米NGO、キャリアにより脆弱性が放置されたAndroidスマートフォンの調査と救済をFTCに求める | スラド セキュリティ
Androidスマートフォンの多くでセキュリティーアップデートが提供されず、脆弱性が放置されているとして、アメリカ人権自由協会(ACLU)が米連邦取引委員会(FTC)に調査と救済措置を求める訴状を提出したそうだ(ACLUのブログ記事、 訴状: PDF、 The Security Ledgerの記事、 本家/.)。 Android OSはGoogleによってセキュリティー修正が行われているが、多くのデバイスは携帯キャリアやハードウェアメーカーによりカスタマイズされたOSが搭載されているため、Google提供のセキュリティーアップデートをそのまま適用することができない。Androidデバイスはスマートフォン市場の75%を占めるが、既知の脆弱性が確認されているバージョンが多数を占めるという。Androidを狙ったマルウエアの多くは既知の脆弱性を狙ったものであるのにも関わらず、キャリアやハードウェ
New GitHub Pages domain: github.io
EngineeringNew GitHub Pages domain: github.ioBeginning today, all GitHub Pages sites are moving to a new, dedicated domain: github.io. This is a security measure aimed at removing potential vectors for cross domain attacks targeting the… Beginning today, all GitHub Pages sites are moving to a new, dedicated domain: github.io. This is a security measure aimed at removing potential vectors for cross
【拡散希望】twitterの新型ウイルスがヤバい URL踏んだだけでアウト
2020/10/18 エンジニア D4DJ Groovy Mix オープンベータ開始 2020/10/18 DJ 秋葉原(を夢見る)パラダイスレイディオ Vol.1 @ twitch配信 2020/10/25 エンジニア D4DJ Groovy Mix リリース 2020/11/14 DJ UNDER Freaks 2nd anniv. @ 渋谷Cafe W (渋谷WOMB 1F) (2013/03/01 14:40追記) twitter側で、このタイプのウイルスへの対策が取られ、「URLを踏んだだけでアカウントを乗っ取られる」という脅威は無くなりました twitterに出現した新型ウイルスが非常にヤバいので、対処法などをまとめてみました。 #正しくはウイルスではなく「攻撃サイト」ですが、脅威が伝わりづらいので釣り気味に「ウイルス」と書いてます。 (2013/02/28 23:08追記):
「Java 7 Update 11でも脆弱性は残っているから引き続きJava無効化を」という話について
「Java SE 7 Update 11 でもバグが修正されていない」という専門家の意見が書いてあるロイター通信の記事(Oracle updates Java, security expert says it still has bugs)をTwitterで紹介しましたが、「やはり修正されていない」「修正されたのは2つの脆弱性の内の一つだけ」というニュース記事が複数出てきました。 これらのニュース記事には、「Java 7 Update 11でも脆弱性は残っているから、Java(Java appletを起動するためのブラウザ上のJavaプラグイン)をひきつづき無効化せよ」という内容のCERTの意見が掲載されています(無効化手順はこちら)。 しかし、日本語の記事が曖昧で、少し情報源のページを読んでみると、単に「片方が修正されていないから危険」というわけではない、ちょっとややこしい話のようだった
Japan Vulnerability Notes
JVNVU#93188600: UDPベースのアプリケーション層プロトコル実装におけるサービス運用妨害 (DoS) の脆弱性 [2024/03/21 16:00] JVNVU#93571422: Franklin Electric製EVO 550および5000における'/../filedir'に関するパストラバーサルの脆弱性 [2024/03/21 11:30] JVNVU#90671953: Sangoma Technologies製CG/MG family driver cg6kwin2k.sysにおけるIOCTLに対する不十分なアクセス制御の脆弱性 [2024/03/21 11:00] JVNVU#99690199: 三菱電機製MELSEC-Q/LシリーズCPUユニットにおける複数の脆弱性 [2024/03/18 18:00] JVNVU#96145466: 複数の三菱電機製FA製品
selectbox:サービス終了
selectbox サイトサービス終了のお知らせ 2023年3月30日をもってselectboxは終了しました。 長年selectboxをご利用いただき、誠にありがとうございました。 翔泳社では複数のデジタルメディアを運営しております。 今後は各メディアから資料をダウンロードしていただけます。 翔泳社のメディア:https://www.shoeisha.co.jp/media
Facebookのメッセージは送信者を自由に偽装して送れることが判明
これちょっとマズいんじゃないかなあ。 Kampa! の人である佐田さんが見つけて教えてくれたんだけど、 Facebook のメッセージは割と簡単に他人になりすまして送れるみたい。 以下、すべて送信者と受信者の自発的な協力を得て試してみた結果です。 起きること Facebook ではユーザーに @facebook.com のメールアドレスが与えられています。 個人ページが www.facebook.com/namaewo の人なら namaewo@facebook.com という具合に。 そのアドレス宛にメールを送ると、 アドレスの所有者に Facebook 上のメッセージとして届きますね。 この時、そのメールの送信元メールアドレスが 別の Facebook ユーザーによって登録されているアドレスであった場合 Facebook では、そのユーザーから送られたメッセージとして扱われます。 電子
Tポイントツールバーを導入するとSSL通信の履歴までもが盗聴可能になる
twitterなどでTポイントツールバーの利用規約が話題になっています。このエントリでは、Tポイントツールバーを実際に導入して気づいた点を報告します。結論として、当該ツールバーを導入すると、利用者のアクセス履歴(SSL含む)が平文で送信され、盗聴可能な状態になります。 追記(2012/08/10 20:10) たくさんの方に読んでいただき、ありがとうございます。一部に誤解があるようですが、ツールバーが送信している内容はURLだけで、Cookieやレスポンスまでも送信しているわけではありません。URLを送信するだけでも、以下に示す危険性があるということです。 追記終わり 追記(2012/08/13 23:50) ポイントツールバーにバージョンアップがあり、WEB閲覧履歴の送信がSSL通信に変更されました。従って、WEB閲覧履歴が盗聴可能な状況は回避されました。本日22:50頃確認しました。
ソースコードの脆弱性をチェックするツール、IPAが無償公開。C言語に対応
IPA(独立行政法人情報処理推進機構)は、 C言語で作成されたソースコードに脆弱性が存在しないかどうかを検査するツール「iCodeChecker」を公開しました。無償で利用できます。 iCodeCheckerは、ソースコードの脆弱性が存在する箇所を検出し、修正例や脆弱性が悪用された場合の脅威についてのレポートを出力するツール。プレスリリースから引用します。 本ツールは、脆弱性やソースコード検査技術を学習したい学生や開発者を対象に、利用者自身が作成したソースコード(C言語)を検査することできます。 本ツールでは、ソースコードの脆弱性が存在する箇所を検出し、修正例や脆弱性が悪用された場合の脅威について解析したレポートを出力します。利用者は本ツールを通して、脆弱性を学習するとともに、ソースコードセキュリティ検査技術の有効的な活用方法を習得することができます。 配布形式は、VMイメージ、パッケージ
GPGPU時代のハッシュアルゴリズム
Coding Horror: Speed Hashing xkcd: Password Strength GPGPUが一般的になった現代では、従来のハッシュアルゴリズムは十分な強度ではないというお話。一般人が五百ドル程度で購入できるハイエンドグラフィックカードは、現在のハイエンドCPUより150倍も高速にハッシュ計算ができる。しかも、GPGPUで高速に計算できるということは、並列性が高いということを意味する。つまり、GPUを増やせば容易にスケールするので、さらに危ない。 もはや、MD5やSHA-1、SHA-2の時代は終わった。これからの開発者は、GPGPUに対しても十分な強度を持つ、容易に並列化できないハッシュアルゴリズムを採用しなければならない。 ユーザーは、長いパスワードを使わなければならない。現時点でのJeff Atwoodのおすすめは、12文字以上である。1(xY%08などという、
fuzzing.html#003
このウェブページでは、「脆弱性検出の普及活動」(*1)で公開した「ファジング活用の手引き」等の「ファジング」(*2)に関する手引書などを紹介しています。これらの手引書などをご活用いただき、ソフトウェア製品の開発ライフサイクルへのファジング導入につながり、ソフトウェア製品の脆弱性が減少することを期待します。 ファジングコンテンツ一覧
github の mass assignment 脆弱性が突かれた件
Github に脆弱性。やった人は Rails に有りがちな脆弱性を issue に挙げていたが相手にされず、実際にそれを突いてきた。一見 childish だが、それだけ簡単に脆弱な実装がなされてしまうということだ。週明けの今日、Rubyist はまず関連情報に一読を。 — Yuki Nishijima (@yuki24) March 4, 2012 気になって調べたのでメモ。自分も気をつけないとなー。 Public Key Security Vulnerability and Mitigation - github.com/blog/ github に脆弱性があってそれが突かれたらしい。 Rails アプリにありがちな脆弱性の一つ、Mass assignment とかいうタイプの脆弱性である。 mass assignment 脆弱性とは mass assignment 脆弱性とは何か、
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ggsoku.com
JINSのECサイトに不正アクセス、1万2036件のカード情報流出の可能性 
驚きの顛末、グーグルの脆弱性が採用メールから悪戯されるまで