同様とは?
|
MicrosoftのMSN MessengerとWordにも、先日Mozillaブラウザで見つかったのと同様の脆弱性が存在するとして、Secuniaがアラートを出した。URI機能を利用して、.doc、.txtといった特定の拡張子に関連したプログラムを立ち上げることが可能だ。(IDG) MicrosoftのインスタントメッセージングソフトMSN MessengerとワープロソフトWordにも、先日Mozillaブラウザで見つかったのと同様の脆弱性が存在するとして、Secuniaがアラートを出した。 Secuniaによれば、MSN MessengerとWordはいずれも、リモートからアクセスしてWindowsコンピュータでアプリケーションを立ち上げられる機能を備えている。 Microsoftの広報は、現在この報告について調べているところだが、この脆弱性を突いた攻撃については認識していないと話した。 Secuniaによれば、いずれのアプリケーションとも、「shell:」へのアクセスに制限をかけていない。URI (Universal Resource Identifier)の機能を利用すると、Windowsユーザーまたソフトアプリケーションが、.doc(Word文書)、.txt(Notepad文書)といった特定の拡張子に関連したプログラムを立ち上げることが可能だ。 攻撃者はWord文書やインスタントメッセージに組み込んだリンクを使って特定の拡張子に関連付けられたプログラムを立ち上げることが可能だ。ただ、この脆弱性では攻撃者がプログラムに命令を受け渡すことはできないという。これができれば攻撃はもっと高度なものになるとSecuniaは説明している。 「オフラインでも使える」携帯ネットラジオプレーヤーが登場Pandoraに似た音楽サービスを提供しているSlackerが、そのサービスを持ち歩けるプレーヤーを発売する。 コンテンツを携帯にダウンロードさせるブログパーツ「Get On My Mobile」ビジターはこのボタンを押すことで、目的のコンテンツを携帯電話にダウンロードできる。 スターがあなたに代わって「おねだり」――DellがWebサイト立ち上げスターのビデオクリップで、欲しいDell製品を友人や家族にアピール。PayPalと組み合わせれば、お小遣い集めにも利用できるという。 小売店のワイヤレスデータ管理、85%はセキュリティに問題あり年末商戦に向け、誰もが買い物に走るこの季節。しかし小売店のワイヤレスデータ管理には、あまり信用が置けないようだ。 jobtxt1 += '30代で派遣・フリーの仕事はなくなるのか?43歳エンジニアと派遣会社担当者に聞いた'; jobtxt2 += '匿名|最高25社から査定結果が届く。査定|プロが鑑定するあなたの市場価値'; |
[ 64] ITmediaニュース:MSN MessengerとWordにもMozillaと同様の脆弱性
[引用サイト] http://www.itmedia.co.jp/news/articles/0407/13/news017.html
|
CPUのバグは何も新しいものではない。1990年ごろ、わたしはIBMのDOSバージョンに取り組んでいたプログラマーと1日過ごしたことがある。彼は一部のIntel CPUにいかにバグが多いか、そのことについてどれだけインテルに苦情を言ったか(そして無駄だったか)をひっきりなしに話していた。これはOSを書く仕事ではよくあることだが、セキュリティの角度から見ると比較的新しいと言える。 この件に関するシオ・デ・ラット氏の率直なブログは、さまざまなセキュリティリストで引用されている。デ・ラット氏はCore 2 CPUラインには「ひどいバグがある」とし、この問題はパッチが当てられているものの、無害なバグではなく、userlandコードからそのまま悪用できるセキュリティ問題だと断言している。つまり、悪用するにはコードを実行するためのローカルアクセスが必要になるが、特権アクセスは不要だということだ。 インテルによるこれらプロセッサの「Specification Update(PDF)」には、修正されたバグの多くに含まれるエラッタセクションが入っている。デ・ラット氏は、このエラッタのいくつかを恐ろしいといっている。わたしが見たところでは、これらのバグはプロセッサのハングアップや「予測不可能なシステムの振る舞い」につながる可能性がある。とりあえず、インテルが正直で正確であると仮定しよう。そうすると、これらは明らかに問題であっても、わたしには特に恐ろしいものには見えない。 マイクロソフトのマイケル・ハワード氏が最近、DoS(サービス停止)攻撃について話したように、誰かのシステムをクラッシュさせるのは、ドアベルを鳴らして走り去るようなものだ。迷惑な行為ではあるが、何事かを成し遂げるものではないし、ちょっとくだらないくらいのことだ。名声のためのハッキングは数年前に流行遅れになってしまったと私は思っている。だから、どうしてわざわざそんな攻撃を広めるのだろうか。 問題のバグのフィックスは、プロセッサのマイクロコードの形で提供されている。(最近知ったのだが)このCPUマイクロコードのアップデートは実行時にロードできるが、それは持続しないということが分かっている。これを適用する一般的な方法は、ブート時にBIOSで適用するというものだ。従って CPUアップデートはBIOSフラッシュアップデートとして提供できる。 だがアップデートはOSによって適用されることもある。このケースでは、マイクロソフトがそれを行った。Knowledge Base 936357には、「インテルプロセッサを使っているシステムの信頼性を向上させる」とする「マイクロコード信頼性アップデート」へのリンクが掲載されている。 確かに、バルディス・クレトニクス氏がfunsecリストへの投稿で以下のように説明している通り、インテルはプロセッサにマイクロコードの一時的なパッチのためのスペースを残している。 約294Kバイトのデータがあり、現在は125のチャンクがある。それぞれのチャンクは基本的に、ファミリー、モデル、ステッピング、チェックサム、長さ、そして「ランダムに見えるバイト」で構成されている。分解できるようになっており、もしもデルが、6種のCPUのうち1つが特定のノートPCに搭載される可能性があり、ほかの119種のいずれでもないと知っていれば、これらの6種をBIOSに含めるだけでいい。もちろんマイクロソフトのアップデートに294Kバイトをすべて含める必要があるだろう。 マイクロソフトがこのようなフィックスを提供しており、それが何のためのものかをはっきりさせていないという事実は、同社がこの問題を深刻なものと受け止めていることを物語っている。このアップデートがWindows UpdateまたはMicrosoft Updateに現れるかどうかじきに分かるだろう。 このようなパッチを書くのは、マイクロソフトのような企業が単独でやれることではない。マイクロコードは普通のコードとは違う。プロセッサのバージョンあるいはステッピングによって変わる傾向がある。マイクロソフトはインテルからさまざまなアップデートを受け取り、それを1つのプログラムにパッケージ化したのだろう。例えば、アップルなどから同様のアップデートが提供されることも考えられるが、デ・ラット氏は、「インテルはBIOS ベンダーと大手OSメーカーに詳細なフィックスを提供しているだけだ。オープンソースOSはおおむね蚊帳の外に置かれている」と述べている(同氏はそれを知っているはずだ)。 プロセッサのバグが、実際のコンピュータへの本格的な攻撃手段に変えられるという心配はしていない。手間がかかるわりにリターンが少ないように思えるからだ。マイクロソフトが先月修正した脆弱性を利用する方がいい。だがデ・ラット氏が言うように、インテルはおそらくいくつかのエラッタを隠しているだろう。同社は長年の間、文書を公開してこなかった。この未知の問題がどれほど深刻か、誰に分かるだろうか? ホワイトペーパー利用者に「Amazonギフト券」を抽選で100名様にプレゼント!――TechTargetジャパン リニューアル・キャンペーン |
[ 65] ソフトウェア同様、CPUにもバグはある − @IT
[引用サイト] http://www.atmarkit.co.jp/news/200707/05/cpu.html
|
ソフトウェア統合に対するアプローチで何年も前から米マイクロソフトを酷評してきた米サン・マイクロシステムズが先週、酷評されたライバルに酷似したバンドルアプローチを採用するSolarisエンタープライズOSの新バージョン「Solaris このSolaris 9の発売は、拡大傾向にあるサンのソフトウェアビジネスをまとめるものとなる。アプリケーション、ディレクトリ、そしてWebサーバを同OSに統合することで、サンは同社のJava環境を基盤にした企業全体をカバーする本格的なサーバ開発プラットフォームを投入する。(OSとアプリの境界線をぼかす)このフルコース料理的なアプローチは、マイクロソフトが同社の.NETプラットフォームで実現をもくろむものと同じような手法だ。引退するサンの社長兼COOのエド・ザンダー(Ed Zander)氏によると、今回のリリースは1980年代最初のSolarisのリリースからJavaプラットフォームの開発や、iPlanetサーバとアプリケーショングループのスピンオフとその後の「再統合」まで、サンがソフトウェアに込めたメッセージを元へと戻すものだという。Solaris 9はこれらの重要なコンポーネントの大半を単一プラットフォームで提供しており、単なるOSのアップグレード以上のものになっている、とザンダー氏は主張する。 ザンダー氏はリリース当日のプレス向け電話会議の中で、「アップグレードだなんてとんでもない。“小数点”が付くのがアップグレードだ。このリリースには約1億ドルと数年の時間を投資しており、オリジナルのSolaris(の発表)と同様に重要なものだ」と語っている。 実際、今回のリリースは企業の開発環境を取り巻く慣習を変えようとしているように思える。サンはエンタープライズJavaをマルチベンダ対応の比較的オープンなプラットフォームにすべく多くの苦労をしてきたが、現在ではOS、サーバ、そして統合環境を提供できるマイクロソフトと同じような位置にある。 サンはこの戦略のための部品を数年前から保有していたものの、諸般の事情からこれを利用できずにいた。実際、先日公表された米AMR Researchのレポートなどでは、米IBM、米BEAシステムズ、米オラクル、そしてマイクロソフトと続くアプリケーションサーバ市場の上位4社のベンダには、サンの名前は入っていない。アプリケーションサーバのマーケットシェアに関するレポートによると、J2EEではIBMとBEAが大差でシェアを獲得しており、Windowsではマイクロソフトが独占している。 しかし、Solaris 9でサンは新分野を開拓している。Solarisは、LinuxとともにエンタープライズJavaの運用で非常に人気の高いサーバOSだ。同製品で、企業各社はJ2EEの開発プロジェクト開始にあたって必要となるものの大半を入手できるようになる。Solarisカスタマは引き続き、Javaのサーバやツールにとって最高のアプローチを追求していくことができるが、どちらかというとサンに大きなメリットをもたらすことになりそうだ。さらには、この動きはアプリケーションサーバのコモディティ化を促進し、BEAなどのサンのライバル各社にとっては痛手となる可能性がある。 サンによると、Solaris 9は、内蔵のファイアウォール/リソース/ボリュームマネージャや、ファイルシステム管理とリソース提供の強化機能など、システムのインストレーションを簡略化するための付加機能も搭載したという。サンはほかにも、初期のSolarisベースのアプリケーションが新バージョンのOSでも動作することを保証している。 サンによると、Solaris 9は現在、同社のサーバ製品群に対応しているが、来年にはワークステーションにも対応させるという。サンのSolarisソフトウェアライセンスは同社のすべてのハードウェアシステムの価格に含まれている。サポート契約は50ドルからとなっており、通常はサンのハードウェアサポート契約の中に含まれている。Solaris ホワイトペーパー利用者に「Amazonギフト券」を抽選で100名様にプレゼント!――TechTargetジャパン リニューアル・キャンペーン |
[ 66] マイクロソフトと同様のアプローチをとるSolaris 9
[引用サイト] http://www.atmarkit.co.jp/news/200205/29/solaris9.html
