昨年末、成田空港のどの建物の扉も解錠できる「グランドマスターキー」が紛失するトラブルが発生、現在までもこの鍵の行方は分からないままになっているという(朝日新聞)。 この鍵は空港内の警備を行なっている会社が預かって保管していたが、2019年12月13日から15日の間になくなっていることが分かったという。今のところ悪用された痕跡はないという。
昨年末、成田空港のどの建物の扉も解錠できる「グランドマスターキー」が紛失するトラブルが発生、現在までもこの鍵の行方は分からないままになっているという(朝日新聞)。 この鍵は空港内の警備を行なっている会社が預かって保管していたが、2019年12月13日から15日の間になくなっていることが分かったという。今のところ悪用された痕跡はないという。
sudoコマンドで、任意のユーザー権限でのコマンド実行を許可されているユーザーに対し、ルート権限で指定したコマンドを実行できてしまう脆弱性が確認された(sudo公式サイトでの脆弱性報告、サイオスセキュリティブログ)。 この脆弱性は、実行するユーザーを指定するsudoコマンドの「-u」オプションで「-1」もしくは「4294967295」を指定すると、そのユーザーIDではなくルート権限で指定したコマンドを実行できてしまうというもの。 任意のユーザーがルート権限を取得できるわけでは無く、sudoersなどの設定ファイルで「ALL」キーワードを使って任意のユーザー権限でのコマンド実行が許可されたユーザーのみがルート権限を奪取できる。実行できるコマンドが指定されていた場合はそのコマンドのみがルート権限で実行できる対象となる。 また、この際にログにはroot権限ではなく指定したユーザーID(-1もしく
IPA(情報処理推進機構)が、安全でないCMSを利用しているWebサイトに対し、脆弱性を付かれて改ざんされたり、ウイルスの拡散に悪用される可能性があるとして注意喚起を行っている。もしアップデートや製品の移行ができない場合はWebページの公開停止を求めるという、強い内容のものとなっている(IPA)。 とくに問題とされているのは「WDP(Web Diary Professional)」および「Movable Type」の古いバージョン。また、それ以外のCMSを使っている場合も古いバージョンであれば脆弱性が含まれる可能性があるので、最新バージョンにアップデートするよう推奨している。 背景には、危険な脆弱性を含む古いバージョンのCMSを利用しているにも関わらず、運営者と連絡が取れない、もしくは連絡しても脆弱性が解消しないWebサイトの存在がある。
米国で電子式の交通標識がハッキングされる事件が相次いでいるという。(ロイター)。ハッキングされた標識には「ゴジラ襲来」などと表示されるなど、愉快犯的な犯行ではあるのだが、一部でこの一連の事件はゲーム「Watch Dogs」の影響で発生しているのではないかという話が出ているそうだ(Slashdot)。 Watch Dogsは5月末に海外で発売されたUbisoftのゲームで、現代のシカゴを舞台に、さまざまなデバイスを「ハッキング」して操作し、目的を達成するというもの。電子式交通標識を破壊した犯人と思われる人物はTwitterにメッセージなどを残しているそうなのだが、そのTwitterアカウントにはこのゲームに関する投稿や、ゲーム内で交通標識をハックしているという投稿が行われていたという。 米国土安全保障省内では、Watch Dogsのプレイヤーのうち、現実でもコンピュータや電子機器に侵入した経
先日、TrueCryptの実質的な開発中止が表明された(過去記事)。この中止の理由について、公式サイトの転送先であるSourceForge.net上のページでは「セキュリティ上の問題」と告知されていたが、これについてネット上ではさまざまな憶測が流れている。その一つに、米国家安全保障局(NSA)が開発者達に書簡を送って中止させたというものがあるという(mathew、Slashdot)。 昨年、暗号化電子メールサービスであるLavabitが開発中止となる出来事があったが、これもNSAの監視対象になったのが原因であるという噂も、この憶測を後押ししているとしている。 なお、TrueCryptの監査を行っているプロジェクトOpenCryptoAuditは29日、予定通り監査を継続すると発表している(INTERNET Watch)。
米カンザス州のウィチタ・ミッド・コンティエント空港の保安検査場で今月 14 日、パットダウン (全身くまなく触れられるボディチェック) を受けるよう指示された 4 歳の少女、Isabella Brademeyer ちゃんが泣いて嫌がった騒動が物議をかもしているとのこと (本家 /. 記事、The Associated Press の記事より) 。 最初、少女は通常の検査を問題なく通過していた。だがパットダウンによる再検査を指示され列に並んでいた祖母の Lori Croft 氏に駆け寄ってしまったため、少女も同様にパットダウン検査を受けることになってしまったのだそうだ。最も問題視されているのは、同検査場にいた TSA 職員の態度である。パットダウンを嫌がって逃げ出した少女の保護者に「子供を捕まえないと空港を閉鎖することになる」と大声を出したとのこと。騒動の一連を Facebook に投稿した
国内では遠隔操作するマルウエアを使った冤罪事件が話題になっているが、海外でも離れた場所から匿名暗殺を可能にするハッキング端末のことが話題になっている。これはメルボルンでの BreakPoint セキュリティ会議におけるスピーチで、IOActive の研究者 Barnaby Jack 氏が公表したもの (SC Magazine Australia の記事、本家 /. 記事より) 。 Jack 氏によると、メーカー名は非公表だがとある製品においては半径約 9 メートル以内にあるペースメーカーと植込み型除細動器 (ICD) を起動するための機能がある。現在の植え込み型ペースメーカーは専用の装置 (Programmer) により無線通信で体内のペースメーカーとのコンタクトを行うことができるが、この装置とペースメーカーの通信を解析したところ容易に通信内容が把握できた。ペースメーカーと不正な通信を行う
アレゲ人ならきっと読んでるセキュリティホール memoによると、認証プロトコル「MS-CHAPv2」がご臨終とのこと。MS-CHAPv2はVPNの1つであるPPTPなどで一般に使われていますが、「All users and providers of PPTP VPN solutions should immediately start migrating to a different VPN protocol. PPTP traffic should be considered unencrypted.」とまで書かれています。とはいえ代替となるOpenVPNはメジャーなOSに統合されていないようでrootやJailbreakを要するため、PPTPほど気軽に使えるものではなさそうです。
root 権限を得ていてもなお sudo をしちゃうあたりところとか、展開した後の tar ファイルはちゃんと (rf オプションまでつけて) 消去しちゃうあたりににじみ出る育ちの良さが、アウトローになりたい彼女の望みとの間に齟齬を発生させてハラハラさせられてしまう。tar で展開したら /var/spool/samba に展開されるものだと思い込んじゃっているのかもしれない天然っぷりを持つが、その誤解を自力で解決するカタルシスを観客に与えるものの (あるいはがむしゃらにしているだけかもしれないのだが、そこがまた可愛い) 既に cd /var/ してしまった後だったという「ああーっ」感で観客の心が一つに。自暴自棄になった彼女が後半、続けざまにあちこちからツールをダウンロードするが、そのほとんどで 403 を返されるあたりには胸が厚くなる (薄い方が好みかもしれないが) 。ぽかぽかする ?
米国在住の23歳、George Bronkは3200以上ものメールアカウントをクラックし、私的な写真をそのアカウントの持ち主のFacebookアカウントにアップした罪で訴えられているそうだ(IT WORLD、本家/.)。 容疑者の手口は定番とも言える、GmailやYahooメールなどのWebメールアカウントの「秘密の質問」に答えるというもの。Facebookのアカウントをチェックすれば簡単に答えが分かるものも多く、次々と成功したとのこと。一旦ログインに成功したあとはパスワードを変更して本人をロックアウトし、ユーザーの「きわどい写真」を探しだして本人のFacebookのアカウントにアップしていったそうだ。 容疑者は172のアカウントにおいてユーザのセミヌードの写真を見つけたそうで、うち1件に関しては、より際どい写真を送るよう脅迫していたことも分かっている。裁判では児童ポルノや個人情報の盗難、
今日ではほとんどのウイルス対策ソフトが書庫ファイルに対しウイルスチェックを行う機能を備えているが、多くのウイルス対策ソフトで「LZH書庫ファイルのヘッダー部分に細工を施すことでウイルスチェックを回避できる」という脆弱性が存在するとのこと(LZH書庫のヘッダー処理における脆弱性について)。 Micco氏はこれをJVN(Japan Vulnerability Note、JPCERTおよびIPAが共同運営する脆弱性情報集積サイト)に報告したところ、「不受理」となったそうだ。ZIPや7z形式の書庫にも同様の問題があるものの、そちらは「脆弱性」として受理されているとのこと。Micco氏曰く、 「ベンダー, JVN / IPA 等共に『LZH 書庫なんて知らねぇ~よ』という態度から変わることはない」と判断できましたので, UNLHA32.DLL, UNARJ32.DLL, LHMelt の開発を中止す
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く