2007年08月02日

弥生会計で脆弱性

 有限責任中間法人 JPCERT コーディネーションセンター(JPCERT/CC)と独立行政法人 情報処理推進機構(IPA)は7月31日、「弥生会計」にログイン情報が漏洩する脆弱性が確認されたとして、JVNで情報を公開した。

 この脆弱性は、弥生会計のクイックナビゲータ機能に、ユーザーの認証に使われる情報が暗号化されずに送信されることが原因で、ログインする際の通信が暗号化されていないため、ネットワークの盗聴などが行われた場合、ユーザーのログインに利用される「お客様番号」と「電話番号」が漏洩する可能性があるというもの。

 脆弱性が存在するシステムは、「弥生会計05シリーズ・やよいの青色申告05各製品」「弥生会計06シリーズ・やよいの青色申告06各製品(R2を含む)」「弥生会計07シリーズ・やよいの青色申告07各製品(R2を除く)」「弥生販売06シリーズ各製品」「弥生販売07シリーズ各製品(製品バージョン10.0.1のみ)」と発表されている。

 脆弱性が悪用された場合、盗聴などによって不正に入手されたログイン情報を使用し、悪意ある第三者がユーザーになりすましてログインする可能性がある。この脆弱性に対し、弥生では通信を暗号化するアップデート版を公開しており、アップデートまでの回避策として、クイックナビゲータ機能を利用しないよう呼びかけている。


http://japan.cnet.com/news/sec/story/0,2000056024,20353898,00.htm?ref=rss

数年前、弥生会計のキャンペーンで使われたユーザ情報が流出したことを思い出しました。自分のところにもお詫びのメールが届いていたっけ・・・。

あのときは確か名簿業者とか先物取引業者には漏れたけれど、ネット上に流出したわけではなかったようですが、今回報告された脆弱性は致命的ですな。

唯一の朗報としてはクイックナビゲータというソフトをある程度アイコンで操作できるユーティリティ部分からの「限定された情報流出」という点です。実際に使ってみるとAltキーとのコンビネーションでショートカットを使った方が操作は格段に速くて、クイックナビゲータ自体は弥生とパソコンどちらもあまり使えないようなユーザが使うイメージがあります。

すでにこの脆弱性に対するアップデートは公開されているので、ユーザのみなさんはサックリ作業をしておきましょう。軽快に動作する弥生会計に慣れちゃったユーザは、きっと他の会計ソフトに乗り換える気なんてさらさらないでしょうからね。


posted by media_aidem at 06:52 | Comment(0) | TrackBack(0) | セキュリティ

2007年08月01日

Firefox 2.0.0.6 公開

 Mozilla Japanは7月30日、脆弱性2件を修正した「Firefox 2.0.0.6」を公開した。

 今回修正されたのは、「エスケープされていないURIが外部プログラムに渡される」というものと、「クロームによって読み込まれたabout: blankウィンドウを通じた特権昇格」の問題の2件。同様の脆弱性は、Firefox 2.0.0.6のほか、「Thunderbird 2.0.0.6」「Thunderbird 1.5.0.13」でも修正されている。

 Firefoxのセキュリティアップデートは7月に入ってから2回目となる。


http://japan.cnet.com/news/sec/story/0,2000056024,20353812,00.htm?ref=rss

firefox2006Thunderbird15
現在、8月1日の早朝です。
先ほど、apt-getを試してみたのですがUbuntu Linuxでは、FirefoxもThunderbirdでもまだアップデートは公開されていないようでした。
自動更新をうたっていながらUbuntu Linux環境ではこのタイムラグが玉に傷ですね。

しかし、IEとのマッチングの悪さについての修正があった前回のアップデートから半月も経っていないですから、相変わらず機敏に働いてくれています。こんな部分がユーザから信頼を集めているのでしょうな。


posted by media_aidem at 07:05 | Comment(0) | TrackBack(1) | セキュリティ

2007年07月09日

シマンテック アンチウイルスとインターネットセキュリティをシェイクダウン

シマンテックダウンロードストア
 Symantecは、同社のBeta Centerに「Norton Antivirus 2008」と「Norton Internet Security 2008」を追加した。Norton Antivirus 2008への拡張点としては、性能の向上と「Symantec Online Network for Advanced Response(SONAR)」のヒューリスティックの改善などが挙げられる。Norton Internet Security 2008への拡張点としては、Norton Antivirus 2008への拡張点に加え、「Norton Identity Safe」(Norton Confidentialの機能)とネットワーク監視機能の改善が挙げられる。どちらのソフトウェアにも正式版には、「Norton AntiBot」と新しいブラウザ脆弱性保護機能(開発コード名:「Canary」)が含まれる予定である。

 Symantecベータプログラムには技術サポートはないが、ユーザーからのフィードバックは歓迎される。Symantecはベータプログラムへの参加者らに対し、これらのアプリケーションを運用中のマシンにはインストールしないように呼びかけている。ベータ版ソフトウェアはテストのみを目的とするものである。


http://japan.cnet.com/news/sec/story/0,2000056024,20352340,00.htm?ref=rss

これから世に出るセキュリティソフトなのですから、様々な人がダウンロードして様々な環境下でテストをされるのがより良い製品づくりには欠かすことができません。

引用文最後に、Symantecはベータプログラムへの参加者らに対し、これらのアプリケーションを運用中のマシンにはインストールしないように呼びかけている。ベータ版ソフトウェアはテストのみを目的とするものである。とあります。

この一文を読んで、運用中のマシンにインストールしないでどうやってテストを?と首を捻ってしまうのなら、当然テスターになることも控えた方が良いかと思います。

posted by media_aidem at 08:33 | Comment(0) | TrackBack(0) | セキュリティ
セブンネットショッピング(旧セブンアンドワイ)
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。