「超過勤務や長時間労働の多いトラック運転手ほど、睡眠障害があったり運転に支障が出るほどの睡魔に襲われたりする人の割合が多い」ということが独立行政法人・労働者健康福祉機構の調査によりわかった、ということを朝日新聞が報じています。超過勤務も長時間労働も当たり前なアレゲ業界人としては正直今更何をの感もありますが、お上に比較的近い独立行政法人の調査報告としてこのような報告が出たということは、いつか少しはマシになるのかなと期待の一つもしてみたくもなったり。

さて、これから春にかけては、ただでさえ眠気に襲われやすい時候となります。この調査の対象は長距離トラック運転手でしたが、長時間労働がデフォルトな我々にとっても正直他人事ではありません。皆様は仕事中の眠気対策どうされていますか？　つーか、そのことで医者に相談したらいつも「まずはもっと寝ろ」と言われるんですがそれが出来ない場合は一体どうすれば orz

先日のひまわり6号正式運用開始を受けて、その役目を完全に終えたひまわり5号の運用停止(衛星停波)が、7/21　11時に行われます。設計寿命を大幅に超えての任務完遂、どうもお疲れさまでした。

バイオメトリクス認証の一手段であり、キャッシュカードの本人認証手段としても利用されようとしている静脈認証に“大根”が使えることを、日経 IT Pro が報じている。

この異彩な実証実験結果は、過去指紋認証をゼラチン指で突破し、虹彩認証も瞳の赤外線写真で突破してみせた横浜国立大の松本教授によって、研究の途中成果として報告されたもの。大根を指太大の棒状に切ってラップで包んだ「ニセ指」を指静脈認証装置に登録した上で、再度差し込んで照合すると、100%の確率で受け入れられたという。

“本物の指”で登録済みの静脈認証を大根製のニセ指で突破できた、という話ではない。すなわち、静脈認証の有効性に懸念が生じたということには直ちにはつながらない。ただ指紋認証などと比べて相対的に安全とされている静脈認証にも一定の脆弱性の発見（それも意外に簡便・廉価な手段によるもの）は今後十分にあり得るということで、松本教授は「頭から安全だと信じ込むのは危険で、今後、検証を重ねて精度評価基準を作る必要がある」とコメントしているそうだ。

なお作ってから1週間経過した大根では受け入れ率が98％に低下するとのこと。夏場ではどうなのか、煮物にするとどうなのかなどと考え出すと、なんともアレゲだ。

米Microsoftが Internet Explorer に関する新たなセキュリティアドバイサリ「Microsoft Security Advisory (903144)」を公開した。Internet Explorer は object タグによって非ActiveXコントロール（例えばCOMオブジェクトなど）をActiveXコントロールのように利用可能にする機能をサポートするが、その仕組みにセキュリティ上の不具合があり、それを悪用されると Internet Explorer を強制終了させられる、などの侵害を受ける。場合によっては“メモリの汚染”によって「任意のコードを実行させられる潜在的な可能性」もあるという。例として「javaprxy.dll」COMオブジェクトが取り上げられている。この不具合がもたらす脅威の正確な範囲は、現在も調査続行中とのこと。

影響を受ける Internet Explorer のバージョンは 5.01/5.5/6.0(SP2も)など。まだパッチは存在しないが、当面の回避策として「セキュリティゾーン設定を『高』にする」または「ActiveXコントロールが使われるときに『毎回問い合わせる』ように設定を変更する」が示されている。

関連記事として以下のものなどがある。

• ITMediaの記事。
• 日経 IT Pro の記事。
• Secuniaによるアドバイサリ。重要度は「Higily Critical」。
• Secuniaによって紹介されている、発見者による報告。技術面な側面についてはここが一番詳しい。この不具合が「javaprxy.dll」だけに留まらない可能性も示唆されている。

ITmediaに関連記事が出ていた。また、Opera 8.01では対応されているとのことである。

Secuniaのアドバイサリで、複数のWebブラウザに「ダイアログボックスの提供元を詐称できる脆弱性」があるとの主張が公開された。Javascriptを用いてダイアログボックスを表示するとき、多くのWebブラウザでは、通常ダイアログボックス自身にまでは「それがどのサイトから提供されたか（どのようなサイトがそのダイアログボックスを表示したか）」は示されない。このような実装を悪用すると、あたかも信頼できるサイトから提供されているかのようなダイアログボックスを表示することができてしまうのだ、という。Secuniaによる実証ページも用意されている。

現時点で、以下のブラウザについてのアドバイサリが公開されている。

• Safari 1.x
• iCab 2.x
• Opera 7.x, 8.x
• Mozilla 1.7.x / Firefox 0.x, 1.x / Camino 0.x
• MSIE 6.x (5.x以下は不明)
• MSIE 5.x for Mac

対策は「信頼できるサイトを閲覧しながら（別ウィンドウで）信頼できないサイトを閲覧しないようにすること」。Javascriptに起因する問題なので、Javascriptなどの無効化でも良いと思われる。Secuniaによる重要度は5段階で下から2番目の less critical とされている。

脆弱性と言われれば確かにその通りなのだが、いささか偏執狂気味にも思えるこの主張を、皆様はどうお考えになりますか。

Secuniaのアドバイサリ SA15601が、Mozilla / Mozilla Firefoxに未パッチのFrame偽装脆弱性が見つかったことを報じている（Secuniaによるテストページ）。注目すべきは、今回報告された脆弱性は一度修正された問題の再発だということだ。

この脆弱性再発の確認がなされたのは、現時点で最新リリース版の「Firefox 1.0.4 and Mozilla 1.7.8」とのこと。以前の脆弱性報告 SA11978によれば、Firefox 0.9とMozilla 1.7でパッチがあてられたことを確認した、ということになっている。Mozilla Foundationによる 告知でも同様となっており（このときのBugzillaの対応Bugは246448）、これ以降のいずれかの時点で regression が生じた模様だ。

対策は「信頼できるサイトを（別ウィンドウで）閲覧したままの状態では、信頼できないサイトを閲覧しないこと」。Secuniaによる重要度は5段階中の3「Moderately critical」とされている。

なお手元のFirefox 1.0.4で試してみたところ、安定性に問題があるためデフォルトで無効化されているタブ機能「シングルウィンドウモード」が有効であれば、ツール→オプション→詳細→「新しいウィンドウを開くリンクは全て次の場所に開く」で「新しいタブ」を選択しておくことでも回避できるようだ。ただし自己責任で。

現時点で最新リリース版のMozilla Firefox 1.0.3に、二つの脆弱性が存在し、既に Exploit code も公開されていることを Secunia が報じている。

ひとつは「"IFRAME" JavaScript URL」に関するクロスサイトスクリプティング脆弱性。もうひとつは、リモートからのソフトウェアインストール機構（アドインや拡張など）に使われるJavaScript関数でのURL引数の検証漏れに起因する、任意JavaScriptコードの実行権限の奪取が可能となる脆弱性。

この二つの脆弱性を合わせた重大度は、滅多に出ない最高レベル「Extremely critical」。

現時点でパッチは存在しない。対策は「JavaScriptを無効とすること」。

Internet ExplorerおよびOutlookその他に「リモートからのコード実行」の脆弱性が発見されたことを、CNET Japanが報じている。記事のソースはeEye Digital Securityの公表情報。悪用されると、悪意ある者にバックドアやトロイの木馬を仕掛けられることを許してしまうという。

Microsoftには通知済みで、Microsoftもこれを「認めた」とのことだが、パッチはまだ出ていない。

未パッチのためか脆弱性の詳細はまだ伏せられており、どのプラットフォームの・どのバージョンの IE/Outlook/その他のソフトが、どの程度の影響を受けるのかはまだ明らかでない。どのような回避策があるかも現時点では不明。

Mozilla FirefoxおよびMozilla Suiteに、JavaScriptエンジンのバグに起因するメモリ情報漏洩の脆弱性が発見されたことを、Secuniaが公表した（Mozilla Firefoxについて／Mozilla Suiteについて）。この脆弱性を利用すると、Mozilla Firefox/Mozilla Suiteのインストールされたローカルマシンのメモリ情報（の断片？）を、悪意を持つ者がリモートから取得できるため、ちょうどそこにsensitiveな情報があった場合などに問題になるという。

対処方法は「JavaScriptを無効にすること」。

Secuniaによる重要度は5段階中の3番目。Bugzillaでの関連情報はBug 288688。タレコミ時点では、Secuniaによる情報では unpatched だったが、Bugzillaによれば「nightly のtrunkおよび各ブランチでは」速攻で修正された模様。リリース版への反映がいつになるか、それがどのようになされるかは、現時点では不明。