アドバイス情報 - webmasterさんのエントリ |
カテゴリ
メイン :
アドバイス情報(667)
|
最新エントリ
2017/11/29
カテゴリ: アドバイス情報 :
執筆者: webmaster (11:14 am)
|
「macOS High Sierra」を搭載するApple製デバイスは、ユーザー名として「root」を使用すれば、パスワードがなくてもロック解除してログインできることが明らかになった。 端末で「システム環境設定」の「ユーザーとグループ」を表示し、鍵のアイコンをクリックすると、設定を変更するためのユーザー名とパスワードの入力を求められる。ここで、パスワードを入力する代わりに、ユーザー名に「root」と入力し、パスワードは空のままにすることができる。 「ロックを解除」を複数回クリックすると、ロックが解除される。パスワードは不要だ。Software Craftsmanship Turkey創設者のLemi Orhan Ergin氏がこの脆弱性を発見し、米国時間11月28日にツイートでApple Supportに報告した。 米CNETは、このセキュリティ脆弱性の存在を独自に確認した。 https://cnet2.cbsistatic.com/img/pWUGzyw4LDoQjV60VSy5n5rdwAk=/fit-in/570x0/2017/11/28/911f0586-e6ae-4638-88f8-eb775a0a098f/low-qual.gif 「この問題に対処するソフトウェアアップデートに取り組んでいるところだ」とAppleの広報担当者は述べ、「当面は、ルートパスワードを設定すればMacへの不正アクセスを防止できる。Root Userを有効にしてパスワードを設定するには、こちらの手順に従ってほしい。Root Userが既に有効になっている場合、パスワードが空白に設定されていないかを確認するには、「Change the root password」の項目にある手順に従ってほしい」とした。 このシンプルな脆弱性は、いかに強力なパスワードを設定しようとも、macOS High Sierra搭載端末に実際に触れることのできる任意の人物が、そのコンピュータにログインできることを意味する。 Appleが修正をリリースするまでの回避策について9To5Mac は、ゲストユーザーをオフにするか、ディレクトリユーティリティからルートパスワードを変更することを提案している。 電子フロンティア財団(EFF)のゼネラルカウンシルである Kurt Opsahl氏は、「root」というユーザー名を作成してパスワードを設定することにより、この問題を解消するよう推奨している。 ソース c net Japan https://japan.cnet.com/article/35111084/ |
2017/11/16
カテゴリ: アドバイス情報 :
執筆者: webmaster (10:35 am)
|
Mozillaが1年以上かけて高速化を目指してきた「Firefox Quantum」正式版がついにリリースされた。従来よりも2倍高速だとされているのに加え、UIも改善されている。ただし拡張機能が全面刷新され、従来のものは使えなくなった。 Mozillaは、過去1年以上取り組んできたWebブラウザの高速化技術である「Project Quantum」などを組み込んだFirefoxの最新版「Firefox Quantum」をリリース、ダウンロードが可能になりました。 FirefoxのバージョンとしてはFirefox 57となりますが、このバージョンからしばらく、来年登場予定のFirefox 61もしくは62までは「Project Quantum」の名称をつけた「Firefox Quantum」と呼ばれることになります。つまり今回のバージョンは「Firefox Quantum」の第一弾といえます。 MozillaがFirefoxの動作を劇的に高速化する「Project Quantum」に取り組むことを明らかにしたのは、1年以上前の2016年10月です。 Mozillaが開発を推進しているRust言語による新型の高速ブラウザエンジン「Servo」の技術などをFirefoxに取り入れ、マルチコアプロセッサに対応した並列処理やGPUを積極的に活用することで高速化を実現しようとしていました。 Project Quantumは実際にはサブプロジェクトとして、CSS関連の「Quantum CSS」(別名「Stylo」)、レンダリングエンジン関連の「Quantum Render」、GPU関連の「Quantum Compositor」、DOM関連の「Quantum DOM」、ユーザーインターフェイス関連など上記でカバーされない領域を対象とする「Quantum Flow」などがあります。 また、11月1日に日本でFirefox Quantumの説明を行ったジェフ・グリフィス氏によるとQuantum FlowにはFirefoxのJavaScriptエンジンであるSpiderMonkeyの高速化に関連する改善も数多く含まれているため、JavaScriptの実行速度の向上も行われるとのことです。 Mozillaによると、今回リリースされるFirefox Quantumはベンチマーク「Speedmeter 2.0」で、Firefox 52と比べて2倍以上高速になったという結果をたたき出したことが明らかにされており、またChromeよりも使用メモリが30%少ないと説明されています。 Firefox Quantumは、まだQuantum Projectのすべての実装が終わっているわけではありません。Firefox Quantumの呼称が続くあいだ強化が進められ、高速化などの性能改善が続くとされています。 ソース publickey http://www.publickey1.jp/blog/17/2firefox_quantum.html |
2017/10/19
カテゴリ: アドバイス情報 :
執筆者: webmaster (10:12 am)
|
総務省は18日、Wi―Fi(無線LAN)機器の利用者に対し、ソフトウエアを最新のものにアップデートするよう呼びかけた。通信で使う暗号化方式「WPA2」で、データが盗み取られる可能性のある欠陥が見つかったため。欠陥を悪用した攻撃や被害は確認されていないが、今後盗聴などの可能性があると指摘した。利用者にメーカーが配布する修正ソフトを導入するよう求めた。 WPA2はスマートフォンや家庭用の無線LANルーターなどで広く使われている。安全性は高いとされてきたが、16日にベルギーの研究者が欠陥を指摘、世界で対応が始まっている。 ソース 日本経済新聞 https://www.nikkei.com/article/DGXMZO22404860Y7A011C1EE8000/ |
2017/10/18
カテゴリ: アドバイス情報 :
執筆者: webmaster (2:18 pm)
|
米Microsoftは17日(現地時間)、Windows 10 Fall Creators Updateに対応した「Windows 10 更新アシスタント」および「Media Creation Tool」を公開した。 Windows 10 更新アシスタントを実施すれば、そのPCが最新かどうかをチェックし、古い場合はアップデートされる。筆者の環境で試したところ、Creators Update(バージョン 15063)からFall Creatros Update(16299)へのアップデートが促された。 一方、Media Creation Toolは最新版Windows 10のインストールイメージを作成するツールで、USBフラッシュメモリに書き込んだり、ISOファイルとして保存したりできる。こちらも確認したところ、最新版の16299ベースとなっている。 ソース PC Watch https://pc.watch.impress.co.jp/docs/news/1086696.html |
2017/10/16
カテゴリ: アドバイス情報 :
執筆者: webmaster (3:12 pm)
|
Wi-Fiの暗号化に使われるWPA2プロトコルに脆弱性があり、攻撃を受ける可能性があることが明らかとなった。12月4日〜7日にイギリス・ロンドンで開かれるセキュリティイベント「black hat Europe 2017」で、博士研究員のMathy Vanhoef氏が、この件に関する詳細を解説する。 これによれば、WPA2セキュリティプロトコルにキー管理に関するいくつかの脆弱性があり、キーの再インストールを利用して攻撃できるという。プロトコルレベルの問題のため、標準に基づいて実装されたものに関して、すべて影響を受ける可能性があるという。 また、パーソナルWPA2でもエンタープライズWPA2でも影響を受けるとしており、チームがテストしたすべてのクライアント、およびアクセスポイントで攻撃が有効だったという。 ソース PC Watch http://pc.watch.impress.co.jp/docs/news/1086255.html |
2017/10/16
カテゴリ: アドバイス情報 :
執筆者: webmaster (11:04 am)
|
Mozillaは4日、FirefoxでのWindows XP/Vistaのサポートを2018年6月に終了すると発表した(Future Releasesの記事、VentureBeatの記事、The Registerの記事)。 Mozillaは昨年12月にFirefoxのWindows XP/Vistaサポート終了計画を発表していた。 Windows XP/Vistaでは今年3月にリリースされたFirefox 52が延長サポート版(ESR)となり、サポートが提供される最後のメジャーバージョンとなっている。 セキュリティアップデートについては少なくとも今年9月までは提供されることになっていたが、来年6月まで延長されることになる。ただし、MozillaではWindows XP/Vistaユーザーに対し、MicrosoftがサポートするバージョンのWindowsにアップグレードすることを強く推奨している。 ソース エキサイト http://www.excite.co.jp/News/it_g/20171008/Slashdot_17_10_08_0628222.html |
2017/10/12
カテゴリ: アドバイス情報 :
執筆者: webmaster (11:33 am)
|
日本マイクロソフト株式会社は11日、10月の月例セキュリティ更新プログラム(修正パッチ)をリリースした。修正される脆弱性の最大深刻度が4段階中で最も高い“緊急”のものが23件含まれており、日本マイクロソフトではユーザーに対して、できるだけ早期に修正パッチを適用するよう呼び掛けている。 対象となるソフトウェアは、Windows、Microsoft Edge、Internet Explorer(IE)、Microsoft Office、Microsoft Office ServersおよびWeb Apps、Skype for BusinessおよびLync、Chakra Core。 最大深刻度が“緊急”の脆弱性の修正が含まれる製品ファミリーは、Windows 10/8.1/7、Windows RT 8.1、Windows Server 2016/2012 R2/2012/2008 R2/2008、Microsoft Edge、IE11、ChakraCore。 修正パッチに含まれる脆弱性の件数は、CVE番号ベースで62件。うち深刻度が“緊急”のものは23件で、いずれもリモートからコードが実行される(RCE:Remote Code Execution)可能性のあるものだ。 62件のうち、Officeのメモリ内オブジェクト処理における脆弱性「CVE-2017-11826」は、深刻度は“重要”ながら、すでに悪用の事実が確認されている。細工されたファイルを開くことで、攻撃者によりリモートから任意のコードが実行される可能性がある。対象となるのは、Word 2016/2013/2010/2007、Office Word Viewer、企業向け製品のSharePoint Enterprise Server 2016/2013/2010、Office Online Server 2016、Office Web Apps Server 2013/2010、Office Compatibility Pack。 修正パッチが提供されるWindows 10のバージョンは、「1703」(Creators Update)、「1607」(Anniversary Update)。2015年11月に提供が開始された「1511」(November Update)向けには、今回が最後のパッチ提供となる。このほか、LTSB向けにWindows 10初期バージョン「1507」にもパッチが提供される。 また、Office 2007、SharePoint Server 2007の延長サポートも今日で終了するため、今回が最後のパッチ提供となる。 このほか、特定のTPMチップにおいてセキュリティ機能をバイパスできる脆弱性(ADV170012)や、「NTLM(NT LAN Manager)」においてシングルサインオン認証を強化する新オプションの追加(ADV170014)、Windows Server 2008(ADV170016)とOffice(ADV170017)向けにセキュリティ関連の機能を向上させる多層防御機能の更新について、新たに4件のセキュリティアドバイザリも公開されている。また、既存の脆弱性情報1件についても更新されている。 修正パッチの具体的な対象製品や脆弱性の情報は、日本マイクロソフトのウェブサイトにある「セキュリティ更新プログラムガイド」で検索・参照可能。 ソース INTERNET Watch http://internet.watch.impress.co.jp/docs/news/1085409.html |
2017/10/04
カテゴリ: アドバイス情報 :
執筆者: webmaster (3:54 pm)
|
日本マイクロソフトは2017年9月12日、2017年秋に提供予定のWindows 10のアップデート(Fall Creators Update)において、ゼロデイ脆弱性の“特効薬”として知られる「EMET(エメット)」をWindows 10に標準装備することを明らかにした。ゼロデイ脆弱性とは、修正プログラムが未提供の脆弱性のこと。これにより、ゼロデイ脆弱性を悪用するウイルスに感染しにくくなることが期待できる。 ウイルスを異常終了させるソフト EMETとは、Enhanced Mitigation Experience Toolkitの略で、「脆弱性緩和ツール」と呼ぶ。無償で提供され、Windows 7 SP1以降で使える。データ実行防止(DEP)やアドレス空間レイアウトのランダム化(ASLR)といった機能を提供する。 これらの機能は、ウイルスが脆弱性を悪用するためによく使う処理を実行にしくくしたり、止めたりする。EMETを一言で表現すれば、ウイルスを異常終了させるソフトだ。過去に見つかったウイルスの特徴と照合することで検知するウイルス対策ソフトとは、仕組みが根本的に異なる。 ●ゼロデイ脆弱性にはEMETが効く EMETの機能は強力なため、企業が独自開発したアプリケ―ションなど、ウイルスでないソフトがEMETによって異常終了してしまう場合がある。こういったソフトには、EMETの機能を一部無効にするなどの設定が必要だ。こうした管理は煩雑だが、EMETを利用する企業は多かった。マイクロソフトが、ゼロデイ脆弱性の回避策としてEMETの利用を挙げていたからだ。製品に脆弱性が見つかると、修正プログラムが提供されるまでの間、その脆弱性を悪用する攻撃を回避する方法としてEMETを紹介していた。 ●すべての機能をWindowsに統合 ところがマイクロソフトは、2017年4月に提供したWindows 10 Creators Updateを適用したWindows 10では、EMETを動作対象外にした。このため、「EMETが使えないのは不安」といったユーザーの投稿が、SNSなどで散見された。 ただしその代わり、Windows 10 Creators Updateで、ASLRやDEPといったEMETの一部の機能をWindows 10に統合した。そして2017年10月に提供予定のWindows 10 Fall Creators Updateでは、EMETのすべての機能をWindows 10に統合する。 日本マイクロソフト モダンデスクトップ技術営業部の胡口 敬郎氏は、「EMETの機能を単に統合するだけではなく、設定や操作のインタフェースもWindowsに統合する。これにより、EMETが使いやすくなるとともに、Windowsのほかのセキュリティ機能と一括して管理できるようになる」と、これまでになかった新しいメリットを強調する。 Windows 10 Fall Creators Updateを適用すると、EMETは初期設定で有効になる。ただし、ユーザーが無効にすることも可能だ。 ソース ITPro http://itpro.nikkeibp.co.jp/atcl/column/14/346926/092801140/?n_cid=nbpitp_twcm |
2017/09/28
カテゴリ: アドバイス情報 :
執筆者: webmaster (3:27 pm)
|
iPhone/iPadのホーム画面に大量の消せないアイコンを表示する通称「YJSNPI(ヤジュウセンパイ)ウイルス」がインターネットを通じて拡散されている。トレンドマイクロは公式ブログにて「YJSNPIウイルス」の仕組みを解説している。 この「YJSNPIウイルス」をインストールすると、人の顔のアイコンが大量にホーム画面に並び、場合によってはホーム画面が強制終了してしまう。しかもこのアイコンは通常のアプリと違い、ホーム画面から削除することができない。 「YJSNPIウイルス」は、別のランサムウェアを作成した容疑で6月に逮捕された少年が作成したとされている。「iXintpwn(アイシントポウン)」とも呼ばれており、トレンドマイクロのセキュリティアプリでは「TROJ_YJSNPI.A」として検出される。iOS端末にかけられた制限を解除するJailbreak(脱獄)アプリに見せかけて、YouTubeやTwitterといったSNSを通じて配布されていた。 この「YJSNPIウイルス」は、「構成プロファイル」という、iOS公式の機能を悪用したものだ。構成プロファイルは、企業が従業員に配布するiPhoneの設定を一括で変更する際などに活用される機能。設定ファイルの形で配布され、iPhoneにインストールすると自動で設定が行われるという仕組みだ。 この構成プロファイルの設定項目の中に、ホーム画面に特定のWebサイトへのショートカットを配置する設定も用意されており、設定次第ではユーザーによる削除ができないようにもできる。「YJSNPIウイルス」の実態は、多数のアイコンを繰り返し配置するような設定が書き込まれた構成プロファイルというわけだ。 通常、iPhone上から構成プロファイルを削除すればアイコンは消え、元の状態に戻る。しかし、「YJSNPIウイルス」はiPhone上からの削除ができないように設定されている。これを削除するためにはMacに接続し、Appleの純正ソフトウェア「Apple Configurator 2」から削除する方法がある。なお、「Apple Configurator 2」にはWindows版は用意されていない。 Macを持っていなかったり、「Apple Configurator 2」に「YJSNPIウイルス」が認識されない場合でも、iPhoneを初期化すれば、「YJSNPIウイルス」と共にアイコンを消し去ることができる。 ●未署名の「構成プロファイル」には特に注意を 構成プロファイルは、大手キャリアがWi-FiやEメールを簡単に設定するために利用していたり、MVNOが通信に必要なAPN設定を書き込んで提供していたりする。こうした正しい使い方をされている構成プロファイルの多くには、提供元を証明する「署名」が付与されている。一方、今回の「YJSNPIウイルス」は「未署名」となっていた。 署名の有無にかかわらず、構成プロファイルをインストールする際は、iPhone上に確認画面が表示される。この画面では、署名が付与された(身元が明らかな)構成プロファイルなら「検証済み」と表示される。確認画面で「未署名」と表示されるような構成プロファイルには、特に注意して、安易に「インストール」のボタンを押さないようにしたい。 ソース ケータイウォッチ http://k-tai.watch.impress.co.jp/docs/news/1083143.html |
2017/08/07
カテゴリ: アドバイス情報 :
執筆者: webmaster (4:40 pm)
|
米Microsoftは8月4日、Webブラウザ「Edge」の深刻な脆弱(ぜいじゃく)性を修正する更新プログラムを定例外で公開した。 Microsoftのセキュリティ情報によると、メモリ内のオブジェクトへの不適切なアクセスに起因するメモリ破損の脆弱性が存在する。 この問題を悪用すれば、攻撃者が細工を施したWebサイトをEdgeで閲覧するようユーザーを仕向けることによって、任意のコードを実行できてしまう恐れがある。改ざんされたサイトや、ユーザーの投稿を受け付けているサイト、広告などが利用される可能性もある。 この問題は、Windows 10とWindows Server 2016のEdgeが影響を受ける。特にWindows 10については、深刻度が4段階で最も高い「緊急」に分類され、悪用される可能性も大きいと指摘している。 ソース ITmediaニュース http://www.itmedia.co.jp/news/articles/1708/07/news052.html |