<<< JPCERT/CC WEEKLY REPORT 2006-12-06 >>> ■11/26(日)〜12/02(土) のセキュリティ関連情報 目 次 【1】Apple 社の Mac 製品に複数の脆弱性 【2】Adobe AcroPDF ActiveX コントロールに脆弱性 【3】proftpd に複数の脆弱性 【4】gv のバッファオーバフローの脆弱性に関する追加情報 【5】tDiary におけるクロスサイトスクリプティングの脆弱性 【6】Blogn (ぶろぐん) におけるクロスサイトスクリプティングの脆弱性 【7】Chama Cargo におけるクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】盗難や紛失などのトラブルに備えて ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※PGP署名付き
本家記事 Firefox 2.0 Password Manager Bug Exposes Passwords によると、Firefox に Reverse Cross-Site Request (RCSR) 脆弱性があるという報告が Bugzilla へ寄せられています。 Firefox のパスワードマネジャは、記憶したパスワードを同一ドメインの別ページにも適用するそうですが、 Chapin Information Services による PoC では、 その際に hidden や display:none を使うことで「知らないうちに」情報が抜き取られるようにしています。 この実例は 10 月の時点で Netcraft が発見 していたそうですので、MySpace 利用者は念のためパスワード変更などの対策をとるべきかもしれません。 さて、今回の件で根本的な問題はどこにあるのでしょうか
右クリック禁止による画像のダウンロード対策は、顔写真を悪用しようとする人には全く無力なので、むしろ悪用されて困る画像は公開しない方が良い、というハナシ。 Yahoo!ブログ - とんちゃんの徒然日記。最近、とんちゃんのお友達で顔公開している子が増えてきました(σ^0^)σ☆ しか~し! 顔写真は【右クリック】で保存できてしまうのです!! 顔写真などを悪用されてしまうと大変な事になってしまいますよ! なので、ココで【右クリック禁止方法】を伝授します。 ブラウザに画像が表示されている時点で、閲覧者のパソコンにダウンロードされているだろ、というツッコミは別として、右クリック禁止はブラウザのセキュリティ対策に気を使っている人には全く無力。また、他人の顔写真を悪用する目的の人には「閲覧者の善意」など全く期待できないので、自分の管理できない場所に出回っては困る情報は公開しないのが原則でしょう。
We prove that a carefully written spy-process running simultaneously with an RSA-process, is able to collect during one \emph{single} RSA signing execution almost all of the secret key bits. つまり,RSAによる暗号化処理を行っているのと同じマシンで解読プロセスを走らせられることが大前提,という時点で攻撃手段はそれなりに絞られるかと. 逆に言えば,例えば一人だけが使うPCのブラウザでRSAアルゴリズムを使ってSSL通信をやるとして,その暗号鍵がそのPC上でこの方法で破られるリスクは小さい(そもそもそのPC上でそんなやばいプロセスが動作できてしまう環境自体が問題)と考えられます. 勿論, Moreover
オンラインRPG「Second Life」がウイルスに感染、駆除作業のため、ユーザーからのアクセスを一時遮断するという状況に陥った。サイトは現在復旧している。 問題を引き起こしたウイルスは、自己増殖を繰り返してSecond Life内の様々な場所に出現。データベースに多大な負荷を与え、Second Life内のアクティビティをスローダウンさせた。このため11月19日、Second Lifeを運営するLinden Labがサイトへのアクセスを一時閉鎖し、増殖したウイルスの駆除にあたった。サイトは10分程度で復旧した。 関連記事 Dell、オンラインRPG「Second Life」の世界に進出 IBMやSun Microsystems、Reutersと同じように、DellもオンラインRPG「Second Life」の世界に拠点を構えて、新たなビジネスの機会をうかがっている。 Reuters、オ
Latest topics > 署名と拡張機能の安全性 宣伝。日経LinuxにてLinuxの基礎?を紹介する漫画「シス管系女子」を連載させていただいています。 以下の特設サイトにて、単行本まんがでわかるLinux シス管系女子の試し読みが可能! « フィードバックできるようになって、変わったこと Main 恋人バトン » 署名と拡張機能の安全性 - Nov 16, 2006 僕を助けようという意図で無いにしろ、詳しい人がわかりやすく解説してくださって、大変助かりました。自分でも責任を果たしておこう。 拡張機能の「安全性」と言った場合に、それが指すものには二つのレイヤがある。 その拡張機能が、トロイの木馬や致命的なセキュリティ上の脆弱性など、利用者を危険に晒す要素を含んだ物であるかどうか?(内容が良いか悪いか) ダウンロードしたそのファイルが本当に、インストールしようとしている拡張機能そのも
Microsoftの月例パッチ提供から2日。ワーム作成に使われる恐れがあると指摘されていたWorkstationサービスの脆弱性を突くコードが公開された。 セキュリティソフトメーカーの米McAfeeによると、Microsoftがパッチを公開したばかりのWorkstationサービスの脆弱性を突くコードが11月16日、リリースされた。 Microsoftは14日の月例セキュリティアップデートでこの問題について情報を公開し、修正パッチをリリースしたばかり(MS06-070)。この時点でセキュリティ各社は、この問題はワーム作成に利用される可能性があり、特に注意が必要だと指摘していた。 問題の影響を受けるのはWindows 2000 SP4とWindows XP SP2。Workstationサービスにメモリ破損の脆弱性が存在する。McAfeeによれば、この脆弱性はユーザーが何もしなくてもリモート
米Adobe Systemsは現地時間11月14日,同社の「Flash Player」に複数のセキュリティ・ホールが見つかったことを明らかにした。セキュリティ・ホールを悪用されると,クライアントが要求するHTTPヘッダーを改ざんされる恐れがあるという。その結果,最悪の場合,セッションを乗っ取られる可能性などがある。影響を受けるのはFlash Player 9.x/8.x/7.x。対策は,セキュリティ・ホールを修正したバージョン9.0.28.0にアップグレードすること。 Flash Playerには,クライアントから送信するHTTPヘッダーの取り扱いに問題があることが明らかとなった。このため攻撃者は,クライアントが送信するHTTPヘッダーに任意のコマンドなどを挿入して,いわゆる「HTTP Request Splitting攻撃」を仕掛けることができるという。この攻撃は,クロスサイト・スクリプ
「ウェブリブログ」は 2023年1月31日 をもちましてサービス提供を終了いたしました。 2004年3月のサービス開始より19年近くもの間、沢山の皆さまにご愛用いただきましたことを心よりお礼申し上げます。今後とも、BIGLOBEをご愛顧賜りますよう、よろしくお願い申し上げます。 ※引っ越し先ブログへのリダイレクトサービスは2024年1月31日で終了いたしました。 BIGLOBEのサービス一覧
Latest topics > 拡張機能に電子署名って「必要」なの? 宣伝。日経LinuxにてLinuxの基礎?を紹介する漫画「シス管系女子」を連載させていただいています。 以下の特設サイトにて、単行本まんがでわかるLinux シス管系女子の試し読みが可能! « Firefox 2でタブを縦置きする方法(pure CSS solution) Main フィードバックできるようになって、変わったこと » 拡張機能に電子署名って「必要」なの? - Nov 15, 2006 Firefoxで拡張機能のインストール時に「この拡張機能は署名されていません」という警告が表示されるけれども、これについて、署名くらい付けろよという話がたまに出る。利用者の安全性を確保するという観点では確かに重要な事だ。けど、現実には、署名付きの拡張機能というのはほとんど無い。それは何故なのか。 署名を付けるには何が必要なん
ミクシィは11月8日、SNS(ソーシャルネットワーキングサービス)「mixi」で、投稿した画像がmixiの外部からでも閲覧できる仕様を修正した。 日記やフォトアルバムなどに投稿した画像はこれまで、「友人までの公開」などと閲覧制限をかけていても、画像URLに直接リンクすれば誰でも閲覧できた。修正後、画像に直接リンクしても表示できないか、一定時間経つと表示できなくなった。 関連記事 「mixiの裏技」でパニック バグ悪用でデマ出回る 「他人のページに『足あと』を残さずに訪問できる裏技がある」――mixiでこんなうわさが流れたが、この裏技は、実行すると「全ユーザーをアクセス禁止」にしてしまうというもので、mixiのバグが原因。バグが修正されるまで、一時パニックとなった。 関連リンク mixi
2006年11月8日(日本時間)、FreeBSDプロジェクトよりセキュリティ勧告FreeBSD-SA-06:24.libarchiveが公開された。SA-06:24は、FreeBSDに標準で含まれるlibarchiveと呼ばれるライブラリに含まれる問題(CVE-2006-5680)を指摘したものだ。2006年9月5日以前の6.x系列に影響があり、CPU資源を枯渇させるサービス妨害攻撃の原因となる危険性がある。ただし、6.x系列からのリリースである6.0-RELEASEおよび6.1-RELEASEには影響しない。 libarchiveとはアーカイバの機能を実現するために使われるライブラリであり、これを使用する代表的なコマンドはtarやcpio。FreeBSDは5.3-RELEASEまでGNU tarを採用していたが、6.x系列以降はlibarchiveを使った独自の実装(bsdtar)を用い
オープンソースのWebブラウザ、Firefox 1.5.0.7以前に複数の脆弱性が存在。修正版がリリースされた。 Mozilla Foundationは米国時間の11月7日、オープンソースのWebブラウザ、Firefox 1.5.0.7以前に複数の脆弱性が存在することを明らかにし、当初の予定通り、修正版のFirefox 1.5.0.8をリリースした。同時に、電子メールクライアントの「Tunderbird」やインターネット統合アプリケーションの「SeaMonkey」も修正版を公開し、アップグレードを推奨している。 FrSIRTの情報によると、脆弱性が存在するのはFirefox 1.5.0.7以前とThunderbird 1.5.0.7以前、SeaMonkey 1.0.5以前。10月24日にリリースされたFirefox 2.0については言及がなく、影響は及ばない模様だ。 これらのバージョンには
Slashdot | 30 Years of Public Key Cryptography 我々のセキュリティ基盤の重要な部分をなす公開鍵暗号方式が生まれて30年になるというニュースを聞いて驚いた時点で、サイモン・シンの『暗号解読』(asin:4105393022)もスティーブン・レビーの『暗号化』(asin:4314009071)も読んでないことがバレてしまうな。後者のほうは、Whitfield Diffie についての生き生きとした記述を図書館で読んで、絶対買おうと思っていたのに…… それにしても Computer History Museum が主催した30周年記念イベントは面子が豪華だ。件の Whitfield Diffie と Martin Hellman は当然として(二人あわせて Diffie - Hellman!)、マイクロソフトのレイ・オジーも参加してるし、司会者は『暗
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く