タグ

ブックマーク / security.srad.jp (5)

  • AppleとGoogleが修正し、Microsoftが修正しなかった脆弱性とは | スラド セキュリティ

    Microsoftセキュリティ脆弱性として報告されたバグをセキュリティ脆弱性ではないなどの理由で修正しないこともあるが、AppleGoogleが3月に修正したのに対し、Microsoftだけが修正しなかったという脆弱性をCiscoのTalosグループが公表した(Talosのブログ記事、 TALOS-2017-0306、 The Registerの記事)。 脆弱性はApple SafariやGoogle ChromeMicrosoft Edgeでコンテンツセキュリティポリシー(CSP)のバイパスが可能になるというもの。攻撃の流れとしてはContent-Security-Policy HTTPヘッダーで「'unsafe-inline'」を有効にし、「window.open()」で空のドキュメント(about:blank)を開く。新しいドキュメントは元のドキュメントと同一生成元だが、CSP

  • パーミッションを一切要求しないAndroidアプリがデータを外部に送信する可能性 | スラド セキュリティ

    Androidアプリにはネットワーク接続や個人情報データの読み取り、ストレージへの書き込みなどの処理に対するパーミッション設定があり、パーミッション要求の設定されていないアプリでは該当するリソースへのアクセスができないようになっている。しかし、パーミッション要求を一切しないアプリであっても、状況によって個人データを読み取ってサーバーに送信できる可能性があることをLeviathan Security Groupが指摘している(Leviathan Security Groupのブログ記事、 CNN.comの記事)。 たとえば、SDカードにはさまざまなデータが保存されるのにも関わらず、読み取りについてはパーミッション設定が存在しない。そのため、暗号化されていない情報は任意のアプリで読み取れる。体メモリーにデータを保存する場合も、アプリが適切なアクセス許可を設定していなければ、他のアプリから読み

    Surgo
    Surgo 2012/04/30
    リンク

  • 15 歳のオーストリア人少年、3 ヶ月で 259 社のネットに不正侵入 | スラド セキュリティ

    オーストリアで 15 歳の少年が、今年の 1 月から 3 ヶ月間に渡って 259 社のネットワークに不正侵入していたとのこと (ZDNet の記事、家 /. 記事より) 。 友達が少ないというこの少年は、オンラインの世界で自分を認めてくれる場所を探していたという。クラッキングの成果に応じてポイントを獲得できるフォーラムを見つけた少年は、特に攻撃の対象を絞ることなく、手当たり次第に攻撃していたようだ。たった 3 ヶ月間で、ユーザー 2000 人のフォーラムで、トップ 50 内にランクインしていたとのこと。 少年はインターネット上で広く公開されているツールを使用しており、侵入したシステムにメッセージを残したり、「ACK!3STX」を署名として残していたそうだ。だが匿名性を確保するのに使用していたソフトウェアの機能も及ばず、オーストリア警察のサイバー犯罪捜査班に IP アドレスを突き止められて

    Surgo
    Surgo 2012/04/20
    リンク

  • 米シティグループ顧客情報流出、その手口は単純だった | スラド セキュリティ

    米シティグループから21万人ものクレジットカード顧客情報が盗まれた事件(/.J過去記事)の手口は驚くほど単純なものだったそうだ(Mail Online家/.)。 「ここ最近最も大胆な手口の銀行データ盗難」などと言われたこの事件、大量の顧客情報を盗んだ手口は驚くほど単純なものだったそうだ。なんとシティグループのウェブサイトのクレジットカード顧客が利用するページのURLには顧客の口座番号が埋め込まれていたそうで、犯行グループは単にこの番号を他の番号に置き換えていくことでデータを手に入れていたとのこと。 犯行グループはこの口座番号を入れ替えてデータを取得するプログラムを開発し、大量のデータを持ち逃げしたとのことだ。

    Surgo
    Surgo 2011/06/15
    なんつぅ。。。 -> 米シティグループ顧客情報流出、その手口は単純だった - スラッシュドット・ジャパン
    リンク

  • Anonymous、サイバー攻撃の次はファックスマシン攻撃 | スラド セキュリティ

    WikiLeaks 擁護派ハッカー集団 Anonymous が、WikiLeaks と距離を置くことにした企業に対して仕掛ける次の戦略は、アナログ的なファックスマシン攻撃であるとのこと (Netcraft の記事、家 /. 記事より) 。 Anonymous が「Leakflood ミッション」と銘打った新攻撃戦略では、アマゾンやマスターカード、Moneybookers、PayPal、VisaTableau Software に対し、大量のファックスを一日中送信し続けるよう呼びかけている。攻撃の開始を 13 日の午後 1 時 (GMT) とし、14 日の午前 4 時まで続けるよう指示している。 呼びかけのメッセージには、「敵は、我々の戦略に適応してきている。だが、所詮は動きの鈍い官僚的な奴らだ。我々はもっと素早く戦略を変更できる」とあり、今後、更にどのような手法で攻めてくるのか見物であ

    Surgo
    Surgo 2010/12/15
    "新攻撃戦略では、アマゾンやマスターカード、Moneybookers、PayPal、Visa、Tableau Software に対し、大量のファックスを一日中送信し続ける" -> Anonymous、サイバー攻撃の次はファックスマシン攻撃
    リンク
  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.