201202

『多数のiOSアプリがアドレス帳を無断送信していた問題、アップルは改善を約束』(Engadget日本版)，iOSではそもそも連絡先や予定といったユーザーデータへのサードパーティーアクセスに対する明示的なパーミッション管理の仕組みがなく、プライバシー保護は文書の形のガイドラインと、「悪質なアプリはアップルが App Store の審査で落としてくれるに違いない」という期待を前提にしています。 このため実際のアプリの挙動は開発者の良心あるいはプライバシー意識に依存しており、この1週間に名前が挙がったアプリにも、ちゃんとユーザーに対して「当社のサーバに送信します」と説明するもの、「友人にこのアプリを紹介しますか？」などと説明になっていない説明があるもの、あるいは使い始めた途端に無断で丸ごと連絡先をアップロードする最悪パターンまで、さまざまな種類がありました (分類とアプリ名はたとえば The Verge のこちらの記事が参考になります)。 (snip) アップルは「将来のソフトウェアアップデートで」改善すると予告しているものの、具体的な提供時期について、あるいはインストールしただけで許可も説明もなく個人データをアップロードするような「ガイドライン無視」アプリについてどう対応するのかについてはコメントしていません。

PortsのFirefoxがv.10.0.1になっていたので更新した…

『「メールで送付されたDLLファイルに注意」、新たな標的型攻撃が出現』(ITpro)，攻撃者は、細工を施したWord文書ファイルとDLLファイルを送付。ユーザーがWord文書を開くと、ウイルスの実体であるDLLファイルが勝手に実行される。 (snip) 悪用するのは、2011年9月に日本マイクロソフトが公表した脆弱性。細工が施されたWord文書などのOfficeファイルを開くだけで、同じフォルダーのDLLファイルが勝手に実行されるというもの。 同社では、この脆弱性のセキュリティ情報「MS11-073」を公表するとともに、セキュリティ更新プログラム（パッチ）を公開した。

『シリア大統領府、スタッフの多くが「12345」をパスワードとして使用』(/.-J)，先週、シリア大統領府のメールサーバーがサイバー攻撃を受け、大統領側近やスタッフのメールアカウント情報が流出したことが報じられたが、3分の1以上のアカウントでパスワードに「12345」が設定されていたという(Foreign Policyの記事、 Haaretzの記事、 本家/.)。

『DNSサーバーの実装に脆弱性、“幽霊ドメイン名”がキャッシュされ続ける 』(Internet Watch)，論文では、「BIND 9.8.0-P4」のほか、「DJB dnscache 1.05」「Unbound 1.4.7」「PowerDNS Recursor 3.3」、Windows Server 2008の「Microsoft DNS」や、公開DNSサービスである「DNS Advantage」「OpenDNS」「Norton」「GTEI DNS」なども該当するとしている。 一方、より新しいバージョンである「Unbound 1.4.11」や、Windows Server 2008 R2の「Microsoft DNS」、また「Google Public DNS」にはこの脆弱性はないという。