̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ IT ニュース&コラム 2013/11/18 通巻646号 ニュース版 ソフトウェアデザイン館 Sage Plaisir 21  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ IPA が脆弱性のテストを支援するファジング活用の手引きを公開 2013年11月7日、情報処理推進機構(IPA)は、情報家電や自動車などの組み込み 機器で脆弱性がないことをテストするファジングが実践できるよう「ファジング 活用の手引き」を公開した。 ファジングとは、テスト方法の1つで、IT機器に問題を起こしそうなデータを 送り付けてテストすることである。 たとえば、極端に長い文字列を送った場合、IT機器の中にあるプログラムが 用意したメモリー領域が小さいと、メモリー領域を超えて長い文字列を格納 しようとして、他のデータを書き換えてしまうのである。 もし、リスト構造の ポインター(次のデータの番号)を書き換えてしまえば、無限ループができて システムが反応しなくなってしまう。(サービス不能状態になる) このようなテスト・データは、必ずサービス不能状態にするわけではない。 たとえば、文字列の長さを調べておけば、、メモリー領域を超えてしまうことは なくなるのである。 こういった脆弱性対策処理を追加したものが、 Windows Update などで提供されているのである。 問題は、そのような多くの種類のテスト・データのすべてに対処して穴がなく なっているかどうかである。 テスト・データを使って穴が開いていないことを テストするのである。 ただし、すべてのテスト・データを揃えることは 不可能なので、あくまで基本的なテスト・データと考えるべきだろう。 つまり、製品のテストに使われて当然のものである。 テスト・データは、主に TCP/IP プロトコルのパケットを思い浮かべると 思われるが、JPEG ファイルや、コマンドラインの引数や環境変数などもある。 ソース http://www.atmarkit.co.jp/ait/articles/1311/08/news063.html http://www.ipa.go.jp/security/vuln/fuzzing.html 注目ニュース 一覧 ◇ ファーストインプレッション。性能強化で死角のなくなった新iPad mini。 http://k-tai.impress.co.jp/docs/review/20131115_623883.html … retina ディスプレイ・モデルが緊急発売。 ◇ MS、Visual Studio Online を発表。Visual Studio のクラウド版。 http://japan.cnet.com/sp/allaboutms/35039904/ … チーム開発で課金。ソースは MS のサーバーへ。 ◇ 複合機 の運用にも組織のセキュリティ方針を策定するべき。IPAが注意喚起。 http://japan.zdnet.com/security/analysis/35039693/ … 複合機をインターネットに接続しないこと。 ◇ CNN.co.jp グーグルの書籍電子化、著作権侵害に当たらず。米連邦裁。 http://www.cnn.co.jp/tech/35040000.html … 無料ゲームの無料部分に相当する部分だけだから。 ◇ PS Vita TVの実力は 圧巻の操作性と画質の物足りなさ。 http://av.watch.impress.co.jp/docs/review/review/20131115_623762.html … 画質については、売れたら次のバージョンで改善するだろう。 ソフトウェアデザイン館 Sage Plaisir 21 ホームページ >>> http://www.sage-p.com/ メルマガ >>> http://www.mag2.com/m/0000083983.html ブログ >>> http://blog.livedoor.jp/sage_p/ ツイッター >>> http://twitter.com/Ts_Neko ダウンロード >>> http://www.sage-p.com/freesoft.htm サポート掲示板 >>> http://www.sage-p.com/kg_ban09/z6037C8.cgi 東日本大震災 >>> http://www.sage-p.com/saigai.html メール >>> ts-neko◇sage-p.com ←◇を@に変えてください 緊急メールは件名に「うどんメール」を付けてください。 このメルマガの登録・解除 - http://www.mag2.com/m/0000083983.htm