[セキュリティ] * UTF-7エンコードされたタグ文字列によるXSS脆弱性に注意 (/.jp)

---

新しいタイプのクロスサイトスクリプティングと言えるかも知れませんね。(^-^;　 「<」「>」などが正しくサニタイズされていたとしても、ページのエンコーディングが明示されていない場合などに HTMLタグの挿入が可能となってしまう問題です。

textileこの問題はUTF-7固有の問題ではない。たとえばISO-2022-JPでも同様のことが起こり得る。ユーザが意図してメニューから文字エンコーディングを変更すると、それによってXSS攻撃が発動することがある。訪れたサイトで文字化けが起きているからといって、不用意にエンコーディングを変更してはいけない。

葉っぱさんのところに、* PoC が出ていました

---

。 これは、デフォルトの JIS で表示している間は ESC $B の後ろに隠れているスクリプト文字列が、Shift_JIS にエンコーディングを変更した瞬間に有効化されてしまう、という仕組みのようです。 海外サイトでは影響が大きそうですね、この問題。関連： 　・* Googleサイトに脆弱性、セキュリティ企業の指摘で修正 (ITmedia)

---

　・* XSS vulnerabilities in Google.com (Watchfire)

---

[出来事] * 気象業務支援センターでシステム障害、気象情報の配信が約1時間停止 (IT Pro)

---

textile障害が発生したのは、気象情報などを民間企業などに通知するための「配信システム」。…UPSの交換のために配信サーバーをシャットダウンし、UPS交換後に再起動する際に「ネットワーク関連機器だけが、再起動できないかったようだ」。

んで、予備も置いてなかった、と。 結構ありがちな話・・・かな。（ぇｗ[セキュリティ] * 第3回 Webアプリ、入力チェックで万事OK？ (@IT)

---

バナーがクリスマスバージョンになってて、可愛いんです。(*^^*)　 ←注目するとこ違うｗ[セキュリティ] * iTunesとQuickTime最新版に脆弱性 (ITmedia)

---

textile最新版のiTunesとQuickTimeにヒープオーバーフローの脆弱性が見つかった。…細工を施した.movファイルによって、このヒープオーバーフローは引き起こされる。この脆弱性を突くと、攻撃者はプログラムをクラッシュさせ、任意のコードを実行させることが可能となる。

ビデオポッドキャスティングによって動画が自動でダウンロードされることもありうるとのことで、注意が必要なんだそうです。（←ポッドキャスティングって単語は知ってるけどやったことないｗ）関連： * Apple QuickTime 7.0.3 & iTunes 6.0.1 Heap Overflow (Security-Protocols.com)

---

[出来事] * テキサス州、SONY BMGの「もう1つのスパイ的DRM」にも訴訟 (ITmedia)

---

textile米テキサス州検事総長のグレッグ・アボット氏は12月21日、SONY BMGに対する訴訟を拡大し、同社のもう1つのDRM（デジタル権利管理）技術「MediaMax」を標的に加えたことを明らかにした。

SONY BMG、確か XCP の方は回収を受け付けたんだったと思いましたが、MediaMax の方は結局その後、どうなったんでしたっけ？　サイトを見ても、XCP の方しか書かれていない気も。関連： * 米国SONY BMG発売商品における対応に関するお知らせ (SONY BMG)

---

[雑談] * 黒ひゲイ危機一発：同性愛者らの団体が抗議、販売中止求める (毎日)

---

textile同性愛の教職員らでつくる「セクシュアルマイノリティ教職員ネットワーク」…の抗議文によると、同性愛者およびそれを連想させる人物をたるに入れ、剣で突き刺して「楽しむ」という玩具の発売は同性愛者に対する差別…と商品の問題点を指摘。

・・・え、えーっと。(汗　 海賊なら差別しても良いのか？(違ｗ[雑談] * 低気圧：大雪や強風に　新潟県などで大規模停電が発生 (毎日)

---

東京は、確かに寒かったですけど、雪はまったく降っていませんね〜。 停電やら電車の運休やらで大変だった方も多いのでしょうね。 お疲れ様でした・・・。