V.S.A.

IPA (独立行政法人 情報処理推進機構) になりすました、ウィルスつきのメールが出回っているそうです。

リンク： 情報処理推進機構：情報セキュリティ：IPA を騙った「なりすましメール」にご注意ください. (2008/04/16)

最初にお願いですが、チェーンメール、チェーンブログにならないように、しっかりと状況を確認してください。このなりすましメールに関する情報は、IPA から 2008年4月16日に発信されました。状況の詳細は上のリンク先のページをご覧ください。

このなりすましメールには Adobe Reader の脆弱性を利用したウィルスを含む PDF ファイルが添付されているそうです。添付ファイルを開かないことが一番ですが、それと同時に、必ず最新の Adobe Reader に更新してください。

オレも自分で確認したわけではありませんので、すべて、IPA のホームページからの情報を元にしてこれを書いています。なりすましメールは本当に IPA から発信されたものかどうかは、一見しただけではわからないそうですので、添付された PDF ファイルに十分にご注意ください。

2008年4月17日 記

参考リンク： Adobe - Adobe Readerのダウンロード.

CCCクリーナーが更新されました。ボットウィルスの駆除をしましょう！

リンク: サイバークリーンセンター ｜ ボット ウイルスの駆除手順.

ダウンロード ・ファイルサイズ：8.61Mbyte　・CCCパターンVer：125 2008/02/27 17:45 Update

「サイバークリーンセンター(CCC)」は、総務省と経済産業省が共同で行っている「ボット」撲滅のためのプロジェクトです。IPAやJPCERT/CCなどが協力して運営しています。

ボットウィルスを駆除する CCC クリーナーがアップデートされました。駆除作業をお願いします。ボットウィルスは、一般のウィルスチェッカーでは検知しにくく、こっそり PC に潜んでいる可能性があります。

みなさまもボットの駆除にご協力ください。

リンク: サイバークリーンセンター | ボット ウイルス駆除手順.

・ファイルサイズ：8.48Mbyte　・CCCパターンVer：113
2008/02/20 17:24 Update

サイバー･クリーン･センター(CCC)のCCCクリーナーが更新されました。

リンク: サイバークリーンセンター ｜ ボット ウイルスの駆除手順.

・ファイルサイズ：8.33Mbyte　・CCCパターンVer：997
2008/02/13 18:39 Update

ボットウィルスを予防し、駆除するために、皆様もCCCクリーナを実行してください。

脆弱性を修正した Mozilla Firefox 2.0.0.12 が公開されました。早めのアップデートをお願いします。

リンク: Mozilla Japan ニュース - Firefox 2 の最新版 (2.0.0.12) を公開.

10件のセキュリティに関する修正が行われています。

Firefox 2.0.0.12 で修正済み

MFSA 2008-11

div オーバーレイによるフィッシング詐欺警告の上書き

MFSA 2008-10

スタイルシートのリダイレクトを利用した URL トークンの読み取り

MFSA 2008-09

ローカルに保存されたプレーンテキストファイルの誤処理

MFSA 2008-08

ファイル処理ダイアログの改ざん

MFSA 2008-06

ブラウジング履歴と前方ナビゲーションの読み取り

MFSA 2008-05

chrome: URI を通じたディレクトリトラバーサル

MFSA 2008-04

保存されたパスワードの破損

MFSA 2008-03

特権昇格、XSS、リモートコードの実行

MFSA 2008-02

ファイル入力フォーカスの横取りに関する複数の脆弱性

MFSA 2008-01

メモリ破壊の形跡があるクラッシュ (rv:1.8.1.12)

Adobe Reader のセキュリティリリース 8.1.2 が公開されました。

リンク: Adobe Reader最新版公開、複数の脆弱性に対処 - ITmedia エンタープライズ.

複数の脆弱性に対応したとのことですが、詳細は不明です。ほとんどの方がお使いだと思いますので、アップデートをしましょう。

今日はいろいろあるなぁ．．．

Apple 社の QuickTime アップデート 7.4.1 がリリースされました。RTSP (Real Time Streaming Protocol) に関する脆弱性が修正されています。

QuickTime 単独でお使いの方も、iTunes をお使いの方もアップデートをしましょう。iTunes のバージョンはそのままです。

リンク: Apple - Download - Thank you.

オレは、iTunes + QuickTime でインストールしましたので、QuickTime 7.4.1 単独でのインストールは試していません。今回は問題なくインストールでき、iTunes が起動できました。

ボットウィルスを駆除する「CCCクリーナー」が 2008年2月6日付で更新されました。下記のリンクからダウンロードし、手順に従って実行してください。

リンク: サイバークリーンセンター ｜ ボット ウイルスの駆除手順.

・ファイルサイズ：8.20Mbyte　・CCCパターンVer：979 2008/02/06 17:44 Update

ボットはユーザの知らないうちに他の人に攻撃を仕掛けたりするための悪意のツールです。通常のウィルスとは異なり、ユーザに知られないように遠隔操作されて動作するのが特徴です。

「サイバークリーンセンター(CCC)」は経済産業省と総務省、及び JPCERT/CC 等が協力、連携して行っているプロジェクトです。

2月2日、今年も「Sec. の節句」ならぬ「情報セキュリティの日」がやってきました。

3年前に情報セキュリティ政策会議で、第1次情報セキュリティ基本計画が決定された日です。

今年は第2次情報セキュリティ基本計画策定の年であり、現在、その策定に向けて、意見募集が行われています。

「第２次情報セキュリティ基本計画」（仮称）の策定に向けた、情報セキュリティ政策に関する意見の募集について
http://www.nisc.go.jp/active/kihon/keikaku-iken.html
提出期限は、平成２０年（２００８年）２月１５日（金）１８：００（郵送の場合は同日必着）

正直なところ、第1次情報セキュリティ基本計画がどんなものだったのか、すっかり忘れてしまっています。重要インフラ、企業、消費者という三段階の対応だったかな、程度で．．．

せっかくですから、第1次の基本計画を読み直そうと思っています。そこから、私ごときが何か言えるのかどうかわかりませんが、3年後の社会を想像しながら、意見募集に応じるつもりで読んでみようと思っています(意見を提出するかどうかは別ですが)。

皆さんも2011年を見越して、政策に意見してみてはいかがでしょうか。

ボットウィルスを駆除する CCC クリーナーが更新されました。
みなさん、ウィルスチェックだけでは見つけにくい、ボットの駆除をしましょう。あなたの PC もこっそりと既に侵入されているかもしれませんよ。

リンク: サイバークリーンセンター ｜ ボット ウイルスの駆除手順.

・ファイルサイズ：6.94Mbyte　・CCCパターンVer：969
2008/01/30 17:52 Update

CCCクリーナーが 2008/01/23 付でアップデートされました。

サイバークリーンセンター ｜ ボット ウイルスの駆除手順
https://www.ccc.go.jp/flow/index.html

・ファイルサイズ：7.84Mbyte　・CCCパターンVer：957
2008/01/23 17:50 Update

毎年、「情報セキュリティの日」(2月2日)にちなんで、経済産業省が "CHECK PC!" キャンペーンを実施しています。2008年の情報セキュリティ広報大使はどうやら上戸彩さんになった模様。ホームページもリニューアルされていました。

キャンペーンは本日1月16日から3月末まで。

ちなみに、2007年の大使は白石美帆さんでした。その前は眞鍋かをりさん。

2月2日から2月8日まで限定で、壁紙がダウンロードできるようになるようです。忘れないようにしなくちゃ。

そうそう、本題の PC のチェックもお忘れなく！

リンク: ＣＨＥＣＫ　ＰＣ！キャンペーン.
リンク: 「『ＣＨＥＣＫ　ＰＣ！』キャンペーン」の開始について 報道発表（METI/経済産業省）.

4件の脆弱性を修正した QuickTime 7.4 がリリースされました。日本語のページでは少し混乱があるようですが、QT 7.4 がダウンロードできます。iTunes もそれに併せて 7.6 が公開されていますが、こちらは日本語のページでは確認できませんでした。ただし、QuickTime のダウンロードページから iTunes を含むダウンロードを行おうとすると、「QuickTime 7.4 + iTunes 7.6」となるようです。

オレは iTunes を起動した上部メニューから [ヘルプ] → [更新ファイルを確認] で更新しました。

ただし、今回の QuickTime の修正には、つい先日発見された RTSP の脆弱性への対処は含まれていないようです。

リンク: SANS Internet Storm Center; Cooperative Network Security Community - Internet Security - isc.

今回は特に何も問題も起きずにインストールできました。

ひと月前に 7.3.1 がリリースされた QuickTime ですが、また脆弱性が見つかったようです。それも RTSP (Real Time Streaming Protocol)の部分に。前回も RTSP の処理のバッファーオーバーフローでした。

2008年1月11日現在、新しいバージョンなどは出ていないようです。QuickTime 使わない、というのが正解のようですが iTunes で音楽聴きたいんだよなぁ。

リンク: JVNVU#112179: Apple QuickTime RTSP の Response message に含まれる Reason-Phrase 処理にバッファオーバーフローの脆弱性.

Autopage ブログの URL を提示するトラックバックスパムが来たので，ティーカップコーポレーションに連絡しました．以下はそのやり取り．

問い合わせ窓口は比較的わかりやすいが、外部からの苦情申し立てについては考慮されていない。

http://www.teacup.com/ap_sup/mail.php

トップページ → サポート → 問い合わせ

以下は記入内容。2008年1月5日12時25分頃発信。

御社ユーザのブログの URL を提示するトラックバックスパムを受けて迷惑しております。また、ブログの内容も公序良俗に反するものと思われます。ご対応をお願いいたします。

TB 受信日時： 2008/01/05 11:08:58
TB 受信ブログ： http://ncc-1701.air-nifty.com/vsa/2008/01/cissp_jp_sns_b30a.html

TB 発信元IPアドレス:   XXX.XXX.XXX.XXX
TB 発信元URL:          http://white.ap.teacup.com/＊＊＊/1.html
TB 発信元記事タイトル: ＊＊＊
TB発信元ブログ名:     ＊＊＊

どうぞよろしくお願いいたします。

なお、御社とのやり取りにつきましては、以下のブログですべて公開させていただきますので、予めご了承ください。

http://ncc-1701.air-nifty.com/vsa/

メールによる自動応答はなし。同日(2008年1月5日)20時24分に回答があった。メールの転載は許可できない、一から自分の文章で書けということなので、要約する。

CISSP ホルダーのみによる、SNS - ソーシャル･ネットワーク･サービスを紹介します。

リンク: CISSP JP SNS | So-net SNS.

mixi などを既に利用している方には説明は不要かと思いますが、自分の日記を書くことができ、コミュニティも自由に作成することができます。トップのポータルページではイベントなども紹介しています。

CISSP 同士ですので、基本的には信頼できるはず、と思っています。参加するためには既存メンバーの紹介が必要です。CISSP の方で参加したいと思う方はお声掛けください。登録には CISSP の登録番号が必要です。

今年も残すところあと一日。みなさん、大掃除はお済でしょうか。オレも今日はパソコン周りの山積みになった書類を掃除して、きれいにしました。

ついでにパソコンのハードディスクの中身も大掃除。普段はリアルタイムでウィルスチェックをしていますが、今晩はすべてのローカルディスクのチェックをかけて寝るつもりです。

そしてもうひとつ、意外と忘れているのが「ボット」の駆除。サイバークリーンセンターというところが「ボット」を駆除するためのツールを公開していますので、ウィルスチェックと併せて、是非、大掃除をしてください。

一般のウィルスチェックでは見つけづらい「ボット」を駆除する CCC クリーナーを提供してくれていますので、それを使って、パソコンをチェックする事をお勧めします。

リンク: サイバークリーンセンター ｜ ボット ウイルスの駆除手順.

Mac には対応していないようです。サイバークリーンセンターというのは総務省と経済産業省が連携して行っているプロジェクトです。

なお、CCC クリーナーには「パターンファイルの更新」といった機能はありませんので、都度ダウンロードして実行する必要がありますので、注意してください。このブログを書いている時点で、最終更新は2007年12月27日のようです。

ウィルスチェックとボット駆除、二つ併せてパソコンの大掃除だ！

QuickTime のセキュリティ･アップデート，バージョン 7.3.1 がリリースされています．

iTunes にも影響しますので，iTunes をお使いの方も早急にアップデートしてください．

リンク: アップル - QuickTime - ダウンロード.
リンク: JVNTA07-334A: Apple QuickTime の RTSP 処理にバッファオーバフローの脆弱性.
リンク: @police-QuickTime の脆弱性について(12/14).

JUGEMブログの URL を提示するトラックバックスパムが来たので，株式会社ペーパーボーイアンドコーに連絡しました．以下はそのやり取り．

問い合わせ窓口は比較的わかりやすい．JUGEM ブログトップから 2 クリックで問い合わせフォームに到達しました．

https://secure.jugem.jp/support/inq.php

JUGEMトップ → サポート → 問い合わせ → 問い合わせフォーム

入力内容は以下の通り．

タイトル： トラックバックスパムを受けて迷惑しています

御社ブログユーザより，ブログへのトラックバックスパムを受けて迷惑をしております．ご対応をお願いいたします．

TBを受けた日時： 2007/12/09 17:08:08
TBを受けた URL: http://ncc-1701.air-nifty.com/vsa/2007/12/heroes_010_6_7e4b.html
URL:http://＊＊＊.jugem.jp/?eid=18
記事タイトル: ＊＊＊
ブログ名:     ＊＊＊

なお，御社とのやり取りにつきましては，以下に示す私のブログで全て公開させていただきますので，予めご了承ください．

http://ncc-1701.air-nifty.com/vsa/

よろしくお願いいたします．

12月9日(日)18時50分頃送信．入力フォームには「※土日祝日を除き、原則2日以内にお返事差し上げます。」という注意書きがある．

自動応答メールが返信された．

※このメールは自動返信によるものです。

お問い合わせありがとうございます。以下内容でメールを受信致しました。
==================================================================
■アカウント　　：　.
■メールアドレス：　＊＊＊@gmail.com
■ご用件　　　　：　その他
■タイトル　　　：　トラックバックスパムを受けて迷惑しています
■お問合わせ内容：　
御社のユーザのサイトより，ブログへのトラックバックスパムを受けて迷惑をしております．ご対応をお願いいたします．

＜略＞
==================================================================
　　　　　　　　　　　　　　　　　送信日時：2007年12月09日18時52分
-------------------------------------------------------------------

◇ユーザーの方でお問い合わせの際は、
　お名前・アカウント名を必ず明記してください。
　未記入の場合、ご返事が出来ない場合がございます。予めご了承ください。

◇お問い合わせは２４時間お問い合わせフォームにて受け付けております。
　原則的に２営業日以内にご返事を差し上げます。
　(業務が立て込んでいる場合は遅れることがございます。予めご了承ください)

◇土日祝日もなるべくご返事を差し上げますが、基本的には定休日と
　させていただいておりますので、翌営業日となる場合もございます。

◇１週間以上過ぎてもご返事が届かない場合、メール不達の可能性がございますので、
　お手数ですが再度お問い合わせいただきますよう、お願い申し上げます。

◇お電話によるお問い合わせは、現在のところ対応しておりません。

◇お問い合わせをされる場合は、必ずお問い合わせフォームよりお願いします。
　フォーム以外でお問い合わせされた場合、ご返事が遅くなる場合があります。

送信したものが到達して自動応答メールが返信されているのだから「１週間以上過ぎてもご返事が届かない場合、メール不達の可能性がございます」というのはおかしい．

12月10日17時22分，回答があった．

ウェブリブログの URL を提示するトラックバックスパムが来たので，BIGLOBEへ連絡しました．以下はそのやり取り．

問い合わせ窓口がわかりづらい．トップページからどこをたどればよいのかもわからず，外部からの苦情を考慮していない模様．

https://webrytimes.biglobe.ne.jp/blog_q/inquiry.html

ウェブリブログトップページ → よくある質問(FAQ) → こちらのお問い合わせフォーム → ウェブリブログに関するお問い合わせ

【注】後に回答を得てわかったが，迷惑行為に対する窓口は別途用意されていた．

https://support.biglobe.ne.jp/ask/trouble/index.html

できることならば，もう少しわかりやすいようにして欲しい【注 終わり】

以下がフォームに入力した内容．(2007年11月29日16時35分頃)

御社のユーザのサイトより，ブログへのトラックバックスパムを受けて迷惑をしております．ご対応をお願いいたします．

TBを受けた日時： 2007/11/29 14:28:51
TBを受けた URL: http://ncc-1701.air-nifty.com/vsa/2007/11/heroes_ee17.html
URL:          http://＊＊＊.webry.info/200711/article_1.html
記事タイトル: ＊＊＊
ブログ名:     ＊＊＊

なお，御社とのやり取りにつきましては，以下に示す私のブログで全て公開させていただきますので，予めご了承ください．

http://ncc-1701.air-nifty.com/vsa/

よろしくお願いいたします．

自動応答の返信はなし．11月30日16時04分付けで回答が来た．

OpenOffice.org の 2.3.1 がリリースされました．HSQLDBに関する脆弱性が1件修正されています．早めのバージョンアップを．

Fixed in OpenOffice.org 2.3.1

CVE-2007-4575: Potential arbitrary code execution vulnerability in 3rd party module (HSQLDB)

リンク: ja: OpenOffice.org2.3.1のダウンロード.

SAKURA Internet ドメインを持つ URL を提示するトラックバックスパムが来たので，SAKURA Internet へ連絡しました．結果を先に書くと，回答どころか応答は全く得られませんでした．

以下はそのやり取り．

窓口はわかりづらく，最終的にメールアドレスにたどり着いた．

abuse@sakura.ad.jp

トップページ → サポート＆問い合わせ → お問い合わせ → 迷惑行為・不正なサイトなどの報告 → 迷惑行為・不正なサイトの報告(メールアドレス)．

送付したメールの内容は以下の通り．11月27日9時39分付．

件名： トラックバックスパムを受けて迷惑しています

SAKURA Internet サポート御中

御社のユーザのサイトより，ブログへのトラックバックスパムを受けて迷惑をし
ております．ご対応をお願いいたします．

TBを受けた日時： 2007/11/26 19:22:50
TBを受けた URL: http://ncc-1701.air-nifty.com/vsa/2007/11/20071105_0d28.html
URL:          http://＊＊＊.sakura.ne.jp/
記事タイトル: ＊＊＊
ブログ名:     ＊＊＊

なお，御社とのやり取りにつきましては，以下に示す私のブログで全て公開させていただきますので，予めご了承ください．

http://ncc-1701.air-nifty.com/vsa/

よろしくお願いいたします．

自動応答返信はなし．二日経ったが回答がないため，催促を出した．11月29日16時45分．

SAKURA Internet サポート御中

こちらから連絡を差し上げて，三日が経ちました．対応状況はいかがでしょう
か．ご連絡をお待ちしております．

-------- Original Message --------
＜省略＞

その後もさらに二回，催促のメールを出してみましたが，一週間経っても，全く回答は得られませんでした．最悪の結果です．社長交代などでドタバタしているのかもしれませんが，苦情にも対応できないほどなのでしょうか．SAKURA Internet の対応評価は最低です．

先日 2.0.0.10 がリリースされたばかりですが，Firefox 2.0.0.11 がリリースされました．セキュリティアップデートではないので，不具合が出ていない方は急ぐ必要はないと思いますが，不具合が起きる前にアップデートしておいた方がよいでしょう．

リンク: Mozilla Japan ニュース - Firefox 2 の最新版 (2.0.0.11) を公開.
リンク: リリース後まもないFirefox最新版にバグ、Mozillaは緊急アップデートへ : ソフトウェア＆サービス - Computerworld.jp.

アメーバブログの URL を提示するトラックバックスパムが来たので，サイバーエージェントに連絡しました．以下はそのやり取り．

問い合わせ窓口はわかりやすい．アメーバブログトップから1クリックで問い合わせフォームに到達しました．

http://help.ameba.jp/inquiry/

アメーバブログトップ→問い合わせ．

メール(info_blog@ameba.jp)でも問い合わせられるようですが，フォームから入力してみました．11月11日(日)17時05分頃．

サービス名：

ブログ

アメーバID：

メールアドレス：

＊＊＊@gmail.com

お問い合せの種類：

その他

お問い合わせ内容：

御社ブログユーザよりトラックバックスパムを受け，迷惑しております．ご対応をお願いいたします．

トラックバックを受けた日時： 2007/11/11 16:41:39

トラックバックを受けたURL： http://ncc-1701.air-nifty.com/vsa/2007/11/heroes_graphic__8c6f.html

URL:          http://ameblo.jp/＊＊＊/entry-10054943258.html

記事タイトル: ＊＊＊

ブログ名: ＊＊＊

なお，御社とのやり取りにつきましては，下に示す私個人のブログに掲載させていただきますので，予めご了承ください．

http://ncc-1701.air-nifty.com/vsa/

こちらの名前などを入れる欄がないのが気になります．基本的にユーザを対象にしている様子．自動応答メールはなく，Web に以下のように表示されました．

お問い合わせ内容を送信しました。

お問い合わせにはなるべく迅速な回答を心がけていますが、
10日経過しても返信がない場合は、
お手数ですが再度お問い合わせくださいますようお願い申し上げます。

JR東日本のセキュリティ意識はどうなっているんだと疑いたくなるような事件．

リンク: asahi.com：モバイルスイカで不正多発　ＪＲ東、事前入金を４万円に - 社会.

Web 上のニュースは消えてしまうことがあるので，全文引用しておきます．

モバイルスイカで不正多発　ＪＲ東、事前入金を４万円に

2007年11月28日20時55分

　ＪＲ東日本の会員制サービス「モバイルＳｕｉｃａ（スイカ）」で、他人になりすまして電子マネーを使う不正が多発していることが分かり、同社は２９日か ら、事前に入金できる金額を１日あたり４万円にすると発表した。不正使用で１０月中旬までに約９９０万円の被害が出ているといい、同社はこのうち３００万 円について警視庁に被害届を提出している。

　このサービスでは、電子マネーとして携帯電話に蓄積できる金額は２万円が上限。だが、使うたびに携帯から入金作業を繰り返せばよく、金額に制限がなかった。

　同社によると、会員になるにはクレジットカードの情報や個人情報など１４項目を必須項目として携帯から登録する。しかし、カードの暗証番号は登録しなくてもよく、さらにカード会社が登録情報の一部しかカード所有者本人との照合に利用していないという。

　このためカード情報を手に入れた第三者がカードの持ち主になりすましてサービスを利用しているとみられる。同社は今後、会員登録方法の改善も検討していく方針だ。

　被害は昨年１２月に最初の報告があってから、今年１０月中旬までにカード６５枚分の約９９０万円に上る。被害者は全員が会員ではない人で、被害はＪＲ東日本が肩代わりしているという。
(asahi.com より)

昨年の12月に最初の被害報告があったのに今まで放置しているということか．被害をJR東日本が肩代わりしているから良い，ということでは済まされない．その費用はめぐりめぐってJR東日本の利用者が肩代わりしていることになるのだから，他人事でも済まされない．

オレもモバイルSuicaを利用しているし，Viewカードを登録して入金に利用している．名前や生年月日，住所など簡単に入手できるし，カードの番号も見られたり，どこかの店で使ったものをそのまま利用されたら目も当てられない．

上限を4万円にするというのは根本的な対策ではない．テレホンカードやハイウェイカードの高額カードが使えなくなったのと同程度の対策でしかない．根本的には入金の際の暗証番号やクレジットカード会社への与信の際の本人確認などの仕組みを導入する必要がある．

「会員登録方法の改善」という記述があるが，それは当然やってもらうとして，他にも入金の際の手続きについてセキュリティを確保してもらいたいものである．つまり，登録時に本人確認と，正しい利用者情報が入力されたとしても，クレジットカードからモバイルへの入金の際に，利用者が本人であるかどうかは確認できないという事を再確認して欲しい．

このブログでは時事問題についてはほとんど取り上げていないが，これは非常に怖い問題なので，思わず一言添えたくなった．JR関連各社が同じような仕組みを使っているとすれば，JR東日本だけの問題ではない．

JRのSuicaに限らず，交通系や買い物系などの利用時に認証を必要としないモバイル電子マネーを提供している各社は，この問題を真摯に受け止め，今一度自社のシステムを見直していただきたい．こういう問題がひとつ発覚すると，実はうちもだったと名乗りをあげる会社も出てくるかもしれない．それはそれで構わないが，誠実・正直であるとともに，早急な対策を望む．

# 一年も放置しているとは，情報セキュリティ分野，IT分野の「偽装問題」とも云える．

Firefox 2.0.0.10 がリリースされました．ここのブログへのアクセスでも Firefox 1.x でアクセスする方がまだいらっしゃるようですが，更新サポートはすでに終了していますので，Firefox 2 への移行をお勧めします．

リンク: Mozilla Japan ニュース - Firefox 2 の最新版 (2.0.0.10) を公開.
リンク: Mozilla Japan - Firefox 2.0.0.10 リリースノート.

Firefox 2.0.0.10 で修正済み

MFSA 2007-39

window.location の競合を通じたリファラ偽装

MFSA 2007-38

メモリ破壊の形跡があるクラッシュ (rv:1.8.1.10)

MFSA 2007-37

jar: URL スキーマによる XSS 問題

(「Mozilla 製品における既知の脆弱性」より転載)

既に Firefox 2 をお使いの方は [ヘルプ]→[ソフトウェアの更新を確認...] で更新できます．

先日の iTunes 7.5 インストーラ不具合騒動であまり日が経っていませんが，また QuickTime 7.3 で未対応の脆弱性が見つかったそうです．現在のところパッチは出ていないので騒いでもしょうがありませんが，ユーザ側で十分に注意が必要です．

それにしても，iTunes をインストールすると，ほとんど使わない QuickTime までインストールされてしまうので，何とかならないものかと思います．完全に分離することはできないのでしょうか．

iTunes はよく使っているので，iTunes の脆弱性，不具合となれば，アップデートも仕方がないと思うのですが，QuickTime の脆弱性のために作業するのは面倒です．結局，心理的な問題なんですけどね．

リンク: Vulnerability in Apple QuickTime - US-CERT Current Activity.
リンク: US-CERT Vulnerability Note VU#659761.

Yahoo!ブログの URL を提示するトラックバックスパムが来たので，Yahoo!Japanへ連絡しました．以下はそのやり取り．

ブログトップページに「ご質問・お問い合わせ」のリンクはあるのだが，質問の一覧が出てくるばかりで，問い合わせ窓口そのものが見つからない．仕方がないので，その中のひとつをクリックすると，回答ページの下に「解決しましたか？」という項目が現れる．「[いいえ]まだ解決していません。問い合わせします。」というボタンをクリックすると問い合わせフォームが現れた．苦情申し立てについてまったく考慮されていない．

http://ms.yahoo.co.jp/bin/blogs-ms/feedback

ブログトップ → ご質問・お問い合わせ → 質問のどれか → 問い合わせフォーム

以下はフォームへの入力内容．

御社のユーザのブログからトラックバックスパムを受け迷惑してい ます．ご対応をお願いいたします．

トラックバック受信日時: 2007/11/22 15:09:36
トラックバックを受けた URL: http://ncc-1701.air-nifty.com/vsa/2007/11/the_live_008_8901.html
スパム URL: http://blogs.yahoo.co.jp/＊＊＊
記事タイトル: ＊＊＊
ブログ名: ＊＊＊

自動応答はなし．Webに以下のように表示された．送信日時が出るのは親切．

ご入力いただいた内容は、カスタマーサポートに送信されました。
送信日時は2007年11月22日（木）(16:06:30)です。

返信は ***@gmail.com あてに送信されます。

ご利用ありがとうございました。

11月23日12時20分付けで回答が来た．楽天ブログと同様の回答．

トラックバックスパムの苦情に各社がどのように対応するかをまとめたものです．

目次
1. 苦情窓口のわかりやすさ
2.