ITmedia記事 Windowsに深刻な脆弱性、ゼロデイ攻撃も発生 によれば、Windows Vista, XP SP2, 2000 SP4, Server 2003/SP1 に深刻な脆弱性が見つかり、Microsoft がアドバイザリ 935423を発行した。

Microsoft より アニメーション カーソル処理の未修正の脆弱性に関するセキュリティアドバイザリが公開されました。

Windowsのアニメーションカーソル処理に脆弱性が存在し、ゼロデイ攻撃に利用されている。Windows Vistaも影響を受けるという。

電子メールやIMなどのアプリケーションを使いこなしている若手従業員が、知らず知らず企業のセキュリティホールとなっているようだ。

【1】NETxEIB OPC Server に OPC server handle を適切に処理できない脆弱性
【2】BrightStor ARCserve Backup Tape Engine に複数の脆弱性
【3】Unix ベースの OpenAFS クライアントプログラムに権限昇格の脆弱性
【4】libwpd に複数の整数オーバーフローの脆弱性
【5】OpenOffice.org に複数の脆弱性
【6】InterActual Player の複数の ActiveX コントロールにバッファオーバーフローの脆弱性
【7】Interstage Application Server にクロスサイトスクリプティングの脆弱性
【8】「NewsGlue」と「いきなり事情通」に任意のスクリプトが実行される脆弱性
【今週のひとくちメモ】インターネットセキュリティの歴史 第1回 「Morris ワーム事件」

IMPRESS の記事 SANS Institute、安全なコード開発スキル測定試験をスタートへによると、セキュリティ団体の SANS Institute が安全なコード開発スキル測定試験を実施するとのこと(プレスリリース[pdf])。安全なコーディングを行うための知識とスキルをはかるもので、脆弱性の発見や修正などのスキルを指標として評価できるようにするとのこと。

まもなくIE 7の自動配布が開始。トラブル回避のために管理者が知っておくべきこと

セキュリティ研究者が、JavaScript対応ブラウザを攻撃に利用するコードをデモした。クロスサイトスクリプティングの脆弱性を悪用した攻撃は危険度を増している。

今回公開されたバージョンでは、これらのソフトに加えて無料のウイルス対策ソフト「Norton Security Scan」と、同じく無料で利用できるスパイウェア対策ソフト「Spyware Doctor」の2本が追加されている。

AT＆Tはこのほど、Economist Intelligence Unit（EIU）が実施した調査「Network Security：Protecting Productivity」の結果を発表した。この調査は世界規模で行われたもので、395人のシニア・エグゼクティブが対象となっている。

Windows向けのフリーの汎用コンポーネント「BASP21」に、不正なメール送信などに悪用される脆弱性が発見された。

ソニーが、ハードウエア実装時に単位ゲートあたりの処理速度が世界最高の共通鍵ブロック暗号アルゴズム「CLEFIA」を開発したらしい。

Windows Vistaは最初の90日で発見された脆弱性が5件で、そのうち4件が未修正。この結果から「競合するOSに比べるとはるかに優れていることが分かった」とのことらしい。

【1】OpenBSD の IPv6 パケット処理にバッファオーバーフローの脆弱性
【2】Mac OS X および Mac OS X Server に複数の脆弱性
【3】BIND9 に複数の脆弱性
【4】CCCクリーナーにゼロ除算の脆弱性
【5】Sun Java System Web Server に脆弱性
【6】デバイスエクスプローラの各種 OPC サーバにバッファオーバーフローの脆弱性
【7】Trac にクロスサイトスクリプティングの脆弱性
【8】FENCE-Pro および Systemwalker Desktop Encryption の自己復号ファイルに脆弱性
【9】RSA Conference Japan 2007 フルカンファレンス優待登録のお知らせ
【今週の一口メモ】ユーザアカウントとメールアドレスの整理

RSSといった新しい技術や，ユーザーからの情報公開といったWeb 2.0の特徴がさらに火に油を注ぐことになることを示す。

Appleは米国時間3月13日、7件のゼロデイ脆弱性を含む45件のセキュリティ脆弱性を修正するMac OS Xのセキュリティアップートをリリースした。

第1位
漏えい情報のWinnyによる止まらない流通
第2位
表面化しづらい標的型（スピア型）攻撃
第3位
悪質化・潜在化するボット
第4位
深刻化するゼロデイ攻撃
第5位
ますます多様化するフィッシング詐欺
第6位
増え続けるスパムメール
第7位
減らない情報漏えい
第8位
狙われ続ける安易なパスワード
第9位
攻撃が急増するSQLインジェクション
第10位
不適切な設定のDNSサーバを狙う攻撃の発生

【1】Sun Solaris 10 の in.telnetd の脆弱性に関する追加情報
【2】NAM がインストールされた Cisco 製品に脆弱性
【3】PostgreSQL に複数の脆弱性
【4】Citrix Presentation Server Client に脆弱性
【5】EMC NetWorker Management Console に脆弱性
【6】Symantec Mail Security for SMTP 5.0 に脆弱性
【7】JPNIC・JPCERT/CC セキュリティセミナー2007 参加申込受付中
【今週の一口メモ】最小特権の原則

シマンテックが「総力を結集した」と語る統合型セキュリティ「ノートン360」は、包括的かつ自動化されたサービスにより、PCが抱えるさまざまな問題を“静かに”解決する。

Appleが日本時間今朝、QuickTime 7.1.5とiTunes 7.1をリリースした。Mac OS X 10.3.9以降およびWindows 2000 SP4/XP SP2に対応。

ITmediaの記事「「ファイル名を指定して実行」の便利な使い方（その1）」は、Windowsの同機能をtips風に解説したもので、なかなか好評のようだ。ところがこの記事、最後になって mshta.exe の話が出てくる。

自分がある2chのスレのために3年前くらいに自宅サーバに提供していたあぷろだに、海外で不正アクセス事犯で捕まった被疑者が何かの画像（恐らくイスラム教関係、らしい。

BugTraqにXbox 360の権限昇格脆弱性が報告されている。カーネル4532および4548の sc (システムコール) のパラメータ・チェックに漏れがあったというもの。

すっかりシリーズ化した感のある the Month of hogehoge Bugs だが、今月は『the Month of PHP Bugs』が行われている。