アナログ
RSS  
<< 2010/06 >>
01 02 03 04 05
06 07 08 09 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30

RSS

Adobe FlashとReaderに脆弱性2010/06/05 16:45

Adobe - Security Advisories: Security Advisory for Flash Player, Adobe Reader and Acrobat

Adobe Flash Player 10.0.45.2, 9.0.262, and earlier 10.0.x and 9.0.x versions for Windows, Macintosh, Linux and Solaris
Adobe Reader and Acrobat 9.3.2 and earlier 9.x versions for Windows, Macintosh and UNIX

Note:
The Flash Player 10.1 Release Candidate available at http://labs.adobe.com/technologies/flashplayer10/ does not appear to be vulnerable.
Adobe Reader and Acrobat 8.x are confirmed not vulnerable.

Flashは現行バージョンの10.0.45.2と9.0.262を含め全滅。
現在テスト中のAdobe Labs - Adobe Flash Player 10.1(release candidate 7)は影響を受けにくい?らしい。
事実上の0-day状態。

Adobe Reader and Acrobat 8.x are confirmed not vulnerable.はどういう意味か分からない……Acrobat 8.xは影響をうけにくくても、Adobe Readerには脆弱性があるんじゃないの?
(Adobe ReaderとAcrobatの8.x系は影響を受けにくいという意味か?)
Adobe Reader 8.xは関係ないということでOK↑

補足:Adobe Reader 8.xとAcrobatの8.xはauthplay.dllがないのでこの脆弱性の影響はない。


Adobe Reader、AcrobatおよびFlash Playerに関するセキュリティ情報
影響を受けるソフトウェアとバージョン

Windows、Macintosh、LinuxおよびSolarisオペレーティングシステム用のAdobe Flash Player 10.0.45.2、9.0.262およびこれら以前のバージョン9.x、10.x
Windows、MacintoshおよびUNIXの各オペレーティングシステム用のAdobe ReaderおよびAcrobat 9.3.2およびそれ以前のバージョン9.x

メモ:
Flash Player 10.1 のリリースキャンディデートが http://labs.adobe.com/technologies/flashplayer10/ で公開されており、脆弱性は確認されておりません。

Adobe ReaderいよびAcrobat 8.x は脆弱性が確認されておりません。

暫定対策

Flash
ブラウザのFlashプラグインを無効にするか、あまり良い方法ではないが、10.1RC7(Adobe Labs - Downloads: Flash Player 10 Prereleases)を利用する。Ver.10.1がリリースされました。
10.1RC7を使う場合、プラグインはIEとFirefoxやChrome等の2種類あるので、インストールしているブラウザ全てでバージョン(10,1,53,64)を確認すること。

Adobe Reader 9.xとAcrobat 9.x
authplay.dllの名前を変更(authplay.NGなど)にするかパスの通ってないフォルダに移動する。
ただし、SWFを含むPDFファイルを開くとクラッシュしたりエラーメッセージが表示される。
authplay.dllは通常
C:\Program Files\Adobe\Reader 9.0\Reader\authplay.dll
C:\Program Files\Adobe\Acrobat 9.0\Acrobat\authplay.dll
にあるとのこと。
Adobe Reader 9.3.3Update がリリースされました。

参考:
AdobeのFlash Player、Reader、Acrobatに未修正の脆弱性、悪用攻撃も多発 - ITmedia News
アドビ、Flashの新たなバグをハッカーらが悪用と警告 : セキュリティ・マネジメント - Computerworld.jp

by puppet [PC] [セキュリティ] [コメント(2)トラックバック(0)]

いろいろ2010/06/06 23:52

DPIについてとても参考になる記事があったので追記
DPIは悪なのか?「ネット全履歴もとに広告」総務省容認 課題は流出対策」について思うこと。:ASSIOMA:ITmedia オルタナティブ・ブログ

それはともかく、私は技術的な話は最初から言及してなくて(わりとどうでもいい)、言いたい事は2点だけ。
  1. DPIを受信機で電話などの周波数を聞いている状態だと考えてみてください。一見違法な盗聴に思えるかもしれませんが聞いた内容を漏らさなければ「傍受」にあたり、違法にはなりません。今、ISPがDPIを使ってやっていることは傍受にあたると思われます。
    ところが、総務省がDPIで得た情報を外部に渡すことを容認してしまうと、結果として通信の秘密を漏らすわけですから盗聴になります。違法なのに違法でなくなるからこそ越えてはいけない一線を越えようとしているというわけです。
  2. インターネット接続料を定額にするためにDPIを使って広告料を稼ぐという、何の必然性もないことをさも良い手段のように言ってますが、トラフィックがひっぱくしているのは、ほんの数%のユーザによるもので、上りのトラフィックだけでも従量制にすれば、Winny等のP2PやSPAM(海外からは効果ありませんが)などは成り立たなくなり、いろんな問題が一発で解決するわけですが、何故、広告収入などという邪道に走ろうとするのか理解に苦しみます。(いや、どんな手段を使ってでも収入を増やしたいだけだと分かってますけどねw)

でも、大抵の人は私と違う観点なものだから、なんだか複雑な気分……。

 『LHA の脆弱性』その後 (5) と UNLHA32.DLL 等, 開発中止... - 今日の出来事(Jun, 2010)
脆弱性が存在しても放っておかれるような書庫が いつまでも業務目的で利用されるのは嫌ですので。

 なので, 現行のバグフィクスくらいはしますが, 64 ビット版や低レベル API 追加版は出ません。 さらに やる気を失ってバグフィクスも面倒になったら告知することになるでしょう。 今は まだ完全停止に至っていませんので。

終了の始まり。
ここ10年くらい振り返っても解凍以外の用途で使ってなかったように思います。
ローカルディスクにLZHファイルがある限りLHAは捨てられないですが、LZHのやり取りはこれで終了ですね。

本当に長い間ご苦労様でした。

by puppet [戯言] [コメント(0)トラックバック(0)]

終わってる2010/06/07 21:52

自民党・三橋貴明氏、エヴァのコスプレ姿で登場 「自民党は変わった」:【2ch】ニュー速VIPブログ(`・ω・´) 
     _ ―- ‐- 、
    (r/ -─二:.:.:ヽ    <終わったな
    7''´ ̄ヽ-─<:.:.',                  __
.   〈t<  く=r‐、\:く       _ ...-::‐::¬::::: ̄:::::::::::::::::::::::::::::::
   ∠j ` / ,j={_/ヽヽr'       >:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
.    っ Y _/ ヽ了       /:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
.    し イ --─¬       /::::::/:/|:::/::∧:::∧:::::::::::::::::::::::::::::::::::
      f: :_: : :_:_:_└ 、     |/f|/|/ .|/ |/ ∨ ヽ|\:::::::::::::::::::::::::
     /-ー/: : : : : : :\      {            ヘ:::::::::::::::::::::   
    /7: : : :r: : : : : : : : : }     ',  .j /     }   .}::::::::::::::::::::
   /: : : : : :.|: :j: : : :\: : j      } /_       ミ   ヘ::::::::::::::::::
  /: : : : : : : j: ヘ、: : : : \|    /く<l´::<ニ二 ̄`>   ミ:::::::::/
 ./: : : : : : : \::::ヘ: : : : : : :ヽ    {::ア{:::::::}厂¨,`_______j:::::://   
 {: : : : : : : : : : ヘ:::ヘ: : : : : : :',    V ヘ::::ノ` ̄  ̄ ̄ ̄ ̄ .{::::|ヽ
 ',: : : : : : : : : : : :\ヘ: : : : : :ヘ.   /  ヘ¨       //:}::::|/    
  ',: : : : : : : :::::::::::::::::::〉: :_:_.r--―く   >ヽ      /   _ノ::::{ _/    <ああ
  '; : : : :.::::::::::::::::::::::r</ :.:..   `ー¬\__        /::::/
  〈: : : : :ー---‐‐r―'´  :.:.:.  ヘ: .  ヽ . . }ー、    ./::::<
  〈: : : : : : : : : : 〈r-‐、:.:.:.:ヘ.:.:.:.:.  ', : :  ',: . .|: : 〉  /:::::::/

(追記:自民党のコスプレイベントがスゴ過ぎる件 - 俺の邪悪なメモ 予想ななめ上をはるかに越えていた)

「究極超人あ~る」第2巻の生徒会選挙を思い出したw
まさかアレよりも馬鹿げたものを政治で見ることになろうとは……ここまでダメになってしまったのか。


終わってると言えば
なぜ私は救急患者の受け入れを拒否したのか 北海道・夕張の村上医師が救急対応の報道に反論 JBpress(日本ビジネスプレス)

24時間365日の体制で救急を支えるためには、最低でも7人の医師が必要です。また、看護師や技師、医療機器の維持管理を考えますと、対応する範囲にもよりますが、最低でも3億円以上はかかります。そして、患者を受け入れる病院は「救急指定病院」である必要があります。

 ところが、夕張市の救急の予算は年間120万円しかありません。その予算でさえ医師会の事務職員の人件費として消えていますので、実質「ゼロ」です(ただし、予算がないという割には、市は財政再生計画で市営住宅の建て替えに数十億の予算を計上しています。決して救急の予算がなかったわけではなく、優先順位が低かっただけの話です)。

阿久根市長のブログ問題なんてささいな事に思えるほど終わってますね。阿久根市長は言ってるだけですが、夕張は(医療費カットを)実行してるとは。

それにしても、マスゴミはどうしてこうも自分の首をしめたがるのだろう。こういった話を知れば、だれも新聞を買わなくなると思うのですが、自覚してないのでしょうかねぇ。

by puppet [戯言] [AA] [コメント(0)トラックバック(0)]