トップスペース
 |
|
|
| << August 2004 >> | |||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
|||||||||||||||||||||||||||||||||||||||||
| |||||||||||||||||||||||||||||||||||||||||
Web標準化団体のWeb Standards Project(WaSP)が、Internet Explorer(IE)を使うのを止めて他のブラウザに乗り換えることを勧めるキャンペーン「Browse Happy」を開始し、欧米で話題を呼んでいる。
米SANSのInternet Storm Center(ISC)によると、8月19日に公になった、Internet Explorer(IE)のドラッグ&ドロップ処理の脆弱性を突いた攻撃が複数報告されているという。
この脆弱性は、IE上でファイルのドラッグ&ドロップを行うと、ユーザーがそれと知らないうちに、PC上の任意の場所に、任意のファイルがダウンロードされてしまうという問題だ。
米Cisco Systemsは8月27日、Internetwork Operating System(IOS)を載せたCisco機器のTelnet/Reverse Telnetポートに特殊なTCPパケットが送られると、それ以降のTelnet、Reverse Telnet、RSH、SSH、HTTPによる接続が遮断される恐れがあると注意を呼びかけている。
セキュリティ企業のSecuniaは8月19日、Internet Explorer(IE)のドラッグ&ドロップ処理に脆弱性があるとアドバイザリを出した。危険度は、5段階評価で2番目に高い「Highly critical」。
問題の原因は、IEでインターネットゾーンのファイルをローカルリソースにドラック&ドロップする際に、ファイルに対する十分な検証が行われないことによる。この脆弱性を悪用するWebサイトからファイルをドラッグ&ドロップしてくると、ユーザーのスタートアップフォルダに任意の実行ファイルが作成されてしまい、次回Windowsを起動した際に自動的に実行されてしまう。
パッチ未適用のWindowsパソコンをインターネットに接続した場合、平均わずか約20分で悪質なソフトウェアに侵入されてしまうという。同グループが2003年に行った評価ではこの時間が約40分だった。それと比べると、時間が大幅に短縮されている。
MS、XP SP2の自動ダウンロードを無効化可能に
Microsoftは顧客の要望に応え、SP2のダウンロードを一時的に無効化するレジストリキーを用意している。SP2以外のアップデートは、従来通りに自動ダウンロード可能だ。(IDG)
7月末以降、P2Pソフト「Winny」経由で拡散するトロイの木馬「Nullporce」の亜種による被害が出ている模様だ。今のところ、ウイルス対策ベンダーによる警告は出されていないが、複数の被害者が報告されている。
Nullporceは、Winny経由で拡散するトロイの木馬だ。オリジナルのNullporceはファイルの実行によって直接感染するが、7月下旬〜8月上旬にかけて蔓延しているのは、いくつかの圧縮/解凍ソフトウェアに存在したDirectory Traversal(ディレクトリまたぎ)問題--いわゆる「圧縮ファイル解凍の脆弱性」--を悪用している亜種と見られる。
ObjectDock is a free program that allows you to have a nice animated launchbar/taskbar on your screen that reacts to your mouse when you mouse over it.
PNGは、MozillaやOperaなどのブラウザや、各種メールクライアントなどのプログラムで広く利用されているもの。このなかで、最も重大なのはバッファオーバーフローと呼ばれるメモリ管理の問題で、アプリケーションが特別な細工を施したPNG画像をロードしようとすると、悪質なプログラムが実行されてしまう可能性がある。
