YANO's digital garage

マイクロソフトから、ほぼ全てのWindowsに悪意を持ったプログラムの実行を許す重大なセキュリティホールがある事が明らかにされた。

福岡市博多区堅粕、みかさ新橋にて

時を同じくして３つの問題が出ているが、重要なのはMS03-030 「DirectX の未チェックのバッファにより、コンピュータが侵害される」というもの。

DirectXコンポーネントでMIDIのパラメータをチェックする処理に2つのバッファオーバーランが存在し、ログオン中のユーザー権限で任意のコードを実行させる事ができるというものだ。

この件は、先日の件と違ってネットワークに接続しているだけで攻撃を受けるような事は無い。とは言えMIDIファイルの演奏は論外としても、HTMLメールやBGMとしてMIDIが組み込まれているWebページも珍しくないので、すべてのユーザーは一刻も早く対策すべき。

そゆわけで大至急修正プログラムを適用するか、DirectX 9.0b にアップデートすべし。なお、以下の2点を注意事項として列挙しておく。

●Windows 2000のDirectX 8.1には修正プログラムがリリースされないので、9.0bへのアップデートが必須となる。

▲DirectX 9.0bは「NT4.0 を除くすべての Windows のバージョンに対応」と謳われているが、NEC PC-9801/9821 Seriesの最新版DirectXは7.0aであり、9.0bのsetupを起動しても「このバージョンのDirectXは現在インストールされているバージョンのWindowsと互換性がありません」と言われてインストールできない。つまりのNEC PC-9801/9821 Seriesにおいてマイクロソフト公認のMS03-030対策はDirectXをアンインストールするしか無い事になる。が、捨てる神あれば何とやら。DirectX8.0(a)、8.1(b)、および9.0(a)をNEC PC-9821に無理矢理インストールするためのパッチがフリーソフトとして出回っていて、早速DirectX9.0b対応のパッチ http://hp.vector.co.jp/authors/VA007918/DX8NEC98.LZHもリリースされたそうなので参考まで。

ちなみにあと2つの脆弱性は、MS03-029「Windows の機能の問題により、サービス拒否が起こる (823803)」がNT Server 4.0のみ、MS03-031「Microsoft SQL Server 用の累積的な修正プログラム (815495)」が読んで字の如くSQL Serverのみが対象となるので、該当システムを使用しているユーザーはできるだけ早く修正プログラムを適用しよう。

【参照】
●ITmedia news
　-DirectXに「緊急」の脆弱性 2003年7月24日
　-NT Server 4.0にアプリケーション終了のおそれのあるセキュリティホール 2003年7月24日
　-またも相次ぐMS発のセキュリティ警告 2003年7月24日
　-マイクロソフト、SQL ServerおよびMSDE向けに累積的なパッチを公開 2003年7月24日
●マイクロソフトTechNetセキュリティセンター
　-「MS03-029: Windows の機能の問題により、サービス拒否が起こる (823803)」に関する要約情報 【注意】
　-「MS03-030: DirectX の未チェックのバッファにより、コンピュータが侵害される (819696)」に関する要約情報 【緊急】
　-「MS03-031: Microsoft SQL Server 用の累積的な修正プログラム (815495)」に関する要約情報 【注意】
　■DirectX  >  DirectX 9.0b End-User Runtime

●ベクター
　-DirectX8 For NEC98
　DirectX9.0b対応のパッチ http://hp.vector.co.jp/authors/VA007918/DX8NEC98.LZH

たった独りで95kmの逃げを決め、初のステージ優勝を遂げたCSCのハミルトン。第1ステージで落車して鎖骨を折ているとは思えない熱い走りには激しく胸を打たれた。いやぁ、男だねぇ。

王者アームストロングは最後の山岳ステージで猛烈なアタックを見せ、いよいよ5連覇に王手。ホントに力が衰えたのか、それともここまで三味線弾いてたのか？

【参照】
●JSkySports
　-ツール・ド・フランス

今夜はツール・ド・フランスも休養日なので、AMCキャナルシティ13までMTBを駆って『マトリックス・リローデッド』を観に行った。

こないだ始まったばかりだと思っていたが、気が付くともう7週目。『ターミネーター3』や『踊る大捜査線 THE MOVIE2』が封切られて観客動員数も下り坂に入ったという事だったが、予告編が始まる頃には6割方の席は埋ったようで、さすがは話題作とちょっと感心。

さて確かに売り物のカンフーアクションやカーチェイスなどそれなりに見応えはあったものの、4年前ならいざ知らずワイヤーアクションやVFXによる合成という裏がわかっていると、ついつい覚めた目で観てしまってつまらなかった。

近未来的な都市の風景やメカデザインなど未だ『ブレードランナー』や『スターウォーズ』の呪縛から逃れられていないように思えるし、キアヌ・リーブスも頑張ってはいるんだろうけど、ジャッキー・チェンの古典的アクション映画の方が数倍興奮するなぁ、というのが正直なところだ。

といったところで、DVDを買ったはいいが未だに一度も観ていない『マトリックス』はこのままラックの肥やしになってしまうのかなぁ。

【参照】
●http://www.thematrix.com/
●ターミネーター3
●踊る大捜査線 THE MOVIE2

●ぴあ映画観客動員数ランキング＠Yahoo

ホームユーザーには直接関係は無いが、CERTからCiscoのネットワーク製品に動作を停止させるセキュリティホールがある事が公表されている。

Ciscoのルーターやスイッチに搭載されているOSに問題があり、攻撃を受けると装置の動作が停止してしまうという事だ。ワームの感染や増殖はなどは発生しないが、企業等のLANやインターネットプロバイダーなど広範囲に渡って高いシェアを持つ機器である事と、既に攻撃コードが一部で公開されている事を考えると一刻も早い適用が必要だ。

ちなみに問題が確認されているIOSは11.x，12.0，12.1，12.2で、IOS 12.3にはぜい弱性は無いそうなので、バージョンアップしましょう。

【参照】
●CERT
　-CERT Advisory CA-2003-15 Cisco IOS Interface Blocked by IPv4 Packet 2003年7月16日
　-CERT Advisory CA-2003-17 Exploit available for the Cisco IOS Interface Blocked Vulnerabilities 2003年7月18日
●CERT KOREA 日本語版
　-[セキュリティ勧告文] Cisco IOSソフトウェアを搭載した Cisco 製品に対するリモートサービス拒否攻撃脆弱点 [07/18]
●日経IT Pro
　-Cisco IOSのセキュリティ・ホールを突くツールが公開，管理者は早急に対策を 2003年7月20日
　-シスコのOS「Cisco IOS」にセキュリティ・ホール。DoS攻撃で動作停止の危険 2003年7月18日
●ITmedia news
　-Ciscoルータの脆弱性、危険度レベル引き上げ 2003年7月19日
　-Ciscoルータの問題を悪用するコードが公に 2003年7月19日
　-ルータの問題でCiscoがアドバイザリを公開、修正済みIOSへのアップデートを 2003年7月17日
●Cisco Systems
　-Cisco Security Advisory:Cisco IOS Interface Blocked by IPv4 Packets 2003年7月16日

5連覇を目指す王者アームストロングも力が衰え始めたか、圧倒的なパワーでライバル達を蹴散らして行ったこれまでと違って戦略的なレース運びをしている事から、3人が18秒差で最後の山岳ステージに挑むというここ数年無かった混戦模様となっているツール・ド・フランス。

若いヴィノクロフやマヨの力強いアタックは観ている方も力が入るが、個人的には熱い走りで個人TTを制し復活の狼煙を上げ、1997年以来6年ぶりの王座を狙うウルリッヒがイチオシだ。

それにしてもフランスは天気が良くて羨ましい....。

【参照】
●JSkySports
　-ツール・ド・フランス