Webアプリにおける11の脆弱性の常識と対策
Webアプリにおける11の脆弱性の常識と対策:Webアプリの常識をJSPとStrutsで身につける(11)(1/4 ページ) 本連載は、JSP/サーブレット+StrutsのWebアプリケーション開発を通じて、Java言語以外(PHPやASP.NET、Ruby on Railsなど)の開発にも通用するWebアプリケーション全般の広い知識・常識を身に付けるための連載です 【2013年2月25日】編集部より、おわびと訂正のお知らせ 本稿において読者の皆さまより多数のご指摘をいただきまして、誠にありがとうございます。編集部であらためて調べた結果、間違いを把握し、あらためて修正版を掲載させていただきます。この度は、長期にわたり誤った内容を掲載したので、読者の皆さまに多大なご迷惑をお掛けしたした点をおわび申し上げます。 通常、記事に間違いがあった場合には、筆者確認後に修正版を掲載するのですが、今回の場
「Lhaplus」に危険な脆弱性、最新版へバージョンアップを
情報処理推進機構(IPA)などは2007年9月21日、ファイル圧縮・解凍ソフト「Lhaplus(ラプラス)」に脆弱性(セキュリティホール)が見つかったことを明らかにした。細工が施されたファイルを読み込むだけで、悪質なプログラム(ウイルスなど)を実行される危険性がある。対策は、最新版へのバージョンアップ。 Lhaplusは、20種類以上のファイル形式を扱える圧縮・解凍ソフト。フリーソフトで、国内で広く使われている。今回、Lhaplusが扱えるファイル形式の一種「ARJ形式」の処理に脆弱性が見つかった。細工が施されたARJ形式圧縮ファイルを読み込むと「バッファオーバーフロー」と呼ばれるエラーが発生し、ファイルに仕込まれた悪質なプログラムを勝手に実行される恐れがある。 影響を受けるのは、Lhaplusのバージョン1.54以前(1.54を含む)。対策は、同日公開された最新版「Lhaplus 1.5
YouTube動画ファイルを装ったトロイの木馬が出現
YouTubeの動画を装ったファイルが出回っており、これをダウンロードするとコンピュータを危険にさらす恐れがあると、Trend Microが警告している。問題のファイルは、実行された場合、ハイテクが滅んだ後の社会を描いたウェブテレビシリーズ「Afterworld」の1エピソードを掲載したYouTubeのページを表示し、その背後で別のサーバに接続してトロイの木馬をダウンロードする。ウェブセキュリティ企業のWebsenseもこのトロイの木馬を追跡調査し、もともとはかつてのソビエト連邦に割り当てられ、現在でも利用されている「.su」ドメインが出所であることを突き止めている。 ネット上のメディアファイルを利用して一般ユーザーのコンピュータに感染するマルウェアは、今回が初めてではない。2006年12月には、Appleの「QuickTime」が搭載したJavaScript機能の脆弱性を利用したワームが
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IPA ISEC セキュア・プログラミング講座