95%ものAndroidがTwitterのリンクをクリックするだけ・動画再生するだけで乗っ取られる「Stagefright」攻撃への対応が始まる
by Maria Elena 95%のAndroid端末にある乗っ取りを受ける脆弱性について、乗っ取りはMMS(マルチメディアメッセージングサービス)の受信・開封だけではなく、「Twitterのリンクをクリック」「動画再生をする」でも起きえることを実証するムービーをトレンドマイクロが公開しています。 MMS Not the Only Attack Vector for “Stagefright” http://blog.trendmicro.com/trendlabs-security-intelligence/mms-not-the-only-attack-vector-for-stagefright/ Attack From Local App - YouTube この映像はAndroid端末にインストールしたアプリからでも脆弱性を利用できることの概念実証。 Simple Media
Windowsのログインパスワードをクラックする羽目になった話
先日クライアントから問い合わせがあり、私の収めたWIn7のパソコンでログインが出来なくて困っていると問い合わせがあった。 話をよく聞いて見ると、パスワードの有効期間をデフォルトの42日のままで出荷していたのだが、 クライアントが納品時に初回ログインして、ウイルスソフトのインストールなど必要設定をしたのち2ヶ月あまり放置しており、 久しぶりに起動したらログインできなくなった、という事情らしい。 パスワードの有効期間が切れた場合、通常ならログイン時に有効期間が切れている旨の通知がされ、新しいパスワードを設定するとログインできるので、クライアントの言う「ログインできない」状態というのが不可解であった。 クライアント曰く「42日を過ぎたから古いパスワードが使用できなくなってしまったんじゃないか」と私側の責任に感じているらしく、ちょっとまずい空気感だなーと重いパスワードを解析させてもらうことになった
bash の脆弱性 "Shell Shock" のめっちゃ細かい話 (CVE-2014-6271) - もろず blog
※(2014/10/1 追記) 脆弱性の番号を誤って CVE-2014-6721 と表記してしまっていました 正しくは "CVE-2014-6271" です 失礼致しました ※(2014/10/7 追記) 2014/10/7 14:00時点で Shell Shock への修正パッチは6個 公開されています 既に対応済みのシステムでもパッチの漏れがないか注意してください シェルに脆弱性が見つかったらしいです このコマンドを実行すると脆弱性があるバージョンかのチェックができるようです $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" 以下のように表示されたらアウトです vulnerable this is a test どうやら、このコマンドが正常に実行できるというのがこの脆弱性の正体らしく、 echo vuln
PHPとセキュリティの解説書12種類を読んでSQLエスケープの解説状況を調べてみた
この投稿はPHP Advent Calendar 2013の13日目の記事です。昨日は@tanakahisateruのPHPが糞言語なのはどう考えても参照をポインタだと思っているお前らが悪いでした。 現在twitterのタイムラインで、史上空前のSQLのエスケープブームが起こっています。 オレオレSQLセキュリティ教育は論理的に破綻している | yohgaki's blog 「プリペアードクエリが基本だけど、動的に SQL を組み立てる場合もあるから、そういう場合に備えてエスケープも知っておいたほうがいいかも」 - Togetterまとめ エスケープとプレースホルダをめぐる議論 - Togetterまとめ SQLインジェクション対策としてのプリペアドステートメントとエスケープについての議論 - Togetterまとめ IPAの「安全なSQLの呼び出し方」が安全になっていた | yohgak
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
私が考える安全なプログラムを書くために必要なこと
