In order to gain access to any information in privileged memory using one of these exploits, a user-level application must be launched on the specific machine to be compromised. This means that presently, an OS/2 executable must be used as the attack vector. As of this writing, we are not aware of any such code which executes on the OS/2 platform. Browser-based attacks (running JavaScript) appear

Ubuntuのパッケージ管理システムである「Snappy」向けのパッケージ配信サービス「Ubuntu Snap Store」で配信されていたパッケージに悪意のあるプログラムが含まれていることが判明した。 少なくとも「2048buntu」と「Hextris」という2つのパッケージに問題のあるプログラムが含まれていたという。この2つと開発者であるNicolas Tomb氏によるほかのパッケージはすでに削除済み。マルウェアが含まれていたという報道もあるが、これらパッケージに含まれていたのは仮想通貨のマイニングコードだったようだ。CPU負荷と電気代は増えるが、情報を盗んだりバックドアを開けたりすることはないとしている（LINUX UPRISING、BetaNews、Slashdot）。

Intel CEOのBrian Krzanich氏が2017年第4四半期収支報告で、今年中にSpectre/Meltdown脆弱性を直接的に解決した製品を出荷できると述べている(収支報告のトランスクリプト、 HotHardwareの記事、 Wccftechの記事、 収支報告のMP3: 該当部分は2分30秒あたりから)。 Krzanich氏はIntelにとって最優先事項はセキュリティであり、当面の課題は顧客のインフラストラクチャーを保護するための高品質な緩和策の提供だと説明。さらに、今後の製品ではSpectre/Meltdown脆弱性の直接的な解決策となるシリコンベースの変更を進めており、年内には登場するとのこと。 ただし、Krzanich氏は具体的な製品名や出荷時期については触れていない。PCWorldの記事ではシリコンベースの変更がSpectreとMeltdown両方の問題を解決できるの

GoogleがGoogleアカウントにおけるOAuth認証について、利便性とセキュリティ強化のために仕様変更を行うことを明らかにした。具体的には、今後数ヶ月内にいわゆる「WebView」など、アプリケーションにWebブラウザの機能を組み込むためのコンポーネントからのOAuthリクエストを受け付けないよう変更するとのこと（Google Developers Blog）。代わりに、端末のWebブラウザ経由で認証を行う手法が推奨されている。 WebViewでのログインでは、アプリ毎にGoogleのログイン画面にアクセスしてアカウント名やパスワードを入力する必要があった。いっぽう、端末のWebブラウザ経由で認証を行うことで、アプリ毎にログインを行う必要がなくなり、一度Webブラウザでログインすればアプリ毎のログインは不要となる（ただし確認画面は表示される）点がメリットだとされている。 WebVie

ストーリー by hylom 2015年07月02日 19時12分 どうしてもやりたいなら毎回入力させるのが一番安全ではある 部門より 最近の家計簿アプリでは、ネットバンキングサービスから自動的に残高や入出金記録を取得して記録する機能を備えているものがあるそうだ。この機能を利用するためには、アプリにネットバンキングのパスワードを含むアカウント情報を登録しておく必要があるのだが、これについての是非が議論されている（ツイナビ：いやー、家計簿アプリ業界、そのうち絶対にヒドい事件がおきると予想します）。 例として上がっているのは「Zaim」や「MoneyForward」という、いわゆるクラウド型のサービス。入力した認証情報はこれらサービスを運営するサーバー側に保持されることになる。記録されるのはログインIDやパスワードと言った「最低限の情報」とされているが（Zaim）、サービスや連動するネットバン

Chrome 45ではセキュリティ改善のため、クライアントサイドでのTLS 1.0へのフォールバックが廃止されたため、HTTPS経由で繋がらないサイトが現れている(ただしHTTP経由で開けるものは多い)。 これは、バギーなサーバーが、仕様に反してTLS 1.0よりも新しいClientHelloを無視するために起こるもので、Chromeは「SSL サーバーが古い可能性があります。」というエラーメッセージを表示する。 ざっと確認したところ、 ヤマト運輸のクロネコメンバーズ、 ミスタードーナツ、 ダスキン、 出版社共同ネット、 競輪、 J-CASTの東京バーゲンマニア、 神奈川県教育委員会ネットワークシステム、 東京学芸大学、 太平洋フェリー などがHTTPS経由で開けないようだ。 編注: タレこみにあった日本自動車連盟、UCカード、UR都市機構については、他のWebブラウザーでも正常にアクセス

ドイツ連邦議会のコンピューターネットワークは5月にサイバー攻撃を受けてマルウェアを送り込まれたが、4週間以上経過しても復旧できていないようだ(Deutsche Welleの記事、 The Localの記事、 The Registerの記事)。 独誌Der Spiegelなどは、議会のIT専門家がマルウェアの遮断に失敗して現在も外部にデータが送信され続けており、復旧のためにはソフトウェアだけでなくハードウェアもすべて入れ替える必要があるなどと報じているが、議会の報道官などは報道を否定。外部へのデータ送信は2週間以上前から確認されておらず、サーバーの一部はデータの抹消と再インストールが必要となるものの、対応可能な数だとしている。

LenovoのノートPCに「Superfish」というアドウェアがプリインストールされていた問題で、同社はこれを削除するツールを配布する予定を明らかにした(WSJ Digitsの記事、 本家/.)。 Wall Street JournalのインタビューでLenovoのCTO、Peter Hortensius氏は、削除ツールの完成後ただちに配布する予定であると語っている。このツールはSuperfishをアンインストールするだけでなく、影響をすべて消去するものになるという。配布方法などは今後プレスリリースで発表するとのことだ。 Superfishがもたらすセキュリティ上の危険性に関して、セキュリティ研究家との認識の食い違いについて指摘された同氏は、「セキュリティ研究家と言い争うつもりはない。彼らは理論上の懸念について論じている。我が社としては不正行為が発生したとは認識していないが、このソフトウ

先日、SSL3.0の脆弱性（通称「POODLE」）が発見されたが、この脆弱性がTLSにも影響する可能性があることが明らかになった（JVNVU#98283300、CNET Japan）。 TLS通信においても、Padding Bytesの検証処理が行われていない実装の場合、この脆弱性の影響を受ける可能性があるとのこと。実際に影響を受けるTLS実装も確認されている模様。

Windows 8ではダウンロードしてインストールするすべてのアプリに関する情報をMicrosoftに送信するとして、本家/.で話題になっている(Within Windowsの記事、 Nadim Kobeissi氏のブログ記事、 本家/.)。 。 Windows 8のデフォルトでは、インターネットからダウンロードしたアプリケーションを実行する際にMicrosoftのサーバーに問い合わせて安全性を確認するWindows SmartScreenが有効になっている。SmartScreenが送信する情報の中には、実行ファイルのハッシュのほか、Base64エンコードされたファイル名も含まれるとのこと。なお、SmartScreenはWindows 8をマルウェアから保護する機能の一つなので無効化は推奨されないが、コントロールパネルの「アクションセンター」から無効化することが可能だ。また、ダウンロードし

CPRM解除ツールを「インターネット脅威ランキングトップ」と認定したり、B-CAS書き換えツールをマルウェアと認定したりとその所業が失笑を浴びているトレンドマイクロだが、今度はフリーソフトの開発を停止に追い込む悪行を達成した。 先月、フリーウェアの Windows カスタマイズツール、マルウェアと認識され作者サイトがブロックされるという問題が発生したが、その続報となる。発生したのはトレンドマイクロのセキュリティソフトがフリーソフト「いじくるつくーる」と「すっきり!! デフラグ」の配布サイトに対し、「危険なWebサイトである」とのメッセージを表示してブロックする、という問題なのだが、トレンドマイクロに「稀にしか発生しない」とされた誤検知が繰り返し発生、さらに「再発防止策について詳細を聞いたところ、継続的な出費が発生してしまうものであり、しかも、手間が大きくかかってしまうものであることから、受

先日B-CASカードの有効期限を書き換える件が話題になったが、ネットで出回っている「書き換えツール」に対し、トレンドマイクロがマルウェアと認定、削除対象としている（トレンドマイクロのマルウェア情報ページ）。 これはおかしくはないだろうか？ 知らない間に勝手に入りこんだり裏に隠れて悪さを働く類のプログラムと違い、ユーザがその機能を理解し必要としてPCに入れたプログラムをマルウェア扱いにして消そうとするのはいかがなものか。DeCSSをウィルス扱いして消して回っているようなものではないのか。 不正は不正である。B-CASカードを書換えてタダ見をたくらむ連中を擁護する気はない。しかし、いくら現行法でこの書換え行為を取り締まることは難しいからといって、いきなり削除対象にするのはやりすぎだ（削除するかどうか最終判断はユーザに有るとしても）。 トレンドマイクロは越えてはならない一線を越えたような気がする

コンピューターが危険にさらされていると誤解させるような情報を表示して製品を購入させようとしているとして、米ワシントン州の James Gross 氏が Symantec をカリフォルニア州サンノゼの連邦地裁に提訴した (Reuters の記事、Bloomberg の記事、The Inquirer の記事より) 。 訴状では Symantec が配布するトライアル版ソフトウェアでシステムをスキャンすると、実際の状態にかかわらず有害なエラーやプライバシーの危険などの問題を報告すると主張している。取り上げられているのは「Norton Utilities」および「PC Tools Registry Mechanic」、「PC Tools Performance Toolkit」の 3 本。Gross 氏の代理人が他の Symantec 製品を使用してスキャンしたところ、上記の 3 本が報告した問題

日本は標的になっていないのであまり話題になっていないが、第2のStuxnetことマルウェア「Duqu」の侵入経路が明らかになった(マイクロソフト セキュリティ アドバイザリ、 Symantec Official Blogの記事、 本家/.)。 MicrosoftはDuquがWindowsのゼロデイ脆弱性を突いていることを11月1日に認めていたが、詳細は明らかにされていなかった。4日付で公開されたセキュリティアドバイザリ(2639658)によると、Win32k TrueTypeフォント解析エンジンの脆弱性により特権が昇格されるというものだという。Server CoreインストールのWindows Server 2008/2008 R2を除き、Windows XP以降すべてのバージョンのWindowsが影響を受ける。ハンガリーのセキュリティ企業CrySys Labが復元したDuquのドロッパー