Compromised Microsoft Key: More Impactful Than We Thought | Wiz Blog
Compromised Microsoft Key: More Impactful Than We ThoughtOur investigation of the security incident disclosed by Microsoft and CISA and attributed to Chinese threat actor Storm-0558, found that this incident seems to have a broader scope than originally assumed. Organizations using Microsoft and Azure services should take steps to assess potential impact. Microsoft and CISA recently disclosed a se
20分で分かるDirty Pipe(CVE-2022-0847) - knqyf263's blog
極限まで詳細を省けば何とか20分で雰囲気だけでも伝えられるんじゃないかと思って書きました。書き終えてから見返したら多分無理なので誇大広告となったことを深くお詫び申し上げます。 背景 概要 脆弱性の影響 ページキャッシュやsplice パイプ マージの可否 下準備 攻撃手順 まとめ 背景 先日Dirty PipeというLinuxカーネルの脆弱性が公表されました。 dirtypipe.cm4all.com Linuxのパイプに関する脆弱性なのですが、仕組みは意外とシンプルでぎりぎりブログでも伝わるかもしれないと思ったので自分の理解を書きました。あといつも細かく書きすぎて長くなるので、今回は雰囲気だけでも伝わるようにとにかく説明を簡略化し、ふわっとした概要だけでも理解してもらえるように頑張りました。その結果、若干正確性に欠ける部分があるかもしれませんがお許しください。細かい部分はまた別の記事でま
Webアプリケーションの脆弱性の解説&体験ページ
Webアプリケーションの脆弱性の解説&体験ページ 「マスタリングTCP/IP 情報セキュリティ編」(第2版) 8章で取り扱う攻撃を体験できる脆弱サイトの解説ページです。 このサイトでは、以下に示す「XSS攻撃」、「SQLインジェクション」、「CSRF攻撃」の3つについて、実際に攻撃を試すことができます。 本ページの右上には、「id」と「pass」とあるテキストボックスがあります。 「脆弱性サイトの仕組み」に示してあるIDとパスワードを入力をすることにより、当サイトのWebアプリケーションへログインできます。 なお、脆弱性体験用のWebアプリケーションは、敢えて脆弱性を作り込んでいますので、 それぞれの攻撃によって、どのようなことになるのかを確認できできます。 脆弱性体験用のWebアプリケーションの使い方については、「脆弱サイトの利用法」をご確認ください。 当サイトは、マスタリングTCP/I
Windowsメモリ保護機能をすり抜けるバイパス、発見
MicrosoftはWindows 10およびWindows 8.1 Update 3において「Control Flow Guard」と呼ばれるメモリプロテクション技術を導入した。この機能はバッファオーバーフローなどの脆弱性を悪用して任意のコードが実装されることを防ぐといった効果を持っている。ここにきて、この機能をバイパスする方法があることが研究者によって発見された。 9月22日(米国時間)、Threatpostに掲載された記事「Control Flow Guard Mitigation Bypass|Threatpost|The first stop for security news」が、Bromiumの研究者であるJared DeMott氏がこのセキュリティ機能をバイパスする方法を発見したと伝えた。BromiumではStack Desyncと呼ばれるテクニックを使うことでこの機能を回
Bill Gates: I assume my phone's not being tapped
Bill Gates: I assume my phone's not being tapped In some fascinating comments about privacy and security, the Microsoft co-founder admits that he does use e-mail to send confidential messages. And he expects a level of security from his gadgets. "It's not as if government surveillance is absolutely bad in all cases." Oh, that's a relief. With all the revelations over the last months, I'd begun to
三井住友銀行が「パスワードカード」を導入 邦銀初、ネットバンキング用 - MSN産経ニュース
三井住友銀行は9日、ネットで振込や送金などを行う「インターネットバンキング」で、使い捨てのパスワードを取引ごとに毎回発行する「パスワードカード」を10月21日から導入すると発表した。本格的に使い捨てパスワードを導入するのは国内の銀行では初めて。 インターネットバンキングをめぐる不正送金の被害が多発しているのを受けての措置。従来の乱数表方式の暗証カードを廃止し、パスワードカードに切り替える。新規契約者のほか、既存契約者も順次こちらに変更してもらう。同カードは無料で配布する。 パスワードカードは薄型カード電卓に似ており、60秒ごとに使い捨てのパスワードを次々と自動発行する。一度使うと無効になるため、安全性が高まると判断した。海外ではドイツ銀行など複数の銀行が導入している。 三井住友銀行では今年に入り、契約者が正しい銀行のサイトにアクセスしているのに、コンピューターウイルスのせいで偽のサイトに接
「Android」アプリの99%に「乗っ取り」の危険性--セキュリティ会社が警告
Bluebox Securityのリサーチャーらは、「Android」のセキュリティモデルに脆弱性が存在しており、これによってAndroidアプリの99%がトロイの木馬型マルウェアに書き換えられる状態になっていることが分かったと主張している。 Bluebox Securityの最高技術責任者(CTO)Jeff Forristal氏は、この脆弱性の概要に関する重要度の非常に高い内容を同社のブログに投稿した。同氏によると、同脆弱性を悪用すればアプリケーションに変更を加え、データの窃盗や、ボットネットへの接続といったことを可能にしながらも、アプリストアや携帯電話、エンドユーザーから検知できないようにすることが可能になるという。 「この脆弱性は、少なくとも『Android 1.6』のリリース時から存在しており、過去4年の間に発売されたすべてのAndroid携帯、すなわち9億台近いデバイスが影響を受
高木先生が語る、はてなブックマークボタンが第三者へ送信していた行動履歴の性質
Hiromitsu Takagi @HiromitsuTakagi はてな曰く:hatenabookmark 2012/03/15 11:01「id:tamabooさま 「行動情報」ははてなブックマークボタンが設置してあるサイトを閲覧した情報であり、個人情報の漏洩や提供にあたるものではありません。」http://t.co/KlGfHZS8 2012-03-17 11:43:19 Hiromitsu Takagi @HiromitsuTakagi はてブボタンの問題は、はてなが履歴情報を取得し提供したのではなく、直接本人からマイクロアドへ履歴情報が送信されることとなるような(本人の意図に反する)プログラムが、はてなによって実行の用に供されていたという問題。この点、個人情報保護法上はどういうことになるのだろうか。 2012-03-17 12:07:43
高木浩光@自宅の日記 - MacユーザはIPv6を切るかnet.inet6.ip6.use_tempaddr=1の設定を
■ MacユーザはIPv6を切るかnet.inet6.ip6.use_tempaddr=1の設定を Mac OS Xの初期設定の危険性 私の周囲に物理的に近づくことのできる人は、私が使っているノート型コンピュータの無線LANインターフェイスのMACアドレス*1を知ることができる。たとえば、セミナー等で私が講演している会場に来れば、講演中に私が無線LANのスイッチを切り忘れていたなら、無線LANのパケットを傍受することで私のMACアドレスを知るだろう*2。それだけでは他の人のアドレスと混じって区別できないだろうが、別の場所で再び同じことをすれば、両方に存在したものが私のMACアドレスだ。 これはもう隠しようがないので、先に自ら暴露してしまおう。「00:1f:5b:d1:ec:bd」は私のMACアドレスだ(図1)。 これを暴露するのはリスクのある行為であり、お薦め出来ない。また、仮に他人のMA
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
高木浩光@自宅の日記 - PayPalフィッシングにひっかかりそうになった
■ PayPalフィッシングにひっかかりそうになった 木曜の夕方から風邪をひいて療養中。昼間寝すぎて寝付けないので日記でも書く。 フィッシングといえばPayPalが発祥の地。実際にどんな状況なのか知るために使ってみるべきだったが、実はこれまで一度もPayPalを使ったことがなかった。2月からWindowsマシンを捨ててMacに乗り換えて以来、シェアウェア料金を支払う場面に出くわすようになった。十年ぶりにKagi.comのシェアウェア支払いサービスを利用したとき、PayPalによる支払いの選択肢があったので、試しに使ってみることにした。 PatPalにアカウントを作成すると何通かのメールがやってくるのだが、これがHTMLメールになっている。このとき、「こんなことやってるからフィッシングにひっかかりやすくするんだよ」と思った。
高木浩光@自宅の日記 - 公開鍵暗号方式の誤り解説の氾濫をそろそろどげんかせんと
■ 公開鍵暗号方式の誤り解説の氾濫をそろそろどげんかせんと 「コンピュータセキュリティを基礎から」というと、暗号の解説、特に共通鍵暗号と公開鍵暗号の違いからなどといった解説をよく目にする。昔は専門の方によって注意深く書かれていたのに対し、ここ何年かはひどい状況になっている。先月、宮崎で開かれたSCIS 2008の席でも暗号研究者の方々との雑談でそういう話になった。私は暗号は専門でないのでその話題は迂闊に書けないできたが、このところの巷の誤り解説の氾濫ぶりは目に余るものがある。 最もひどく蔓延っていてしばらく消えそうにない間違い解説の典型例は次だ。 「公開鍵で暗号化したものを秘密鍵で復号するのと同様に、秘密鍵で暗号化したものを公開鍵で復号できるようになっている。」 事例1: 日本ベリサイン株式会社による公開鍵暗号方式の解説 このような共通鍵暗号方式の問題点を解決する暗号方式が、公開鍵暗号方式
金土日のできごと
金土日のできごと 2007-11-04-1 [Diary] ■11/2(金): 有給休暇でお休み。 夕方、妹夫婦宅へ行って赤ちゃんと遊んでから、 車で実家へ移動。 横浜駅で買った「10円まんじゅう」が意外にも美味しかった。 ■11/3(土): 実家で久しぶりに車を運転する。 たまには運転しないと忘れちゃうしね。 ミニドライブで、ついでに銀杏拾い。 実家の Windows Vista PC にメモリ増設。 512M が 1G に。 やっとまともに動くようになった。(ref. [2007-08-26-1]) 最初から入っていたウィルス対策ソフトの試用期間が終わったので、 アンインストールして、AVG Anti-Virus Free Edition (http://www.vector.co.jp/soft/win95/util/se436796.html) を入れた。 夜は渋谷で twitte
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Linux Trojan “Hand of Thief” ungloved
スペイン警察がハッカー集団「Anonymous」3名を逮捕~ソニーPSN事件にも関与か 
ボット退治 | Okumura's Blog
canon-its.jp [ ESET Smart Security ]
http://www.vector.co.jp/soft/win95/util/se436796.html
アダルトサイト被害対策の部屋
パソコン勉強サイトあかかげまる
