Masato Kinugawa Security Blog: Googleのmetaリダイレクトに存在した問題
Googleに存在したメールアドレスを窃取できた問題について書きます。これは2011年1月30日に報告し、報告後数日以内に修正された問題です。 こんなページがありました。 http://example.google.com/redirect?continue=http://example.google.com/xyz <meta http-equiv="refresh" content="0;url='http://example.google.com/xyz'"> <script> location.replace("http://example.google.com/xyz") </script> continueというパラメータに指定されたURLをmetaタグとlocation.replace()にそれぞれ入れて、JavaScriptの有効/無効の設定に関わらずリダイ
優良ブラウザを使いましょう! - by S.Konno
このページには、Windows ユーザーの皆様のために、安心して、快適にウェブページ閲覧をお楽しみいただくための重要な情報が書いてあります。 説明はいいから、なんとかしてほしい...という場合 「意図せずにこのページに飛ばされて来てしまったけど、その理由はどうでもいいから、すぐに何とかして欲しい」という場合は、まず、下記の「同意します」をクリックして、ページの指示に従い、立ち上がったブラウザにて本来見ようとしていたページにアクセスしてください。 インターネットエクスプローラの仕様に基づくセキュリティ上の深刻な脆弱性を利用したコンピューターウイルスを含んだページにアクセスすることに同意します。(※ ウイルスといっても、単なるバッチファイルです。無害です。) 未解決の危険: , , , , 機能の誠実さ: , , , , , 「同意します」をクリックしなかった
IEに対するゼロデイ攻撃、もっとも被害を受けたのは中国と韓国
Microsoft Malware Protection Center(MMPC)が発表したデータによれば、Internet Explorer(IE)を標的とする最新のゼロデイ脆弱性を悪用したマルウェア攻撃で、もっとも打撃を受けたのは中国と韓国のユーザーだった。 この攻撃は米国時間3月9日に見つかったもので、攻撃内容にはトロイの木馬ダウンローダーと悪意を持ったハッカーに乗っ取られたコンピュータへの完全なアクセスを許してしまうバックドアが含まれている。 MMPCによれば、標的の分布は50カ国に及んでいるが、中国と韓国がもっとも大きな標的となっており、米国がかなりの差で3位となっている。以下の図は、侵害を受けたコンピュータの分布を表したものだ。 MMPCは、この攻撃は概念実証コードが公開され、Metasploitなどの公開されている攻撃コードテストツールに組み込まれた直後に急増したと述べている
独仏の政府機関、「IE」の利用を控えるよう勧告
ドイツ政府およびフランス政府は、「Internet Explorer(IE)」について、先ごろGoogleへのサイバー攻撃に用いられたゼロデイ脆弱性にMicrosoftが修正パッチを提供するまで、IEの利用を避けるよう国民に勧告を行った。 Microsoftは米国時間1月14日、IEの脆弱性が、Googleのインフラに対するサイバー攻撃に利用されたことを認めた。この攻撃は、中国の人権活動家の「Gmail」アカウントにアクセスを試みたもので、ほかにも同じ脆弱性が複数の米国企業への攻撃に用いられたという。 この攻撃コードは、無効なポインタ参照の脆弱性を悪用するもので、複数のメーリングリストのほか、少なくとも1件のウェブサイトで公開されていると、セキュリティ企業のMcAfeeは15日付のブログ記事で明らかにしている。 ドイツ連邦電子情報保安局(BSI)は現地時間15日、「緊急」レベルのこの問題に
Googleへのサイバー攻撃はIEの脆弱性を悪用――McAfeeが調査
Googleに使われた悪質コードを調べたところ、IEの一般には知られていない脆弱性を突いたものが見つかったという。 米Googleが組織的なサイバー攻撃を受けたと発表した問題をめぐり、セキュリティ企業の米McAfeeは1月14日のブログで、この攻撃にはMicrosoftのInternet Explorer(IE)に存在する新たな脆弱性が利用されていたことが分かったと報告した。 McAfeeは被害に遭った組織や捜査当局と連携してこの事件について調べており、攻撃側が複数の悪質コードを使って標的とする組織に侵入しようとしていたことを確認。このコードを分析したところ、IEの一般には知られていない脆弱性を突いたものが1つ見つかったという。 この脆弱性はWindows 7を含むMicrosoftの主要OSすべてに影響するといい、McAfeeはMicrosoftにこの情報を提供。同社からも間もなくアドバ
マイクロソフト、「IE」のCSS処理に関する脆弱性を調査中と発表
Microsoftは米国時間11月23日、「Internet Explorer(IE)」に存在する可能性がある脆弱性について調査していることを明らかにした。これは、セキュリティ関連のメーリングリストに投稿されたエクスプロイトコードで、このコードが仕込まれたウェブサイトにアクセスすると、ユーザーのコンピュータが乗っ取られる可能性があるとされる。 Microsoftは、このエクスプロイトコードの影響を受けるのは「IE 6」と「IE 7」で、「IE 8」は影響を受けないことを確認したとしており、「問題となっている脆弱性を利用しようとした攻撃例やユーザーへの影響は、今のところ確認されていない」と声明の中で述べている。 このエクスプロイトコードは、「Bugtraq」というメーリングリスト上で20日に公開されたものだが、コードについての解説などは掲載されていない。 「このエクスプロイトは、Intern
IE 6と7に未修正の脆弱性、深刻な影響の恐れ
MicrosoftのInternet Explorer 6と7に深刻な脆弱性が見つかり、エクスプロイトも公開されているという。 セキュリティ企業の仏VUPENは11月21日、MicrosoftのInternet Explorer 6と7にゼロデイの深刻な脆弱性が見つかったとしてアドバイザリーを公開した。米Symantecも同日、この問題を確認したと報告。Microsoftの修正パッチ公開の見通しはまだ明らかになっていない。 VUPENによると、脆弱性はMicrosoft HTML Viewer(mshtml.dll)のダングリングポインタの問題に起因する。この問題を突いた悪質なWebページをユーザーが閲覧すると、ブラウザがクラッシュしたり、攻撃者に任意のコードを実行されるたりする恐れがある。 VUPENは、最新の更新プログラムを適用済みのWindows XP SP3搭載PC上で、IE 6と
教科書に載らないWebアプリケーションセキュリティ 第1回 [これはひどい]IEの引用符の解釈 − @IT
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます(編集部) 小さな話題が面白い 皆さん、はじめまして。はせがわようすけと申します。 「教科書に載らないWebアプリケーションセキュリティ」ということで、Webアプリケーションのセキュリティに関連する、普段あまり見掛けないような小さな話題を取り上げていきたいと思います。 セキュアなWebアプリケーションを実現するために、開発者の方だけでなく、Webアプリケーションの脆弱性検査を行う方々にも読んでいただきたいと思っています。重箱の隅を楊枝でほじくるような小さな話題ばかりですが、皆さんよろしくお願いします。 さて第1回は、Internet ExplorerがHTMLを解釈する際の引用
![教科書に載らないWebアプリケーションセキュリティ 第1回 [これはひどい]IEの引用符の解釈 − @IT](https://cdn-ak-scissors.b.st-hatena.com/image/square/82de8989bb7acc1ec9333bef18042c097988bca5/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fait%2Farticles%2F0902%2F27%2Fwebapp0101.jpg)
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
マイクロソフト、「IE 6」「IE 7」脆弱性に対応するパッチを検証中