Android4.1以前に致命的な脆弱性が発見される

JVNよりAndroid OSに致命的な脆弱性がアナウンス。
だいたい対象は一昨年の春モデル以降が対象になる。
-------------------
詳細情報：
Android OS には、任意の Java のメソッドが実行される脆弱性が存在します。

想定される影響：
Android 標準ブラウザや WebView クラスを利用しているアプリで、細工されたウェブページを閲覧した際に、ユーザの意図に反して Android OS の機能を起動されたり、任意のコードを実行されたりする可能性があります。
------------------
(引用元)JVN#53768697
Android OS において任意の Java のメソッドが実行される脆弱性
https://jvn.jp/jp/JVN53768697/index.html

中華スマホなど、状況を把握できない端末もあるので国内で販売されている端末では結構な数に昇るんじゃないだろうか？

で、二次焼き(コードパクリ)アプリなど、すでに活用…と言うか悪用したアプリもすでに存在しそうな予感。

------------------------------------
2013/12/20追記：このAndroidの致命的バグを発見したのは日本人だったのか。

Androidの脆弱性を見つけちゃった話
http://tama-sand.blogspot.jp/2013/12/JVN53768697.html

脆弱性がOSそのものにあるので、その機能を利用するアプリがあればなんでもできるとのこと。

Androidの脆弱性（まとめ版）
http://tama-sand.blogspot.jp/2013/12/android-browser.html

これ読むとますますヤバイです。

Windows8.1へのアップデートでつまづいている人へ(その1)

Windows 8.1アップデート時に
Sentinel Runtime Driverをアンインストールせよ
と出てアップデート出来ない場合の対処方法。







以下のURLからランタイムインストーラー(zip圧縮)をダウンロード。
http://sentinelcustomer.safenet-inc.com/DownloadNotice.aspx?dID=8589947873
※使用許諾が出るのでページ最下部の『I Accept』をクリックしてダウンロード。

ダウンロードしたZIPを展開、その中のhaspdinst.exeを任意のフォルダに移動。
※Cドライブ直下にworkというフォルダを作ると後のコマンドプロンプト入力が楽。

その後コマンドプロンプトを開き、haspdinst.exeを展開したフォルダに移動。

haspdinst -remove

を実行。
これで幸せになれます。

JPCERT/CC オープンリゾルバテストページ開設

ここ最近不正アクセスを行うための手法として、オープンリゾルバを利用したDNS amp攻撃が増えている。

DNS amp攻撃：
オープンリゾルバ(外部からの逆引き問合せに応答するDNSサーバーを利用して、小さなパケットを巨大なサイズのパケットにして送り込むことで、対象をダウンさせようとするDDoS攻撃手法の一つ)

イメージ図：

(IIJてくろぐより)

詐称したIPで問合せ　→　オープンリゾルバDNS　→　詐称されたIPへ応答

という流れ。

プロバイダにおける対応はだいぶ進んだとはいえ、一般家庭のブロードバンドルーターにも脆弱性があって、オープンリゾルバ状態のルーターがまだ多数存在する。実際にNTTを攻撃した際はこのルーターの脆弱性が活用された。

これら一般家庭のオープンリゾルバ問題の解消のために、JPCERT/CCがオープンリゾルバ確認サイトの運用を開始しているので、ルーター利用者は一度ためしてみることをおすすめする。

JPCRT/CC オープンリゾルバテストページ
http://www.openresolver.jp/

Chromeアップデート公開、ついにバージョン30へ

Google Chrome安定版のアップデートが1日公開された。今回の更新でバージョン番号は30.0.1599.66 となる。

今回はセキュリティ更新(危険度高が10個、中6個、低1個)がメインとなるが、アプリや拡張機能向けのAPIの拡充の他、安定性向上など改良点は多岐にわたる。

更新方法はいつものごとく最新版をダウンロードページからインストールし直すか、設定～Google Chromeについてから確認するとアップデートのチェックが行われるほか、バックグラウンドでの自動更新も行われる。

公式リリースノート
http://googlechromereleases.blogspot.jp/2013/10/stable-channel-update.html

すべてのIEに0-day脆弱性、MSがパッチ配布。

マイクロソフトからIEの0-day攻撃に関するアドバイザリリリースされました。
IE6～11全て(つまり全てのWindows)に関するもので、IE8,9については攻略用コードがすでに出回っているんだとか。

ありそうなシナリオとして、メールやIM、広告バナーから攻撃用コードが書かれたWebに誘導し攻撃用コードをIEに読み込ませるという手法が一般的になりますが、リンク先に攻撃用コードがあるかないかは事前判断は不能です。

マイクロソフト セキュリティ アドバイザリ (2887505)
Internet Explorer の脆弱性により、リモートでコードが実行される
http://technet.microsoft.com/ja-jp/security/advisory/2887505

とりあえずFix Itでパッチを当てると幸せになれます。

Microsoft Security Advisory:
Vulnerability in Internet Explorer could allow remote code execution
http://support.microsoft.com/kb/2887505/ja
上記リンク先のEnable this fix it(Microsoft Fix it 51001)を適用。

9月の定例アップデートなど

今月のアップデート関連小ネタ
●Microsoft定例アップデート
http://technet.microsoft.com/ja-jp/security/bulletin/ms13-sep

http://blogs.technet.com/b/jpsecurity/archive/2013/09/11/3595829.aspx

ただしMS13-072とMS13-073については不具合があったそうで、Office2007とOffice互換機能パック導入環境では適用済みにもかかわらず、何度でも適用を要求されるというバグが有った模様で、数日以内に再提供されるそうな。
http://blogs.technet.com/b/jpsecurity/archive/2013/09/12/3596117.aspx

●Adobe定例アップデート
・APSB13-22:Adobe Reader＆Acrobat
http://helpx.adobe.com/jp/acrobat/kb/cq09051858.html

Adobe Reader9以前のバージョンは危険なものとなっているので、最低でも10(Adobe ReaderX)以上に更新すること。その場合上書きインストールではなく、事前に古いバージョンをアンインストールして、ダウンロードサイトからパッケージインストールが望ましい。
http://get.adobe.com/jp/reader/
その際に一緒にインストールされるソフトは入れないように。
※ChromeはともかくMacafee Security Scan Plusはアドウエアと言っても過言ではないゴミソフト。

提供されているパッケージは最新版でない場合もあるので、インストール後更新の確認をして最新版に更新。

・APSB13-21:Adobe Flash Player 用のセキュリティアップデート
http://helpx.adobe.com/jp/flash-player/kb/cq09091759.html

Win7+IE+11.8.800.168の環境で文字化けする不具合があるそうで…

・APSB13-23: Adobe Shockwave Player に関するセキュリティアップデート
http://helpx.adobe.com/jp/shockwave/kb/cq09091800.html

MS13-057再公開

マイクロソフトのセキュリティ更新プログラムMS13-057が8/28に再公開されました。

7月のWindows Updateで公開されたバージョンではMV エンコードされたビデオが再生時に適切にレンダリングされないというアプリケーションの互換性の問題が発生したため、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008ユーザーは各モジュールの再インストールが必要となるようです。

http://technet.microsoft.com/ja-jp/security/bulletin/MS13-057

ロリポップサーバーでWordPress大量ハッキング進行中！

レンタルサーバー大手のロリポップでサーバー上のWordPressが海外ハッカーに大量ハッキングを受けている模様。ログイン画面がeuc8コードになり、サイトタイトルが"Hacked by Krad Xin"と改変されている様子。

現在も進行中みたいなので、知り合い等にユーザーがいる場合には要注意。

●【最重要】ロリポップ！レンタルサーバーで発生している不正ログインについて
http://lolipop.jp/info/news/4149/

●【重要】WordPressをご利用のお客様へ
http://lolipop.jp/info/news/4148/

｜※ロリポップ！サーバーへのハッキングなどの事実はございません。
ってWordPressの脆弱性ってこと？

対策として.htaccessによるアクセス制限かけろと案内しているが、

｜※お客様のIPアドレスは時間経過により変動することがございます。
｜変動した場合は再度.htaccessを設定する必要がございますので
｜ご注意ください。

.htaccessで単一IPで制限かけちゃうと、ログイン不能になるような気がするんだが…
それ以外に対策としてできることの方が多そうな気がする。

とりあえず以下がわかりやすい。

●ロリポップのWORDPRESSサイトが次々と『KRAD XIN』にハッキングされている様子
http://room402.biz/lolipop-wordpress-hacked-by-krad-xin/
(やられたURLが一部掲載、ハッキングを受けるとどのようになるかの参考になるかも)

●【速報】ロリポップサーバーのWordpressにハッキング、既に4600件以上！？
http://matome.naver.jp/odai/2137769410825404401
Naverまとめ、情報が錯綜している部分があるが、まとめと上記Blogで補完できるかな？

Windows 8.1は10/18にWindowsストア経由でリリース開始

Windows 8.1のリリース日が正式に決まったようで、公式blogからアナウンスされた。

リリース日は10月18日(金)現地時間の0時にWindowsストアからダウンロード可能となる。(世界で一番最初に8.1を導入できるのはニュージーランドらしい)

スタートボタンの復活が期待されているが、実際には大したことはない(以前のWindowsのように全てがスタートボタンから始まるわけではない)ようで、過度な期待はしないほうがよさそう。

どっちかというと、プログラム(アプリ)の取り扱いが変わったようで、画面表示されているアプリはアクティブ、画面から消えた(バックグラウンドへ行った)アプリはサスペンドされる※トリガーを与えるとバックグラウンドでの動作も可能。

それとウインドウ分割表示の採用でスナップビュー廃止とか…

あと、スタートスクリーンの無駄にでかいタイルサイズも少しマシになったらしい。


Blogging Windows
http://blogs.windows.com/windows/b/bloggingwindows/archive/2013/08/14/mark-your-calendars-for-windows-8-1.aspx

Garaxy S3（SC-06D) 電話帳サービスついに無効化！

前回の記事で電話帳がゾンビの如くよみがえると記述していたが、別の箇所の設定でめでたく無効化できた。






手順は以下のとおり。
(1)システム設定→アプリケーション管理→全てを選択する。

(2)電話帳サービス(ドコモ電話帳ではない)を探してタップし、詳細を開く。

(3)「無効」ボタンをタップし、上記のように有効という表示になればOK。(あわせて強制終了しておくとなお可)

これで長い戦いも一段落…かと思いきや。

まだ新たなプログラムも出現しているほか、あんしんスキャンの亡霊(com.mcafee.android.scanservice)もいることが判明。要らないものは要らないという探求はまだまだ続きそう。

GARAXY S3(SC-06D) Android 4.1.2更新開始

6/20にドコモのGaraxy S3(SC-06D)の更新が提供され、Andoroid 4.0.4→4.1.2に更新されました。

◆雑感
・全体的にヌルヌル感はアップ。
・OS自体の動作は4.0よりは最適化されているようで、引っ掛かり感は減った。

以下は気づいた点。

●Business Calenderについて
https://play.google.com/store/apps/details?id=mikado.bizcalpro

PCのGoogleカレンダーに使い勝手が近いので愛用しているが、アカウント周りが変わったためか全て同期が抜けていた。カレンダーを起動してメニュー→カレンダーから再度同期設定にチェック入れなおしで復旧。

●電話帳サービスが更新(クラウド対応)。

更新直後に本体が猛烈に熱くなる症状が確認されるが、電話帳サービスの設定が初期化された無節操にデータ取得を開始したためと思われる。

対処方法
(1)ドックからドコモ電話帳を起動。
(2)コミュニケーションをタップ
(3)メニューボタン→マイSNSメニュー→コミュニケーション取得設定を選択
(4)全部右の削除を押す。※すべて未登録になればOK。その後戻るボタンで前の画面に戻る。
(5)表示項目ボタン→表示項目設定ですべてのチェックを外してOKを押す。
注)以前はこれができなかった(最低1個はチェックを入れることを要求される)ためにドコモ電話帳がゾンビの如く起動してはリソースを食いつぶしていたため、余計な仕事をさせない設定にしておけば、サービスが起動しても特に悪さはしないものと思われる。

●電話帳サービスのクラウド対応による影響
ところで電話帳サービス(com.nttdocomo.android.socialphonebook.SocialPhoneBookCloudService)は上記(5)の注釈の理由があり完全停止できなかったので、Service Killerというアプリで端末起動時に停止させていたのだが、4.1になり10分に1回起動しては停止される状態となっていた。

これは新規に追加されたクラウド対応電話帳サービス(com.nttdocomo.android.socialphonebook.cloud.util.SocialPhoneBookCloudService)が連動して起動していたものと判明。こちらもService Killerで停止させてしまうことにしたがやはり10分に1回起動しているので、追加調査予定。

(参考)ドコモ電話帳について
http://www.nttdocomo.co.jp/service/communication/phonebook_cloud/

Google Chrome アップデート公開(27.0.1453.116)

Google Chrome安定版のアップデートが19日公開された。今回の更新でバージョン番号は27.0.1453.116となる。

今回はFlashプラグインのセキュリティ更新(危険度中1個)が主。

更新方法はいつものごとく最新版をダウンロードページからインストールし直すか、設定～Google Chromeについてから確認するとアップデートのチェックが行われるほか、バックグラウンドでの自動更新も行われる。

公式リリースノート
http://googlechromereleases.blogspot.jp/2013/06/stable-channel-update_18.html

Google Chromeアップデート公開(27.0.1453.110)

恒例となってきたGoogle Chromeの更新。今回は27.0.1453.110が5日公開された。

今回はセキュリティ更新(危険度緊急1個、高10個)が含まれる。

更新方法はいつものごとく最新版をダウンロードページからインストールし直すか、設定～Google Chromeについてから確認するとアップデートのチェックが行われるほか、バックグラウンドでの自動更新も行われる。

公式リリースノート
http://googlechromereleases.blogspot.jp/2013/06/stable-channel-update.html

Google Chrome アップデート公開(27.0.1453.93)

Google Chromeの最新安定版である27.0.1453.93が10日公開された。

今回はWebページの読み込み速度の高速化(平均5％)、ChromeファイルシステムAPIの公開、セキュリティ更新(危険度高13個、危険度中2個、危険度低1個)が含まれる。

まぁ個人的にはサンドボックスのメモリの大喰いもなんとかして欲しいもんだが…

ブラウザの動作速度向上についてはドキュメントが公開されているので、読んでみるのも一興かと。
https://docs.google.com/document/d/1JQZXrONw1RrjrdD_Z9jq1ZKsHguh8UVGHY_MZgE63II/preview

更新方法はいつものごとく最新版をダウンロードページからインストールし直すか、設定～Google Chromeについてから確認するとアップデートのチェックが行われるほか、バックグラウンドでの自動更新も行われる。

公式リリースノート
http://googlechromereleases.blogspot.jp/2013/05/stable-channel-release.html

リビジョンログ
http://build.chromium.org/f/chromium/perf/dashboard/ui/changelog.html?url=/trunk/src&range=181864:190564&mode=html

消尽の準則という言葉がある。

これは英語のfirst sale doctrineという言葉で、要は販売されている著作物を購入者が他者に自由に売買できることを規定したものらしい。

(1)コミックなどを書店で購入したら、著作物を購入したことになる。
(2)もう読まないので古書店やオークションなどで他者に購入者が売る。
(3)この行為に関して購入者に対してなんら制限を課されるものではない。

これが消尽の準則ということ。音楽CDやDVDのレンタルもこれを根拠にしているんだとか。

最近話題になってるのは、電子書籍や音楽データ(MP3)などのデジタルデータに関して、この消尽の準則が適用されるかどうかということらしい。

たとえば中古MP3ファイル売買のReDigiというサービスに関する話題。
http://p.booklog.jp/book/41529/chapter/68684
(以下要約)

もう聞かなくなったMP3を自由に売買できることで再販による利益を購入者が得られるなら、タダで配っちゃう海賊版も減るだろうというコンセプトらしい。(売買時にアーティストとレーベルにも権利金が1％還元される)

ただダウンロード販売された楽曲について、iTunesなどの楽曲は、規約によると販売ではなくライセンス(音楽を聞く権利を許諾を対価をもって許諾)なんだとか。
(以上要約)

つまり、デジタル著作物について、ソフトウエアか否かという議論がEU圏を中心に盛り上がってるらしい。

「デジタル古書」が間もなく実現か -IT Media-
http://ebook.itmedia.co.jp/ebook/articles/1207/09/news019.html
※欧州司法裁判所は「電子製品のライセンスは顧客間で再販可能」と表明

ドイツ地方裁判所が電子書籍の中古販売を禁じる判決 -IT Media-
http://ebook.itmedia.co.jp/ebook/articles/1304/24/news070.html

この司法判断は正反対で、日本国内でも今後デジタルデータに関する議論が沸き起こる可能性もあるので、今後要注意かな…と。

ただ、デジタルデータはいくらでも完全複製が可能(オリジナル証明書なんて作らない限り)なので、消尽の準則とか認めちゃうと(オリジナルと区別の付かない)コピー品で溢れかえりそうな気もするが、どうなんだろう？
※コピー品でも権利者にきちんと利益が還元されればいいんだけどね。

Google Chromeアップデート公開(26.0.1410.63)

Google Chromeの最新安定版である26.0.1410.63が10日公開された。

今回は組み込みのFlash Playerの更新が行われたほか、いくつかのバグやセキュリティ上の問題点の修正が行われている。
(組み込み版FlashのバージョンはWindows版が11.7.700.179、Mac/Linux版が11.7.700.169)

更新方法はいつものごとく最新版をダウンロードページからインストールし直すか、設定～Google Chromeについてから確認するとアップデートのチェックが行われるほか、バックグラウンドでの自動更新も行われる。

公式リリースノート
http://googlechromereleases.blogspot.jp/2013/04/stable-channel-update.html

リビジョンログ
http://build.chromium.org/f/chromium/perf/dashboard/ui/changelog.html?url=/branches/1410/src&range=189671:193017&mode=html

DeNAの子会社「スカイゲート」から送られてきたSPAM

自称(?)DeNA子会社という会社からSPAMが送信されてきた。

----------------------------------------------------------------------
※メールがご不要の場合は、本メールをそのままご返信いただければ
いつでも配信解除いただけます
----------------------------------------------------------------------

━━━━━━━━━━━━━━━━━━
冒頭からこれである。
『特定電子メールの適正化等に関する法律』に思い切り反したオプトアウト送信。
ツッコミどころはまだまだある。
━━━━━━━━━━━━━━━━━━

ご担当者様

平素よりお世話になっております。
メールでのご挨拶、大変失礼いたします。

━━━━━━━━━━━━━━━━━━
はい、失礼です。
━━━━━━━━━━━━━━━━━━

私、DeNAグループの旅行会社で『スカイゲート法人デスク』を
運営しております株式会社エアーリンクと申します。

━━━━━━━━━━━━━━━━━━
私の使い方をいきなり間違っている(笑)
日本語知ってるのか？
━━━━━━━━━━━━━━━━━━

サイトより御社を拝見させていただき、弊社のサービスが
お役に立てればと思いまして、先日メールにてご連絡をさせて
いただきました。

━━━━━━━━━━━━━━━━━━
過去にこの会社からメールが来たことはない。
先日という意味をやはり知らないらしい。
━━━━━━━━━━━━━━━━━━

弊社は企業様の業務効率やコスト削減を意識した出張手配を得意とし、
多くの企業様からご評価いただいております。

━━━━━━━━━━━━━━━━━━
あくまでも自己評価
━━━━━━━━━━━━━━━━━━

今回、弊社で週2回程配信しております無料メルマガ
「スカイゲート法人デスク通信」をご紹介できればと思い、
ご連絡をさせていただきました。
------------------------------------
(下らないトリビアなので中略)
------------------------------------
上記のようなお役立ち情報を週2回程配信させていただいておりますので、
ご興味がございましたら、ぜひご登録ください。

━━━━━━━━━━━━━━━━━━
全く役立ちませんw
と、いうか冒頭の数行で取引する気0です
━━━━━━━━━━━━━━━━━━

また、弊社ホームページでは、貴社の状況をお伺いした上で、
最適なご提案をさせていただくための問合せフォームもご用意して
おります。

国内外問わず、出張のご予定がございましたら、
お気軽にお問い合わせください。

───────────────────────────
■スカイゲート法人デスク
http://sml.airlink.co.jp/c/aOg7atuV6qk7muad
───────────────────────────

ご出張のお見積り、まず『丸投げ』してみて下さい！

1、平日10～17時までのメールでのお見積もりは60分以内に回答します。
※10名以上のお見積もりはお時間がかかりますのでご了承下さい。
2、航空券以外にも、海外ホテル・ビザ・保険などもお手配可能です。
3、航空券発券前の取消・変更・仮押料などは一切いただきません。

国内外問わず、出張のご予定がございましたら、
お気軽にお問い合わせください。



最後までご覧いただきまして、誠にありがとうございます。

ご不明な点は下記までお問い合わせくださいませ。
どうぞ、よろしくお願いいたします。

━━━━━━━━━━━━━━━━━━
こんなマヌケな文章しか送れない会社には頼みたくない。
━━━━━━━━━━━━━━━━━━

---------------------------------------------------------------------
株式会社 エアーリンク　スカイゲート法人デスク
[サイトURL] http://sml.airlink.co.jp/c/aOg7atuV6qk7muae
[E-Mail] com-news@airlink.jp
［営業時間］　平日10：00～18：00　土曜日10：00～14：00 (日/祝休)
[所在地] 〒160-8341　東京都新宿区新宿5-15-5 新宿三光町ビル
〒556-0011　大阪府大阪市浪速区難波中3-5-2 新販なんばビル5階
----------------------------------------------------------------------

（※今後メール配信が不必要の方は恐れ入りますがそのままご返信下さい）

━━━━━━━━━━━━━━━━━━
まだ言うかｗ
2度と送って来ないでください。というか、本当にネット企業の子会社？
ビジネスメールのマナーどころか法律も無視。
…SPAMフィルタでSPAM学習かけとこ。

Google Chromeアップデート公開(25.0.1364.172)

Google Chromeの最新安定版である25.0.1364.172が12日公開された。

今回は組み込みのFlash Playerの更新が行われたほか、いくつかのバグやセキュリティ上の問題点の修正が行われている。

更新方法はいつものごとく最新版をダウンロードページからインストールし直すか、設定～Google Chromeについてから確認するとアップデートのチェックが行われるほか、バックグラウンドでの自動更新も行われる。

公式リリースノート
http://googlechromereleases.blogspot.jp/2013/03/stable-channel-update_12.html

Google Chrome アップデート公開(25.0.1364.152)

Google Chromeの最新安定版である25.0.1364.152が5日公開された。

今回は10個の脆弱性(危険度高:6個、危険度中:3個、危険度低:1個)が修正されたものになっている。

更新方法は最新版をダウンロードページからインストールし直すか、設定～Google Chromeについてから確認するとアップデートのチェックが行われるほか、バックグラウンドでの自動更新も行われる。

公式リリースノート
http://googlechromereleases.blogspot.jp/2013/03/stable-channel-update_4.html

ネット犯罪の捜査の難しさ

iesys.exe関係。

NHKニュースより
http://www3.nhk.or.jp/news/html/20130303/k10015917751000.html
------------------------------------
警視庁などは防犯カメラの映像や目撃情報から遠隔操作ウイルスが入った記憶媒体が江の島の猫の首輪に取り付けられた日時を絞り込みこの時間帯に片山容疑者がバイクで江の島を訪れたことを確認しているということです。
------------------------------------
相変わらず警察とマスゴミ(NHKでもこの有様)は蜜月のようで…。

マスゴミ諸氏は弁護士には『無罪である証拠を出せ』というニュアンスのことを言ってるとか…おいおい、逆だろ(笑)

当初の逮捕容疑である威力業務妨害では、東京地検が公判を維持できないと処分留保のまま釈放してるんですよね。で、警察はまた拘留するために再逮捕と…。

詳しくは以下に…
------------------------------------
PC遠隔操作事件 東京地検が処分保留で容疑者を釈放していた！（山口一臣）
http://news-log.jp/archives/6981
------------------------------------
そもそもウイルスのプログラミング言語である#Cを被疑者が使えないという事を、本人以外にも職場も口を揃えて証言しているようだし、さてどうなることやら…。

どう見ても、この状況では警察がまたしても赤っ恥かいて終わりのような気がする。

Flash Playerセキュリティアップデート公開

アドビよりFlash Playerのセキュリティアップデートが26日公開された。
今回は重要度の高い脆弱性の修正があり、Windows/MacOS版では優先度が最も高く設定されているので、直ちに導入が必要である。(アドビでは72時間以内の適用を呼びかけている)

更新により、WindowsおよびMacOS版のバージョンが11.6.602.171、Linux版は11.2.202.273となる。また同時に旧バージョンであるFlash Player10にも修正パッチが当てられている。

なお、Windows8用IE10とGoogle ChromeのプラグインについてはすでにVer11.6.602.171のプラグインが組み込み済みとなっているので、最新版に更新するだけでよい。

Flash Playerバージョン確認ページ
http://www.adobe.com/jp/software/flash/about/

公式リリースノート
http://www.adobe.com/support/security/bulletins/apsb13-08.html

Google Chrome 25公開

Google Chromeの最新安定版である25.0.1364.97が10日公開された。

メジャーバージョンアップとしてJavaスクリプトによる音声入力機能が搭載されたほか、28個の脆弱性(一部は特定のOSのみ)が修正されたものになっている。Flash Playerは11.6.602.171に更新されている。
また、安全性を考慮して拡張機能のサイレント・インストール機能を抑制、HTML5の日時入力サポート最適化、WebGLの最適化などが含まれる。

更新方法は最新版をダウンロードページからインストールし直すか、設定～Google Chromeについてから確認するとアップデートのチェックが行われるほか、バックグラウンドでの自動更新も行われる。

公式リリースノート
http://googlechromereleases.blogspot.jp/2013/02/stable-channel-update_21.html

SC-06Dアップデート(MA2)、そしてroot化の闘い(挑戦中)

1月30日公開された、SC-06Dのソフトウエア更新。

http://www.nttdocomo.co.jp/support/utilization/product_update/list/sc06d/index.html


ビルド番号がIMM76D.SC06DOMALF5、IMM76D.SC06DOMALG1、IMM76D.SC06DOMALG6、IMM76D.SC06DOMALI3、IMM76D.SC06DOMALJ3、IMM76D.SC06DOMALK2からIMM76D.SC06DOMAMA2に更新。

ちょっと困ったことに、MA2更新後バッテリー消費が大きくなったと思ったら、巨悪の根源であるドコモの電話帳および電話帳サービスが復活していた。

バッテリーを無駄食いするドコモの電話帳

以前root化した際(LG1)にサービスの息の根は止めていたのだが、その後のLG6アップデートの際にroot化ができなくなっていた(起動阻止設定は残っていた)。さらにOTA(端末単体)でのアップデートができなくなってたのでKiesで更新していた。

今回再び活動開始した電話帳サービスの息の根を止めるべく思案中。
現在はOdinを使ってLG1まで巻き戻して、Root化した状態。

今後、4.1.1を導入してドコモの自社サービスゴリ押しとオサラバ(ただしおサイフケータイともオサラバしてしまう)するか、Root化に挑戦し続けるか…うーむ。
方針決めたら追記します。

以前のRoot化ネタ

Javaに未修正の脆弱性＆ゼロデイ攻撃発見(Update)

Javaに未修正の脆弱性が発見され、すでに攻撃ツールであるExploit Kitへの組み込みのほか、悪用コードも公開されてゼロデイ攻撃が観測されている模様。




JVN脆弱性データベース
http://jvn.jp/cert/JVNTA13-010A/index.html

CERT脆弱性情報(英語)
http://www.kb.cert.org/vuls/id/625617

当面の対処方法は、ウェブブラウザの Java プラグインを無効にすることで、Windows版のJavaでは最新版(Java7 Update10)更新後、Javaコントロールパネル内セキュリティタブにある『ウェブブラウザでJavaコンテンツを有効にする』のチェックを外すことでプラグインを無効にできる。

この画面はJava7 Update10でないと表示されないので、Java6やJava7 Update9以前のバージョンを利用している際には、先にJava7 Update10への更新が必要。

Javaダウンロードページ(上書きインストール可能)
http://java.com/ja/download/

最新版をインストールしても脆弱性が修正されるわけではなく、単にWindows版でプラグインを無効にするオプションを選べるようになるだけという点に注意、近日中に修正版が公開されると思う。

(2月3日追記)
上記記事を書いた2日後にオラクルからJava 7 Update 11がリリースされたが、その後の検証で脆弱性は一部しか塞がれていない事が判明しました。結局はブラウザ上で必要のない限りJavaは無効にしておくのが正解らしい。

(関連記事)
@ITの記事
http://www.atmarkit.co.jp/ait/articles/1301/21/news105.html

Google Chromeアップデート公開

Google Chromeの最新安定版である24.0.1312.52が10日公開された。

Flash Playerの組み込みプラグインの更新が行われたほか、25個の脆弱性(一部は特定のOSのみ)が修正されたものになっている。Flash Playerは11.5.31.137に更新されている。

更新方法は最新版をダウンロードページからインストールし直すか、設定～Google Chromeについてから確認するとアップデートのチェックが行われるほか、バックグラウンドでの自動更新も行われる。

公式リリース
http://googlechromereleases.blogspot.jp/2013/01/stable-channel-update.html