9月2日のtwitterセキュリティクラスタ

忙しく仕事している間にもう週末ですよ。忙しいって大変だなあ。


いろいろなところからレポートが発表されているDLLハイジャッキング脆弱性ですが、ようやく回避ツールが出たようです。

msaitotypeR: Microsoft、DLL読み込みの脆弱性について回避策適用ツール「Fix it」を公開 -INTERNET Watch http://internet.watch.impress.co.jp/docs/news/20100901_390757.html?ref=rss

引き続きcalc.exeについて。遠回しにドコモがバカにされているのが面白いです。

hasegawayosuke: calc.exe を実行禁止にしておけば、バッファオーバーフローも怖くないですね！

ockeghem: ドコモがXSS対策としてalertを殺したように、マイクロソフトがバッファオーバーフロー対策としてcalc.exeをバンドルしなくなる日も近いか

そして、こっちもまずいんじゃないかと思うQuicktimeの脆弱性です。ビデオは相変わらず電卓。

yumano: calc.exeが起動しない・・・orz ie6 + quicktime 7.6.7 じゃダメなのかな？

yumano: あれ、計算機をちゃんと立ち上げてるのになぁ http://www.youtube.com/watch?v=iCN02i713CY&feature=youtu.be&a

kikuzou: @yumano WinXP SP3 + IE8 + QuickTime 7.6.7 の環境では動作しました。

yumano: @kikuzou IE6->IE8にしたら行けました。Test OKと書いてあるけど、動かなかったのはどうしてだろ。それにしても、DEP ONで突き刺さるのはス（ｒｙ

確かにエラーが出なければSQLインジェクションって人からは見つけられないかもしれませんが、エラーを見ないツールやボットは関係ないかも。

ikepyon: そういや、この間「SQLインジェクションの危険性があります」といったら、「検証環境なんで、エラー表示があったから見つかったんですよね。本番環境ではエラー表示が無いからみつから無いですよね？」みたいなこと言われたorz

ikepyon: エラーメッセージが出るかどうかでSQLインジェクションはなくなるもんじゃないよorz関係なく見つけ出せるよorz

gutei: 気付かない（ふりの出来る）ことは存在しない RT @ikepyon: エラーメッセージが出るかどうかでSQLインジェクションはなくなるもんじゃないよorz関係なく見つけ出せるよorz

ikepyon: 知らぬが仏って奴ですねorz RT: @gutei: 気付かない（ふりの出来る）ことは存在しない RT @ikepyon: エラーメッセージが出るかどうかでSQLインジェクションはなくなるもんじゃないよorz関係なく見つけ出せるよorz

いいだしっぺが作る法則なのでしょうか。

ikepyon: 結合テスト後のセキュリティテスト方法はLASDECのWeb健康診断をやれば良いと思うけど、単体テストでの指標なりテンプレート、ツールが欲しいなぁと思っている今日この頃

ネットにつながってると何でも危険な可能性があるということなのでしょうか。気にしすぎって気がしなくはないですが。

lac_security: IPAさんから　「デジタル複合機の脆弱性に関する調査報告書の公開～多機能化するデジタル複合機に潜む脆弱性の多角的な調査～」がでてますね。　（＾む）　http://www.ipa.go.jp/about/press/20100830.html

CISCOじゃないみたいです。

lac_security: 気になるニュース　セキュリティ責任者のユーザー会「日本CISO協会」が発足　（＾む）　http://itpro.nikkeibp.co.jp/article/NEWS/20100901/351687/

ちょっと楽しみです。以前もこういうイベントありましたよね。

MasafumiNegishi: RT 研究者が宣言、「有名ソフトの『ゼロデイ脆弱性』を毎日公開する」（ニュース） - http://j.mp/bd4RjD