Linuxの「glibc」ライブラリに脆弱性で修正パッチ配布、iOS/Androidでの被害は限定的か 
クロスサイトスクリプティング対策 ホンキのキホン - 葉っぱ日記
本稿はCodeZineに2015年12月28日に掲載された記事の再掲となります。 クロスサイトスクリプティング(XSS)は、古くから存在し開発者にもっともよく知られたセキュリティ上の問題のひとつでありながら、OWASP Top 10でも2010年に引き続き2013年でも3位と、未だに根絶できていない脆弱性です。 本記事では、Webアプリケーションの開発においてXSSを根絶するために必要な対策の基本を本気でお伝えします。 はじめに OWASPでは開発者に向けたセキュリティ対策のためのドキュメントやチートシートを多数用意しており、XSSへの対策としても「XSS (Cross Site Scripting) Prevention Cheat Sheet」というドキュメントが用意されています。 ただし、このXSS Prevention Cheat Sheetはシンプルなルールを定めたチートシートで
私はいかにしてソフトバンク端末60機種のJavaScriptを検証したか - ockeghem's blog
昨日のソフトバンクの非公式JavaScript対応の調査結果 | 徳丸浩の日記で報告したように、昨年5月に、ソフトバンク60機種の検証を行い、JavaScript対応の状況などを調査しました。当時はまだ公式なJavaScript対応機種はない状態でしたが、既にほとんどの端末が *非公式に* JavaScriptに対応していました。 このエントリでは、検証の様子を報告します。 なぜJavaScript対応状況を調査したか http://www.hash-c.co.jp/info/20091124.htmlを公表した前後に、とある方(この方)から、ソフトバンクのケータイでもJavaScriptが動作すると伺いました(参考のやりとり)。XMLHttpRequestも含めてJavaScrptが動くと教えていただいた932SHを私も購入して調べたところ、以下が判明しました。 確かにJavaScrip
Unlha32.dll等開発停止、LHA書庫の使用中止呼びかけ - Claybird の日記
今日ではほとんどのウイルス対策ソフトが書庫ファイルに対しウイルスチェックを行う機能を備えているが、多くのウイルス対策ソフトで「LZH書庫ファイルのヘッダー部分に細工を施すことでウイルスチェックを回避できる」という脆弱性が存在するとのこと(LZH書庫のヘッダー処理における脆弱性について)。 Micco氏はこれをJVN(Japan Vulnerability Note、JPCERTおよびIPAが共同運営する脆弱性情報集積サイト)に報告したところ、「不受理」となったそうだ。ZIPや7z形式の書庫にも同様の問題があるものの、そちらは「脆弱性」として受理されているとのこと。Micco氏曰く、 「ベンダー, JVN / IPA 等共に『LZH 書庫なんて知らねぇ~よ』という態度から変わることはない」と判断できましたので, UNLHA32.DLL, UNARJ32.DLL, LHMelt の開発を中止す
「WEP」はもう危険? 家庭の無線LANセキュリティ対策を考える
無線LANの暗号化方式「WEP」が、わずか10秒で解読されるという発表がコンピュータセキュリティシンポジウム2008で行われた。今回の特集ではWEPの危険性を踏まえた上で、家庭内で行える無線LANのセキュリティ対策について考えていく。 ■ 「WEPは約10秒で解読できる」と大学教授が発表 2008年10月に開催された「コンピュータセキュリティシンポジウム2008」で、神戸大学と広島大学のグループから無線LANの暗号化方式である「WEP」の解読にわずか10秒で成功したという興味深い発表がなされた(関連記事)。 無線LANは、電波を利用することで、面倒な配線をすることなくPCやゲーム機などをネットワークに接続することができるという利便性を持つ反面、そのセキュリティも問題になりがちだった。PCやゲーム機の間を流れるデータが電波の形で存在するため、これを盗聴することでその内容が第三者にも見えてしま
CPNI-957037: SSH 通信において一部データが漏えいする可能性
SSH(Secure Shell)は、ネットワークを介してインターネット上に置かれているサーバにログインしたり、 コマンドを実行したりするためのプログラムおよび通信プロトコルで、データは暗号化された状態で通信が行なわれます。 SSH で使用される通信方式の一部に対する攻撃方法が報告されています。 報告された攻撃方法では、SSH がデフォルトで使用する通信方式において、ひとつの暗号化ブロックから 32 ビットの平文を取り出すことができるとされています。 この攻撃が行なわれると、SSH セッションが切れることがあります。RFC 4251 では、通信エラーが発生した際再接続すべきとされているため、自動的に再接続する実装の場合、攻撃による影響が大きくなる可能性があります。
窓の杜 - 【NEWS】FTPクライアント「FFFTP」v1.96c、ディレクトリトラバーサルの脆弱性を修正
定番FTPクライアント「FFFTP」の最新版v1.96cが、24日に公開された。本バージョンでの変更点は、ディレクトリトラバーサルの脆弱性を修正したこと。本脆弱性は、悪意あるFTPサーバー側が返す特別に細工されたディレクトリ構造を「FFFTP」が適切に処理できないため、ユーザーが意図するディレクトリ以外の場所へファイルが作成されてしまう可能性があるというもの。今年6月にセキュリティベンダーSecuniaより、危険度が5段階のうち下から2番目の“Less critical”として公表されていた。 本バージョンの変更点は本脆弱性の修正のみとなっており、現在作者のWebサイトや窓の杜ライブラリからダウンロードできる。 【著作権者】曽田 純 氏 【対応OS】Windows 98/Me/2000/XP/Vista 【ソフト種別】フリーソフト 【バージョン】1.96c(08/08/24) □Sota'
多数のジャストシステム製品に脆弱性、修正モジュール公開 - @IT
2008/01/07 ジャストシステムは1月7日、ワープロソフト「一太郎」や「花子」をはじめとする同社の多数の製品に脆弱性が存在することを明らかにし、修正用セキュリティ更新モジュールを公開した。悪用されれば、第三者により任意のコードが実行される可能性もあるため、早期の適用が推奨される。 脆弱性を発見したフォティーンフォティ技術研究所の情報によると、多くのジャストシステム製品に含まれる基本クラスライブラリ「JSFC.DLL」に脆弱性が発見された。バッファオーバーフローなどの結果、関数ポインタが上書きされ、「安定的に」任意のコードが実行される恐れがあるという。 具体的には、細工が施されたjtd形式などの文書ファイルを直接開くことで悪用される恐れがある。また、Webサイト上に置かれた悪意ある文書ファイルをプラグインビューアで開いたり、リンクをクリックして意図せず埋め込まれた文書ファイルを開いたり
ジャストシステム製品共通のバッファオーバーフロー脆弱性 (update: 2008.1.28) | お知らせ | ジャストシステム
お知らせ セキュリティ情報 08.01.07 ジャストシステム製品共通のバッファオーバーフロー脆弱性 (update: 2008.1.28) 概要 2007年12月19日、当社製品の多くが共通して使用しているライブラリファイルに脆弱性が確認されました。 この脆弱性が悪用されると任意のコードが実行され、パソコンが不正に操作される危険性があります。 この問題の影響を受ける製品と、その対策方法、回避策を以下にご案内いたしますので、ご確認の上、ご対応をお願いいたします。 なお、2008年1月7日現在におきまして、本件に起因する実際の被害は確認しておりません。 当社製品の多くは汎用的な処理を行うライブラリファイルを共用しています。 このライブラリに含まれる文書ファイルの読み込み機能に脆弱性が存在するため、 この脆弱性を悪用することを目的に改ざんされた文書ファイルを直接開いたり、 Webサイト上の文書
一太郎、花子などジャストシステム製品にバッファオーバーフロー脆弱性 | スラド
JVN#47272891経由、ジャストシステムの告知文によると、一太郎2005、一太郎2004、一太郎 文藝、一太郎ビューア 4.0、花子2006、花子2005、花子2004、花子ビューア 1.0、三四郎2005、一太郎Lite2 /R.2 にバッファオーバーフロー脆弱性があり、パッチがリリースされたようだ。未パッチの製品を使用している場合に悪意ある一太郎、花子、三四郎文書等を開くと、任意コードを実行される可能性がある。一太郎を普段使用していない人でも一太郎ビューア等をインストールしている場合には影響を受けるので注意が必要だ。 一太郎の脆弱性については、未知の脆弱性を突いたいわゆる「ゼロデイ攻撃」が今年の8月と9月の2回にわたって発生していた(8月と9月のセキュリティホールmemoのまとめ参照)。このときは「小泉首相の靖国神社参拝速報.JTD」というファイル名の添付ファイル入りメールがばら
窓の杜 - 【NEWS】「Firefox」に保存したパスワードが漏洩する脆弱性、修正パッチは未公開
脆弱性を回避するには、「Firefox」のオプションでフォームのパスワード保存機能をOFFにする(画面は「Firefox」v2.0の場合) デンマークのセキュリティベンダーSecuniaは22日(現地時間)、「Firefox」でフォーム入力したパスワードの保存機能に関する脆弱性を公表した。特殊な細工が施されたWebページのフォームにおいて、保存したパスワードが漏洩する危険性がある。脆弱性を受ける「Firefox」のバージョンは、v1/2シリーズの全バージョン。Secuniaでは本脆弱性の危険度を、5段階のうち下から2番目の“ Less critical”と位置づけている。 現在、Mozilla Foundationより本脆弱性に対応する「Firefox」のアップデート版やパッチは提供されていない。そのため本脆弱性を回避するには、「Firefox」のオプションにて、v2なら[セキュリティ]-
ブラウザのパスワードマネジャを信頼して大丈夫? | スラド セキュリティ
本家記事 Firefox 2.0 Password Manager Bug Exposes Passwords によると、Firefox に Reverse Cross-Site Request (RCSR) 脆弱性があるという報告が Bugzilla へ寄せられています。 Firefox のパスワードマネジャは、記憶したパスワードを同一ドメインの別ページにも適用するそうですが、 Chapin Information Services による PoC では、 その際に hidden や display:none を使うことで「知らないうちに」情報が抜き取られるようにしています。 この実例は 10 月の時点で Netcraft が発見 していたそうですので、MySpace 利用者は念のためパスワード変更などの対策をとるべきかもしれません。 さて、今回の件で根本的な問題はどこにあるのでしょうか
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
OpenSSLの件がやばすぎてどう対応すればいいのかイマイチよく分かりません(山本一郎) - 個人 - Yahoo!ニュース
警察庁も注意喚起、サポート終了後のWindows XP利用は危険 
Microsoft、セキュリティツール「EMET 4.0」の日本語版ユーザーガイドを無償公開
JVNDB-2009-004384 - JVN iPedia - 脆弱性対策情報データベース
ジャストシステム、“一太郎”シリーズの脆弱性を修正するパッチを公開
これからの「パスワード」の話をしよう
IPA、「セキュリティ担当者のための脆弱性対応ガイド」などを公開
http://headlines.yahoo.co.jp/hl?a=20061205-00000092-zdn_ep-sci