セキュリティホール memo

Last modified: Thu Nov 6 17:50:10 2008 +0900 (JST)


 Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

 ここに載せる情報については、 可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

 このページの情報を利用される前に、注意書きをお読みください。


 [ 定番情報源 ]  過去の記事: 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

Scan Security Wire 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

ネットランナーの ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


 日経 ネットワークセキュリティ 2002 Vol.1 サポートページをつくりました。 (Vol.3 のサポートページも必要なのかなあ……特に書くことないのですが)


www.iraqbodycount.org www.iraqbodycount.org

復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在27票)
中山信弘「ソフトウェアの法的保護」 (現在119票) (オンデマンド購入可)
リデル・ハート「戦略論 間接的アプローチ」 (復刊決定)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在103票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在166票)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト を参照してください。(のいんさん情報ありがとうございます)

実用 SSH 第2版: セキュアシェル徹底活用ガイド
2 刷が出ました。オライリーで注文し、備考覧に「必ず2刷であること」と書くと 2 刷を確実に入手できるそうです。

2008.11.06

追記

名古屋の病院、誤って患者情報公開 グーグルマップ利用ミス


2008.11.05

追記

Microsoft 2008 年 10 月のセキュリティ情報

 MS08-067 つづき。

Security Update available for Adobe Reader 8 and Acrobat 8
(Adobe, 2008.11.04)

 Adobe Reader 8 / Acrobat 8 に複数の欠陥。

 Adobe Reader / Acrobat 8.1.3 で修正されている。

 現在、Adobe Reader / Acrobat のアップデート機能を使った更新は、なぜかうまくいかないようだ。手元の Acrobat 8 でも、[ヘルプ]→[アップデートの有無をチェック] すると、Adobe Updater のアップデートに失敗してうまく更新できない。尾上さん情報ありがとうございます。上記リンクからスタンドアロンのアップデータを入手して実行しよう。

 また、Adobe Reader / Acrobat 9 にはこの欠陥はない。最新版へ移行できるのなら、移行を推奨する。

 なお、Adobe Reader / Acrobat 8 インストール・アンインストール時あるいは Adobe Reader / Acrobat 9 インストール時に内部エラー 2229 が表示される場合は、以下を参照。尾上さん情報ありがとうございます。

 関連:

非営利団体、Google Chromeのプライバシー保護に問題ありと指摘
(ITmedia, 2008.11.05)

 文句はβのうちに言っておきましょう。

 Consumer WatchdogはChromeの問題点として次の点を挙げている。

 元ねた: Consumer Watchdog Exposes Google Privacy Problems & Calls For Attorneys General Investigation (Consumer Watchdog, 2008.11.03)

名古屋の病院、誤って患者情報公開 グーグルマップ利用ミス
(中日, 2008.11.05)

 え? Google Map で個人情報? と思ったら、

 同病院は、住所や情報を入力すると目印を地図上に示せるグーグルマップの機能「マイマップ」を利用。患者の送迎ルートを決める際などに便利だからと使っていたが、個人情報が掲載されたこの地図が誰でも見られる状態だった。
 マイマップは、店舗や施設の情報を共有することを前提にしたもので、不特定多数の人がネット上で閲覧できる初期設定になっている。同病院は個人や組織内で使う場合の「非公開」に設定すべきだったが、地図作成時に変更していなかったという。

 「デフォルト公開の罠」にはまった模様。

 病院側は「(地図の作成や変更には)パスワードが必要なので、外部には閲覧できないと思い込んでいた。患者らに申し訳ない。情報管理を徹底したい」としている。

 勘違いしかねない UI、ということですかねえ。「思い込み」のパワーは極めて強力だしなあ。

 マイマップをめぐって個人情報を意図せず公開してしまう例が発生しており、グーグル日本法人は「利用規約を守って使ってほしい。閲覧者がルール違反の地図を通報する機能もある」と呼び掛けている。

 昔の Microsoft を連想した……。

2008.11.05 追記:

 「非公開」なら安全というわけでは全くない模様。 今度はGoogleマップで意図しない個人情報流出騒ぎ (slashdot.jp, 2008.11.04) より

なお、「公開/非公開」の違いは「非公開マップは作成したマイマップがユーザープロフィールページや検索結果で表示されない」だけなので、非公開マップでもURLが分かればアクセスできてしまう。そのため、Google以外の検索エンジンでば非公開マップが検索結果として表示されることもあるようだ。

 一般公開マップと限定公開マップの違いは? (Google ヘルプ) より:

ただし、限定公開のものを含みすべてのマップには URL が付いていることに注意してください。原則として、誰にも見られたくない地図はここで作成しないことをお勧めします。

 そういうオチかい……。

 関連:

2008.11.06 追記:

 関連:


2008.11.04

追記

Microsoft 2008 年 10 月のセキュリティ情報

 MS08-067 つづき。ついに来たようです。「準備できてる?」

いろいろ (2008.11.04)
(various)


2008.11.02

追記

VideoLAN Security Advisory 0809: Buffer overflow in VLC TiVo demuxer

 VLC media player 0.9.5 が登場しています。ただし、Windows 版のバイナリはまだ存在しないようです。


過去の記事: 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[セキュリティホール memo]
私について