GnuCitizenとばしてますね。先日はPDFによるコード実行脆弱性を公開（ただし、詳細不明）していました。その前はQuickTimeでした。今度はGmailの脆弱性だそうです。 The technique used in this example is known as Cross-site request forgery, or simply put …

PHP 5.3のブランチが出来ています。 個人用のアプリケーションなら、「Release fast, release early」でも良いと思いますが、フレームワークに近い言語が「Release fast, release early」だと困る方も多いと思います。互換性を維持しないアップグレードは1年に一回以内、出来れば18ヶ月か24ヶ月サイクルくらいに留め…

少し前にPythonの画像処理デフォルトモジュールの脆弱性について書きました。「普通はデフォルトのライブラリは使わずにImageMagickとかを使うよね」というツッコミが入っていたので、画像ライブラリは脆弱性が多いことも紹介していたのですが、そのImageMagickに脆弱性です。DoS, Off by One, Integer overflowです。 h…

Linuxパワーユーザには当たり前の情報が多いですが、IDFでlesswatts.orgがお披露目となったようです。 http://www.powertop.org/ と同じ情報が掲載されているものが多いようです。 LinuxをノートPCで利用する場合に少しでも長くバッテリを利用する為のTipsが掲載されています。サーバの消費電力軽減にも役立つTipsもあり…

AdobeはAdobe Readerのブラウザプラグインは止めるべきだと思います。PDFがブラウザから見れてもうれしい事は少なく、反対に迷惑な場合が多いです。Firefoxの人気拡張にPDF Downloadがある事からも私だけでなく、多くの方が迷惑だと思っていると考えられます。せめてプラグインのインストールはデフォルトでオプションにして、欲しい人だけインス…

PHPのモジュールには脆弱なコードが多かったが、PHPのモジュールに限らないはず、と言っていましたがまた別の例がありました。 Full-Disclosure（9/16）に投稿されたメッセージによると The module imageop contains a lots of int overflow, which result in heap overflo…

Second Lifeは使ったことが無いので知らなかったのですが、IEを拡張してsecondlife://プロトコルを追加しているのですね。このプロトコルハンドラが脆弱でユーザIDを盗める脆弱性があるそうです。 Second Life is configured to handle ’secondlife://’ protocol urls. Interne…

Flashも同じような事ができるので、JavaScript（XMLHttpRequest)でもできるようにしてしまおう、という規格... This restriction on "read" access to web resources is very strict and generally appropriate. However, there are…

ZD Net本家のブログによるとMSは何の通知もなしに勝手にXP/VistaのWindows Update関連ファイル更新しているそうです。「勝手に更新」とはWindows Updateを実行しない設定にしているにも関わらず密かにアップデートしている、と言うことです。 変更されたファイルは以下のファイルだそうです。 The files on Vista ar…

Firefoxユーザなら必ずインストールして使用する事をお勧めするのがNoScript拡張です。 参考：新しい紹介文を書きました。 簡単にインターネットから内部ネットワークを守る方法 NoScriptはデフォルトでJavaScriptの実行を拒否します。これだけでもかなり安全にWebサイトを参照できるようになります。しかし、NoScriptはプラグインの実行…