タグ

ブックマーク / security.srad.jp (10)

  • 全自動食器洗い機のHTTPサーバーにディレクトリトラバーサルの脆弱性 | スラド セキュリティ

    ドイツの家電メーカーMiele(ミーレ)の業務用全自動器洗い機のWebサーバー機能に、ディレクトリトラバーサルの脆弱性が発見された(Register、Seclist.org)。 問題が発見された製品はMiele Professional PG 8528という製品。大型の業務用製品で、ネットワーク接続機能や遠隔操作機能も搭載している。 脆弱性は昨年11月に発見され、Miele側に問い合わせが行われたものの、対応を行うかどうかの反応がなかったため3月23日付けで脆弱性が公開されたようだ。これによってハッシュ化されたパスワードが記録されたファイル(/etc/shadow)を外部から取得できるといった問題があるとのこと。 さすがに器洗い機には機密情報は記録していないだろうし、外部から不特定多数がアクセスできるような環境にある器洗い機も少ないとは思われるが、第三者によって器洗い機が乗っ取られ

    全自動食器洗い機のHTTPサーバーにディレクトリトラバーサルの脆弱性 | スラド セキュリティ
    FTTH
    FTTH 2017/04/06
    悪意のある第三者に外部から食器を洗われる脆弱性だ……
  • Windows 10のLinuxサブシステムは新たな攻撃経路となるか | スラド セキュリティ

    先日公開されたWindows 10 Anniversary UpdateではLinuxサブシステムが搭載され、Windows上でBashやUbuntu環境が利用できるようになっている。しかし、これによって新たな脆弱性も生まれている模様。eWeekの記事によると、米国で開催されたセキュリティ関連イベント「Black Hat USA」にて、早速これらについての指摘があったようだ。 記事によると、すでにいくつかのセキュリティ問題がMicrosoftに報告されており修正されているようだ。また、これ以外にも未発見の脆弱性が潜んでいる可能性はある。さらに、Linuxサブシステム上で実行されるアプリケーションはWindowsセキュリティ機能であるAppLockerの対象外であることから、Linuxサブシステムを経由してWindows体側を攻撃するようなアプリケーションが登場する可能性もあると指摘され

    Windows 10のLinuxサブシステムは新たな攻撃経路となるか | スラド セキュリティ
  • Chrome 45のセキュリティ改善により、開けないサイトが現れる(更新) | スラド セキュリティ

    Chrome 45ではセキュリティ改善のため、クライアントサイドでのTLS 1.0へのフォールバックが廃止されたため、HTTPS経由で繋がらないサイトが現れている(ただしHTTP経由で開けるものは多い)。 これは、バギーなサーバーが、仕様に反してTLS 1.0よりも新しいClientHelloを無視するために起こるもので、Chromeは「SSL サーバーが古い可能性があります。」というエラーメッセージを表示する。 ざっと確認したところ、 ヤマト運輸のクロネコメンバーズ、 ミスタードーナツ、 ダスキン、 出版社共同ネット、 競輪、 J-CASTの東京バーゲンマニア、 神奈川県教育委員会ネットワークシステム、 東京学芸大学、 太平洋フェリー などがHTTPS経由で開けないようだ。 編注: タレこみにあった日自動車連盟、UCカード、UR都市機構については、他のWebブラウザーでも正常にアクセス

  • QRコードを物理的に乗っ取ってマルウェア配布に使う攻撃が増加 | スラド セキュリティ

    携帯電話を使ってスキャンするだけでウェブサイトに移動できるという手軽さで多用されているQRコードだが、これを利用した新たなマルウェア配布方法が増えてきたそうだ(Help Net Securitiy、家/.)。 QRコードを使った攻撃は以前からあったが(QRコードを利用した攻撃に注意、QRコードを使ったフィッシングに気をつけろ!)、最近目立っているのが既存のQRコードの上に不正なQRコードを貼り付けることで不正サイトへ誘導するというもの。街の中心部や空港など人が多く集まる場所がターゲットとなっており、広告やその他お知らせなどに掲載されているQRコードに不正QRコードが貼付けられるケースが確認されているという。 QRコードだけから不正なものかどうかを見分けるのは難しく、スキャンしてしまった人を簡単にフィッシングサイトや悪意あるサイトのURLへ誘導することが可能とのこと。 身を守るには、開く前

    FTTH
    FTTH 2012/12/15
    超単純だけど目からウロコですわ
  • パーミッションを一切要求しないAndroidアプリがデータを外部に送信する可能性 | スラド セキュリティ

    Androidアプリにはネットワーク接続や個人情報データの読み取り、ストレージへの書き込みなどの処理に対するパーミッション設定があり、パーミッション要求の設定されていないアプリでは該当するリソースへのアクセスができないようになっている。しかし、パーミッション要求を一切しないアプリであっても、状況によって個人データを読み取ってサーバーに送信できる可能性があることをLeviathan Security Groupが指摘している(Leviathan Security Groupのブログ記事、 CNN.comの記事)。 たとえば、SDカードにはさまざまなデータが保存されるのにも関わらず、読み取りについてはパーミッション設定が存在しない。そのため、暗号化されていない情報は任意のアプリで読み取れる。体メモリーにデータを保存する場合も、アプリが適切なアクセス許可を設定していなければ、他のアプリから読み

  • ビックカメラ.com、ユーザーのパスワードをリセットしてサービス再開。しかしパスワードの変更は不可 | スラド セキュリティ

    不正アクセスによりユーザー情報が流出、そのためサイトを一時閉鎖していた通販サイトビックカメラ.comが、サービスを再開した。しかし、アカウントを登録していたユーザーに対しては安全性確保のためパスワードのリセットが行われ、新パスワードがメールで送られてきたのだが、そのパスワードでログインした後にパスワードの変更が行えないという、常識では考えられない運用になっている。 会員メニューによると、 下記の個人情報表示に制限を設けています。 段階的に、制限の解除を行っていく予定になっております。(現時点では未定です) ご不便をおかけしますが、ご了承くださいませ。 万一、情報の変更が必要の場合、当社サポートセンターにご相談をよろしくお願いします。 [制限事項] 「登録内容の変更」:ご利用いただけません。 「パスワードの変更」:ご利用いただけません。 「住所録」:ニックネームのみの表示/変更・削除不可(追

    FTTH
    FTTH 2010/11/24
    そんな運用になるなら再開すんなwww (他の情報はまだしもPWだけは変更可じゃないとまずいだろw)
  • Windows の全バージョンに危険な脆弱性が見つかる | スラド セキュリティ

    USB メモリを差し込んだり、ブラウザ経由で WebDAV を表示したり、Microsoft Office などの埋め込みショートカットに対応したファイルを表示するだけで感染してしまう可能性のある危険な脆弱性が見つかった (CVE-2010-2568、RBB TODAY の記事、エフセキュアブログの記事) 。この脆弱性は Windows ショートカット (*.lnk) に存在するため、AutoRun/AutoPlay を切るだけでは回避できない。Windows の全バージョンで影響を受ける。 この脆弱性を利用したワームの「Stuxnet」が既にイランやインドネシア、インドを中心として広がっている (security-jounral の記事)。このワームは公共インフラにも使われる SCADA (産業制御システム) をターゲットとしており、このワームに含まれるルートキットは適切にデジタル署名さ

    FTTH
    FTTH 2010/07/27
    OSサポート切れ+閲覧のみで感染するウイルス=よろしい、ならば戦争だ / 未だに2000とか使ってるユーザに買い替えを促すM$のテロ説を(ry
  • KDDI曰く「携帯電話の個体識別番号はプライバシ情報ではない」 | スラド セキュリティ

    KDDIの「お客様サポート」ページにて「個体識別番号ではプライバシ情報ではない」という旨が記述されている点について、セキュリティ研究家の高木浩光氏が問題点を指摘している。 高木氏が問題としているのは、「EZ番号はお客さまがURLにアクセスした際にサイト提供元のサーバに通知され、会員のアクセス管理などに利用されますが携帯電話番号やメールアドレス、氏名などのプライバシーに関する情報は含まれておりませんのでご安心ください。」との表記(EZ番号というのはau携帯電話の個体識別番号のこと)。 「個体識別番号」(契約者固有ID)については、総務省の研究会などで「コンテンツプロバイダが保有するウェブページ上の行動履歴や位置情報を同一IDに紐付けて集積することがきわめて容易」「コンテンツプロバイダにとっては、契約者固有IDを、契約者情報等の個人情報と紐付けることが容易に可能」「ウェブページ上の行動履歴や位

    FTTH
    FTTH 2010/05/14
    すなわち、個体識別情報でやりたい放題やってもKDDI的にはOK(プライバシー情報じゃないので)ということであとははまちや先生にでも任せておけばよしw
  • IEをターゲットにした0-day攻撃が発生中 | スラド セキュリティ

    Microsoft Video ActiveXコントロールの脆弱性により、リモートでコードが実行される(972890)」脆弱性を利用したゼロデイ攻撃が発生しているようだ。これは5月末に出た「Microsoft DirectShowの脆弱性により、リモートでコードが実行される(971778)」脆弱性とは別であることに注意(ITmediaの記事、セキュリティホールmemoの該当エントリ)。 クライアント側の対策としてはIEを使用しない、もしくはVideo ActiveXコントロールを無効にする「Fix itによる回避策の実行」を行うなどがあげられる。 国内では VALUE DOMAIN のログインページ改ざんが確認されたようだ。またVALUE DOMAINを使用しているwikiwik.jp内でもサイトの改ざんがあり、各wikiを閲覧したユーザーに被害が広がった模様。wikiwiki.jp、V

  • サンクリ事務局が流出を確認、サンクリ43は開催中止 | スラド セキュリティ

    昨日、サンシャインクリエイション申込者の個人情報が流出?というストーリーがありましたが、サンシャインクリエイション公式サイトの2009年1月18日付けのプレスリリースによれば、イベントに申し込んだサークルおよび関係者の個人情報が、ファイル交換ソフト「Winny」を使用した事によるウイルス感染により、Winnyネットワーク上に流出したことが確認されたようだ。 イベントの元スタッフが、個人情報を含むファイルを2002年頃より断続的に無断で自宅に持ち帰っており、その後ファイルを削除せずに自宅のパソコンに保存していたところ、ファイル交換ソフト「Winny」使用によるウイルス感染が発生し、流出したと書かれている。今後の対策として、「個人情報に対するアクセス制限」、や「これまでにスタッフ作業を行った者に対しデータの所持状況等を確認し、所持が判明した場合には削除させる」、「個人情報に関しての誓約書を取り

    FTTH
    FTTH 2009/01/20
    全然関係ないが、「メイラー・ダエモンさん」が居るのだから「アノニマス・カワードさん」も居ていいのではないかとちょっと思った。
  • 1