https://www.bravotouring.com/~yano/archives/2004/03/17/ Recent content in 2004/03/17 on Yano's digital garage Hugo en-us Wed, 17 Mar 2004 00:00:00 +0900 https://www.bravotouring.com/~yano/diary/it/20040317a.htm Wed, 17 Mar 2004 00:00:00 +0900 https://www.bravotouring.com/~yano/diary/it/20040317a.htm <p><a href="http://myui.s53.xrea.com/kin/" target="SubWindow">Winnyウィルス（通称キンタマ）</a>によると<blockquote>このワームに感染したPCはユーザー名と組織名とデスクトップ画像、デスクトップのファイルがWinnyにUPされてしまう。</blockquote>そうだ。お手軽なファイル交換ソフトだけに、被害を受けた際のダメージは甚大になる。素人が安易に<span class="Software">Winny</span>に手を出すのは戒めるべきだ。</p> <p><span class="Virus">Antinny.B</span>と<a href="http://myui.s53.xrea.com/kin/" target="SubWindow">Winnyウィルス（通称キンタマ）</a>が同じかどうかは諸説あり定かではない。</p> <p class="Reference">【参照】 <br/>●セキュリティホール memo ML アーカイブ <a href="http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/memo/" target="SubWindow">http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/memo/</a> <br/>┗<a href="http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/memo/2004.03/msg00161.html" target="SubWindow">[memo:7373] Cookie Path Directory Traversal Vulnerability</a> 2004年3月17日 <br/>●マイクロソフト サポート <a href="http://support.microsoft.com/" target="SubWindow">http://support.microsoft.com/</a> <br/>┗<a href="http://support.microsoft.com/default.aspx?scid=kb;ja;126449" target="SubWindow">126449:Windows のキーボード ショートカット</a> 2001年5月21日 <br/>●INTERNET Watch <a href="http://internet.watch.impress.co.jp/" target="SubWindow">http://internet.watch.impress.co.jp/</a> <br/>┗<a href="http://internet.watch.impress.co.jp/cda/news/2004/03/16/2448.html" target="SubWindow">Winnyを媒介に感染を拡げる新種のウイルス「Antinny.B」が発見される</a> 2004年3月16日 <br/>●Winnyウィルス（通称キンタマ） <a href="http://myui.s53.xrea.com/kin/" target="SubWindow">http://myui.s53.xrea.com/kin/</a> </p> https://www.bravotouring.com/~yano/diary/it/20040317.htm Wed, 17 Mar 2004 00:00:00 +0900 https://www.bravotouring.com/~yano/diary/it/20040317.htm <p>昨日指摘した<span class="Dangerous">cookie漏洩</span>問題の続報。</p> <table align="right" class="Landscape"> <tr> <td><img alt="ほころぶ桜" src="https://www.bravotouring.com/~yano/images/2004/040317.jpg"/></td> </tr> <tr> <td class="PhotoMemo">3/14 <span class="Point">富貴寺</span>にて</td> </tr> </table> <p><span class="Person">高木浩光氏</span>の<a href="http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/memo/2004.03/msg00161.html" target="SubWindow">指摘[memo:7373]</a>によると<span class="Tradename">Internet Explorer</span>の修正版や<span class="Tradename">Opera</span> 7.20 以降を使ったとしても、<span class="Software">JavaScript</span>による<span class="Dangerous">cookie漏洩</span>の危険性は避けられないそうだ。</p> <p><span class="Worning"><span class="Software">JavaScript</span>によるcookieアクセスはpathでは制限できない</span>というセキュリティドメインの仕様から、同じサーバー(ホスト)内における<span class="Dangerous">cookie漏洩</span>の問題は防げない、というのはかなり痛い指摘だ。</p> <p>って事は何かい、ib-center.gr.jpやanser.or.jp、cyber-biz.ne.jpなどを使ってるインターネットバンキングでは<span class="Dangerous">cookie漏洩</span>の危険を回避して使う事ができないって事じゃないですか？ ハードディスクに保存されないセッションcookieで、なおかつ漏洩したcookieを取得できるのも事実上銀行に限られる、と言えどもかなりイヤな感じだ。</p> <p>そもそもアウトソース形式のインターネットバンキングではアドレスバーを非表示にしたり右クリックを禁止しているサイトが多く見受けられるが、キーボードの<span class="Strong">[SHIFT]</span>＋<span class="Strong">[F10]</span>で右クリックの代替ができる事を知らないのだろうか？そういう粗忽なベンダーにセキュリティドメインについての仕様を問う、というのも酷だろうなぁ。</p> <p>やっぱ、銀行の独自ドメインで運用していないインターネットバンキングは<span class="Dangerous">「危なくて使えない」</span>と言わざるを得ない。</p> https://www.bravotouring.com/~yano/diary/it/20040317b.htm Wed, 17 Mar 2004 00:00:00 +0900 https://www.bravotouring.com/~yano/diary/it/20040317b.htm <p><span class="Software">OpenSSL</span>に<span class="Worning">DoS攻撃</span>を受ける問題があり、修正版の<span class="Strong">0.9.7d</span>がリリースされている。1つ目は、do_change_cipher_spec()関数のnull-pointer assignment障害により<span class="Software">OpenSSL</span>がクラッシュする。影響を受けるのは<span class="Strong">0.9.6のc〜kと0.9.7のa〜c</span>。2つ目はケルベロス暗号のハンドシェークにおける欠陥で、やはりクラッシュする。影響を受けるのは<span class="Strong">0.9.7のa〜c</span>。</p> <p>どちらも破壊されたり乗っ取りを許す深刻な問題では無いが、頃合いを見てアップデートしよう。</p> <p class="Reference">【参照】 <br/>●OpenSSL: The Open Source toolkit for SSL/TLS <a href="http://www.openssl.org/" target="SubWindow">http://www.openssl.org/</a> <br/>┗<a href="http://www.openssl.org/news/secadv_20040317.txt" target="SubWindow">Updated versions of OpenSSL are now available which correct two security issues:</a> 2004年3月17日 <br/>●Common Vulnerabilities and Exposures <a href="http://cve.mitre.org/" target="SubWindow">http://cve.mitre.org/</a> <br/>┣<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0079" target="SubWindow">CAN-2004-0079:Null-pointer assignment during SSL handshake</a> 2004年1月19日 <br/>┗<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0112" target="SubWindow">CAN-2004-0112:Out-of-bounds read affects Kerberos ciphersuites</a> 2004年2月2日 </p> https://www.bravotouring.com/~yano/diary/20040317c.htm Wed, 17 Mar 2004 00:00:00 +0900 https://www.bravotouring.com/~yano/diary/20040317c.htm <p>福岡では桜の開花宣言が発表された今日、オホーツク沿岸では海明けが発表された。<a href="http://sapporo-jma.go.jp/as/abashiri/web/top/aba-top.htm" target="SubWindow">網走地方気象台</a>発表の『網走・紋別地方海氷情報　第61号』によると<blockquote>北見枝幸・雄武・紋別では2月下旬から3月上旬にかけて海明けとなりました。また、北見枝幸では、3月8日に流氷終日となりました。</blockquote>という事で、平年より1週間、遅かった去年と比べると1ヶ月以上早い春の訪れだ。</p> <p class="Reference">【参照】 <br/>●網走地方気象台 <a href="http://sapporo-jma.go.jp/as/abashiri/web/top/aba-top.htm" target="SubWindow">http://sapporo-jma.go.jp/as/abashiri/web/top/aba-top.htm</a> <br/>┣<a href="http://sapporo-jma.go.jp/as/abashiri/data/kaihyou-jyouhou.htm" target="SubWindow">海氷情報</a> <br/>┗<a href="http://sapporo-jma.go.jp/as/abashiri/web/kaihyou/kaihyou-data.htm" target="SubWindow">網走の海氷観測の記録</a> </p>