二日目に突入。
しかし、会場の冷房効きすぎはちょっと度が過ぎてる。1セッション聞くと完全に体が冷え切ってしまう。ラスベガスのホテルでそんな経験はなかったので、薄手の長袖シャツを持ってくればよかったと後悔。NetSecでは、フェニックスとかニューオーリンズで経験済みだったのだけど。そういえば、こんな真夏にラスベガスに来たことはなかったな・・・・・。
今日は、Web Securiety関連のトラックで、RSSを悪用した XSS の話をしていた。最近、RSSリーダを使うのが流行はじめてるけど、特にブラウザ埋め込み系のは、こうした脆弱性があるケースも多そう。そろそろ注意しないといけないなと思う。
Windows VISTAのトラックは、どちらかといえば、MS系のスピーカーが VISTAはこんなにすごい、とアピールする場になってたかも。たしかに、たとえば開発工程を含めて安全性を高めるように変えていくという努力は認めるが、最終的に出てみないとわからないよなぁ・・・・。
今日は珍しく昼過ぎにスコールみたいな雨が降った。あちこちに水たまりができてたいへんだったけど、夕方にはすっかり蒸発していた。
今日は睡魔に加えて寒さとの戦いで、すっかり体調を崩してしまった。ホテルに帰って少し休んでたら、なんとか復活したので、会社の連中とちょっと飲みに出て、さきほど帰ってきたところ。
明日からDEFCONに突入。
そういえば、私は聞かなかったんだけど、MSのVISTAトラックとは別に行われたセッションで、VISTAの結構ヤバい問題が公開されたらしい。後でチェックしておこう。
↑↑↑
チェック!
VISTAに署名なしのカーネルモードモジュールを読み込ませる方法!。VISTAはAdministratorでも署名のないモジュールは読ませられない「仕様」なんだけど・・・・、よく考えたなぁ。メモリ食いつぶして、「暇なドライバ」を押し出して、ユーザモードでも可能なraw accessでページファイルを・・・・・(以下自粛)
こんなことが実際にできちゃうところがねぇ。
そいから、最近のMPUの仮想化機能を使ってOSをゲスト扱いに追い出して・・・・・(以下自粛)
うーん・・・・・、MSも真っ青!!
こんなのもあった・・・
http://www.itmedia.co.jp/enterprise/articles/0608/10/news037.html