2004/09/22(水)水曜日ー。(明日は祝日♪)
[セキュリティ] * PHP Memory Leak and Arbitrary File Location Upload Vulnerabilities(Secunia)
[雑談] * 松浦亜弥をパソコン上で自由に操作できる「フリーアングルマスコット」(BB Watch)
うーむ。(^-^; こーゆーのもデスクトップキャラクタって言うんだろうか。[雑談] * あなたの人生の残り時間はあと何秒?(Uniquee)
ヤマガタの結果・・・
(←必要になります。)[雑談] * ほろ酔い加減が長い人は脳梗塞の危険が!?(Orbium)
[雑談] * パリの地下に秘密社会?古代トンネルにバー付き映画館「捜すな」張り紙残す
地下で色々活動してるなんて、何かの映画みたいでステキです。(実際は暗かったりじめじめしてたりして、あんまり楽しくないのかも知れないけどー。)[雑談] * コンパクトになったPS2の新機種、11月発売(ITmedia)
おぉー! ちっちゃい。来年のデフコンレポは荷物が軽くなりました。(違[IT] * システム・トラブルの「もぐらたたき」に終止符を (IT Pro)
5打数5安打・・・すごいです。残り12試合で、14安打。がんばれー![IT] * マイクロソフト、SP2のダウンロードを強化へ(CNET Japan)
。[セキュリティ] * 「Google Toolbar」に任意のスクリプトが実行可能な脆弱性(INTERNET Watch)
textile1) The problem is caused by a boundary error in the handling of GET, POST and COOKIE variables in "php_variables.c". This can be exploited by supplying a specially crafted parameter name ending with an open bracket to disclose memory on the heap when certain functions are used inside a script.Example:abc[a][The vulnerability reportedly affects versions 4.1.2 through 5.0.1.2) The "$_FILES" array specifies locations for uploaded files. The problem is that the array can be overwritten by a specially crafted Content-Disposition header. This can potentially be exploited in combination with directory traversal attacks to upload files to arbitrary locations, which can further be exploited to execute arbitrary code.Example:Content-Disposition: form-data; name="userfile"; filename="../../../test.php"Successful exploitation requires a PHP script, which uses the "$_FILES" array for e.g. moving uploaded files.The vulnerability reportedly affects version 5.0.1 and prior.えーっと、php_variables.cで、パラメータ名が "[" で終わっている GET,POST,COOKIE の取り扱いに問題があるため、ヒープ領域のメモリ内容を開示してしまう問題がある。$_FILES配列を使ってファイルアップロードをさせているようなスクリプトで、不正なContent-Disposition:ヘッダの値によって、ディレクトリトラバーサルが起きる問題がある。CVSレポジトリに修正済みのソースコードがアップロードされているそうな。[セキュリティ] * PHSの顧客個人情報、5万7000件漏れる ドコモ発表(CNET Japan)
textile携帯電話最大手のNTTドコモ(東京都千代田区)は21日、PHS(簡易型携帯電話システム)事業の一部付加サービス業務を請け負う委託企業でパソコンが盗まれ、顧客個人情報が外部に漏れた疑いがあると発表した。…ドコモによると、いまどこサービスの契約加入者や同サービスを解約した加入者をはじめPHS番号単独情報など合わせ、5万6660件分の顧客個人情報が外部に漏れた疑いがあるという。あらまぁ・・・。『パソコンにはパスワード掛けてある』って・・・、まさかWindowsのログインパスワードのことじゃないですよね?(^-^;関連: NTT DoCoMoプレスリリース
- PHS「いまどこサービス」の一部お客様情報を含むパソコンの盗難について
[雑談] * 松浦亜弥をパソコン上で自由に操作できる「フリーアングルマスコット」(BB Watch)
うーむ。(^-^; こーゆーのもデスクトップキャラクタって言うんだろうか。[雑談] * あなたの人生の残り時間はあと何秒?(Uniquee)
textileThe Death Clock では、誕生日、性別、性格(四択)、BMI(肥満指数:身長と体重から計算)、喫煙の有無を入力してボタンを押すだけで、あなたの死亡予定日と人生の残り時間(秒)を表示してくれる。…正確さに関してはご愛嬌という感じかもしれない。だけど有無を言わさぬ強さで「あなたの死亡日は西暦何年何月何日何曜日です、残り時間はあと何秒」と示されると流石にちょっとビビる。怖いけど、やってみましょう・・・!⇒The Death Clock
ヤマガタの結果・・・
textileYour Personal Day of Death is... Tuesday, August 12, 2031 Seconds left to live... 848,365,428いやー!! 人生の残り秒数がどんどん減っていきます。関連: * 単位変換電卓
(←必要になります。)[雑談] * ほろ酔い加減が長い人は脳梗塞の危険が!?(Orbium)
textile内でアルコールを分解する酵素「ADH2」の活性が弱い男性は、強い男性より脳梗塞(こうそく)になる危険性が2倍以上高いことが日本医科大と国立長寿医療センターの大規模な疫学研究で21日、分かった。…ほろ酔いで長い時間呑んでいられるという意味はアルコール分解酵素の活性が低く、なかなかアルコールが分解されないためにほろ酔いである時間が長いということのようです。該当する人は、・・・注意してください。(どうやって??)関連: * 脳梗塞:長時間ほろ酔い気分が続く人は注意(毎日新聞)
[雑談] * パリの地下に秘密社会?古代トンネルにバー付き映画館「捜すな」張り紙残す
地下で色々活動してるなんて、何かの映画みたいでステキです。(実際は暗かったりじめじめしてたりして、あんまり楽しくないのかも知れないけどー。)[雑談] * コンパクトになったPS2の新機種、11月発売(ITmedia)
おぉー! ちっちゃい。来年のデフコンレポは荷物が軽くなりました。(違[IT] * システム・トラブルの「もぐらたたき」に終止符を (IT Pro)
textile2年前に稼働した基幹系システムの再構築プロジェクトでのレビューだ。17万ページに及ぶ詳細設計書を1ページずつ確認する作業を貫いた。ほとんどすべてのページに最低一度は修正が入った。当然時間がかかり,プロジェクトの進捗は一時的に2カ月遅れた。それでも愚直にレビューを続けたところ,実装やテストでの手戻りが減り,結果的に同社はスケジュールどおりに新システムを稼働できた。うーむ。この記事のためにあるような例だな、これ。(^-^;しっかりしたレビューを行い、手戻りを少なくすれば結果的に幸せになれるよ、というお話。[雑談] * 盗撮防止法案、米下院を通過(ITmedia)
textile盗撮はストーキングの新たなフロンティアであるとして、米下院は9月21日、他人を写真やビデオに(多くの場合わいせつな目的で)密かに撮影する行為を犯罪とする法案を可決した。発声投票をもって可決されたこの法案の下では、連邦所有地において盗撮行為を行った場合、10万ドル以上の罰金または最高1年の懲役、あるいはその両方を科せられる。アメリカってやることが豪快ですね...1000万円以上の罰金ですか。(汗[雑談] * イチロー、5打数5安打であと「14」 自己最多を更新(asahi.com)
5打数5安打・・・すごいです。残り12試合で、14安打。がんばれー![IT] * マイクロソフト、SP2のダウンロードを強化へ(CNET Japan)
textileMicrosoftは、公開から1カ月が経過したWindows XP Service Pack 2 (SP2)について、予定インストール数の5分の1しか配布できていない現状を受け、自ら課した目標達成に向けてその配布を加速させることを明らかにした。…同社は今後、自動アップデートの通知間隔を短縮していく。ナニガナンデモ入れさせようと?(^-^;[雑談] * 米Ask Jeeves、ログイン不要のパーソナル検索など大幅な機能強化(INTERNET Watch)
textileMyJeevesは、Ask Jeevesの検索結果ページにおいて各リンクの側に表示される「Save」をクリックすると、その内容が保存されるというシンプルなものだ。調べものをしている際に興味のあるリンクを片っ端から保存しておけば、その後でMyJeevesページに移ってそれらをフォルダごとに整理し、内容についてメモを加えることができる。情報管理ツール的な使い方ができるほか、選択したURLをまとめてメールで送信して友人と共有することも可能だ。内容は面白そうだと思ったのですが、・・・日本語処理が微妙すぎて使えない。orz試してみたい方は、* Ask Jeeves
。[セキュリティ] * 「Google Toolbar」に任意のスクリプトが実行可能な脆弱性(INTERNET Watch)
textile発見された脆弱性は、Google ToolbarをインストールしたIEで特定のWebサイトを閲覧した場合に、任意のJavaScriptが実行されてしまう、もしくは任意のHTMLファイルが挿入されてしまうというもの。SecurityFocusでは、サンプルのexploitコードも公表している。なお、この脆弱性に関する修正プログラムは現時点で公表されていない。詳細: * GoogleToolbar:About -- Allows Script Injection(Bugtraq)
- Google Toolbar About.HTML HTML Injection Vulnerability(SecurityFocus)
textile<script>window.showModalDialog("res://C:\\Program%20Files\\Google\\GoogleToolbar1.dll/ABOUT.HTML","<div style=\"background-image:url(javascript:alert(location.href));\">");</script>ほえー。現状では修正プログラムが無いとのことなので、一時的に無効にしておきましょ。