| アドバイス情報 - 最新エントリ |
カテゴリ
メイン :
 アドバイス情報(667) |
最新エントリ
2016/06/27
|
カテゴリ: アドバイス情報 :
執筆者: webmaster (6:26 pm)
|
独立行政法人情報処理推進機構(IPA)セキュリティセンターと一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は27日、NTT東日本とNTT西日本が提供する「ひかり電話」の契約者向けに配布されている「ひかり電話ルーター」に、OSコマンドインジェクションとクロスサイトリクエストフォージェリの脆弱性があることを公表した。最新版ファームウェアへの更新が推奨されている。 影響を受ける機器は、単体型のひかり電話ルーター「PR-400MI」、回線終端装置(ONU)一体型の「RT-400MI」、VDSL一体型の「RV-440MI」の3機種。いずれもひかり電話の加入者向けにレンタルで提供されているもの。 ファームウェアは3機種共通で、NTT東日本がVer.07.00.1006以前、NTT西日本がVer.07.00.1005以前が影響を受ける。ファームウェアは既定では自動更新となっているが、電話機から特定の入力を行うことで更新できるほか、ウェブブラウザーの設定画面からも更新できる。ファームウェアのバージョンは、ホームゲートウェイ(HGW)にログインすると表示される「ファームウェアバージョン」から確認できる。 OSコマンドインジェクションの脆弱性「CVE-2016-1227/CWE-78」は、製品管理画面にログイン可能なユーザーに、任意のOSコマンドを実行される可能性があるもの。共通脆弱性評価システムCVSS v3による脆弱性評価は6.8ポイント。 クロスサイトリクエストフォージェリの脆弱性「CVE-2016-1228/CWE-352」は、製品にログインした状態のユーザーが、細工されたウェブページにアクセスした場合に、意図しない操作をさせられる可能性があるもの。共通脆弱性評価システムCVSS v3による脆弱性評価は7.1ポイント。 なお、NTT東日本では、過去にこれらの脆弱性を利用した攻撃は確認していないとのこと。 ソース インターネットウォッチ http://internet.watch.impress.co.jp/docs/news/1007288.html |
2016/06/17
|
カテゴリ: アドバイス情報 :
執筆者: webmaster (3:05 pm)
|
米Adobe Systemsは16日、Flash Playerのセキュリティアップデートをリリースした。攻撃に悪用されるとシステムを乗っ取られる可能性のある脆弱性を修正しており、ユーザーに対して最新バージョンへのアップデートを推奨している。同社では14日、すでに攻撃に悪用されている未修正の脆弱性(ゼロデイ脆弱性)がFlash Playerに見つかったとして、セキュリティアップデートをリリースすることを予告していた。 今回リリースされた最新バージョンは、Windows/Mac OS用のFlash Playerデスクトップランタイムと、各ブラウザー(Windows/Mac OS/Linux/Chrome OSのGoogle Chrome、Windows 10/8.1のMicrosoft Edge/Internet Explorer 11)に同梱されているFlash Playerが「22.0.0.192」。Windows/Mac OS用の延長サポート版が「18.0.0.360」、Linux用が「11.2.202.626」。 自身のシステムにインストールされているFlash Playerのバージョンは、AdobeのFlash Playerについてのページにアクセスすることで確認できる。 今回のアップデートで修正された脆弱性は、CVE番号ベースで36件。このうち「CVE-2016-4171」のメモリ破壊の脆弱性が、限定的な標的型攻撃での悪用が報告されていたものだという。 修正された脆弱性の危険度のレーティングは、4段階中で最も高い“critical”。アップデート適用の優先度は、Linux用を除き、3段階中で最も高い“Priority 1”となっており、システム管理者によって直ちに適用されること(例えば72時間以内)が推奨されている。Linux用については“Priority 3”で、システム管理者が判断したタイミングで適用することが推奨されている。 このほか、同じく16日にリリースされた「Adobe AIR」のWindows版デスクトップランタイムでも脆弱性を修正している。最新バージョンは「22.0.0.153」。 ソース Yahooニュース http://headlines.yahoo.co.jp/hl?a=20160617-00000051-impress-sci |
2016/05/24
|
カテゴリ: アドバイス情報 :
執筆者: webmaster (11:32 am)
|
富士通のFMVサポートページに掲載されている修理規定のページが、ここ数日で何百件ものブックマークを集める異例の事態になっている。 その理由は、修理依頼時の注意点として「対象機器の記憶装置にマイナンバーが記憶されたデータがある場合には、修理をお受けできません」という記述が見つかったため。 もし修理中にハードディスクなどからマイナンバーが見つかった場合は、「修理を実施せずに、お預かりした対象機器をお客様に返却いたします」としている。 マイナンバーの利用目的の制限を意識した条文と見られ、そのまま解釈するとマイナンバーを含むPCが故障により操作できなくなった場合、修理は実質的に不可能ということになる。過剰対応ではとの声もある一方、法律を正しく解釈すればこうした対応になるのは当然で、むしろモデルケースだとの指摘もある。 導入が始まったばかりのマイナンバー、今後もこうした事業者の対応の是非が話題になることは多そうだ。 FMV修理規定 https://azby.fmworld.net/support/repair/syurikitei/ ソース Internet Watch http://internet.watch.impress.co.jp/docs/yajiuma/20160524_758709.html |
2016/05/23
|
カテゴリ: アドバイス情報 :
執筆者: webmaster (2:42 pm)
|
Windows 10自動アップデートを抑止する公式ツールが提供開始、通知アイコンの非表示も可能 7月29日までの期限が迫ったWindows 10への無料アップグレード提供期間。Windows 8.1/7ユーザー向けには、Windows Updateからさまざまな通知やアップデートの予約などの方策で、Windows 10への移行を促している。 環境によっては、今月から半ば強制的なアップグレードを行うような挙動となっている。 こうしたやり方に対する不評を受けた対応なのか、Microsoftでは21日、Windows 8.1/7からWindows 10への自動アップデートをキャンセルする公式の対策ツール「Upgrade Later」の無償提供を開始した。 手順動画と通知アイコンを非表示にする方法もあわせて公開されている。 提供されたトラブルシューティングツール「Upgrade Later」は、「70952.diagcab」という名の実行ファイル。 ダウンロード後に実行し、画面に従って操作すれば、Windows 10へのアップデートを延期できる。 あわせて公開された動画は「Windows 10アップグレードが開始された後のキャンセル方法」という1分ほどもの。「Windowsをアップグレードしています」という黒い画面が表示された状況からのキャンセル手順が解説されている。 また、タスクトレイの「Windows 10を入手する」のアイコンを非表示にする方法もあわせて公開された。 コマンドプロンプトを管理者モードで実行し、 「reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate /v DisableOSUpgrade /t REG_DWORD /d 1 /f」 と入力して実行すると、「この操作を正しく終了しました。」と表示されるので、再起動を行えば、「Windows 10を入手する」のアイコンを非表示にできる。 コマンドは、コマンドプロンプトで右クリックしてから貼り付けても実行できる。 ソース Internet Watch http://internet.watch.impress.co.jp/docs/news/20160523_758599.html |
2016/04/27
|
カテゴリ: アドバイス情報 :
執筆者: webmaster (3:55 pm)
|
米Mozilla Foundationは4月26日、Webブラウザ安定版のアップデートとなる「Firefox 46」をWindows、Mac、Linux、Android向けに公開した。 Mozillaのセキュリティ情報によると、Firefox 46では計10項目の脆弱性が修正された。 中でも重要度「最高」に区分けされたメモリの安全性にかかわる脆弱性は、悪用されれば任意のコードを実行される恐れもある。 この問題はFirefox 46のほか、延長サポート版の「Firefox ESR 38.8」「Firefox ESR 45.1」でも修正された。 他にも権限昇格や情報流出に利用される恐れのある脆弱性が多数修正されている。 セキュリティ問題以外では、Linux版のルック&フィール改善、Android版の機能のマイナーな変更などが盛り込まれた。 ソース ITメディア http://www.itmedia.co.jp/news/articles/1604/27/news074.html |
2016/04/17
|
カテゴリ: アドバイス情報 :
執筆者: webmaster (9:19 am)
|
Microsoft、コードエディタ「Visual Studio Code」のバージョン1.0を公開 100以上の言語をサポート 米Microsoftは4月14日(現地時間)、オープンソースのマルチプラットフォームコードエディタ 「Visual Studio Code」のバージョン1.0を公開したと発表した。 Windows 7/8/10、Linux x64(Debian/Ubuntu/Fedora/CentOS)、OS X YosemiteとEl Capitan版をこちらからダウンロードできる。 ダウンロードサイズは40MB以下で、日本語を含む9カ国語をサポートする。 2015年4月開催の「Build 2015」でプレビューを発表して以来、累計200万本がインストールされ、毎月50万人以上が利用しているという。 プレビュー版公開段階ではJavaScriptとTypeScriptでWebアプリを開発するためのツールという位置付けだったが、開発者らが1000以上の拡張機能を構築し、現在ではC++、C#、React Native、Python、PHP、F#、Node.js、JSON、Goなど100以上の言語をサポートしている。 ソース ITメディア http://www.itmedia.co.jp/news/articles/1604/15/news100.html |
2016/04/13
|
カテゴリ: アドバイス情報 :
執筆者: webmaster (5:10 pm)
|
2016年4月13日配信分について。 Windows7 x86版において 「更新プログラムの確認」に異様に長い時間がかかります。 手元のPCでは、60分経っても更新リストを取得できない状態。 (4/12までは5分以内に確認が終わってたPC) マイクロソフト側にて、Windows Updateの修正不具合によるもののようです。 現在のところ対策はありません。 気長に待つしかないようです。 |
2016/04/13
|
カテゴリ: アドバイス情報 :
執筆者: webmaster (2:20 pm)
|
Microsoftのいわゆる「死のブルースクリーン(Blue Screen of Death:BSOD)」のエラーコードが分かりにくいと感じたことはないだろうか。Microsoftはどうやら、コンピュータの不具合に関する正しい情報をユーザーに知らせるのに、QRコードを採用することを考えているようだ。 ホームコンピューティングを開花させて数十年が経過した現在でも、Microsoftはコンピュータがクラッシュしたり、フリーズしたりして再起動が必要である理由をユーザーに伝える最善の方法を模索しているようだ。 これまでMicrosoftは、ブルースクリーンになった理由を解説するにあたって、CRITICAL_SERVICE_FAILEDなど多数あるエラーコードから表示していた。 しかし、多くの人はこの情報を無視してシステムが自動で再起動するのを待つ傾向にある。 現在Microsoftは、どのような不具合が起きているのかを知りたい人に対し、エラーコードを利用して回答をオンラインで調べるよう推奨している。 だがMicrosoftが注意しているように、これらのエラーコードは開発者向けであって、エンドユーザー向けではない。 エンドユーザーに対しては、基本的なトラブルシューティングページを参照するよう促し、そこでソフトウェアのアップデートや新しいハードウェアの削除などの対策を推奨している。 Microsoftは今回、エラーメッセージを2つの要素から成るものとし、新たにQRコードを導入するようだ。 MicrosoftのQRコードは、特定のエラーへのリンクを提供するのではなく、ベーシックなトラブルシューティングページへのリンク( http://windows.com/stopcode )となっている。 エラーコードを使って回答をオンラインで探すように伝えるのではなく、サポートの人を呼ぶときにエラーコードを情報の一つとして提供するという目的のようだ。 もちろん、将来的にQRコードを使って特定の問題について説明するページを参照するように変更するかもしれない。 だがユーザーがその情報を知ったところで何ができるだろうか。 この新しいQRコードとサポートフォーマットはWindows Insiderプログラムで提供を開始した段階であり、現時点では一般的なWindows 10ユーザーにはこのオプションは提供されていない。 ソース ZDNET Japan http://japan.zdnet.com/article/35081081/ |
2016/04/08
|
カテゴリ: アドバイス情報 :
執筆者: webmaster (7:38 pm)
|
トレンドマイクロは4月8日、Flash Playerの脆弱性を突く攻撃によって暗号化型ランサムウェアの「Locky」に感染する恐れがあると注意を呼び掛けた。Adobe Systemが米国時間7日に公開した更新版を直ちに適用するようアドバイスしている。 7日公開の更新版では24件の脆弱性が修正された。このうちコード実行につながる脆弱性の「CVE-2016-1019」は、Flash Player 20.0.0.306およびそれ以前を実行している全てのWindowsで悪用可能な攻撃が報告されていた。 なお、Flash Player 21.0.0.182および21.0.0.197では緩和策によって影響を受けない。 トレンドマイクロによると、CVE-2016-1019の脆弱性は脆弱性攻撃ツールの「Magnitude Exploit Kit」で悪用可能な状態にあり、ユーザーがメールやWeb閲覧などを通じて「Locky」に感染する恐れがある。Lockyはファイルの拡張子を勝手に変更して使用不能にし、ユーザーに身代金を要求する。国内では2月頃から感染被害が拡大している。 今回のFlash Playerの脆弱性を突く攻撃では不正サイトに誘導される被害が台湾やフランス、ドイツなどで目立つ。 6日時点で日本からの誘導は全体の0.05%にとどまるが、今後拡大する危険があり、更新版の利用が急がれる。 ソース ITメディア エンタープライズ http://www.itmedia.co.jp/enterprise/articles/1604/08/news104.html |
2016/04/05
|
カテゴリ: アドバイス情報 :
執筆者: webmaster (3:38 pm)
|
本日から始まった開発者カンファレンス Build 2016で、マイクロソフトがWindows専業以外の開発者にも嬉しいニュースを投下しました。Windows 10は今年夏に提供予定の一周年アップデートから、Unix / LinuxのコマンドシェルBashが使えるようになります。 Windowsには cmd.exe や PowerShell など自前のコマンドライン環境がありますが、Unix / Linux の Bashは当然ながらそのままでは動きません。Bash や Linux / Unix 向けに書かれた多くのコマンドラインツールが使えないため、Unix系の開発者からWindowsが「『本物の』コマンドラインも使えないOS」呼ばわりされたり、開発者にOS Xが好まれる理由になってきました。 しかし本日から始まった Build 2016カンファレンスのキーノートでは開発者向けの新機能として、Ubuntu Linux のBashがそのまま、Windows上でネイティブ動作する機能の追加予定が発表されました。 これはマイクロソフト版のBashっぽい何かではなく、またVM上の動作でもなく、新たに開発された「Windows Subsystem for Linux (WSL)」を介したネイティブ動作であるとのこと。BashのバイナリはUbuntu Linuxの開発を主導するCanonicalが、Ubuntuとまったく同じものを提供します。 Bash on Ubuntu on Windows 10は、今年夏に提供予定のWindows 10 Anniversary Update に含まれる見込み。 マイクロソフトは伝統的に自社プラットフォーム向け開発者への手厚いサポートで知られていますが、看板ソフトやサービスを他社プラットフォームに提供しつつ、自社のWindowsでは新時代のためのアプリ開発フレームワークUWPへの移行を進める難しい時期だけに、幅広い開発者を歓迎する方針は今後も強化してゆくようです。 ソース engadger日本語版 http://japanese.engadget.com/2016/03/30/windows-10-bash-ubuntu-linux/ |
