このセキュリティ・ホールを完全に塞ぐためには、Apple は Mac OS X のアーキテクチャそのものを、しかもその本当の根幹部分を修正しなければならず、そのためには、私たちがこれまで慣れ親しんできたいくつかの機能を犠牲にすることも伴わざるを得ないかも…

再起動不要。焦った。会社で使ってるWindowsは自前のiBookをルータにしてネットワーク接続ちう。とりあえずきちんと動いてるし、ファイアウォールがMac側でかかるしかなり気楽な運用。

AFPのロングパスワード取り扱い Apache 2.0.49 IPSec CoreFoundation：環境変数 について修正とのこと。

ShadowClassic ディスクイメージからClassicブートするスタイルでの運用に、シャドウファイルを絡めてセキュアに運用するインストラクションとツール。

しろやまさんの対処法。 Carbon/CFMをMac OS Xで開くときに、MP3Conceptの特徴である、データフォークの先頭にppcコードがない場合に警告を出すツール。ダブルクリックして起動したときに働くため、自分の意志で用いる識別ツールよりも大きな効果が期待でき…

MS04-011: Windows の重要な更新 MS04-012: Windows の重要な更新 MS04-013: Outlook Express の重要な更新 MS04-014: Windows の重要な更新 月刊アップデート。新年度号らしく、今月は豪華だ。

QUESTIONS AND ANSWERS ABOUT THE MP3CONCEPT TROJAN HORSE rsrcのcfrgでPPCコードの位置を指定できるため、MP3やQuickTime、GIFなどのヘッダやタグに紛れ込ませることが可能になっている。 で、リソースフォーク内にPPCコードの位置が書き込まれている理由…

「Re:Your Document」ってサブジェクトのメールをうっかり開いてしまう気持ちがよくわかった。 しかも、最近進化してるよな。添付ファイルの名前がメールアドレスの@以前＋billとか。proof_taiyoって校正ファイルやり取りしてる最中だったりすると、つい見た…

Intego Announces Protection against the First Mac OS X Trojan Horse: MP3Concept ネタ元：Mac OS X向けのトロイの木馬について警告 http://apple.slashdot.org/apple/04/04/08/1922237.shtml?tid=126&tid=172 Mac OS X 初の Trojan Horse MP3ファイルのI…

Security Update 2004-04-05ｷﾀｰ 説明文はいやにあっさりと、 Security Update 2004-04-05 により、多くのセキュリティ面の強化が行われます。 すべての Macintosh ユーザの方にこのアップデートを推奨します。 次の箇所のアップデートが含まれています： CUP…

URL偽装問題再び??IEとOutlookに URL偽装問題再び??IEとOutlookに へのSafari的対処。ユーザスタイルシートに以下を以下ry a [action]:after { background-color:rgba(100%,100%,0%,0.5); color:black; font-weight:bold; content:"Click Action:" attr(acti…

Safari javascript array overflow SafariのJavascriptで長大なArrayの値を編集するとクラッシュするバグがある。 リモートでも有効なことを確認した。 <script> var a = new Array(99999999999999999999999); a[0+5]="AAAAA"; </script>2004/3/4にAppleに通告したらしいが、…

JavaScriptでは読みとり専用で初期値も変えられないのね（汗 確かに、これ書き換えられたらファイル抜き放題だもんなぁ……

どうやらプロダクトセキュリティチームには到達していなかったらしい。追記。 でも、ま、探しにくいんだよ。Apple product securityチームのメールアドレス[product-security@apple.com]は。なぜCoporate Securityに行っちゃったのかなぁ。security@apple.co…

File Sharing Vulnerability Discovered in Mac OS X にPantherでのクリアテキスト警告と、まとめ（というか希望）を追記。 DayTripperさんのリンク集：AFPにぜい弱性? (その2) ありがたいですね〜。

File Sharing Vulnerability Discovered in Mac OS X Multiple issues with Mac OS X AFP client ネタ元：はてなダイアリーDayDreamerさん：AFPにぜい弱性? AFPの実装に関する様々な問題が警告されています。 AFPをセキュアに運用することは、現時点できわめ…

まず、パスワードをid:otsuneさんの言うようにapgで生成した乱数キーに変更……するためにapgのMac OS X用のパッケージを探してみる。見つけたら記述追加。 もうひとつ。WEP 128そのものを見直し。 友人からメールでWEP 128bitは40bitに毛が生えた程度しかない…

脆弱性に関する情報をお寄せください 日本語での脆弱性報告が可能になったですか。何度かお世話になる予定なんでメモ。 4.24 時間以内に、メールにて対応を開始することをご連絡いたします。 すごいねー。 「セキュリティの脆弱性」の定義 も読まなきゃ。 Ap…

Panther(10.3.2) Client Panther(10.3.2) Server Jaguar(10.2.8) Client Jaguar(10.2.8) Server Quick Time Streaming Server 詳細がつまびらかになってから検索してみよう、ということでCAVもリンクすることに決定。 CoreFoundation：CAN-2004-0168 警告ロ…

最近号外が多いなぁ。 http://slashdot.jp/article.pl?sid=04/02/11/0824201&topic=110&mode=nested Windowsにとても危険なセキュリティ・ホール，仕事前にまずは対策を 号外だけに、すごいな。中身。マイクロソフトでは，パッチ適用以外の回避策は「なし」…

Virtual PC for Mac の脆弱性により、権限が昇格する (835150) (MS04-005) どひゃー。マジですか。 VPC5.0以前は大丈夫っすか？ていうか、これ作ってるのそもそもMSじゃないんだよな。 最近のMSほど信頼できる会社じゃないから確認してみ……ってテンポラリが…

声明文のGoogleキャッシュ セキュリティの専門家やセキュリティ技術に依存しないセキュリティのあり方ってなんですか？マジで。 私だって小規模ですがWebサービス管理やってるわけで、不正なアクセスとは云々であり罰則は云々だ。という法整備は求めるところ…

他の人の確定申告書が流出、国税庁ホームページに欠陥 本来はサーバーがデータを受け取った順に利用者に返すが、同時に受け取ったため最初のデータに後のデータが上書きされた可能性が高いって、まさかスプールファイルの名称がリクエスト時の秒数.pdfだった…

各地既報なんで、blogmapの該当コンテンツあたりから参照。 office氏が「不正アクセス禁止法不正アクセス防止法違反」「威力業務妨害」の罪に問われている。 「不正アクセス禁止法不正アクセス防止法違反」は、HTMLのform文をイジってアクセスしたという方法…

ATOK15 for Windows アップデートモジュール ATOK16 for Windows アップデートモジュール 本モジュールには、悪意を持ったユーザーがATOK15が導入されているコンピュータを利用して、不正に一部操作が可能になるという脆弱性を修正する内容を含みます。 だそ…

出てますね。再起動が必要です。ログインウインドウやスタートアップアイテム関連のアップデートが含まれているので致し方ないかも。 今回、apacheのアップデートが含まれていますが、ユーザが修正していることの多いhttpd.confには手をつけない、のかな？リ…

Adobe CSのインストーラには/Libraryのオーナー権限をインストールしたユーザのものに書き換える問題がある。 インストールしたユーザは、今、すぐに、そう、たった今ディスクユーティリティを起動してディスクのアクセス権を修復しよう。 だいたい、従来バ…

MS04-003 : Windows の重要な更新 先月休刊だった割には少ないなぁ。サーバ製品にはもう２つあるらしい。 米マイクロソフトが警告--「セキュリティサーバなどに3つの欠陥」 ま、何はともあれアップデート。

Apple Mac OS X Terminal.APP Telnet Link Command Execution Vulnerability この件は、確か報告していなかったんですが、どなたかが登録してくださったようで、ありがとうございました（なんか変だな……）。

最近巷をにぎわしている例の脆弱性を、Safariで見破るユーザスタイルシートのテスト。 IEにURLを偽装できるパッチ未公開の脆弱性が発見される 以下のように見えます。 onclickを使った偽装の例はてなダイアリーではonclickが使えないので、小島先生の検証サ…