印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Microsoftは米国時間の10月14日に更新プログラムをリリースしたが、インストールに伴い問題が発生したとのユーザーからの報告を受け、セキュリティアドバイザリ2949927で説明されていた更新プログラムの提供を中止した。Microsoftが17日に発表した声明によると、同社は問題を調査中であり、詳細が判明し次第アドバイザリを更新する予定だという。 今回提供が中止されたのは、Windows 7とWindows Server 2008 R2にSHA-2ハッシュアルゴリズムの署名と検証機能を追加するプロアクティブなセキュリティ更新プログラムで、詳細はセキュリティアドバイザリ2949927で解説されている。 英語版のセキュリティアドバイザリ
DropboxユーザーのID・パスワード700万件が流出? Dropboxは自社からの流出を否定 ITmedia ニュース 10月14日(火)15時17分配信 DropboxユーザーのIDとパスワードだという数百件の情報がインターネット上に掲載されていることが分かった。掲載した人物は「Dropboxのユーザーアカウント700万件をハックした」とし、ユーザーから寄付があればさらにネット上に掲載するなどと述べているが、真偽は不明だ。 【約700万のDropboxアカウントを入手したと宣言している】 一方、米Dropboxは公式ブログで「Dropboxはハックされておらず、IDとパスワードはDropboxとは無関係なサービスから盗まれたものだ」というコメントを発表。他サービスから流出したIDとパスワードを使ってログインを試みたリスト型攻撃の可能性を指摘し、こうしたアクセスは自動的に検知してパス
以前書いたブログで、 【緊急】検索で出てくる中国人詐欺家電ショップを見分ける5つの方法というのがありました。上海を拠点とすると言われる中国詐欺団が、偽サイトを作りまくる。最初は偽物を送ってきていたが、最近では商品を送ることもしない。楽天やYahoo!ショッピングや有名ネットショップのサイトの丸パクリをしてそっくりなものを作り、80%オフなどにすると疑われるのでアウトレット程度にするのがポイントで、支払いは事前振り込みのみ。よくよく見ると「特定商取引法」の表示がなかったり、日本語がおかしいところがあったりするのだが、スマホからだとよくわからなかったりする。検索で商品の型番号などを入れると出てくるので引っかかってしまうのだ。「偽造カードに注意!」とか大書きしてあるのだが、買い物は振り込みのみでカードは使えないのが笑えるが、気づかない人が多いことにも驚かされる。 指定の振り込み口座名が中国人名で
※本ブログは、Mobile Malware Researcher 中島大輔氏によるものです。 ※本ブログの内容は2014年3月4日時点のものです。 Android端末ユーザーは通常、アプリ説明ページの内容やプライバシーポリシーを読んだり、アプリが要求する権限をインストール時に確認し許可したりするなど、いくつかの対話を行いながら、Google Playストアからアプリをダウンロードおよびインストールします。マルウェアや潜在的に危険なアプリ、不審なアプリのインストールを避けるために、これらの確認処理はAndroidのセキュリティにおいて重要な役割を担っています。 しかし、McAfeeは最近、これらの重要な確認処理が省略されたほぼ自動的な方法でGoogle Playから他のアプリのダウンロード、インストールおよび起動を行う危険な国内ユーザー向けアプリをGoogle Play上で確認しました。この
Appleは21日、iOSのソフトウェアアップデート7.0.6をリリースした。 iOS 7.1が早ければ3月中旬にもリリースされるとみられていたが、SSL接続の検証に関して、半月以上も待つことができない重大なバグが見つかったためだ。 SSLとは、「ウェブサイトで入力する個人情報やクレジットカード情報などを暗号化し、安全に送受信する技術」(Symantec)だ。データを安全にやりとりするために利用されている非常に重要な技術となっている。 そして今回、クライアント(ユーザ側)とサーバ(ウェブサイト側)の間をSSL接続する際のプログラムに、「BASIC初心者でも一目で分かるようなミス」(Wired)が見つかり、修正されることになったようだ。ミスがあったのは、以下の部分。 Appleが公開しているソースコード 「goto fail;」が2行続けて記述されている箇所に注目してほしい。2行目の「got
Posted by tenderlove on 22 Nov 2013 Translated by unak Ruby において、浮動小数点数のパース時にヒープオーバーフローが発生しうるという問題が報告されました。 この脆弱性は CVE-2013-4164 として CVE に登録されています。 脆弱性の詳細 文字列を浮動小数点数値に変換する際に、意図的にヒープオーバーフローを発生させる文字列を構成できることが判明しました。 これによって、セグメンテーションフォールトによるサービス拒否攻撃を行うことができ、また、潜在的には不正なコードの実行を可能とする可能性があります。 出所不明なデータを受け付けて浮動小数点数値に変換する全てのプログラム (例えば JSON 形式での入力を受け付けるものなども該当します) が、この脆弱性の影響を受けます。 例えば、以下のようなコードが該当します: この不具合
GitHubのブログおよび国内の報道によると、GitHubに対して大規模な不正ログインが試みられたようです。 GitHubは米国時間の2013年11月19日、ブルートフォース攻撃を受けたことを明らかにした。攻撃の時期や被害を受けたアカウント数は公にしていないが、今回の攻撃を踏まえ、より強固なパスワードや二要素認証などを利用するようユーザーに呼び掛けている。 GitHubにブルートフォース攻撃、一部のパスワードが破られるより引用 私もGitHubアカウントがありますのでSecurity Historyページを確認したところ、不正ログインの試行が確認されました。IPアドレスは、ベネズエラ、タイ、ブラジルのものです。 GitHubアカウントをお持ちの方は、念のためSecurity Historyを確認することを推奨します。 今回の不正ログインの特徴は以下のようなものです。 少数の「弱いパスワード
By Chris Christner IT企業Kaspersky Labのユージン・カスペルスキーCEOは、国際宇宙ステーション(通称ISS)がロシア人宇宙飛行士によって持ち込まれたUSBメモリからマルウェアに感染していたことをIBTimes UKのインタビュー内で明らかにしました。 International Space Station Infected With USB Stick Malware Carried on Board by Russian Astronauts - IBTimes UK http://www.ibtimes.co.uk/articles/521246/20131111/international-space-station-infected-malware-russian-astronaut.htm カスペルスキー氏は、ISSがマルウェアに感染した時期、お
狙った相手に電子メールで不正なWordファイルを送り付け、相手をだまして添付を開くように仕向ける攻撃が発生している。 米Microsoftのグラフィックスコンポーネントに未解決の脆弱性が見つかった。同社では不正なWordファイルを使ってこの問題を悪用しようとする標的型攻撃の発生を確認。11月5日付でセキュリティ情報を公開し、注意を呼び掛けている。 Microsoftによると、脆弱性はTIFF画像の処理に関連して発生し、Windows VistaとWindows Server 2008、Microsoft Office 2003~2010、およびMicrosoft Lyncの全バージョンが影響を受ける。 現時点で攻撃は主に南アジアと中東で発生しているといい、狙った相手にメールで不正なWordファイルを送り付け、相手をだまして添付を開くように仕向ける手口が使われている。 添付ファイルを開いたり
iOS 7をインストールしたiPhoneやiPadで画面をスワイプして特定の操作をすると、画面ロックを迂回して写真やメール、Twitterなどにアクセスできてしまうという。 米Appleがリリースしたばかりの「iOS 7」に、ロック画面を迂回できてしまう脆弱性が見つかったという。米経済紙Forbesのオンライン版が9月19日に伝えた。 それによると、この問題はスペイン在住の兵士ホセ・ロドリゲス氏(36)が仕事の合間に発見。iOS 7をインストールしたiPhoneやiPadで、画面をスワイプして特定の操作をすると、画面ロックを迂回して写真やメール、Twitterなどにアクセスできてしまうことを発見した。 この方法でiPhoneのカメラや保存された写真にアクセスして、ユーザーのアカウントからその写真を共有することも可能だといい、メールやTwitter、Facebook、Flickrなどのアカウ
http://www.jins-jp.com/info.html これ、大変ですね。 保守契約がどうなってたのか、当初見積りにフレームワークの脆弱性パッチ適用作業費用は入ってたのか、顧客はそもそもこう言うことが起こり得ることを予見していたのか。 営業から保守費用が高すぎるって言われて仕方なくこういうところを削った見積り書いて営業に渡して、顧客とちゃんと確認してねみたいなこと伝えて、営業は本質的なことは理解してないから顧客には説明せず、顧客はベンダーに全て任せてるつもりだから気にもせずみたいな。 この手の作業って基本は大した工数にならないはずなんだけど、場合によってはパッチじゃすまずフレームワークのバージョンアップしないといけなくなって、つまるところアプリケーションコードの書き換えが発生したりなんかして、工数跳ね上がっちゃうリスクあるので、保守費用としてはある程度多めに出さないといけないし、
[SEC][ANN] Rails 3.2.11, 3.1.10, 3.0.19, and 2.3.15 have been released! Hi everybody. I’d like to announce that 3.2.11, 3.1.10, 3.0.19, and 2.3.15 have been released. These releases contain two extremely critical security fixes so please update IMMEDIATELY. You can read about the security fixes by following these links: CVE-2013-0155 CVE-2013-0156 In order to ease upgrading, the only major changes
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く