元・Java専門記者がLog4j 2脆弱性に見た「複雑性と魔神のかけら」 Javaの歴史とバザールの矛盾
元・Java専門記者がLog4j 2脆弱性に見た「複雑性と魔神のかけら」 Javaの歴史とバザールの矛盾(1/6 ページ) Javaのライブラリ「Apache Log4j 2」に深刻な脆弱性が発見されたことは記憶に新しい。1カ月以上経過した現在も、注意喚起や新たな情報提供が続いている。問題は完全に収束したとはいえない。 今回の記事の主題は脆弱性対策ではない。「Javaの歴史的経緯と、今回騒ぎになっている脆弱性の話を、うまく1本の記事にしてください」という編集部のオファーに応じて書いたものだ。記事の半分は「元・Java専門記者のナイショ話」である。現実の情報システムへの対処が必要な方は、まず下記ページから最新情報をチェックしていただきたい。 IPA Apache Log4j の脆弱性対策について(CVE-2021-44228) Apache Log4j 2公式ページ Log4j 2で今回問題
ランサムウェアで悪用され続けている古い脆弱性--対策に課題も
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます サイバー犯罪者がランサムウェアの配布で悪用している脆弱性の一部は、何年も前に発覚したものだ。しかし、セキュリティアップデートが適用されていないために、攻撃者は依然としてその脆弱性を悪用し続けることができている。 Qualysのサイバーセキュリティリサーチャーらは、共通脆弱性識別子(CVE)が割り当てられた脆弱性のうち、最近のランサムウェア攻撃で最も多く悪用されているものを洗い出した。その結果、いくつかの脆弱性はほぼ10年前に報告されており、ベンダーからのパッチも公開されているものだと明らかになった。しかし、多くの組織は利用可能であるにもかかわらずセキュリティアップデートを適用していないが故に、ランサムウェア攻撃の格好の標的となったままに
JavaとPythonに脆弱性、ファイアウォールを突破される恐れ
たとえユーザーがブラウザのJavaプラグインを無効にしていた場合でも、脆弱性を突いた攻撃を仕掛けられる恐れがあるという。 JavaとPythonにファイアウォールを突破される恐れのある脆弱性が見つかったとして、研究者が詳しい情報をブログで公表した。米国時間の2月20日現在、この脆弱性はまだ修正されていないという。 この脆弱性についてはドイツのセキュリティ研究者アレキサンダー・クリンク氏が2月18日のブログで伝え、続いて米セキュリティ企業Blindspot Securityが20日のブログで、さらに大きな危険があると指摘した。 クリンク氏によれば、Javaに不正なURLを介してFTPプロトコルストリームを挿入できてしまう脆弱性があり、別の脆弱性と組み合わせて悪用すれば、JavaアプリケーションからSMTPプロトコル経由で不正な電子メールを送信できてしまう可能性がある。 Blindspotの研
アップルとFacebookへのサイバー攻撃、開発者用サイトが経緯を公表
AppleとFacebookの従業員のコンピュータにアクセスするためにハッカーが使った人気フォーラムサイトは米国時間2月20日、サイバー攻撃が起こった詳しい状況について明らかにした。 サイト管理者のIan Sefferman氏は、同氏のサイト「iPhoneDevSDK」にハッカーがJavaScriptを挿入し、これまで知られていなかったエクスプロイトを使用して一部のユーザーのコンピュータにアクセスできたとする、これまでの報道を認めた。同氏は、このサイバー攻撃がおそらく2013年1月30日に終了したとも述べた。 Appleは2月19日に、同社の従業員が使用するコンピュータがハッカーの標的とされたことを明らかにしたが、「Appleからデータが奪われた形跡はなかった」としている。Appleは声明で、Javaプラグインの脆弱性を利用するマルウェアを発見したことと、それが「ソフトウェア開発者用のサイ
米Oracleの怠慢を批判――「Javaはアンインストールすべき」
米Microsoftはここ数年、OSのセキュリティ強化において、かなりいい仕事をしてきた。そのおかげで、マルウェアを使った攻撃は、OSに代わってアプリケーションレイヤーが狙われるようになっている。マルウェア対策ソフトベンダーであるロシアのセキュリティ企業Kaspersky LabsがまとめたITセキュリティ動向に関する最新報告書を見ても、Microsoftのアプリケーションが極めてしっかりとしている一方で、米OracleのJavaや米Adobe Systemsの「Adobe Acrobat」「Adobe Flash」には課題が多いことが分かる。 報告書によると、2012年第3四半期のエクスプロイトのうち、56%はJavaの脆弱性を、25%は「Adobe Acrobat Reader」(バージョン6からは「Adobe Reader」に名称変更)の脆弱性を悪用していた。MicrosoftのWi
Javaゼロデイ脆弱性とBlackhole攻撃ツール
8月末に検出されたJavaのゼロデイ脆弱性(CVE-2012-4681)は既に「Blackhole Exploit Kit」をはじめとする多くの攻撃ツールで実際に利用されている。トレンドマイクロは確認した攻撃手口の一部についてブログで説明し、注意を促した。 攻撃につながる不正なWebページにユーザーを誘導する手口には、スパムメール配信、改ざんされたサイト、ポルノサイトからのリダイレクト、不正広告など様々ある。ユーザーを誘導する手口が多ければ、それだけユーザーが攻撃に遭う危険性が増すことになる。スパムメールについて見ても、ビジネスSNS「LinkedIn」のメッセージを装ったもの、アンチウイルスサービスの通知を装ったもの、「eFax」サービスのインターネットファックス送信を装ったもの、米ウエスタンユニオンの送金サービスを装ったものなどいくつもある。 スパムメッセージには改ざんされたWebサイ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://japan.internet.com/webtech/20130221/3.html