この脆弱性攻撃が広がったら、影響ははかりしれませんね。「ショートカットファイルのアイコンが表示された際に、悪意のあるコードが実行される」というのだから、攻撃が広がらないように祈るのみです。早急にこれに対処したパッチが求められます。
Windowsに新たな脆弱性、ショートカットアイコン表示でコード実行の危険性 -INTERNET Watch
マイクロソフトは17日、Windowsのショートカットファイル(.lnkファイル)の処理に関する新たな脆弱性が発見されたとして、セキュリティアドバイザリ(2286198)を公開した。脆弱性は、現在マイクロソフトがサポートしているすべてのOS(Windows 7/Vista/XPおよびWindows Server 2008 R2/2008/2003)に影響があり、既にこの脆弱性を悪用する攻撃も確認されている。
発見された脆弱性は、特別な細工がされたショートカットファイルのアイコンが表示された際に、悪意のあるコードが実行される可能性があるもの。USBメモリーなどのリムーバブルドライブを経由する攻撃が考えられ、自動実行(Autorun)を防止する対策を施していても、ユーザーが手動でドライブをダブルクリックした場合、ドライブ内のアイコンを表示しただけでウイルスなどを実行させられる危険がある。
F-Secureによれば、現時点でこの脆弱性を悪用する攻撃は、インフラなど産業装置の監視システムに用いられているSCADAシステムを狙ったものが確認されており、期限切れのデジタル署名も利用しているという。
マイクロソフトではこの攻撃の回避策として、ショートカット用アイコンの表示を無効にすることと、WebClientサービス(WebDAV)を無効にする方法を挙げている。また、この脆弱性を修正するためのセキュリティ更新プログラムの開発を進めているという。
今回の版は「合計14件のセキュリティ上の問題を修正した」とあるように、大幅に修正した版のようです。すぐ、デスクトップ PC もノートパソコンもアップデートしました。
「Firefox 3.6.7/3.5.11」リリース、危険度の高い脆弱性を修正 -INTERNET Watch
Mozillaは21日、ウェブブラウザーの最新版となる「Firefox 3.6.7」を公開した。Windows/Mac/Linuxがあり、日本語版も用意されている。
3.6.7では、不正なPNG画像によってリモートコードが実行されるなど、危険度が4段階で最も高い“最高”の脆弱性8件を含む、合計14件のセキュリティ上の問題を修正した。3.5.11でも、3.6.7と同様の脆弱性など10件のセキュリティ上の問題を修正した。
なお、MozillaはFirefox 3.0.xのサポートを3月で終了しているほか、Firefox 3.5.xのサポートも8月で終了する。このため、これらのバージョンのユーザーに対して、Firefox 3.6.7にアップグレードすることを勧めている。
アップデートしておきました。とりあえず「プロパティ」⇒「情報」⇒「ジャンル」でジャンルを選択できなかったのが直っています!
「iTunes 9.2.1」公開、セキュリティ上の問題を修正 -INTERNET Watch
Appleは19日、コンテンツ管理ソフトの最新版「iTunes 9.2.1」を公開した。対応OSはWindows 7/Vista/XPおよびMac OS X 10.4.11以降。
iTunes 9.2.1では、項目のドラッグ&ドロップ時に起こる不具合を修正したほか、iTune 9.2で一部のデバイスと初めて同期する際に生じるパフォーマンスに関する問題、暗号化されたバックアップがあるiPhoneまたはiPod touchをiOS 4にアップグレードする際に起きる問題を修正した。
また、Appleのセキュリティ情報によれば、細工を施されたウェブサイトを訪問すると、予期せずにアプリケーションが終了したり、任意のコードが実行されるセキュリティ上の問題点を修正した。具体的には、「itpc:」で始まるURLを取り扱う際にバッファオーバーフローが悪用される恐れがあるという。
正式版が出たらインストールしても良いな、と思っています。「32ビット版と64ビット版がダウンロード可能」なんだし、無料だし、性能も各種のテストでそこそこ良いし、なによりも Windows のメーカー製だし、という理由からです。
Microsoft、「Security Essentials」次期ベータ版を公開 -INTERNET Watch
米Microsoftは20日、セキュリティ対策ソフト「Security Essentials」の次期バージョンのベータ版を公開した。対応OSはWindows 7/Vista/XPで、32ビット版と64ビット版がダウンロード可能。ダウンロードにはWindows Live IDが必要となる。現時点では米国、イスラエル、ブラジルのユーザーが対象で、中国語版も年内に公開予定としている。
Security Essentialsは、Microsoftが無料で提供しているセキュリティ対策ソフト。新バージョンでは、新しい保護エンジンによりマルウェアの検知や駆除のパフォーマンスを向上するとともに、ウェブベースの脅威からの保護機能を強化。インストール時に、Windowsファイアウォールを有効にできる機能も追加した。
また、ネットワーク監視エンジンを新たに搭載し、ネットワークベースの攻撃からの保護機能を備えた。ただし、この機能はWindows 7/Vistaのみが対象となっており、Windows XPでは利用できない。
「Windows 7では64bit版をインストールしているPCは46%」というのは、かなりのものですね。私も、今度買うパソコンでは64ビット版を買うつもりです。理由は、何といってもメモリーが有効に使えること。4GB 搭載していても 32ビット版では、3GB しか使えないからです。ソフトウェアも、そこそこ動くものが出そろっているようです。
Read the rest of this entry »
こういう新聞記事を読むと、いつも思うのですが、どうしてこの教師はこのような暴言を吐いたのか?書かれていないので、ただ「ひどい教師だな」で終わってしまいます。中途半端な記事だと思う。もっと、読者としては、突っ込んだ内容を知りたい。「弁護士会人権擁護委員会に人権救済を申し立てていた」ぐらいですから、もっといろいろあったはずです。教師側と話し合ってもらちがあかなかったはずです。そこを知りたい。また、この記事が出ることによって生徒に影響は出ないのか、心配です。
沈没事故で父失った生徒、教諭「暴言」で適応障害 : 社会 : YOMIURI ONLINE(読売新聞)
長崎県平戸市沖で昨年4月に起きた巻き網船「第11大栄丸」沈没事故で、父親を亡くした同県佐世保市、私立西海学園高(菅沼宏比古校長)の女子生徒(17)が、昨年4月末頃、古典の授業で男性教諭(50歳代)から「親が死んだことは風流だ。人はいつ死ぬかわからん」などと言われ、適応障害になったとし、同県弁護士会人権擁護委員会に人権救済を申し立てていたことが分かった。
生徒はその後、教諭の姿を見るだけで息苦しくなり、8月には教諭に「具合が悪くなるのはおれのせいか」などと詰め寄られた。11月に適応障害と診断され、今年3月までの約5か月間、不登校になった。現在は復帰している。
同校によると、昨年8月に家族から連絡を受け、9月に教諭と校長が生徒宅を訪問して謝罪した。
菅沼校長は「生徒の心を傷つけるきっかけになったのは間違いなく、配慮に欠けていた」と話している。
(2010年7月19日22時05分 読売新聞)
WordPress › フォーラム » wordpressでのウィジェットの対応について を読んでいたら「wordpress.org/extend/themes/ 以外のテーマ配布サイトのものは原則として使用しない方がいいです」と書かれていて「どきっ」としました。WordPress の「テーマ」の安全性について、普段はあまり考えていないからです。検索して WordPress の「テーマ」にたどり着くことが、特に外国のサイトにてあります。インストールが簡単だから、気に入った「テーマ」が見つかるとついついインストールしがちですが、怪しげなサイトで見つけたものは、インストールするなということのようです。
さがすなら、やはり公式のサイト http://wordpress.org/extend/themes/ でさがすのが安全のようです。
すばらしい WordPress のプラグイン「Custom Post Template」を見つけました。これは、簡単に申せば、ある一定の書式に則って(上部に数行書く、下の枠を参照)書いたテンプレートを WordPress の「テーマ」のところにアップロードしておけば、ブログ記事を書く時に管理画面からそのテンプレートを選択できる機能を持たせたプラグインです。「ページ」に関しては、標準で同じ機能がありましたが、ブログ記事ではありませんでした。
同じことを Movable Type では、比較的簡単にできましたので WordPress でもできないかなと、ずーと思い続けていました。
<?php
/*
Template Name Posts: Snarfer
*/
?>
「Snarfer」が、テンプレート名で管理画面に表示されます。もちろん、自分でわかりやすいものに変えても良いです。日本語にしても良いです。この書式の後にテンプレートタグを記述してテンプレートを完成させ、そのファイル名を「1-single.php」とでもしてお使いの「テーマ」のディレクトリーにアップロードしておきます。すると、ブログ記事を書く時に管理画面からそのテンプレートを選択できます。
Read the rest of this entry »
「ログイン情報を盗み出す悪質なアドオン」ということで、どこにどんなトラップがあるかわかりませんね。
Mozillaのサイトにログイン情報を盗む悪質なアドオンが登録 -INTERNET Watch
Mozillaは13日、Firefoxなどの機能を拡張するアドオンとして、ログイン情報を盗み出す悪質なアドオンがMozillaのサイトに登録されていたとして、問題のアドオンを無効にしたことを明らかにした。
発見されたアドオンは「Mozilla Sniffer」という名称で、7月6日にMozillaのアドオン登録サイトにアップロードされていた。このアドオンが、ログイン情報を盗み出し、他のサイトに情報を送信していたことがわかったため、Mozillaでは7月12日にアドオンを無効にするとともに、インストールしたユーザーに対してアンインストールを促すプロンプトを表示する措置をとった。
Mozilla Snifferは、約1800回ダウンロードされており、情報公表時点では334人の利用者がいることが確認されている。Mozillaでは、このアドオンをインストールしようとしたユーザーには、Mozillaによるレビューが行われていない「実験的」な段階であるという警告が表示される状態となっており、レビュー前のアプリケーションについてはウイルス検査などを行っているが、今後はこうした事態を防ぐために新たなセキュリティモデルを導入するとしている。
また、別の「CoolPreviews」というアドオンには脆弱性が発見され、ユーザーが特別に細工されたリンクにカーソルを合わせると、リモートでJavaScriptを実行させられる危険があるという。現時点で、17万7000人のユーザーがインストールしており、Mozillaでは脆弱性が発見されたバージョンのCoolPreviewsを無効にし、最新版への移行を促していく。
このプラグインは、WordPress 用で アクセスカウンター表示用プラグイン「Counterize II EXTENSION」 で知りました。アクセスカウンター | WordPressの拡張プラグインを無料公開(バージョン 1.0.0)でダウンロードできます。
このプラグインは、Counterize II Version: 2.14.1 も必要です。
2つのプラグインをインストールして「有効化」します。「外観」の「ウィジェット」を開きます。
Counterize II [最近のアクセス]
Counterize II [アクセスの合計]
これらが「利用できるウィジェット」として利用できるのを確認します。ドラッグ・アンド・ドロップしてサイドバーに設置します。
このプラグインは、WordPress をキャッシュ(プラグイン WP Super Cache バージョン 0.9.9.3 を利用しています)していてもカウントに問題ないようです。WordPress 3.0 で正常に表示されています。
Read the rest of this entry »