« 2005年5月 | トップページ | 2005年7月 »

2005/06/28

Outlook Expressに脆弱性

CNET Japanの記事より:

 ハッキングサイトがMicrosoft「Outlook Express」の脆弱性をつくサンプルコードをばらまいたことで、先週より、同製品の脆弱性に関係する攻撃が発生する可能性が高まっている。

 French Security Incident Response Teamが米国時間20日に発した警告によると、この攻撃では、電子メールプログラムOutlook Expressの特定のバージョンを利用するユーザーが、ハッカーによって運営されるニュースグループを閲覧した際に、完全な支配権が奪われる可能性があるという。

(中略)

セキュリティ企業iDefenseのラボディレクターMichael Suttonは、ばらまかれた実証コードにはいくつか問題があると指摘した。

 「ユーザー自身が行わなければならない作業が相当あるため、全体的な危険性は低くなっている」(Sutton)

 念のためiDefenseでは、Microsoftが同脆弱性の修復のため先々週リリースしたパッチを適用するよう、脆弱なマシンを利用しているユーザーに勧めている。

(中略)

 Microsoftの発表では、脆弱性が発見されたのは、Windows2000/XPおよびWindows Server 2003向けのバージョン5.5/6.0を含む、Outlook Expressの複数のバージョンだという。なお、Outlook Expressプログラムを起動しない場合でも、同攻撃の被害に遭う可能性があるという。

Outlook Expressに限らず、攻撃コードというのは、よく出回りますので、アップデートは確実に行っておかないと危険です。

とりあえず、今回はリリースされたパッチを当てれば大丈夫そうです。また、基本的にはニュースを読み込まずメールだけで使っている分には問題無さそうです。

ただ、今回は起動しなくても危険との事なので、アップデートを行うか、アンインストールして完全に消し去るかという処置が必要かもしれません。

Outlook Expressは一時期、多くのセキュリティ問題に晒された為、(自社がウイルス・メールを発信してしまうと大損失ですので)多くの企業では使用を禁止していると思っていたのですが、最近はそうでもないのでしょうか? 個人的には、フリーの優秀なメーラがありますので、乗り換えをお薦めしますが、Outlook Expressを使わなければならない場合は、必ずアップデートした方がよいでしょう。

| | コメント (0) | トラックバック (0)

2005/06/15

Fedora Core 4 リリース

早速、Fedora Core 3からアップグレードしました。特に問題なくアップグレード出来ました。

印象としては、Fedora Core 2からFedora Core 3の時の様な、見た目の大変化はありません。JAVA開発環境と、Eclipseがディストリに含まれたので、アップグレード後に追加してやる必要がありました。

とりあえず、快適に使っています。

--[6/15]追記--
問題点がありました。SELinuxのカバー範囲が増えたのでSambaが動かなくなります(^^;
手っ取り早く対処したければ、「デスクトップ」→「システム設定」→「セキュリティレベル」を開いて、SELinuxタブのSamba設定で、nmbd/smbdのSELinux保護を無効化しリブートするといった処置が必要なようです。この時、iptablesも設定が変わるので注意してください。まぁ、本当は、SELinux保護をちゃんと設定した方がセキュリティ上は良いのでしょうが。

SELinuxがアクセスをブロックしたかどうかは、システム・ログを見ると(kernelメッセージ)判ります。

CNET Japanの記事より:

 Red Hatが、フリー版Linux「Fedora Core 4」を発表した。同社はこの製品をリリースすることで、オープンソース開発の最前線で用いられる仮想化技術やプログラミングツール、その他のソフトウェアの発展を促進させようとしている。

| | コメント (0) | トラックバック (1)

2005/06/08

Firefoxで脆弱性が再発

CNET Japanの記事より:

 7年前から知られている脆弱性が、最新のFirefoxブラウザにも存在していることが判明したと、Secuniaが警告を発した。この脆弱性を悪用すると、攻撃者は、第三者が運営するウェブサイト上に悪質なコンテンツを表示させることができてしまう。

[関連記事]
INTERNET Watch:「Firefox 1.0.4」「Mozilla 1.7.8」に“7年もの”の脆弱性が再発

最近、CNETのTBが増えてますが、Firefoxのセキュリティ関連の報告が多発しているので…(苦笑)

この脆弱性は、INTERNET WatchからリンクされているSecuniaのテストページで確かめる事が出来ます。要は、フレーム(FRAME)を使用しているサイトで、そのフレーム内に、別サイトのコンテンツを表示させてしまえるという問題です。これを悪用すると、本物そっくりの入力画面を表示させて個人情報を盗み出す事が可能になります。

これを避けるには、個人情報(パスワード、口座番号、クレジット番号等)の入力画面があるサイトを開いた場合、他のサイトは開かない(タブ、新しいブラウザ起動共)という方法を採らなければなりませんが(Secuniaは「信頼できるサイトとそうでないサイトを同時に訪問しない」よう勧告している)、複数のサイトを閲覧しながら、このようなサイトを開く事はよくあるので、気を付ける必要があります。

今回の脆弱性で深刻なのは、フィッシングが出来てしまうという事の他に、一度修正された問題が、再度発生した、いわゆる「先祖返り」が発生した点です。

ソフト開発をしていると、よくあることなのですが、過去の修正意図が伝わらずに不具合が復活するという典型的な例です。これは、新たに発見される不具合よりも深刻な問題で、品質保証そのものに対する大きな脅威になります。そのために、バグ・トラッキング・システム(この場合、Bugzzila?)等を使て修正意図を共有し、ソースにコメントして注意を喚起し、自らの修正が他の部分に影響が無いかを慎重に調査しなければなりません。また、テスト・チームは、今回のリリースでFixされた問題点のテストだけでなく、影響がありそうな過去の問題についても検証しなければならなくなります。バージョンアップで最も大変な作業が、実はこれなのです。

信頼性に大きく影響する問題なので、Firefoxにとっては、大きな打撃と言えるのではないでしょうか。

| | コメント (0) | トラックバック (0)

2005/06/06

Fedora Project独立へ

CNET Japanの記事より:

Red Hatは米国時間3日、無償版Linux「Fedora」の運用に関する変更を発表した。同社は、Fedoraの著作権および開発作業を外部組織Fedora Foundationに移管するとしている。

(中略)

しかし、外部からの助力を広く求めていくというFedoraプロジェクト本来の目的は、なかなか達成できずにいた。これは、Red Hatが、RHELに追加する予定の諸機能を短期間で成熟させるための実験の場としてFedoraを利用していたため、プログラマらがこれをRed Hatプロジェクトの一環であるととらえていたからである。Red Hatはここへ来て、Fedoraを独立させることを決断した。

(中略)

同社は数カ月前に、Fedoraのソースコードレポジトリを公開し、部外者によるコードの改良を容易にしている。さらに、サーバが基礎的なソースコードから自動的にFedoraを生成できるよう改良し、さまざまなコンピュータ上で新たなバグを迅速に発見できるようにもした。

こうした一連の取り組みの最新のものが、今回のFedora Foundationの設立だ。Red Hatの法律顧問代理Mark Webbinkは、米国時間3日に開催された同社初のユーザーカンファレンスにおいて、同団体はFedoraに加えられたコードの著作権管理をRed Hatに代わって行っていくと述べた。

確かに、Fedora CoreはRHEL(Red Hat Enterprise Linux)のテストバージョンという位置付けだと皆が考えていましたから、こうして独立させて、よりオープンソース・コミュニティとしての性格を強めようという事なのだと思います。

ただ、不安定でも最新版を短期間でリリースして、最新の機能を搭載していくという基本方針は変わらないのでしょうか? Fedora Coreの存在意義は「新物好きの為のLinux」であり、安定を求めるなら、別のディストリビューションを選ぶでしょうから、「先進性」というキーワードは捨てて欲しくない気がします。

とりあえずは、独立は歓迎です。

そう言えば、Fedora Core 4は今日リリースでしたね。

<追記>
スケジュールを見ると、Fedora Core 4は13日リリースでした。 m(_ _)m

| | コメント (0) | トラックバック (0)

2005/06/04

Firefox 1.1

Firefox Ver.1.1のアルファ版が発表されました。コードネームは、Deer Parkです。

今回は、Alpha 1という事なので、あくまで開発者向けで実用には耐えません(アルファ版というのは、「こんな感じです」というプレリリース版なので、正しく動作するとは限らず、当然サポートもありません)。使いたい方はベータまで待ってください。ただ、Alpha 2は6月中に出荷予定のようですが、ベータは、今年中に出すとしか決まっていないようです。

Ver.1.1正式リリースは当初、今年の3月となっていましたが、最近のロードマップを見ると、「今年中」という予定になっています。その後、Ver.1.5を挟んで、Ver.2.0(Firefox 2)をリリースする予定のようですが、予定通りというのが難しいのが、世の習いといったところでしょうか。

| | コメント (0) | トラックバック (0)

IE7、Windows 2000ではサポートせず

Microsoftのある社員が公開したブログに、以下の内容が記載されていた。

CNET Japanの記事より(抜粋):

Microsoftが、Windows 2000オペレーティングシステム(OS)向けにはInternet Explorer(IE)の新しいバージョンを投入しないと認めたことから、同社の方針に対して一部で批判の声が上がっている。

(略)

「われわれがWindows 2000用IE 7のリリースを計画していないのは、別に驚くべきことではない。そうしない理由の1つは、Windows 2000がライフサイクルの終わりにさしかかっていることで、もう1つは、IE 7のセキュリティ機能の一部がXP SP2のOS機能に依存しており、それをWindows 2000に移植し直す作業が簡単には済まないからだ」

Win2K(Windows 2000)のサポートは2010年までとなっているが、WMP(Windows Media Player)とIE7はWinXP(Windows XP)用のみ供給され、Win2K版は出荷されない。

基本的に、Win2Kを使い続けるユーザは二種類に分かれるように思う。

一方は、何らかの理由でWinXPに不満を持っており、(場合によってはプレインストールされているWinXPから戻して)Win2Kを使い続けているユーザである。このタイプのユーザは、firefox、ネスケ、オペラ、mozillaといった高機能ブラウザに乗り換えているだろう事が容易に想像できるので、あまり実害を感じないだろう。

問題は、もう一方の、(経済的な理由等で)古いPCを使い続けているために、最初にインストールされていたWin2Kを使い続けるユーザである。おそらく企業で一括してPCを導入していたりする場合には、このパターンが多いのかもしれない。となれば、IE7の未サポートは、「PCを買い替えろと言われているようだ」と不満を抱く事が予想される。

IE7を使うにはWinXPが必要というのは、抱き合わせに近いやり方ではないだろうか? 独禁法との関連で、IEはOSの一部では無いとMicrosoftは主張してきたのではないか? 「IE 7のセキュリティ機能の一部がXP SP2のOS機能に依存しており」と言うのは、今までの主張に反しているような気もするのだが。

また、Win2Kの2010年までの「サポート」とは何を指しているのだろうか。Win2Kでは実現できない(そしてWinXPでは実現されている)セキュリティ機能というのは「サポート」されないのだろうか? それは、サポート期間中であるにもかかわらず、一部セキュリティ機能が不備のまま使い続ける事にならないだろうか? それって、「サポートしない」のと、どこが違うのだろうか?

Win2Kユーザの最も危惧するところは「IE7が使えない」という事では無いだろう。何故なら、IEを使わなくても、同等か、それ以上の機能を持つブラウザが存在しているからだ。いざとなれば乗り換えれば済む。(Outlookが、そうであったように)

最も危惧するのは、むしろ、Win2Kのアップデートが疎かになり、バグやセキュリティ上の不具合が修正されないまま放置される事だろう。2010年以降は、やむを得ないかもしれないが、少なくとも、それまでは「サポート」すると表明した以上、迅速な対応が望まれる。ましてや、セキュリティという問題に、密接に関連するブラウザに関して、このような動きをするメーカに不審を持つユーザも多いのではないだろうか。

個人的には、Win3.1→Win95→Win98→WinNT→Win2K→WinXPと使ってきたが、Winファミリーの中では、Win2Kの出来は良い方だと思う。逆にWinXPのアドバンテージを感じる事は殆んど無い。

| | コメント (0) | トラックバック (1)

2005/06/02

Thunderbirdの次期バージョン

CNET Japanの記事(抜粋):

 オープンソースの電子メールクライアントソフト「Thunderbird」が、次のアップデート(バージョン1.1)で、ポッドキャスティングに対応する。またフィッシング対策機能も強化される。

 ポッドキャスティングは、ユーザーが専用のソフトウェアを使ってネットから音声ファイルをダウンロードし、コンピュータやデジタル音楽プレイヤーで好きなときに再生したり、最新情報を定期的に受信することができるというもので、その名前はApple ComputerのiPodにちなんで付けられたとされている。

 ポッドキャスティングは、ブログのようなコンテンツを簡単に配信するための技術であるRSSの仕組みを利用している。Thunderbirdはすでに RSSフィードを受信できるようになっているが、これに新しいパッチ(プラグイン)を追加することでポッドキャスティングに対応する。そのため、ポットキャストのようなコンテンツが届いた場合にはダイアログボックスが開き、ユーザーはここからウェブブラウザやオーディオプレイヤーといったヘルパーアプリケーションを呼び出せるようになるという。

 フィッシング対策機能は、オンラインバンクのログイン情報やクレジットカード番号の入力を促す詐欺目的の電子メールの着信を検知し、ユーザーに警告するというもの。


メーラーもPodCasting対応が流れのようですね。

Blogと連動させると便利そうですが、とりあえずコンテンツが問題でしょうね。「ここで、一曲、○○さんで○○○○」と、CDから落とした曲を入れたりしたら、当然ながら著作権法違反になってしまいます。とは言え、Blog記事内容をトークするだけなら、書くのと変わらないので、「つまらん」となってしまうかもしれません。

私は、年寄でラジオ育ち(昔風に言えば「ながら族」)なので、よくラジオを聴きます。最近のFM局はトークが増えて(特に深夜!)、何かをしながら聴くには耳障りな場合も多いので、ネットラジオを聞く事が増えました。音楽が、ずっと流れているので、いい感じですが、日本は著作権関連法に問題があるためか、音楽を流すのは海外の局ばかりです。PodCastingが普及するかどうかも、このあたりの法整備が重要になるような気がします。

| | コメント (0) | トラックバック (0)

« 2005年5月 | トップページ | 2005年7月 »