WindowsにおけるDLLハイジャック脆弱性、多くのメジャーなソフトウェアにも | スラド セキュリティ
世間を騒がせつつあるDLLハイジャックの脆弱性であるが、セキュリティ診断ツールMetasploitの開発版においてこの問題をチェックする機能「webdav_dll_hijacker」が追加され、簡単にこの脆弱性を発見できるようになった(Metasploitのブログ記事、本家記事)。 問題となっている脆弱性は、アプリケーションがリモートの共有ディレクトリ内にあるファイルを開く際にそのファイルと同じディレクトリにあるDLLをロードしてしまうというもの。webdav_dll_hijackerではLinux上でWebDavサーバーを実行させ、Windows側からそこにあるファイルを開くことで診断を行うという。もし脆弱性がある場合、ソフトウェアがサーバー側にあるDLLを読み出そうとするため、サーバー側にアクセスのログが残る。これをチェックすることで脆弱性を発見する、という原理だそうだ。 実際、これに
米Symantecがデジタル署名を付け忘れたファイルを配布、ユーザに大きな混乱呼ぶ | スラド セキュリティ
米Symantecは9日、「Norton Internet Security 2006」および「同 2007」用の診断パッチをリリースしたが、この中に含まれていた「PIFTS.exe」にはデジタル署名が付けられていなかった。その結果、インターネットにアクセスしようとするこのプログラムはファイアウォールで引っ掛かり、「PIFTS.exeがDNSに接続しようとしています」と警告が表示される状態となってしまった(ITmedia、INTERNET Watch、他より)。 同社はリリース数時間後には問題に気付き配布を中止したが、時を同じくしてSymantecのユーザフォーラムにはある個人が多数のユーザアカウントを作成し、PIFTS.exeに関するスレッドを複数立て、その後新たに200以上のユーザアカウントを作り数時間で600以上の投稿を行ったとのこと。同社はこれをスパムとして直ちに削除したのだが、一
ブラウザのパスワードマネジャを信頼して大丈夫? | スラド セキュリティ
本家記事 Firefox 2.0 Password Manager Bug Exposes Passwords によると、Firefox に Reverse Cross-Site Request (RCSR) 脆弱性があるという報告が Bugzilla へ寄せられています。 Firefox のパスワードマネジャは、記憶したパスワードを同一ドメインの別ページにも適用するそうですが、 Chapin Information Services による PoC では、 その際に hidden や display:none を使うことで「知らないうちに」情報が抜き取られるようにしています。 この実例は 10 月の時点で Netcraft が発見 していたそうですので、MySpace 利用者は念のためパスワード変更などの対策をとるべきかもしれません。 さて、今回の件で根本的な問題はどこにあるのでしょうか
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
