2010/09/23 00:00勉強会qpstudy,セキュリティうどん(かまたま),ブラックハットジャパンその後 関西編,京SEC

近日中に開催されるIT勉強会で、興味のあるものを取り上げてみました。
興味のある方は、是非参加してみてはいかがでしょうか?

CAUTION

詳細については、各勉強会、セミナーのWebサイトをご確認ください。

2010/09/22 22:20KindleAmazon,firmware,kindle

Amazon.com Help: Kindle Software Update Latest Generation /
https://www.amazon.com/gp/help/customer/display.html?ie=UTF8&nodeId=200529700&tag=kwab-20#preview

A Kindle World blog: Kindle 3 preview-release of software update v3.0.2 available at Amazon /
http://kindleworld.blogspot.com/2010/09/kindle-3-preview-release-of-software_18.html

Kindle 3.0.2 アップデートの初期プレビュー版が公開中 /
http://japanese.engadget.com/2010/09/22/kindle-3-0-2/

日本語にも対応した電子書籍リーダー、Amazon Kindle ですが、初期設定されているファームウェアのバージョンは3.0.0が導入されていると思いますが、Early Previewバージョンとして3.0.2が公開されています。

更新内容としては、全体のパフォーマンスとWebブラウザの改善だそうです。
機種によってダウンロードするファームウェアは違うようなので、シリアル番号を参考にして、ご使用のKindleのモノをダウンロードするようにしましょう。

2010/09/22 10:52ニュース

Twitterブログ: 「マウスオーバーの」問題についての全容 /
http://blog.twitter.jp/2010/09/blog-post_22.html

Twitterのステータス – XSSアタックについて認識し、パッチによる修復作業を行いました。 /
http://status.twitter.jp/post/1161495941/xss

Twitterの脆弱性突くコードが拡散 Webブラウザでのアクセス自粛呼び掛け – ITmedia News /
https://www.itmedia.co.jp/news/articles/1009/21/news111.html

昨夜、TwitterのTLに背景がカラーで表示される現象が発生してました。最初はどういう問題か分からなかったのですが、上記のWebサイトなどによると、Twitterに存在する脆弱性を利用したXSS(クロスサイトスクリプティング)だったようです。
詳細については上記のWebサイトを参照していただきたいのですが、Webサイトにアクセスするだけで勝手にTweetされたり、ReTweetされてしまうようなことが起きていたようです。

TwitterのXSS脆弱性をついたタイムライン汚染攻撃 « BPS株式会社 開発ブログ Beyond Perspective Solutions LTD. /
http://www.bpsinc.jp/blog/archives/2335

また、この脆弱性を利用したワームもあったようですが、日本時間の22:50頃に脆弱性のFixが行われたことにより、とりあえずの解決が見られたようです。

Security,Web_browserchrome,google,ブラウザ

https://internet.watch.impress.co.jp/docs/news/395355.html

GoogleはChromeの最新版、「6.0.472.62」を公開したそうです。対応プラットフォームは、Windows、Machintosh、Linuxとなります。

リリースノートによると、6.0.472.62では、4段階中で最も危険度の高い“Critical”の脆弱性が1件、2番目に高い“High”が2件の、計3件の脆弱性を修正。これに加えて、Flash Playerプラグインのアップデートバージョンも含まれているという。

https://internet.watch.impress.co.jp/docs/news/395355.html

Google Chromeの自動アップデート機能を使用してアップデートできるので、脆弱性を解消するために是非適用するようにしましょう。

Securityadobe,Flash,脆弱性

https://internet.watch.impress.co.jp/docs/news/395323.html

Adobeは、脆弱性を修正したFlash Playerの最新版、「10.1.85.3」を公開しました。

対応プラットフォームはWindows、Macintosh、Linux、Solarisとなっています。Androidについては「10.1.95.1」として公開されています。

Adobeではこの脆弱性の存在について13日付でセキュリティアドバイザリ(APSA10-03)を公開しており、すでにWindows版のFlash Playerをターゲットとした悪用が報告されていることも伝えていた。Adobeによる危険度のレーティングは4段階中で最も高い“critical”で、クラッシュや攻撃者によりシステムが乗っ取られる恐れがあるという。

https://internet.watch.impress.co.jp/docs/news/395323.html

脆弱性の影響をうけるのは、Windows、Macintosh、Linux、Solarisの場合は、バージョン10.1.82.76以前、Android用の場合はバージョン10.1.92.10以前だそうです。
また、事情により10系にバージョンアップ出来ないユーザ向けに、「9.0.283」も公開されています。

なお、Adobe ReaderおよびAdobe Acrobatにも今回対策された脆弱性が含まれているそうですが、こちらについては10月4日の週に予定されているアップデートで公開されるそうです。

Adobe製品に関する脆弱性は多く報告される他、非常に重大な脆弱性が多いので、今回のアップデートについても確実に適用するようにしましょう。

Apple,Securityapple,macOS

https://internet.watch.impress.co.jp/docs/news/395361.html

AppleはMac OS X 10.6について、AFP(Apple Filing Protocol)に関して1件の脆弱性に対するアップデートを公開しました。

リモートの攻撃者によって、パスワード認証を回避してAFPの共有フォルダーにアクセスされる可能性があるというもの。Appleによると、AFPサーバーのエラー処理に問題があり、標的となるシステム上のアカウント名を攻撃者が知っている場合、パスワード検証を回避される恐れがあるという。

https://internet.watch.impress.co.jp/docs/news/395361.html

デフォルトではファイル共有は無効になっている他、Mac OS X 10.6以前のバージョンでは存在しないとしていますが、セキュリティを高める意味でも、Mac OSをご使用の方は是非適用するようにしましょう。

AIX、UNIX、LinuxCentOS,ネットワークインストール

https://www.centos.org/

普段、ESXiで作成する仮想マシンでLinuxを使用する環境を構築する際は専らCentOSを利用するわけですが、容量を取るフルサイズのISOイメージを保存しておくのは、ストレージの無駄使いになると思い、今回はネットワークインストールを試してみることにしました。