サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
ノーベル賞
www.hotfix.jp
■RLO(Right-to-Left Override) Unicodeの制御記号の1つ。右から左に向かって文字を読む言語に対応するため、文字の流れを右から左の向きに書き換える制御記号。 全世界の言語を表現可能にすることを目指しているUnicodeでは、文字を右から左に向かって読むアラビア語やヘブライ語などの言語に対応するため、文字の流れを右から左の向きに変更するRLOと呼ぶ制御記号を持っている。Unicodeで記述されたテキスト中にこの制御記号を挿入することで、文字の流れを左→右から右→左へと変更することができる。 しかしこの機能は、ウイルスなどが拡張子を偽装する手法として悪用され始めている。ファイル名にUnicodeを採用しているWindows OSなどでは、ファイル名にRLOを悪用すると、「txt.egohegoh.exe」という実行ファイルを「exe.hogehoge.txt」とい
■ダングリング・ポインタ(dangling pointer) プログラムの実行中にポインタが不正なメモリ領域を指している状態。ポインタが宙ぶらりんな状態(dangling)であることから、ダングリング・ポインタと呼ばれる。 ダウングリング・ポインタは、メモリ・オブジェクトを解放する際に、オブジェクトのポインタ値を初期化しないことに起因して発生する。ポインタは、解放されたメモリ位置を指したままとなっているため、そのメモリに異なるデータが書き込まれた後に、誤ってそのポインタを再参照してしまうと、予想不可能な動作を起こすことになる。 これまでダングリング・ポインタは、脆弱性の問題というよりも、プログラム上の不具合という認識が一般的であった。しかしダングリング・ポインタは、メモリ破損の脆弱性の原因ともなり、サービス拒否を起こしたり、場合によっては任意のコードを実行可能としてしまったりする危険がある
HotFix Report(ホットフィックス・レポート) HotFix Report(ホットフィックス・レポート)は、Windows関連のセキュリティ情報を分かりやすく、しかもタイムリーに電子メールで提供する有料の情報サービスです <HotFix Report BBS(HFRBBS)終了のお知らせ> 皆様にご愛読いただきましたHotFix Report BBS(HFRBBS)は、サービスを終了させていただきました。すでに記事投稿および既存記事の閲覧など、HFRBBSの全サービスを利用することができません。 2004年の開設以来、HotFix Report BBSはセキュリティパッチの情報共有を中心に、Windows管理者のためのコミュニティサイトとしてご愛顧いただきました。しかし、マイクロソフト社からの情報提供やWindows管理者向けコミュニティサイトなどが十分に発展したことから、本BB
■PoC(proof of concept) 一般的には「コンセプト(概念)を実証するためのもの」という意味。新しいコンセプトやアーキテクチャを説明したり、実証したりするために作られる製品や設備、ソフトウェアのこと。セキュリティ分野では、脆弱性を実証するためのプログラムを指す。ほぼエクスプロイト・コード(実証コード)と同義として使われることが多い。 ・エクスプロイト・コード(Exploit code): http://www.hotfix.jp/archives/word/2003/word03-13.html 脆弱性は、特定の条件下によって引き起こされるケースがある。またOSや修正プログラムの適用状況によって、脆弱性の影響範囲が変わることもある。そこで見つかった脆弱性が、どのような条件で悪意のあるプログラムなどを実行可能とするかを証明するために、PoCは作られる。PoCを利用することで、
■msiファイルにオプションを指定して実行する方法 Windows Installerを利用するインストール・パッケージ(拡張子がmsiのファイル、以下msiファイル)は、msiファイル自体をダブルクリックすることで、インストール・ウィザードが起動してインストール作業が行える。しかし企業などで大量のクライアントにユーザーの操作なしに適用させたいような場合、コマンド・プロンプトで以下のコマンドを実行することで、ユーザーの操作なしで、インストール完了後に再起動しないで適用が可能だ(再起動が必須な修正プログラムは、再起動するまで修正プログラムの適用が完了しないので注意。また以下のオプションのうち一部は、Windows Installer 3.xでのみ有効)。
■snake oil(スネーク・オイル) 機能を誇大に強調したセキュリティ製品や暗号製品。またはSSLのサンプルとしてインストールされている証明書の認証サイトの名前。 もともとは、万能であるように見せかけた効能が不明な薬、またはそれを売りつける人の意味である。そこから、万能であると強調したあやしげな製品といった意味で使われる。「絶対破られることがない暗号」のように、ありえない製品をSnake Oilと呼ぶ。 またApacheなどのSSLのサンプルとしてインストールされている証明書の「Organization Name」が、「Snake Oil, Ltd」となっていることから、こうした証明書の認証局を「Snake Oil CA」などとも呼ぶ。 Copyright (C) Digital Advantage Corp. 無断で複製・再配信などを行うことはできません。 HotFix Report
マイクロソフトは、OfficeがインストールされたWindows 2000/Windows XP/Windows Server 2003において、自動更新/Microsoft Update/Windows Updateを実行すると、svchost.exe(自動更新サービスを起動するサービス・プログラム)プロセスによって長時間CPU占有率が100%となる不具合があることを明らかにし、それを解消するための修正プログラムとWindows Update Agent 3.0(WUA 3.0)の提供を開始した。WUAとは、Microsoft Update/Windows UpdateやWSUSなどと連携して働くクライアントPC側の修正プログラム検出/適用ソフトウェアのことで、従来はバージョン2.0が使われていた。 ・サポート技術情報 937383(Microsoft Update または Window
HotFix Report(ホットフィックス・レポート) HotFix Report(ホットフィックス・レポート)は、Windows関連のセキュリティ情報を分かりやすく、しかもタイムリーに電子メールで提供する有料の情報サービスです
■エクスプロイト・コード(exploit code) 脆弱性を攻撃するための小さなプログラム、また脆弱性の存在を実証するためのプログラムのこと。 両者はまったく正反対の性格を持つが、脆弱性の存在を実証するために公開されたプログラムを改変することで、簡単に脆弱性を悪用するためのプログラムが作れるようになることから、両者は表裏一体の関係といえる。 Windows OSでは、インストールされたアプリケーションや修正プログラムの適用具合などによって脆弱性の状況が大きく異なる場合がある。そのため、脆弱性を発見した人によっては、それがどのOSのどういったバージョンに影響するものなのかを広く実証・検証するためにexploit codeを作成し、それをセキュリティ関連のメーリング・リストや掲示板などで配布、多くの人に確認してもらうことがある。 このような目的で作成されたexploit codeは、攻撃が可
■SQLインジェクション(SQL injection) リクエストのパラメータにSQL文を与えてSQLデータベースを不正に操作する攻撃、またはその攻撃を可能にする入力値の未チェックの脆弱性のこと。「ダイレクトSQLコマンド・インジェクション」とも呼ばれる。 例えば、ユーザー名とパスワードによるWebサイトのログイン処理では、SQL文によってユーザーが入力したユーザー名とパスワードを検索し、両方が一致するレコードが存在するかどうかを調べる。ユーザー名を変数「$userid」、パスワードを変数「$passid」に入力し、以下のSQL文によって、テーブル「USER_LIST」を検索するとしよう。
HotFix Report(ホットフィックス・レポート) HotFix Report(ホットフィックス・レポート)は、Windows関連のセキュリティ情報を分かりやすく、しかもタイムリーに電子メールで提供する有料の情報サービスです ■HotFix Reportサービス終了のお知らせ 皆様にご愛読いただきました有料電子メール情報サービスのHotFix Reportは、来る2009年2月末時点をもって、サービスを終了させていただくことになりました。これに伴い、本日(2008年9月26日)、新規購読の受け付けも終了いたしました。 2003年8月にサービスを開始して以来5年間、多数の方々にご購読いただき、これまでサービスを継続してまいりましたが、マイクロソフト社自身が無償発信する修正プログラム関連情報が、質、量ともに大幅に向上するなどし、有料情報の必要性が低下しておりました。このたびデジタルアドバ
■Netfw.infを使ったWindowsファイアウォールの設定 これまで、「Windows XP SP2のインストール時にWindowsファイアウォールを無効にする方法」「Windowsファイアウォールの『例外』の設定方法」の2回に分けて、Windows XP SP2のファイアウォールの設定方法について解説してきた。第3回目として、設定ファイル「Netfw.inf」を使って、Windowsファイウォールの設定を変更する方法を紹介する。 Windowsファイアウォールを無効にする設定をせずに、Windows UpdateやAutomatic Update(自動更新)によってWindows XP SP2がインストールされてしまうと、グループ・ポリシーを使わない限り、リモートでWindowsファイアウォールの設定を変更することができなくなる。そのような場合、Netfw.infを含むバッチ・ファ
このページを最初にブックマークしてみませんか?
『HotFix Report ― Windowsプラットフォーム向けセキュリティ情報サービス』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く