sudoでUIDに4294967295を指定すると途中からuid = 0と解釈される特権昇格の脆弱性 | スラド セキュリティ
sudoコマンドで、任意のユーザー権限でのコマンド実行を許可されているユーザーに対し、ルート権限で指定したコマンドを実行できてしまう脆弱性が確認された(sudo公式サイトでの脆弱性報告、サイオスセキュリティブログ)。 この脆弱性は、実行するユーザーを指定するsudoコマンドの「-u」オプションで「-1」もしくは「4294967295」を指定すると、そのユーザーIDではなくルート権限で指定したコマンドを実行できてしまうというもの。 任意のユーザーがルート権限を取得できるわけでは無く、sudoersなどの設定ファイルで「ALL」キーワードを使って任意のユーザー権限でのコマンド実行が許可されたユーザーのみがルート権限を奪取できる。実行できるコマンドが指定されていた場合はそのコマンドのみがルート権限で実行できる対象となる。 また、この際にログにはroot権限ではなく指定したユーザーID(-1もしく
Windows 7/8.1の更新プログラム、10月からロールアップパッケージでの提供に移行 | スラド セキュリティ
Microsoftは15日、Windows 7/8.1(Windows Server 2008 R2/2012/2012 R2を含む)を対象に、10月から更新プログラム提供をロールアップモデルに移行し、セキュリティ関連の修正と信頼性関連の修正を1つにまとめたロールアップパッケージとして提供することを発表した(Windows for IT Pros、Windows Central、V3、Ars Technica)。 Microsoftでは5月にWindows 7 SP1以降の更新プログラムをまとめた「便利な更新プログラムのロールアップ」を提供開始した際にロールアップモデルへの移行を発表していたが、この時点ではセキュリティに関連しない修正プログラムのみが含まれると説明していた。しかし、ユーザーからのフィードバックを受けてセキュリティ関連の修正プログラムも含めるようにしたとのこと。サービススタッ
福井県池田町で役場職員がアダルトサイトを訪問しPCを乗っ取られる | スラド セキュリティ
福井県池田町で議会事務局のPCがマルウェアに感染し、議員住所録が流出した恐れがあることが明らかになった(福井県池田町のお詫び、中日新聞、読売新聞)。 議会事務局長(55)が6月3日にアダルトサイトを閲覧したところ、画面に「ウイルス感染している。対応方法を電話で教える」というメッセージとIP電話の電話番号が表示されたという。そのため事務局長はこの連絡先に電話し、片言の日本語を話す相手の言いなりで遠隔操作アプリをインストールさせられ、電話がつながったまま90分ほど相手の操作を見守っていたという。 町は「全職員に綱紀粛正を徹底させる」としているが、そもそも有害サイトフィルタリングをしていれば防げたんじゃないの、これ?
「パスワードの定期的変更」は基本的には無意味 | スラド セキュリティ
あるAnonymous Cowardのタレコミより。セキュリティ研究家の徳丸浩氏が、「パスワードの定期的変更は無意味である」という理由について語っている(パスワードの定期的変更について徳丸さんに聞いてみた(1)、パスワードの定期的変更について徳丸さんに聞いてみた(2))。 アカウントのセキュリティ対策の1つとして、パスワードを定期的に変更するというのは昔から提唱されている。OSによっては、パスワードの変更後一定期間経つと強制的にパスワードの変更を求めるものもある。しかし、徳丸氏によると、このような一定期間でのパスワードの変更はあまり意味が無いという。 パスワードの変更に意味があるのは、攻撃者にパスワードが漏洩した後、その攻撃者が長期にわたってそのパスワードを使ってアカウントを監視し情報を盗み取るようなケースのみだという。それよりも、12文字以上の長いパスワードを使うことや、パスワードの使い
INAXのスマホ対応便器で脆弱性が発見される | スラド セキュリティ
INAXのスマホ対応便器に対し、米情報セキュリティ企業Trustwaveがセキュリティに関する注意勧告を発表したそうだ(本家/.、セキュリティアドバイザリ)。 問題とされているのは、スマートフォンリモコンなる機能が搭載されているINAXの便器「SATIS」シリーズ。スマートフォンから専用アプリケーション「My SATIS」を使い、Bluetooth経由でシャワートイレの設定を変更したり、トイレを操作したり、スマートフォンに保存している音楽を再生できるというものだ。 問題となっているのは、この「スマートトイレ」ではBluetoothのPINが「0000」にハードコードされている点。そのため、攻撃者はMy SATISアプリケーションを利用して任意のトイレを思うままに制御できるという。例えば連続して水洗させて水道使用量を増加させたり、おしり洗浄やビデ洗浄、温風乾燥といった機能を操作したり、蓋の開
米国でSMSのログを2年間保持することを義務づける動き | スラド セキュリティ
先日、デジタル·プライバシー法の改正が米国議会を通過したばかりだが、この法案とは別に、国や警察組織は犯罪捜査のために携帯電話会社に少なくとも2年間のSMSメッセージのログの保存を義務付けたいとしている。近年、武装強盗、コカイン流通、詐欺事件といった犯罪でSMSメッセージが使われることが多くなっているらしい。このため、SMSメッセージのログが犯罪捜査と訴訟時の証拠として採用されることも多くなっているという。 たとえば2009年にミシガン州で起きた事件では、証拠として62万6638通ものメッセージログを洗い出す羽目になったという(CNET、本家/.)。 現在、米国内ではT-Mobileのようにメッセージログを保持していない携帯電話会社もある。このため、米国内の63もの警察等が、SMSメッセージ等のメッセージログはすべて2年間保持されるべきだと主張している。しかし、CNETの記事によれば、米国で
三菱UFJニコスカードのWebサービス、パスワードを強制的に8桁に切り詰める | スラド セキュリティ
11月19日、三菱UFJニコスのクレジットカード所有者向けWebサービスにおいて、9桁以上のパスワードを設定していたユーザーに対し、パスワードを強制的に8桁に切り詰める処理が行われたことが話題になっている(Togetterまとめ)。 ユーザーに送付されたメールによると、処理の内容は以下の通り。 従来、MUFGカードWEBサービスでは、お客様がパスワード登録に際して9桁以上の文字をご入力された場合、お客様のご入力された文字数にかかわらず、頭8桁をパスワードとして登録し、その後のご利用時に照合させていただいておりました。 このたび、MUFGカードWEBサービスのログイン方法変更に伴い、同サービスのパスワードの文字数を6~8桁に限定し、ご利用時にはそのすべてを照合させていただくことにいたしました。 パスワードご登録時に9桁以上ご入力されたお客様におかれましては、前述のとおり、頭8桁をパスワードと
スイス Jura 社製コーヒーマシンの深刻な脆弱性がようやく公開される | スラド セキュリティ
先月末に脆弱性対策情報データベースに掲載された JVNDB-2009-004384 によると、Jura Impressa F90 (Amazon.co.uk のアイテム) 用の Jura Internet Connection Kit は、特権関数へのアクセスを適切に制限しないことが分かった。 悪意ある第三者が巧妙に細工したリクエストを行うことにより、サービス運用妨害 (物理的損害) 状態にされる、コーヒーの設定を変更される、およびコードを実行されるといった深刻な事態となることが考えられる。つまり「俺はエスプレッソを飲もうとしたらいつのまにかカプチーノを飲んでいた」という危険性があり (参考: hority 氏によるつぶやき) 、CVSS による深刻度も 10.0 (危険) となっている。該当機種保有者はすみやかにベンダーからの情報を参照して適切な対策を実施するように広く呼びかけられている
B-CASカードを書き換えて有料放送を視聴可能にする方法が発見される? | スラド セキュリティ
2ちゃんねるのスレッドで、未使用のB-CASカードを書き換えて、有料放送を無課金で視聴できるカードにするという方法が話題になっているようだ(「カスカ 懐石・研究 3枚目」過去ログ、「カスカ 懐石・研究 4枚目」過去ログ)。 スレッドではいくつかの成功報告が挙げられている。ただ、B-CASカードの製造時期や未使用(BSには使っていない)であるといった動作条件がある模様。 以前タダでBSやCSを視聴できる「Magic B-CAS」カードや同種の「BLACKCAS」と同様、この書き換えを行うと有料放送を登録無しに 2038年まで視聴できるようになるという。BLACKCASに関する技術的な背景はまるも製作所が詳しい。
無線LANの接続設定規格「WPS」に脆弱性 | スラド セキュリティ
無線LANの接続設定規格「WPS(Wi-Fi Protected Setup、WPS)」で用いられているPIN認証の仕様に脆弱性が確認された(JVNの脆弱性情報)。 WPSでの接続設定では、認証を行わせたい機器同士で同時にプッシュボタンを押す「プッシュボタン方式」と、4~8桁の暗証番号を利用する「PIN認証方式」がある。8桁のPIN認証を利用する場合、PINコードは10の8乗、1億通りの組み合わせがあるように見えるが、PIN認証に失敗したときにアクセスポイント側から送信される「EAP-NACK」メッセージを利用すれば、送信したPINコードの前半4桁部分が正しいか否かを判断できてしまうという。また、PINコードの最後の1桁はチェックサムであるため、結果として10の4乗+10の3乗、計1万1000通りの組み合わせを試行すれば認証に成功してしまうという。 WPS対応機器では間違ったPINを送信し
自家製 MP3 プレイヤーが原因で空港閉鎖 | スラド セキュリティ
米ネブラスカ州オマハにある空港で、自家製 MP3 プレイヤーが原因でターミナルが数時間閉鎖されるという事態が起きていたそうだ (OregonLive.com の記事、本家 /. 記事より) 。 大学院生が持っていたのはミント菓子の缶を使って制作された MP3 プレイヤー。この学生はオマハのクレイトン大学で開催されていた科学フェアに参加していたとのことで、この装置もそのために作られたものであったという。しかし空港の X 線装置を通してこの装置を確認した空港保安担当者には、缶のなかにバッテリーとワイヤーが仕込まれた「疑わしき装置」に見えたとのことで、マニュアル通り空港閉鎖の措置が取られたという。 ミント缶 MP3 プレイヤーが空港で引っかかったのは今回が初めてではなく、2 年前にもカリフォルニア州で同じ MP3 プレイヤーが空港の検査で止められ、爆弾処理班まで出動する騒ぎとなったそうだ。なお、
Android Market、アプリの8%が個人情報を無断送信 | スラド セキュリティ
米インターネットセキュリティ企業Dasientの調査によると、Android Marketで公開されているアプリの8%以上が個人情報をユーザーに無断で送信しているそうだ (Dark Readingの記事、 Digitizorの記事、 本家/.)。 調査は10,000本のAndroidアプリに対して行われたもので、ユーザーの許可していないサーバーに個人情報を送信するアプリが800本以上見つかったという。また、11本はSMSでスパムを送信していたとのこと。調査結果の詳細については、7月30日から8月4日まで開催されるセキュリティイベントBlack Hat USA 2011にて、Dasinetの最高技術責任者 Neil Daswani氏が発表する(プレスリリース)。 Digitizorの記事では、Android Marketにたびたびマルウェア問題が発生する原因として規制の欠如を挙げている。アプ
パスワード再発行の「ひみつの質問」、「好きなディズニーキャラクターは?」はNG | スラド セキュリティ
ネズミの国よりスヌーピーが好きな ID がちょっと試してみた。当然のことながらカードクラブ会員ではない(登録にはディズニー★JCBカード [jcb.co.jp]が必要) ログインIDが分からない場合は「ディズニー★JCBカードインフォメーションセンター」に問い合わせてくださいということになっているので、これはいい。おそらく問題となるのはIDが容易に推測できちゃう場合。 パスワード再発行画面 [disneycardclub.jp]でパスワードの再発行手続きに必要なものは次の3つ。 ログインID (「ディズニー・カードクラブ」サイトにログインするためのID) ※半角英数字3-10文字以内で入力してください。ひみつの質問 「母親の旧姓は?」「ペットの名前は?」「好きなディズニーキャラクターは?」「あなたの出身地は?」「お父さんのお誕生日は?」から選択ひみつの質問の回答(※全角20文字以内で入力し
Unlha32.dll等開発停止、LHA書庫の使用中止呼びかけ - Claybird の日記
今日ではほとんどのウイルス対策ソフトが書庫ファイルに対しウイルスチェックを行う機能を備えているが、多くのウイルス対策ソフトで「LZH書庫ファイルのヘッダー部分に細工を施すことでウイルスチェックを回避できる」という脆弱性が存在するとのこと(LZH書庫のヘッダー処理における脆弱性について)。 Micco氏はこれをJVN(Japan Vulnerability Note、JPCERTおよびIPAが共同運営する脆弱性情報集積サイト)に報告したところ、「不受理」となったそうだ。ZIPや7z形式の書庫にも同様の問題があるものの、そちらは「脆弱性」として受理されているとのこと。Micco氏曰く、 「ベンダー, JVN / IPA 等共に『LZH 書庫なんて知らねぇ~よ』という態度から変わることはない」と判断できましたので, UNLHA32.DLL, UNARJ32.DLL, LHMelt の開発を中止す
偽アンチウィルスソフトの数、急上昇中 | スラド セキュリティ
Google の分析によると、2009 年 7 月から偽アンチウィルスをインストールしようとするプログラムが急激に増加しているという (CNET Japan の記事、本家 /. 記事より) 。 偽アンチウィルスソフトとは「正規のセキュリティ対策製品」のように装い、ユーザから「登録料」などと称し代金をだまし取ろうとするもので、このようにユーザを脅す目的で作られたソフトウェアを「スケアウェア」と呼ぶそうだ。その急激な増加は、本物のアンチウィルスソフトがこれら偽プログラムを検出するのが難しくなる程だったとのこと。毎日新たに 300 程度出現していた偽プログラムが平均 1,462 も出現するようになり、アンチウィルスソフトによる検出率は 20 % 以下へと急落したという。 Google が 13 ヶ月に渡り 2 億 4000 万のウェブページを分析したところ、1 万 1000 以上のドメインが偽ア
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「生きている指」のみで認証できる指紋認証システム | スラド セキュリティ