上げれば晒される、それがインターネット
2006年01月13日21時14分55秒 セキュリティ
MIXIを使った、トラフィックの個人追跡システム(fladdict.net blog)
everything is goneの記事より。
IPアドレスを抜くのは簡単だがそれを個人情報と結びつけるには手間がかかる。mixiを使えばIPアドレスを抜く手軽さでIPアドレスよりも簡単に個人情報に結び付けられるとのこと。一番の対策はmixiに個人情報を載せない。mixiを使わない。
インターネットに上げた情報はなんであっても世界中に晒されると考えるべき。逆に世界中に晒しても構わないような情報しか上げてはいけない。またはインターネットに上げるのは世界中に晒すためと考えるべき。
mixiの情報はもうかなりの場所で使われていると思う。別に技術的に込み入ったことをしなくても、どっかの調査会社の誰かが入会できれば、そのパスワードを使ってその会社全体がmixiから情報を抜けるようになるし。
mixiのように中途半端にセキュリティを誇っている場所は、初めから無制限・無秩序を宣言してる場所より無防備になりやすく、かえって危険だと思う。
Windowsに、画像を閲覧すると勝手にいろんなコードを実行される脆弱性
2006年01月06日22時37分28秒 セキュリティ
画像ファイルの処理に不具合があり、画像ファイルに埋め込まれたコードを実行してしまう。埋め込まれたコードが「ハードディスクをフォーマットせよ」とかだったらアウト。
問題があるのはWMFファイル(Windowsの画像のメタファイル)。ただしJPGやPNGにも偽装される可能性がある。Firefoxなら開こうとすると警告が出る。いいえを選んでさっさと閉じればセーフ。IEは素通し。
12月28日
最新版のWindows OSに重大な脆弱性 危険度は5段階中の「5」(星を見る人)
12月29日
Windowsにゼロデイ攻撃を受ける深刻な脆弱性(スラッシュドット ジャパン)
1月2日
年末に出現した 危険度最大の脆弱性を突く画像が出現 「Happy New Year」メールで出回る(星を見る人)
1月5日
Windowsの画像イメージ処理の脆弱性を突く問題 まだマイクロソフトから正式修正なし(星を見る人)
1月6日
Microsoft、WMF脆弱性パッチを4日はやく公開(星を見る人)
WMFの脆弱性のパッチ(スラッシュドット ジャパン)
マイクロソフト
Windows XP 用セキュリティ更新プログラム (KB912919)←パッチ
MS06-001 : Windows の重要な更新←おおまかな説明
Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある (912919) (MS06-001)←詳しい説明
簡易的な対策:Windowsの標準画像ビューワを無効にする
「ファイル名を指定して実行」で「regsvr32 -u %windir%\system32\shimgvw.dll」を実行
有効に戻すには、
「ファイル名を指定して実行」で「regsvr32 %windir%\system32\shimgvw.dll」を実行
