アンチウイルスソフトの LZH 形式や ARJ 形式のファイルにおける CVE-2004-0234 の対応について、ファイルヘッダの読み込みで (1) 固定サイズのバッファでヘッダを読み込んでいるため、バッファから溢れた部分を無視する、(2) ファイルヘッダの一部でしかチ…

メモ。

作ってみた。検索例。誰でもサイトの追加はできます。

たまには、パソコンから離れてセキュリティについて話してみよう … ずきんさん 情報の海であっぷあっぷ … こじま先生 1年前は「役立つ情報はまだ足りない」とおっしゃってたのに…。あぁ、セキュリティホール memo をこれからも精力的に「うｐ うｐ」していく…

Internet Explorer 7 を使用して検索するときに、Microsoft 内の検索が簡単になるように検索プロバイダを作成(って言葉の使い方はあってるのかな)してみました。(いちおう OpenSearch AutoDiscovery 対応なつもりです。) IE7 に組み込んでおくと、サポート技…

IE7 のショートカットキーの一覧。PDF版もあるそうです。

任意のページにリンクを張ってもよくなったようです。 リンクについて (略) ・セキュリティ関連の情報については、頻繁にアップデートされています。 ・当サイトのURLをインライリンク(リンク元サイトの一部と誤解されるようなリンク等)に使用することはご遠…

IE7 では、Accept-Language: ヘッダの書式が変更されている。 In IE6, most of the choices in the Language Preference list specified a locale-neutral two letter code. For instance fr was sent for French (France), and ja sent for Japanese. Longe…

Release Notes for Internet Explorer 7 IE7 (英語版) 正式リリース。バージョン番号は 7.0.5730.11。

まだベータ版。 「新大阪 酒」でぐぐるとやっぱり…。

そのださんところ読んでて、そういえば www.codeblog.org - CODE blog ってのがあったなぁと思って改めてみてみると、なかなかいい資料がたくさんありますねぇ。www.codeblog.org - ソース読解トピックリスト なんか、中身の説明はないけれどひととおりのよ…

先日書いた、mixi の画像の話の詳細。IPAとのやりとりの抜粋です。 mixiのメインコンテンツは mixi.jp ドメインで提供されているけれど、画像は img1.mixi.jp ドメインで提供されているため、正常に Cookie が飛ばないといったあたりがネックになって、なか…

マ・クベみたいでかっこいいですね。 Kmail CGI Unspecified Remote Authentication Bypass Vulnerability Kmail CGI Authentication Bypass Vulnerability - Advisories - Secunia

http://mixi.jp/help.pl#3g あたり。mixi 内の画像ファイルは URL の直リンクでログインしていなくても閲覧可能であることが明記されていた。 とりあえず、プロフィールの写真をはじめ、「友人まで公開」な日記や「管理人の承認が必要(非公開)」なコミュニテ…

MIME Type Detection in Internet Explorer Introduction to Feature Controls (Windows IETechCol) Handling MIME Types in Internet Explorer FindMimeFromData Function

Sysinternals のビデオライブラリが発売。内容は Tour of the Sysinternals Tools Troubleshooting with Process Explorer Troubleshooting with Filemon and Regmon Troubleshooting Memory Problems Windows Crash Dump & Hang Analysis Troubleshooting B…

Sage 1.4 nightly (2006/10/11版)において、スクリプトを含む細工されたフィードを読ませると、 Firefoxのオプション設定やNoScript拡張などでJavascriptを禁止にしても防ぐことはできませんでした。Sageのオプションで「HTMLタグを許可する」をオフにした場…

答えようかと思ったけど、「ご協力いただきたい方」に該当しないのでやめました。

webappsec.jp の中の人。 情報処理推進機構：セキュリティセンター：脆弱性関連情報取扱い：脆弱性関連情報の調査結果

tessyさんより。個人的には PDF: Scott Stender Attacking Internationalized Software が非常にそそる。23,24ページあたりから WideCharToMultiByte を使った場合に、Unicode 文字とコードページ1252が多対一でマッピングされているため、 SQL Injection が…

こういう要望を満たせたらなと思って VBS の勉強がてらに作ってみました。こういう日記書いたりするのが、少しだけ楽になります。必要なら、254行目以下の Sub Disp() を適当にいじって、お好みの出力に変えてくださいませ。 ただし、MSのHTMLが恐ろしく汚い…

C/C++で安全なプログラムを書くためのセミナーだそうです。2006年11月9日(木)または2006年11月10日(金)の9:30〜18:00、TKP東京大ホール、40,000円(早期早割)。楽しそう。

IE7のリリースまであと数週間。日本ではリリースから6ヶ月後に自動更新の対象となるので、必要であれば忘れないうちに自動更新をブロックしておきましょう。 (10/10追記) 10月中の正式リリースの6ヶ月後ということは、組織によっては4月の業務引継ぎ時期だっ…

あちこちで既出ですけど。そそる例その1、その2。ディレクトリ名に U+00A5(¥) を入れておくと DoS するかも知れない例。もっと頑張れ。 こういうのは Web サーバによっては XSS したりする。こっちはコマンドインジェクション。 …みんな、やること一緒かよ(…

ということで、次回のパッチを以って、XP SP1/SP1a のサポートは終了です。 10 月のリリース予定(日本のセキュリティチームの Blog)

まっちゃさんところから。IE7 RC1 英語版だと、ゾーンの設定で Allow websites to prompt for information using scripted windows というのを Enable にしてやると、JavaScript の prompt() も動きますね。 これは、IEがタブをサポートしたため、悪意あるペ…

Google Map や Google Calendar Viewerなどの Google Gadgets が、任意の Web ページに貼り付けられるようになったらしい。はてなダイアリーではもちろん <script> が書けないので無理。

Firefox でも動く版だそうで。

Ｗｉｎｄｏｗｓ Ｖｉｓｔａの品質なんてＲＣ１（出荷予定版の第1版）がレリースされたのに、もっとヒドイんですから...多分過去出荷したWindowsの各バージョンに比べて最低の品質だと思います。だって、出荷版のビルドエラーを起こして、マスターソースがコ…

ソースコード公開なのかな。「Yahoo Mail introduces web APIs」とかを読む感じでは、外部からも Yahoo! Mail を利用できるように API を揃えて開発者を支援するという、Web 2.0 的な動きっぽい感じなんですけど。