SSL3.0/TLS1.0 に脆弱性 | スラド セキュリティ
9 月 21 〜 23 日に開催されていたセキュリティ会議 ekoparty において、SSL 3.0 および TLS 1.0 の CBC モードに対する、いくぶん実用的な盗聴方法 (BEAST) が発表された (ITmedia エンタープライズの記事より)。 この攻撃は blockwise-adaptive chosen-plaintext 攻撃 (Gregory V. Bard 氏による論文) を用いることで暗号化されたデータを復号化できるというもの (yebo blog の記事) 。今回の発表の論文は http://insecure.cl で公開されていたのだが、現在は著者からの要求により削除されている。続報は insecure.cl のサイトか Twitter アカウント @insecurechile にて、とのことなのだがスペイン語なので読解には苦労されることだろう。 この問題は
Windows/Office以外の最新ぜい弱性情報って知ってる?
これまでウイルスやボット,スパイウエアは,WindowsやMicrosoft Officeといった,利用者が圧倒的に多いソフトウエアのぜい弱性を狙うものが多かった。ところが最近,Adobe ReaderやFlash,Javaのランタイム,一太郎,ウイルス対策ソフトなど,マイクロソフト製品以外で利用者が多いツールにターゲットが移りつつある。ユーザーは,こうしたツールのぜい弱性情報をできるだけ早く知り,危険なものなら,すぐさまセキュリティ・パッチを当てなければならない。 こうした情報収集に役立つのが,「Japan Vulnerbility Notes」(通称JVN)のサイト(写真1)。日本のベンダーの製品と,世界的に広く使われている製品のぜい弱性情報を公開している。RSSリーダーでも情報を取得できるので,毎日1回以上はチェックして,自分の環境に関係のあるソフトウエアの情報が載っていれば,すばや
WebGLの(実質的に)仕様上の脆弱性について(日本語訳) - ものがたり(旧)
WebGLの(実質的に)仕様上の脆弱性が見つかったとされて、話題になっています。元はContext Information Security社のブログの記事なのですが、 http://www.contextis.co.uk/resources/blog/webgl/ 日本語でもかいつまんで紹介されています。 http://japan.cnet.com/news/service/35002505/ とはいえ、これじゃ何だか意味が分かりませんし、原文はなかなか簡単には読めないと思うので、ちょっくら日本語訳してみました。全体的にやっつけながら、後半は特に寝ぼけながら訳しているので、何かおかしいところがありましたらコメント等で教えて下さいませ。翻訳許諾は明日辺りお願いしてみようと思います。(ダメって言われたら消す)→もらいました。調査の次のラウンドが終わったらまた結果を教えてくれるみたい。 追記:
コピー禁止データもバックアップ可能なPS Plusの“セーブデータお預かり”を紹介
皆さんは、ソニー・コンピュータエンタテインメントが展開している“PlayStation Plus(以下、PS Plus)”というサービスをご存知でしょうか? これは、同社が運営するネットワークサービス・PlayStation Network上で受けられる定額制のサービスで、利用権を購入することでさまざまな機能が利用可能になります。 そんなPS Plusが3月10日にリニューアルされ、新サービス“セーブデータお預かり”の機能が追加されました。そこで電撃オンラインでは、PS Plusに加入していない読者に代わって“セーブデータお預かり”を実際に体験! この記事では、“セーブデータお預かり”の紹介とレポートをお届けするので、PS3ユーザーはぜひ参考にしてください。 ■PS Plusとは? そもそもPS Plusは2010年6月に開始されたサービスなわけですが、「今初めて聞いたよ」という人もいるの
東日本で深刻なインフラ被害 | スラド ハードウェア
11日に発生した地震により、東日本ではインフラに深刻な被害が発生している。朝日新聞や日経新聞などによると、青森県、岩手県、秋田県、宮城県の全域で停電。山形県はほぼ全域、福島県、新潟県の一部が停電。関東地区でも茨城県、栃木県、千葉県などで停電が発生。 また、ガスについては宮城県から神奈川県まで7県、44万5000戸に影響。水道については宮城県の8市町、茨城県の26市町村の全域で断水しているほか、広い範囲で断水している地域があるという。 なお、東京電力では12日の18〜19時に100万キロワットの電力供給不足が発生するとの予測を発表している(時事通信)。13日には不足分が拡大する可能性もあるとのことで、地域ごとに停電する初の「輪番停電」を実施する可能性があるそうだ。該当地域にお住まいの方には、節電をお願いしたい。
福島第一原発で緊急事態、想定を上回る危険レベルに | スラド
読売新聞が報じているが、11日に発生した巨大地震の影響により、福島第一原発でトラブルが発生している。原子炉が入った格納容器の圧力が高まっており、容器内の空気を外部に放出する作業を進めているが、現場の放射線が強いことから慎重な対応を進めている。この措置は緊急避難的な措置とのことで、周辺住民の避難作業も進められている。 また、AFPBBニュースによると、「第一原発1号機の中央制御室では、通常の1000倍の放射線量が計測された」という。福島第一原発1号機の電源停止により、原子炉内の圧力を下げる機能が失われた結果、微量の放射性物質漏れが発生している可能性があるという。
福島第一 燃料一部露出のおそれ NHKニュース
福島第一 燃料一部露出のおそれ 3月12日 12時3分 原子力安全・保安院などによりますと、福島第一原子力発電所1号機では、原子炉を冷やす水の高さが下がり、午前9時15分ごろ、核燃料棒を束ねた「燃料集合体」が、水面の上50センチほど露出しているおそれがあったということです。このため、消火用にためていた水およそ6000リットルを仮設のポンプを使って原子炉の中に流し込み、水の高さを上げる作業を行っているということです。
トレンドマイクロの「インターネット脅威ランキング」、トップは CPRM 解除ツール | スラド セキュリティ
セキュリティソフトメーカーのトレンドマイクロが 2011 年 1 月度の「インターネット脅威マンスリーレポート」を公表しているのだが、その 1 位として DVD などの著作権保護に使われている CPRM を解除するツールが挙げられている。このツールは「CRCK_GETCPRM」との名称が付けられているが、「cprmgetkey.exe」と呼ばれるツールに該当すると思われる。 また、「CRCK_KEYGEN」や「HKTL_KEYGEN」など、商用ソフトウェアのシリアル番号ジェネレータもそれぞれ 3 位、6 位と多く検出されている。ただ、ユーザーが自らダウンロードして利用するクラックツールを「感染」というのもどうかとは思うが……。
Webブラウザ経由のAndroid Marketからのアプリダウンロードは危険? | スラド IT
Googleは最近、Android 3.0「Honeycomb」を発表したばかりであるが、Android Marketウェブストアから遠隔的に行うダウンロードは、利便性が高いもののウィルスに感染する危険性が高いとのこと(AppleInsider)。 Android Marketからアプリをダウンロードする際、PCのWebブラウザ上でインストール開始ボタンを押すと直ちにスマートフォンへのダウンロードが開始され、スマートフォン上でダウンロードの許可を出すことがない。そのため、ネットワークのセキュリティ対策製品を販売するソフォスによると、Googleパスワードさえ入手してしまえば、第三者がこっそりとユーザーのAndroid端末にマルウェアを感染させることができるのだという。 ソフォスは、Googleが早急に対応しなければフィッシング攻撃などが横行する可能性も示唆しており、ユーザーには強いパスワー
PS3の公式ファームウェア3.56でPS3が破壊される可能性があるとのこと : Suki Suki Game News (すきすきゲームニュース)
2月3 PS3の公式ファームウェア3.56でPS3が破壊される可能性があるとのこと カテゴリ:PS3SCE 1月27日に配信されたファームウェア3.56において、ハードディスクを交換するとPS3が起動しなくなる現象があるようです。 実は、2月1日にもファームウェアが配信されており、なんとバージョンは3.56のままです。通常内容を更新したらバージョンの数を上げるべきなのですが、何か隠したいことがある場合には番号は変更せずに中身だけを変更することは、コンピュータやソフトウェアを扱う企業(とくにブラック企業)ではよくあります。おそらく、1月27日のファームウェアに何か重大な欠陥があるのか、知られたくない隠しごとがあるのかもしれません。 海外のサイトでの解析では、3.56のファームウェアの状態でカスタムファームウェアを導入すると本体を起動しなくするスパイウェア的なソフトが仕組まれているという報告も
ペニーオークションで撤退相次ぐ、返金に応じない事業者も(INTERNET Watch) - goo ニュース
ペニーオークションで撤退相次ぐ、返金に応じない事業者も 2011年1月29日(土)00:30 ポータブルゲーム機や大型液晶テレビなどの家電製品が市場価格より格安で入手できることをうたう、いわゆる「ペニーオークション」をめぐるトラブルが急増する中、事業者のサービス撤退が相次いでいる。 ● 入札ごとに手数料が発生、サービスの仕組みを理解せずに高額請求も 一般的なネットオークションの仕組み(上)とペニーオークションの仕組み(下) ペニーオークションとはネットオークションの一種。一般のネットオークションは落札者だけが商品代金を支払うが、ペニーオークションの場合は、落札できなくても入札ごとに手数料(50〜75円程度)を支払う仕組みだ。 入札にあたっては「ポイント」や「コイン」などと呼ばれる、サイト内のみで使用可能な通貨をあらかじめで購入しておく。1回の入札は1円ずつ競り上がるというように、入札単位が
「偽デフラグツール」にご用心 | スラド セキュリティ
ストーリー by reo 2011年01月27日 12時30分 デフラグってそんなに必要なの ? 部門より INTERNET Watch の記事によると、偽デフラグツールが出回っているそうだ。 記事で紹介されている偽ツール「SystemDefragmenter」の挙動はこうだ。偽デフラグツールをインストールすると、タスクバーに「Critical Error」というバルーンメッセージが表示される。クリックすると偽のシステム診断が始まり、「エラーを検出、デフラグの実行を推奨」という意味のメッセージを表示。指示通りに実行してもデフラグは完了せず、「深刻なエラーを修復するには、有償のモジュールが必要」というお約束の結果となる。しかもこれを購入してデフラグを完了させても、偽ツールとは無関係の EXE 形式ファイルの起動を妨害するなど、非常に悪質ともいえる後遺症が残ってしまう。 もちろん偽デフラグツー
Gmail にログインしている E-mail アドレスを盗まれるセキュリティホール | スラド セキュリティ
TechCrunch JAPAN の記事によると Gmail に重大なセキュリティホールが発見された。 Google アカウントにログインした状態で悪意のあるサイトを訪問すると、そのアカウントで Gmail に蓄積したすべてのメールが盗まれるというもののようだ。既に実証サイトが作られている。これは API の欠陥をついた攻撃だったようだが、現在は既に修正された模様。 どのような手法だったのか、実際に悪用された例はあったのか、興味深い。 TechCrunch JAPAN の記事では「メールをすべて盗まれる」とあるが、本家 TechCrunch の記事によれば、harvested your Google email とあり、この記事に言及している他記事 (例えば Techie Buzz の記事) によれば、ログインしている Gmail の E-mail アドレスが収集されてしまうとのことで、セ
Amazon EC2 の新メニュー「クラスタ GPU インスタンス」でパスワードクラック | スラド セキュリティ
Amazon が提供しているクラウド型の計算リソース提供サービス Amazon EC2 のメニューに、新しく「クラスタ GPU インスタンス」が追加となった。この強力な計算リソースを、早速パスワードクラックに使ってみた人が出たようだ (stacksmashing.net の記事、本家 /. 記事より) 。 Amazon EC2 の新メニュー「クラスタ GPU インスタンス」では、1 インスタンスあたり CPU: Xeon X5570 x2、メモリ: 22 GB、ストレージ: 1.69 TB に加え、NVIDIA Tesla M2050 x2 が割り当てられ、1 時間 2 ドル 10 セント (EC2 とのデータ転送料金等は別途) で利用することができる (Internet Watch の記事) 。この計算リソースを利用して今回試みられたのは、14 個の SHA1 ハッシュの値 (リスト)
WiFi 上で他人のログイン情報を盗む Firefox の拡張機能が公開される | スラド セキュリティ
暗号化の不十分な WiFi 上で Twitter や Facebook などのアカウントが容易に乗っ取られ得ることを実証する Firefox の拡張機能「Firesheep」をセキュリティ研究者 Eric Butler 氏が先週末、Toorcon 12 にて公開した (engadget 日本版の記事、ITmedia News の記事より) 。 記事中でも指摘されているように、これは従来から放置され続けてきた「SSL のログイン、または、強い暗号を使っていないWebサイト」の問題であり、盗聴するクライアントが何で実装されているかは本質ではないし、警鐘が鳴らされるのも初めてではない。しかし今回の機能拡張とコードの公開を機に、本格的な対策が急務となってしまうことはもはや避けられないだろう。 危険性を抱えたまま放置されていた方が良かったか、混乱と引き換えに対策を強要される方がましなのか、/.J の
LhaplusとLhasa、DLLの読み込みに関する脆弱性 | スラド IT
JVNにて、LhaplusにおけるDLL読み込みに関する脆弱性およびLhasaにおける実行ファイル読み込みに関する脆弱性の2つのレポートが公開されている。 双方共に圧縮ファイルを展開する際に特定のDLLを読み込むが、DLLを読み込む際のDLL検索パスに問題があり、意図しないDLLを読み込んでしまう脆弱性が存在するとのことである。影響として、プログラムを実行している権限で、任意のコードを実行される可能性がある。最新版では問題はないようなのでアップデートするか、もしくは他のツールへ移行する必要がある。
日本のリソグラフィ装置メーカーの落日 | スラド
EE Times Japan に日本のリソグラフィ装置メーカーが危機に直面との記事が掲載されている。半導体製造プロセス微細化の根幹を握るリソグラフィ装置の市場は、長らくニコン、キヤノン、ASML の 3 社体制であったが、EUV (Extreme Ultraviolet) リソグラフィ技術が次世代半導体チップの製造に向けて有力となる中、日本メーカーが ASML に大きく遅れを取るようになるとの、野村證券アナリストのレポートに関する記事である。 キヤノンについてはここ 2, 3 年で急速に市場から消えたとも言えるので、事実上ニコンと ASML の対決に関することであるわけだが、ニコンの EUV リソグラフィ開発は遅れが出ており、液浸リソグラフィに経営資源を集中させているという状況がある。こうした中、記事では、まだ多くの課題が残っているものの、EUV が最も有望な先進技術であることに変わりはな
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
買収コストからみて割安な銘柄、任天堂がトップ スクエニ・ソニーも上位に登場 : はちま起稿
米シティ、不正アクセスでクレジットカード顧客情報約21万件流出 | スラド セキュリティ
福島第1原発で炉心溶融、国内初 避難拡大、半径20キロ / 西日本新聞