レボ）」を2月1日により提供する。月額料金はADSLサービス料が1,564円、ISPサービス料が1,354円、モデムレンタル料が1,354円。
…ほえ～、まだADSLで行きますか？ (・∀・)ﾁｺﾞｲﾈ!

□ マイクロソフト，開発者向けのWebフォーラムをオープン (IT Pro)

→ MSDNフォーラム

□ Symantecなど、スパイウェア対策製品の評価基準を策定へ (ITmedia)

セキュリティベンダーのMcAfee、Symantec、Trend Micro、ICSA Labs、Thompson Cyber Security Labsが、スパイウェア対策技術の評価基準を策定するための業界団体を設立。
…最近セキュリティ団体多いなぁ。協業するのはいいけども、競争力がなくなってないかい？ (；・∀・)ﾀﾞﾀﾞｲｼﾞｮｳﾌﾞ･･･?

□ MS Office製品、一部法人顧客でアップデートの必要性–特許権侵害のため (CNET Japan)

Microsoftは、先ごろ出た敗訴判決を受け、使用中のOfficeによってはアップデートが必要になることを、各国の法人顧客に電子メールで通知し始めた。

□ 開発者が語る“ポストWinny” (ITmedia)

DB2が無償で利用できる (*^ーﾟ)b ｸﾞｯｼﾞｮﾌﾞ!!

□ 無料版データベース、IBM も提供を開始 (internet.com)

DB2 Express-C は、デュアルコアプロセッサ2基までのシステムに対応する。データベースの大きさに制約はないが、メモリは最大4GBに限られる。→ DB2 Universal Database Express Edition V8.2
…検証や勉強のためには十分すぎる制約である。 （；´Д`）ｽﾊﾞﾗｽｨ …ﾊｧﾊｧ

□ 2年間1,980円のセキュリティ対策ソフト「ウイルスキラー2006」 (impress)

…安いっ！年間990円。ウイルスや不正アクセス、スパイウェア、フィッシング詐欺、迷惑メールなどの対策。これだけやるとトレンドだと年間で10,000円弱になるよ。でも本当に使えるの？ (；・∀・)ﾀﾞﾀﾞｲｼﾞｮｳﾌﾞ･･･?

犯罪者 ||Φ|(|ﾟ|∀|ﾟ|)|Φ||

□ Sprint、携帯電話の通信記録を不正入手した業者提訴 (ITmedia)
□ Windowsソースコード販売の男性、2年の懲役刑に (ITmedia)

AMDにもWMFの脆弱性のデータが仕掛けられる ((；ﾟДﾟ)ｵﾚｼﾗﾅｲ

□ AMDサイトにハッキング？悪質コード仕掛ける (ITmedia)

米AMDのユーザーディスカッションフォーラム(forums.amd.com)で問題が発生しているとして、F-Secureがブログで概要を公表。このサイトを訪れると、WMF（Windowsメタファイル）の脆弱性を悪用したコードを送られてしまうという。
…あれだけ、騒いだのに未だにパッチを当てない人がいる。 ・・・＿|￣|○

□ Winampに極めて重大な脆弱性 (ITmedia)

コンピュータ名を含むファイル名の処理に関する境界エラーが原因で、細工を施したプレイリストを使ってバッファオーバーフローを誘発できてしまう。悪用されると、例えば悪質なWebサイトを訪問させられるなどして、ユーザーのシステムで任意のコードを実行されてしまう。…実証コード（Exploit Code）ありまっせ。・・・＿|￣|○

• Winamp 5.12 (Crafted PLS) Remote Buffer Overflow Exploit (0-Day) (milw0rm)
• Nullsoft Winamp Player <= 5.12 PLS File Handling Remote Buffer Overflow Exploit (FrSIRT)
• winamp0day.c (packetstorm)

□ メール・ソフト「AL-Mail」にセキュリティ・ホール，修正版が公開 (IT Pro)
□ 複数のメールソフトで添付ファイル処理に脆弱性、処理停止することも (ITmedia)
□ 復刻:IEのほとんどのバー(アドレスバー含む)偽装の件 (hoshikuzu | star_dust の書斎)

Internet Explorer 6.0 SP2 (Windows XP SP2 + 全 patch)において、「アドレスバーを含むほとんど全てのバー(タイトルバーとステータスバー除く)」を偽装できてしまう欠陥があるとのこと。patchなし。

安全なWEBサイトの作り方 ( – _ – )ｲｲ!

□ 安全なウェブサイトの作り方 (IPA)

『安全なウェブサイトの作り方』では、「ウェブアプリケーションのセキュリティ実装」として、IPAが届出を受けたソフトウエア製品およびウェブアプリケーションの脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、脆弱性の原因そのものをなくす根本的な解決策と、攻撃による影響の低減を期待できる保険的な対策を示しています。また、「ウェブサイト全体の安全性を向上するための取り組み」として、ウェブサーバの運用や通信の暗号化などの解説を示しています。

□ 「ブログ・セキュリティ」の現状 (IT Pro)
□ マイクロソフト セキュリティ アドバイザリ (904420): Win32/Mywife.E@mm
□ 「Skypeがボットネットの動きを隠す」，セキュリティ研究者が警告 (IT Pro)

…ボットが暗号アルゴリズムを取り入れようとしているという話。候補はSkypeだけではない。 （ ´ﾟ,_」ﾟ）ﾋｯｼﾀﾞﾅ

リリース

□ Webmin 1.260
□ Usermin 1.190

Exploit Code

• xeCMS 1.0.0 RC 2 (cookie) Remote Command Execution Exploit (milw0rm)
• phpBB <= 2.0.19 XSS Remote Cookie Disclosure Exploit (milw0rm)
• Winamp 5.12 (Crafted PLS) Remote Buffer Overflow Exploit (0-Day) (milw0rm)
• Nullsoft Winamp Player <= 5.12 PLS File Handling Remote Buffer Overflow Exploit (FrSIRT)
• winamp0day.c (packetstorm)