スラッシュドット ジャパン | gzipに複数の脆弱性〜LHAにも関連あり?
Elbereth曰く、"JVNにて、gzipの脆弱性についていくつか報告があがっています。 JVNVU#933712: gzip (GNU zip) の huft_build() における NULL ポインタ参照の脆弱性 JVNVU#596848: gzip (GNU zip) の LZH の取扱いにおいて無限ループが引き起こされる脆弱性 JVNVU#554780: gzip におけるバッファオーバーフローの脆弱性 JVNVU#773548: gzip の LZH の取扱におけるバッファオーバーフローの脆弱性 JVNVU#381508: gzip の make_table() の配列処理における脆弱性 2006年9月22日現在では、JVNの上記記事では対象ベンダとしてRedhat、ubuntu、FreeBSDから報告があがっていますが、gzipのことであるからして影響はさらに広範囲になるも
WMFの脆弱性のパッチ | スラド
Anonymous Coward曰く、"そのヤバさで話題のWMF脆弱性ですが、 セキュリティ対策会社によって、非公式パッチが推奨されるまでの事態になってようやく、マイクロソフトから正式なパッチが公開された。ウィンドウズアップデート、マイクロソフトアップデートからも入手できる。 本来は1月10日のパッチの日にリリースするつもりだったのでしょうが、さすがのマイクロソフトも、エライ人にケツたたかれたということでしょう。" これで安心して画像DLできるAC曰く、 "Windows の重要な更新 MS06-001がリリースされている。 通常の月刊リリーススケジュールに従わない緊急リリースであり、 これは先日タレコミがあった Windowsにゼロデイ攻撃を受ける深刻な脆弱性で触れられているWindowsメタファイル(WMF形式)処理の脆弱性に対するパッチのようである。"
UFJ銀行、ウィルスメールを約7,000人へ配信 | スラド
von_yosukeyan曰く、"Impressの記事によると、UFJ銀行中国進出支援室が配信しているメールマガジンUFJ CHINA NEWSのメール配信用サーバに、何者かがワーム型ウィルスNetsky.Pが添付されたメールを送信し、同メールマガジン購読者約7000人に配信されていたと報じている。(UFJ銀行によるプレスリリース) Netsky.PはNetskyの亜種の一つで、Outlook Expressのバグを利用して感染し、送信元アドレスを詐称したウィルスメールを不特定多数にばら撒く。UFJ銀行のメールサーバは、特定権限のメールアドレスから送信されたメールを配信する仕組みで、パスワード認証やファイアーウォールなどによる保護が行われていなかったため、Netskyに感染した第三者からのメールを誤って配信してしまったらしい 大手金融機関のセキュリティとしてはお粗末過ぎるが、UFJ銀行では
スラッシュドット ジャパン | IEの欠陥により、Google Desktopに情報漏洩の危険性
oddmake曰く、"eWeek記事や本家記事にもなっているが、ITmediaの記事によるとInternet ExplorerとGoogle Desktop を使っているユーザの個人情報を盗むことができる方法をイスラエルのマタン・ギロン氏が発見し、自身のWebページで詳細に解説したという。最新のパッチがあたっていて、デフォルトのセキュリティ設定の状態のIEとGoogle Desktop v2を使っている状態で脆弱性の実証コードは動作したという。マイクロソフトによると、この脆弱性によってユーザが攻撃を受けた例はまだ確認されていないということだ。事は重大であるので、信頼できないWebページは訪問したりせず、パッチやMSのsecurity advisoryなどで対処法が示され次第、各自対処を行なって欲しい。"
スラッシュドット ジャパン | GMail に「なりすまし」の脆弱性(修正済)
tamo曰く、"Slashdot 本家の記事「Google Corrects Gmail Security Flaw」 によると、GMail に脆弱性が発見されたそうです。この脆弱性について www.elhacker.net には「誰にでもなりすませる方法」のように書いてありますが、 RED HERRING の記事「Hackers Cracked Gmail」 にある通り、ユーザがログイン時の情報を攻撃者に知らせていない限り被害を受けることはあり得ないようですので、 危険性があるのは「SSL を使わずにログインしていて、その情報が盗聴されていた場合」のみと言えそうです。 この問題は既にアナウンスなしで修正されていますが、それでも暗号なしでログインするのは危険ですので、 GMail をブックマークしている場合には URL が https: で始まっているかどうかご確認ください。"
Firefox 1.0.7にDoS脆弱性 | スラド
個人的観測ですが、これを修正した1.0.x系列は出ないのではないかと思われます。 この問題はbugzilla.mozilla.orgにBug 303433 [mozilla.org]として登録されていますが、斜め読みする限り、1.5系列及び以降の開発版ではBug 238493 [mozilla.org]の修正により直ったんだからよかんべぇ、ということになっている模様です。これが単なるクラッシュバグで、悪用出来ないだろうというコメント (Bug 303433 comment #43) もあります (summaryからも "seems exploitable" が削除されている)。 Bug 238493が大き目の変更でバックポートし辛く、新たにクラッシュの修正のみのパッチを作るような暇が (11/9リリース見込み?の) 1.5目前で無い為に、見送られるのではないかと思います。 繰り返しますが、
「Lynxでアクセスしたら逮捕」の事件で有罪判決 | スラド
Anonymous Coward曰く、"今年1月のストーリー「Lynxでアクセスしたら逮捕された?」で話題となった事件の判決が出たとZDNet UKが伝えており、CNET Japanの日本語訳記事が出ている。この記事によると、判事は、被告に悪意がないことを認めながらも有罪判決を言い渡したようだ。イギリスのコンピュータ不正使用法(Computer Misuse Act)では、被告人に損害を与える意図があったことを検察当局は証明する必要はないのだという。被告人の弁護団は「サイトの入り口まで行ったに過ぎなかった」と主張したそうだ。 日本の不正アクセス禁止法では何が不正アクセスに当たるかがわりと明確に定められているのに対し、イギリスのComputer Misuse Actでは「その者が得ようとしたアクセスが無権限のものであり」と定義されているだけになっている。被告人の行為が日本法に照らすとどうかが
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
