新手のWebアプリ攻撃手法「XSIO」、XSSと同様の影響
「Cross Site Image Overlaying」(XSIO)というWebアプリの脆弱性について解説した論文が公開された。 クロスサイトスクリプティング(XSS)と同種の脆弱性として、「Cross Site Image Overlaying」(XSIO)という脆弱性について解説した論文が公開された。SANS Internet Storm Centerがサイトで紹介している。 論文はスイスのセキュリティ研究者が執筆し、Webアプリケーションに対する新手の攻撃手法について解説。この攻撃は非常に容易に仕掛けることができ、状況によっては甚大な影響を及ぼすと述べている。 SANSによれば、XSIOは基本的にはXSSと同じだが、スクリプトの代わりに画像を参照させ、CSSを使ってWebサイトの重要部分に配置されるという。 防御策はXSSと同様、入出力情報の認証を行うことであり、ユーザーからの入力
TomcatにXSSの脆弱性、最新版にアップデートを
Webアプリケーションサーバ「Apache Tomcat」の管理インタフェースにクロスサイトスクリプティング(XSS)の脆弱性が見つかった 情報処理推進機構(IPA)セキュリティセンターおよびJPCERTコーディネーションセンター(JPCERT/CC)は8月15日、Apache Software Foundation(ASF)のWebアプリケーションサーバ「Apache Tomcat」にクロスサイトスクリプティング(XSS)の脆弱性が発見されたと発表、JVN(Japan Vulnerability Notes)に情報を公開した。 Apache Tomcatは、サーバ上でJavaアプリケーションを動作させるためのオープンソースソフトウェア。今回見つかった問題は、管理用インタフェースHost ManagerのサーブレットがWebページ表示前にフィルタリングを行わないため、任意のスクリプトが埋め
MS月例パッチ9件が公開、IEなどの脆弱性修正
8月のセキュリティ更新プログラムは、9件のうち6件が「緊急」レベル。WindowsやIE、Excelの脆弱性に対処した。 米Microsoftは8月14日(日本時間15日)、予告通り9件のセキュリティ更新プログラムを公開し、Internet Explorer(IE)の深刻な脆弱性などに対処した。 リモートからのコード実行につながる「緊急」レベルの問題に対処したパッチは、9件中6件となる。このうちIE用の累積的なセキュリティ更新プログラム「MS07-045」は、CSSメモリ破損の脆弱性、ActiveXオブジェクトの脆弱性、ActiveXコントロールのメモリ破損の脆弱性の3件に対処した。アプリケーション別に見ると、Windows 2000 SP4上のIE 5.01 SP4とIE 6 SP1、およびWindows XP SP2とWindows XP Professional x64 Editio
Expired
Expired:掲載期限切れです この記事は,Associated Press との契約の掲載期限(30日間)を過ぎましたので本サーバから削除しました。 このページは20秒後にEnterprise トップページに自動的に切り替わります。
修正したばかりの+Lhacaにまた脆弱性、新たな修正版をリリース
このほど脆弱性が指摘されて修正を行ったばかりの+Lhacaにまた脆弱性が発見され、この修正などを加えた最新版が公開された。 このほど脆弱性が指摘され(関連記事)、修正版が公開されたばかり(関連記事)の圧縮・解凍ソフトウェア「+Lhaca」に新たな脆弱性が発見された。 発見された脆弱性は、修正版として公開された「+Lhaca Version 1.21」に存在するもので、スタックバッファオーバーフローを引き起こす可能性がある。この脆弱性を悪用したLZH圧縮ファイルを処理すると、アプリケーションをクラッシュさせたり、任意のコード実行が可能になるという。 研究者からの報告を受けて、+Lhacaの作者はこの脆弱性を修正した「+Lhaca Version 1.22」を公開した。だがVersion 1.22にはテスト用コードが残っていたためにファイルが解凍されないケースがあり、これを修正した「+Lhac
脆弱性を修正した+Lhacaがリリース
脆弱性が指摘されていた「+Lhaca」について、該当する問題を消去したバージョンがリリースされた。詳細な動作確認を終えた後に正式版となる予定。 国内でも多くのユーザーが存在する圧縮・解凍ソフトウェア「+Lhaca」に未パッチの脆弱性が発覚、この問題を突いた「.lzh」圧縮形式のファイルが見つかった問題で(関連記事参照)、Lhacaの作者である村山富男氏は該当する問題を消去したバージョンを公開した。詳細な動作確認を終えた後に正式版にする予定であるという。 この脆弱性は、文字列長の確認を適切に行わない strcpy()の呼び出しが原因となって起こるもので、この脆弱性を突いた問題の.lzhファイルはスタックメモリを上書きし、マルウェアを植えつける。 公開された「+Lhaca Version 1.21」では、LHA展開処理内に存在したstrcpyをstrncpyに変更、バッファオーバーフローを発生
MS月例パッチ公開、IEやWindowsメールに緊急の脆弱性
6月の月例セキュリティアップデートは「緊急」4本を含む6本。IEやWindows VistaのWindowsメールに見つかった脆弱性に対処した。 Microsoftは6月12日(日本時間13日)、月例セキュリティアップデーを公開した。6本のうち4本が最大深刻度「緊急」で、Internet Explorer(IE)やWindowsメールの脆弱性を修正している。 「緊急」レベルの4本のうち、Internet Explorer(IE)用の累積的なセキュリティ更新プログラム(MS07-033)はIE 5.01、IE 6、IE 7が対象。既に情報が公開されている1件を含め、計6件の脆弱性に対処した。うち5件は悪用されるとリモートでコードを実行される恐れがあり、初期化されていないメモリ破損の脆弱性と、音声認識のメモリ破損の脆弱性は、Windows Vistaで動作するIE 7も影響を受ける。 Outl
ITmedia Biz.ID:メールアドレスに送信するだけで使えるサービス4選
Sugu.cc、QuickML、qwik.jpともに、使い方はほぼ同じ。「好きな名前@サービスのドメイン名」宛てに、ccにはメーリングリストに加えたい人のアドレスを入れてメールを送付する。例えば「bizid@qwik.jp」宛てに、ccには「bizidentity@gmail.com」を入れてメールを送れば、筆者とbizidentity@gmail.comさんのメーリングリストができあがりだ。 Sugu.ccだけは携帯電話専用なのでご注意を。 (2)メールを送るだけで翻訳 今度はあるアドレスにメールを送信すると、自動的に「英語→日本語」「日本語→英語」に変換してくれるサービスが「ETM/自動翻訳サービス」だ。PCだけでなく携帯からも利用できる。 送ったメールは自分に戻ってくるのではなく、言語が変換されて相手に送信される。英語なら日本語に、日本語なら英語に自動判別してくれるのがうれしい。 使
悪意あるWordやExcelファイルから攻撃コードを削除、新ツール「MOICE」提供開始
MOICEは2007 Office Systemのコンバータを使い、WordやExcelなどの文書に仕込まれた攻撃コードを取り除く。 米Microsoftは5月22日、Office文書を使った攻撃からPCを守るための新ツール「Microsoft Office Isolated Conversion Environment」(MOICE)の正式提供を開始した。 Microsoftによると、MOICEはWord、Excel、PowerPointファイルを使った攻撃の封じ込めを支援するツール。電子メールで知らない相手から届いた添付ファイルや中身の分からないファイルを開く際、セキュリティ上のリスクを低減する一助となる(関連記事)。 企業などを狙ったターゲット型攻撃では、Office文書に攻撃コードを仕込んで送りつける手口が横行しており、MOICEはこの種の攻撃に対応する。2007 Microsof
Symantec Norton製品に危険度「高」の脆弱性
Symantec Norton AntiVirusなどで、リモートコード実行につながる脆弱性が発見された。 仏セキュリティ機関FrSIRTが5月9日、SymantecのNorton製品で脆弱性が見つかったと指摘した。危険度は4段階中最も高い「Critical」としている。 この問題は、「NAVOPTS.DLL」ActiveXコントロールの初期化のエラーが原因。攻撃者がこれを悪用すると、不正なWebサイトを利用してほかのSymantec ActiveXコントロール(たとえ実行しても安全だとマークされていなくても)にアクセスできてしまい、リモートコード実行につながる恐れがあるという。 この問題の影響を受けるのはSymantec Norton AntiVirus 2005および2006、Symantec Norton Internet Security 2005および2006、Symantec
カスタマー・サービス3.0の実現へ――G-Force 2007速報
米国時間の4月23日から三日間にわたり、コンタクトセンターソリューションベンダーであるGenesys主催の「G-FORCE 2007」が行われた。初日San Diegoの会場に参集した聴衆を前に、同社CEOのウェス・ハイデン氏が基調講演を行った。 ハイデン氏はこれまでカスタマーサービスの遷移について、「電話によるインバウンド・アウトバウンドのアプローチ(1.0)に始まり、次いでコールセンター化(2.0)が進んできた」と分類してみせ、それに変わる新しいコンセプトとして「カスタマー・サービス3.0」を提示した。これは現在、手段(電話、ウェブ、メール、チャット等)およびコンタクト先(購入窓口、契約窓口、保守窓口等)ともに複雑化してしまい、ともすれば顧客が「たらいまわし」にされがちなコンタクトセンターを一元化するという考え方である。 またハイデン氏は、すでに同社が発表しているダイナミック・コンタク
いくら警告してもセキュリティ対策が進まない理由
4月25日、26日の2日間にわたり、東京・ザ・プリンスパークタワー東京で「RSA Conference Japan 2007」が開催される。国内で6回目の開催となる今回のテーマは「リスクコントロールと情報セキュリティ」だ。 この中で一見異色とも思えるのが、群馬大学の片田敏孝教授による「人はなぜ危機に備えないのか~災害に備えない人の心理を探る~」と題するセッションだ。しかし片田教授によると、災害対策と情報セキュリティ対策は同じ問題点を抱えているという。その理由を聞いた。 地震や水害など、多くの天災リスクに囲まれている国、日本。毎年少なからぬ数の人命が奪われているにもかかわらず、災害に関する警報発令を聞いて迅速に行動を取る人は少数派だ。防災研究者で、群馬大学工学部教授の片田敏孝氏は、その理由を「人の持つ特性」にあると言う。 「津波が危険なこと、地震が来たらすぐに避難しなくてはならないことなど、
Skypeの新たなワームにご注意
セキュリティ企業のF-Secureは4月16日、Skypeを通じて「IM-Worm:W32/Pykse.A」ワームに感染したファイルへのリンクが送られるケースが続出していると報告した。感染すると、Skypeのコンタクトリストに掲載したユーザー全員に、ワームへのリンクを含んだメッセージが送信されてしまう。 また感染すると、そのSkypeユーザーのログイン状態が勝手に「取り込み中」に設定され、警告メッセージも表示されない。取り込み中に設定した後で、メッセージが送信されるという。 リンクをクリックすると、自動的にワームに感染したファイルがダウンロードされる。ダウンロードしたファイルをリンクから実行すると、女性の写真が表示される。 F-Secureによれば、このワームの狙いはサイトの宣伝にあるようだ。明確な目的は不明だが、近年ワームは金銭的な狙いのものが増えており、ワームの広がり度合いを調べ、今後
MS月例パッチ公開、Vistaのゼロデイ脆弱性などに対処
Microsoftは先日の緊急パッチに続き、4月の月例セキュリティ更新プログラム5本を公開。Windows Vistaに影響するゼロデイの脆弱性などに対処した。 Microsoftは4月10日(日本時間11日)、月例セキュリティ更新プログラム5本を公開した。うち4本が最大深刻度「緊急」、残る1本は「重要」となっている。 最も深刻度が高いと見られるCSRSS(Windows Client/Server Run-time Subsystem)の脆弱性(MS07-021)は、Microsoftが12月22日に報告していたもの。コンセプト実証コードも公開され、セキュリティ関係者の間では「Vista Memory Corruption Zero-Day」とも呼ばれているという。 CSRSSのエラーメッセージ処理方法などに3件の脆弱性が存在し、細工を施したアプリケーションを使ってリモートでコードを実行
ITmedia Biz.ID:PDFファイルを無料で分割・結合する
マニュアルなど、数十ページにわたる大きなPDFファイルのうち、特定のページだけをよく閲覧やプリントするなら、そこだけ“分割”できると便利だ。逆にばらばらになったPDFを“結合”できるソフトもある。 マニュアルなど、数十ページにわたる大きなPDFファイルのうち、特定のページだけをよく閲覧したり、プリントしたりする場合がある。ただでさえ開くのに時間がかかるPDFファイルを、そのたびに目指すページまでスクロールするのは手間だ。特定のページだけを分割して別ファイルにできれば便利なのだが――。 これを実現する方法はいくつかある。まず「Adobe Acrobat」のStandard/Pro/3Dを持っているなら「ページの抽出」機能で簡単に実現する。ただし、最新版のAcrobat 8 Standardの通常版は3万6540円と、これだけのために購入するには少々高価なのである(2006年11月の記事参照)
Skypeを狙ったウイルスにも強いOfficede for Skypeが登場、ゼッタテクノロジー
ゼッタテクノロジーはSkypeを利用する企業向け管理ソフトの最新版をリリースする。Skypeを狙うウイルスへの防御が強化された。 ゼッタテクノロジーは、企業向けSkype運用管理ソフトの最新版「Officede for Skype Ver.2」を4月16日に発売する。企業からの関心が強いセキュリティ機能が大幅に向上した。 Officede for Skypeは、Skypeの複数アカウント管理やポリシー適用、ログ管理が行える企業向けの管理用ソフト。Skype関連製品で企業ユースに対応できる管理ソフトとして、沖縄県北谷町を例に多くの企業や自治体などで採用されているという。 最新版では、Skypeに接続できるデバイスやソフトウェアを限定できるようになり、Skypeを狙ったウイルスやスパイウェアの活動を防止することができる。また、Skypeのスーパーノード化の禁止や外線接続機能「SkypeIn/S
Skypeは世界トップレベルの安全性だ――最高セキュリティ責任者が発言
Skypeの最高セキュリティ責任者がSkypeの企業導入で気になるセキュリティについて紹介した。IT管理者向けのセキュリティガイドも公開されている。 フュージョン・コミュニケーションが主催する「Skypeビジネスセミナー」が4月6日、東京都内で行われ、Skypeに関心を持つ企業向けに最新の対応状況が説明された。最高セキュリティ責任者(CSO)のカート・サウアー氏も来日し、Skypeの安全性について紹介を行った。 Skypeは、通信コスト削減や利便性の高いコミュニケーションツールとして評価されているものの、企業レベルの管理性やセキュリティが弱点だとして、導入を様子見る企業は多い。同社ではそのような企業に対し、2006年からビジネスユーザー向けの情報をWebで提供してきた(関連記事参照)。
企業のSkype利用で情報流出の危険も
Kaspersky Labの調査によると、企業のSkype導入によって情報流出や悪質プログラム感染などの危険が増すが、最大の脅威は人的要素だという。 電話代節約を目的に企業でもSkypeの導入が増える中、情報流出などセキュリティ上のリスクは高まっている――。ロシアのセキュリティ企業Kaspersky Labは、企業でのSkype利用に関する調査結果を発表した。 調査はKaspersky傘下のInfoWatchが2007年1月に実施し、1242人が参加した。回答者の約7割は、セキュリティ専門家、システム管理者などのIT専門職が占めている。 調査では、VoIP製品の中でSkypeの人気は46.8%と最も高いことが判明。競合製品はすべて合わせても25.3%にすぎなかった。 Skype導入企業に及ぼすリスクとしては、情報への不正アクセス(37.2%)、データ流出(33.2%)、ワークステーションの
MS緊急パッチ公開、アニメカーソル脆弱性に対処
Microsoftが定例外のセキュリティパッチを緊急リリースした。ゼロデイ攻撃拡大が伝えられるアニメーションカーソルの脆弱性を修正している。 Microsoftは4月3日(日本時間4日)、定例外のセキュリティパッチ(MS07-017)を緊急リリースした。ゼロデイ攻撃拡大が伝えられるアニメーションカーソルの脆弱性を修正しており、できるだけ早期の適用を促している。 アニメーションカーソルの脆弱性は、Microsoftが3月29日にアドバイザリーを公開して注意を呼び掛けていたもの。Windowsがアニメーションカーソルやアイコンのフォーマットを処理する方法に存在する。ユーザーが悪質なWebサイトを訪れたり、細工を施した電子メールを表示すると、攻撃者がこの問題を悪用してコンピュータをリモートで制御できてしまう可能性がある。 この問題が発覚した後、ゼロデイ攻撃が急増し、悪用コードを仕掛けたサイトが多
内田洋行、学校ホームページの作成と運用を支援するCMSを発売
内田洋行は、学校ホームページの作成と運用を支援するコンテンツ・マネジメント・システム「OpenSchoolCMS ver.2」の販売を開始した。 OpenSchoolCMSは、内田洋行と静岡大学による共同研究の成果と、現場の教職員の声を取り入れて開発した学校専用CMSで、2005年に発売以来、多くの学校における情報発信を支援してきた。最新版では、ページデザインの拡充や、学校行事などをテーマにしたイラスト集の追加、携帯用ページ作成も可能にするなど、導入から毎日の更新、新年度移行まであらゆる場面をサポートする機能を充実させて発売する。 価格はオープン。初年度販売目標は100ライセンス。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
