「Flash Media Server」にセキュリティ問題--アマゾンから動画を無料ダウンロード可能に:ニュース - CNET Japan
UPDATE Adobe Systemsのソフトウェア「Flash Media Server 3.0」に存在するセキュリティホールが原因で、ネットユーザーがAmazon.comの有料ビデオストリーミングサービスに無料でアクセスし、ビデオを保存したりコピーしたりできる状態になっている。Flash Media Serverは、インターネットを介した映画やテレビ番組の配信に利用されるソフトウェアだ。 このセキュリティホールにより、オンラインの動画コンテンツは、Napsterの時代に音楽業界を悩ませた海賊行為の猛威にさらされている。小売業者や映画スタジオ、テレビネットワークが膨大な数のインターネットユーザーから利益を出そうとする取り組みが、この問題によって損なわれているのだ。 セキュリティ専門家で、BT Groupの最高セキュリティ技術責任者を務めるBruce Schneier氏は、「これはA
クリックジャッキング:研究者が複数のブラウザに対する新たな脅威について警告
文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎 2008-09-27 10:55 セキュリティ研究者が、すべての主要なデスクトッププラットフォームに影響のある、新たな恐ろしいブラウザに対する脅威に対する警告を発している。その対象となるのは、Microsoft Internet Explorer、Mozilla Firefox、Apple Safari、Opera、そしてAdobe Flashだ。 この脅威は「クリックジャッキング」と呼ばれるもので、OWASP NYC AppSec 2008カンファレンスで議論されるはずだったものだが、Adobeやその他の影響を受けるベンダーの要望で、包括的な修正が準備されるまではこの話題を公にすることが取りやめられていたものだ。 これを発見したのは、Robert Hansen氏とJeremiah Grossm
DNSサーバーに存在するぜい弱性の詳細情報が流出
McAfee Avert Labs Blog 「“The-Cat-is-Out-of-The-Bag” DNS Bug」より July 23,2008 Posted by Ravi Balupari ダン・カミンスキー氏は先ごろDNSサーバーに存在するセキュリティ・ホールを発見したが,多くの情報を伏せていた。そしてIT業界に広く働きかけた結果,複数のDNS関連ベンダーが修正パッチを公開してきた。ところが,同氏はセキュリティ・ホールの技術的詳細を公開していないにもかかわらず,関連情報が誤って米マタサノ・セキュリティのブログから大量に漏れてしまったらしい(関連記事:DNSサーバーに見つかったぜい弱性の詳細が公開,すぐにパッチの適用を)。 編集部注:このDNSサーバーのぜい弱性について,カミンスキー氏は8月に開催されたBlack Hatで情報を公開した(関連記事:カミンスキー氏,DNS脆弱性につ
DNSの再帰的な問合せを使ったDDoS攻撃の対策について
--------------------------------------------------------------------- ■ DNS の再帰的な問合せを使った DDoS 攻撃の対策について 2006/03/29 (Wed) --------------------------------------------------------------------- ▼概要 DNS の再帰的な問合せ (recursive queries) を使った DDoS 攻撃が数多く発 生しています。適切なアクセス制限を行っていない DNS サーバは、DDoS 攻撃 の踏み台として使用される可能性があります。 DNS サーバはその機能から、キャッシュサーバ (Recursive Server) とコンテ ンツサーバ (Authoritative Server) の 2 つに分類することがで
高木浩光@自宅の日記 - Yahoo!ケータイ初回利用時のユーザID通知に関する告知
■ Yahoo!ケータイ初回利用時のユーザID通知に関する告知 ソフトバンクモバイルのケータイWeb(「Yahoo!ケータイ」と呼ぶらしい)では、https:// ページへのリンクが妙な動作をするらしいというのが以前から気になっていたのだが、これは自分で調べるしかないと決意し、ソフトバンクモバイルの回線を契約し携帯電話を購入した。 早速「Y!」ボタンを押してみたところ。以下のページが現れた。最初に一回だけ表示される告知だと思われる。 SoftBankをご利用いただきありがとうございます。Yahoo!ケータイをご利用いただくにあたって必要な、お客様情報(ユーザID, ローミング情報)の通知設定を行います。 現在の情報: 未登録 ユーザIDの通知とは? (必ずお読みください) 通知する 通知しない ここで「ユーザID通知とは?(必ずお読みください)」のリンク先を見に行くと、図2の説明が現れた。
初夏にネームサーバ管理者を襲う「毒混入事件」
複数のDNSソフトウェアにおけるDNSキャッシュポイズニングの脆弱性について、改めて注意喚起が行われている。リソースレコードのTTLが極端に短いネームサーバの管理者は特に、すべてのネームサーバ管理者は週末を迎える前に再度チェックしておきたい。 7月22日以降、複数のDNSソフトウェアにおけるDNSキャッシュポイズニングの脆弱性について、改めて注意喚起が行われている。 複数のDNS実装にキャッシュポイズニングの脆弱性があるという報告は、7月8日にUS-CERTから発表されていたが、7月22日以降にこの問題に対する注意喚起が活発に行われているのは、この脆弱性の攻撃手法に関する情報が誤って公開されてしまったためである。当初は8月に開催予定の「Black Hat」カンファレンスで詳細が発表される予定だったが、このタイミングで情報が万人の知るところとなったことで、すでにこの脆弱性を使用した攻撃用プロ
Windows必携の無償セキュリティツール10選 - builder by ZDNet Japan
Windowsコンピュータの保護やウイルス除去、管理に用いることができる、Windowsユーザーにとって必携の無償セキュリティツールを10個紹介しよう。 #1:Secunia Personal Software Inspector トップを飾るのはSecunia Personal Software Inspectorだ。このツールはおそらく、Windowsマシン上で実行できる無償アプリケーションの中で最も役に立ち、かつ最も重要なものである。 このツールを用いることで、PC上にインストールされているすべてのアプリケーションをスキャンし、セキュリティパッチ/アップデートが必要なアプリケーションを特定することができる。 このツールはまず、あなたのコンピュータに格納されているファイルを検査し(検査するファイルは主に、拡張子が.exeと.dll、.ocxのいずれかのものである)、特定のソフトウェアビ
Web-based DNS Randomness Test
2023-06-01: This service has been deprecated in favor of Check My DNS. US-CERT's Vulnerability Note VU#800113 describes deficiencies in the DNS protocol and implementations that can facilitate cache poisoning attacks. The answers from a poisoned nameserver cannot be trusted. You may be redirected to malicious web sites that will try to steal your identity or infect your computers with malware. Wor
元携帯勝手サイト運営者が、実際に使っていた端末IDの使い方とかばらしちゃうよ! - FreeBSDいちゃらぶ日記
まぁ、Day 2000hit程度の(携帯勝手サイトの中では)中の下程度のサイトでしたが。 (今更になって)端末に付加されているユニークなIDにわーわー騒いでいる人が多いのですが、実際どのように使われていたのか、元携帯勝手サイト運営者が書いてみます。 参考リンク: 高木浩光@自宅の日「日本のインターネットが終了する日」 web屋のネタ帳「iPhoneと携帯契約者固有IDと複アカと青少年ネット規制によるケータイ闇ナベ狂想曲」 まず、背景ね。 アニメ・ゲームの情報交換系サイト。 Day 2000hit位の、携帯サイトの中では中の下かなぁ、という感じのサイト auがメイン、docomo対応はオマケ。PC・SoftBankからのアクセスは基本弾いていた 当時運営者の私は高校生 アニメ・ゲーム系サイトの中で、レンタル鯖使ってcgi置いてたりする勝手サイトは少なかったので、そういったサイトの管理人同士の
WASForum Conference 2008: セキュリティの作り込みはどのように行われているのか? | 水無月ばけらのえび日記
Microsoft の Security Development Lifecycle「MSのSDLは重い。君たちにできることを簡単に言わないで」と良く言われるSD3+C = "Secure by design, by default and in development" + Communications脅威モデル : バグ以外の脅威、STRIDE分析SDLは開発のライフサイクルではない。ウォーターフォールの中に組み込まれたり、併存する Microsoftのセキュリティの歴史1990年初頭 : シングルユーザOS、セキュリティに関する要求はあまりなかった1994年 : NT3.1がマルチユーザOSとなる。セキュリティ上の脅威、ユーザを他のユーザから、プロセスを他のプロセスから守る必要1998年くらいまで : 各製品チームが個別に対応していた。脆弱性が見つかったらマーケティング部門が対応19
【ハウツー】もう試しましたか? Googleの脆弱性発見ツール「ratproxy」 (1) XSS問題などを検出可能 | エンタープライズ | マイコミジャーナル
Webアプリケーション開発者にとって切っても切れない問題――それがセキュリティ対策だ。日増しに複雑になっていく要件・機能に対する脆弱性検査に悲鳴をあげているデベロッパ/テスターも多いことだろう。そのような中、あのGoogleが、社内でも活用している脆弱性発見ツールをオープンソース化して公開した。同ツールは脆弱性検査の新しい決め手となるか。以下、基本的な使い方や主要機能について紹介していこう。 Google社内で現役の脆弱性検知ツール - ratproxy Googleは1日(米国時間)、Webアプリケーションのセキュリティ監査を実施するツール「ratproxy」をリリースした。ratproxyはプロキシサーバとして動作するオープンソースソフトウェア。同ソフトウェアを経由してWebアプリケーションを操作することで、XSS(Cross Site Scripting)問題や不適切なXSRF(Cr
インターネットに重大な脆弱性が見つかる、各社が共同でパッチを作成
エジプト・カイロ(Cairo)のインターネットカフェで、海底ケーブルの損傷でインターネット回線に障害が発生する中、接続を試みる利用客(2008年1月31日撮影、資料写真)。(c)AFP/AMRO MARAGHI 【7月9日 AFP】コンピューター大手各社が、インターネットの基礎にかかわる脆弱(ぜいじゃく)性の解消に乗り出している。ハッカーがこの脆弱性を利用して、ワールドワイドウェブ(World Wide Web、WWW)を乗っ取る恐れもあるという。 この脆弱性を発見したのは、コンピューターセキュリティー会社「IOActive」の研究員ダン・カミンスキー(Dan Kaminsky)氏。約半年前、セキュリティーとは無関係のものを調べていた際、まったく偶然にその脆弱性を発見したという。 この脆弱性は、ドメインネームシステム(Domain Name System、DNS)に関するものだ。DNSはイ
コーヒーメーカーの脆弱性が発覚 | スラド セキュリティ
ついにコーヒーメーカーの脆弱性が発覚した。 Jura-Capresso社から発売されているF90型コーヒーメーカーには別売りのインターネット接続キットがあり、インターネット経由でPCからお好みのコーヒー設定などが行える。しかし、この接続キットには脆弱性があり、外部からの不正アクセスによってコーヒーの濃さや水量設定を変更したり、互換性の無いパラメータを設定することで故障させることも出来るという。 ここまでならまだ笑い話で済むが、この脆弱性を利用してユーザのWindows XPシステムへアクセスすることも可能とのこと。現在のところパッチは無い(本家/.記事より)。 コーヒーメーカーの操作は、台所まで行って自分でやるのが安全のようです。 どうも、このコーヒーメーカーのインターネット接続キットは、PCと接続して使用するものだそうで、そのためにWindows XPシステムへのアクセスまで可能になって
PHP/脆弱性リスト/メモ - yohgaki's wiki
なんだかやけに長い説明ばかり検索に引っかかったので書きました。 Linuxのローカル環境でDockerコンテナ内のXアプリ(GUIアプリ)を利用するには $ xhost localhost + を実行した後に $ docker run --rm --net host -e "DISPLAY" container_image_name x_app_binary_path とすれば良いです。 もっと読む SSHなどよく知られたサービスポートで何も対策せずにいると数えきらないくらいの攻撃リクエストが来ます。不必要なログを増やしてリソースを無駄にし、もし不用意なユーザーやシステムがあると攻撃に成功する場合もあります。 SshguardはC作られており、flex/bisonのパーサールールを足せば拡張できますがカスタム版をメンテナンスするのも面倒です。必要なルールを足してプルリクエストを送ってもマー
高木浩光@自宅の日記 - 通信路上の改竄攻撃発生に、Webサイト運営者が説明責任を負うのか?
■ 通信路上の改竄攻撃発生に、Webサイト運営者が説明責任を負うのか? セキュリティホールmemoにまとめられているように、レンタルサーバのさくらインターネットのLAN上で、ARP spoofing攻撃が発生したのではないかとの疑いが浮上している。しかし、現時点でさくらインターネットは公式にそれを認めておらず、誰も確かな情報として伝えることができない状態にある。 昨今、Webサイトのコンテンツを改竄されて、ウイルスファイルへのインラインリンクを埋め込まれる手口の被害が多発しており、その際、Webサイトを改竄されたサイト運営者は、サイトを訪れた一般利用者に対してウイルス感染に注意を呼びかける告知を出すというのが、慣例になりつつある。これは、サイト運営者がサイト管理の不備を詫びる意味も含めて、行われている発表であろう。 しかし、ARP spoofingによる「改竄」は、Webサイトのコンテンツ
ethna.jpやjp2.php.netに発生したトラブルについて - maru.cc@はてな
本日起こった、ethna.jp や、jp2.php.net のサイトに、ActiveX や Flash の脆弱性をついた攻撃をする html を読み込む iframeを差し込まれるというトラブルが発生しました。 ちょっとかかわったので、流れを記録として残しておこうと思います。 ethna.jpの第一報 10:30ごろ、%Ethna のIRCチャンネルで、mikaponさんから、mlの保存書庫に不正な iframe が差し込まれているという報告がありました。 10:31 (mikapon) おはようございます 10:32 (mikapon) ethnaのサイトなんですが 10:32 (mikapon) mlの保存書庫の所にiframe埋め込まれてませんか? ちょうど出社中の時間で、この発言をリアルタイムでは見れなかったのですが、土曜日に tiarra を入れたおかげで、発言を見ることが出来ま
高木浩光@自宅の日記 - 続・「サニタイズ言うなキャンペーン」とは
■ 続・「サニタイズ言うなキャンペーン」とは 「サニタイズ」という言葉はもう死んでいる サニタイズ言うなキャンペーンがわかりにくい理由, 水無月ばけらのえび日記, 2006年1月5日 というコメントを頂いた。まず、 これは「サニタイズという言葉を使うな」という主張ではありません。「そもそもサニタイズしなくて済むようにすべきだ」という主張です。言い方を変えると、「サニタイズせよと言うな」という主張になります。 「サニタイズ言うなキャンペーンがわかりにくい理由」, 水無月ばけらのえび日記, 2006年1月5日 とある。「サニタイズせよと言うな」キャンペーンでもよいのだが、 その場合は次の展開が予想される。 「サニタイズせよと言うな」を主張する際の具体例として、XSSやSQLインジェ クションのケースを挙げた場合、正しいコーディングは、「その場の文脈でメ タ文字となる文字をエスケープすること」と
「解読不能は数学的に証明済み」、RSAを超える新暗号方式とは ― @IT
2008/04/11 すべての暗号はいずれ破られる。2000年前のシーザー暗号の時代から高度な暗号技術が一般化したデジタル通信の現代に至るまで、それが暗号通信の歴史が証明し続けた事実であると同時に、もっとも人口に膾炙したクリシェでもあった。例えば、鳴り物入りでリリースされたDVDのコンテンツ暗号技術「CSS」(Content Scramble System)が、リリースからわずか数年で10代のノルウェー人ハッカーに破られたことは記憶に新しい。 【追記】(2008年4月15日) この記事は取材に基づいて執筆したものですが、一部専門家らから「CAB方式暗号は解読不能」というのは誇大表現ではないかとの疑義が呈されています。アルゴリズムの公開や第三者による検証がない現在、この記事に登場するCAB方式が発案者・実装者の主張通り画期的な暗号方式で、本当に解読が不可能であるかどうか分かりません。現在、専
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
はてなフォトライフAtomAPI
Bugtraq