Safari 15、Web行動履歴の漏洩につながる脆弱性。特にiPhone/iPadに大きな影響
ファビコン使ってユーザーの追跡が可能、主要ブラウザの多く防御できず
Fossbytesは2月12日(米国時間)、「Your Browser's Favicons Could Be Used To Track You Online: Here&s How」において、トラッカーがファビコン(Favicon)を使うことでユーザーをトラッキング可能だと伝えた。Jonas Strehle氏の次のドキュメントを引用する形で伝えている。 supercookie • workwise 概念実証のコードも含めた説明は次のページにまとまっている。 GitHub - jonasstrehle/supercookie: ⚠️ Browser fingerprinting via favicon! supercookie • workwise ファビコンは16x16または32x32のサイズで提供されることが多いアイコン。Webページごとに提供可能であり、通常はWebブラウザのタブに
新たなWebハッキング技術、2019年に登場したトップ10をPortSwiggerが発表
サイバーセキュリティツール「Burp Suite」を手掛けるPortSwiggerは2020年2月17日(現地時間)、2019年の新しいWebハッキング技術のトップ10を発表した。 同社は、2006年からほぼ毎年、トップ10を発表している。今回はまず、Redditコミュニティー「Web Security Research」のメンバーが51件の候補を推薦し、メンバーの投票で最終選考対象を15件に絞り込んだ。最後にPortSwiggerのリサーチディレクターを務めるジェームズ・ケトル氏を含む4人の専門家パネルが協議、投票を行ってトップ10を選出した。 なぜトップ10を発表するのだろうか。「重要な」攻撃とそうでないものの見分けが付かなくなっているからだ。 毎年、研究者やベテランのペネトレーションテスター(ペンテスター)、賞金獲得を目指してチャレンジする技術者、学者が、サイバー攻撃手法についてBl
米セキュリティ研究者、Webブラウザの履歴を不正に収集する手法を発見:“履歴スニッフィング”攻撃の最新版 - @IT
米セキュリティ研究者、Webブラウザの履歴を不正に収集する手法を発見:“履歴スニッフィング”攻撃の最新版 カリフォルニア大学サンディエゴ校とスタンフォード大学のセキュリティ研究者が、Webブラウザの履歴を収集する不正な手法を4つ発見した。ユーザーがあるWebサイトを訪問したかどうかを高速に判定することで、結果的に履歴が漏れてしまう。 米国カリフォルニア大学サンディエゴ校は2018年10月30日(米国時間)、同校とスタンフォード大学のセキュリティ研究者が、Webブラウザの履歴を収集する不正な手法を4つ発見したと発表した。発見した手法は、2000年代初頭に見つかった「履歴スニッフィング」という攻撃手法と同じカテゴリーに属する。 今回の発表に先立ち、2018年8月に情報セキュリティ関連のワークショップ「2018 USENIX Workshop on Offensive Technologies(
Android に標準搭載されたブラウザの脆弱性について - 9月 - 2014 - ソフォス プレス リリース、セキュリティニュース、ソフォスに関するニュース記事 - Sophos Press Office | Sophos News and Press Releases
※この記事は本社サイト 「Naked Security」掲載の記事を翻訳したものです※ by Paul Ducklin on September 1, 2014 この記事に関する最新の更新情報は Naked Security 掲載記事をご確認ください。 ~深刻なプライバシー侵害が発生する恐れあり、対策方法~ 独立系セキュリティ研究者の Rafay Baloch 氏が Android のブラウザアプリに存在するセキュリティバグについての報告しました。このバグによって、他の Web サイトのデータを盗み出すことが可能になります。 同氏は、Metasploit でこのバグを「深刻なプライバシー侵害を引き起こすもの」と評しており、極めてショッキングなバグであることを説明するためのビデオを今後作成することになっています。 では、一体どのようなバグであり、私たちはどのように問題を回避すればよいのでしょ
Firefoxの「クリックしたら再生」機能、一部を除いて全プラグインが対象に
Flash最新版以外のSilverlight、Java、Acrobat Readerなどのプラグインは全て、ユーザーがクリックしなければ実行されなくなる。 Mozillaは1月29日、Webブラウザ「Firefox」でFlash PlayerやJava、Silverlightなどのサードパーティープラグインをロードする方法を変更し、今後はFlashの最新バージョンを除く全プラグインの全バージョンについて、ユーザーがクリックしないと実行されない「Click to Play」機能を有効にすると発表した。 Firefoxでは従来、Webサイト側のリクエストに従ってプラグインが自動的にロードされる仕組みになっていた。しかしプラグインに絡む問題が相次いだことから、安定版のFirefox 17以降、Click to Play機能が実装されるようになった。 今後はまず、Flash旧バージョンの10.2ま
Javaゼロデイ脆弱性とBlackhole攻撃ツール
8月末に検出されたJavaのゼロデイ脆弱性(CVE-2012-4681)は既に「Blackhole Exploit Kit」をはじめとする多くの攻撃ツールで実際に利用されている。トレンドマイクロは確認した攻撃手口の一部についてブログで説明し、注意を促した。 攻撃につながる不正なWebページにユーザーを誘導する手口には、スパムメール配信、改ざんされたサイト、ポルノサイトからのリダイレクト、不正広告など様々ある。ユーザーを誘導する手口が多ければ、それだけユーザーが攻撃に遭う危険性が増すことになる。スパムメールについて見ても、ビジネスSNS「LinkedIn」のメッセージを装ったもの、アンチウイルスサービスの通知を装ったもの、「eFax」サービスのインターネットファックス送信を装ったもの、米ウエスタンユニオンの送金サービスを装ったものなどいくつもある。 スパムメッセージには改ざんされたWebサイ
Android Browser Cross-Application Scripting (CVE-2011-2357)
IBM Application Security Insider The IBM Application Security Insider is a blog devoted to dissecting today’s latest industry trends, observations and evolving threats in the growing web application security industry. The IBM AppScan portfolio provides web application security and compliance solutions that pinpoint vulnerabilities and helps manage the process of fixing them. Recently we detected a
heise online – IT news, guides and background information | heise online
30 years ago today, the home computer era came to an end with the bankruptcy of Commodore. For fans of the cult computers C64 and Amiga, it is a day of mourning In an interview, the Logitech boss dreamed of a subscription mouse. The company emphasizes that such a product is not planned. AI has long since arrived in advertising. Mango has launched an advertising campaign whose content was partly cr
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
最多脆弱性ブラウザはChrome、最もパッチが適用されていないブラウザは(フレクセラ) | ScanNetSecurity
セキュリティソフト同梱のWebブラウザに脆弱性、修正まで使用停止を(JVN) | ScanNetSecurity
スマートフォンWebブラウザにおいて3種類の脆弱性を発見(FFR) | ScanNetSecurity