SHA-1ハッシュの衝突を現実的な時間で生成する攻撃「Shatterd」 | スラド セキュリティ
オランダ・CWI AmsterdamとGoogleの研究チームは23日、SHA-1ハッシュ値の衝突を現実的な時間で生成する攻撃手法「Shattered (SHAtterd)」を発表した(CWIのニュース記事、 Google Security Blogの記事、 Phoronixの記事、 Ars Technicaの記事、 論文: PDF)。 Shattered攻撃は多数の暗号解析技術を組み合わせたもので、同じSHA-1ハッシュ値を持ち、内容の異なる2つのPDFファイルの生成などが可能だ。高速といっても263回の試行が必要となり、攻撃の第1フェーズは6,500 CPUで1年間、第2フェーズは110 GPUで1年間を要する。それでもブルートフォース攻撃と比較すると10万倍以上高速だという。shatterd.ioではPoCとして、同じSHA-1ハッシュ値で内容の異なる2つのPDFファイル (PDF
HTTPSを使っているのにCookieに「secure」属性を設定していない危険なサイトが話題に | スラド セキュリティ
最近SSL関連の脆弱性がたびたび話題になったが、これに関連してか、HTTPSを利用しているのにCookieのsecure属性を設定していないサイトについてが話題になっているようだ(セキュリティ研究家高木浩光氏によるTogetterまとめ)。 Cookieのsecure属性については、2004年に高木浩光氏がまとめた「安全なWebアプリ開発の鉄則 2004」の「CookieにSecure属性を」以下が分かりやすいが、この属性をセットしておくと、HTTPSでの通信時にのみそのCookieが送信される、というもの。secure属性が設定されていない場合、HTTP通信の際にもそのCookieが送信されるため、通信内容を傍受するなどでセッションIDなどが盗まれる可能性がある。 高木氏が検証したところ、secure属性が設定されていないサイトとしては全日空やニコニコ動画、OCNメールなどがあった模様。
ディスプレイをハックして表示内容の監視や改変を行う手法が開発される | スラド セキュリティ
PC用のディスプレイのファームウェアを外部から書き換えることで、表示する内容を遠隔監視したり、表示内容を操作するという攻撃手法がセキュリティ研究者らによって開発された(MOTHERBOARD)。 これは8月4日から7日にかけて開催されたDEF CON 24で発表されたもの。最近のPC用ディスプレイでは、表示設定を行うためのOSD(オンスクリーンディスプレイ)の実装のためにプロセッサを内蔵しているものが多い。このプロセッサにはディスプレイのパラメータ変更やディスプレイの表示内容の操作といった機能に加えて、任意のコードを実行することもできるという。 発表ではDellの一般的なディスプレイを使い、特別に細工された画像や文書内にエンコードしたコードおよびデータをディスプレイ内にロードさせ、表示内容を遠隔から取得したり操作するデモも行われたようだ。
最近のLinuxは複雑になりすぎている? | スラド セキュリティ
Debian開発者のJohn Goerzen氏が、最近のLinuxは複雑になりすぎていないか、との疑問を呈している(The Changelog、本家Slashdot)。氏曰く、 かつてLinuxはクリーンで論理的、うまく構成・組織化されていると言えたが、現在ではそうではない。ユーザーやグループだけでは権限が決定されず、それ以外のポリシー設定などを考慮しなければならない。 エラーメッセージは助けにならず、ログも見つからない。かつては/etc/fstabを編集したり、sudoの設定を変更すればデバイスをマウントする権限を簡単に変更できたのに。 確かにどのファイルを調べれば良いのかという知識は必要だったが、それさえ分かっていれば設定はシンプルだった。今ではどこを調べれば良いのかも、どう設定すれば良いのかも分からず時間を浪費してしまう。
OCNがAPOPを廃止へ、多くの利用者が平文でパスワードを送信する事態に? | スラド セキュリティ
OCNが提供しているメールサービス「OCNメール」で、セキュリティ強化を目的としてAPOPによる認証の廃止がアナウンスされた。このアナウンス自体は9月に行われたものなのだが、これによって多くの利用者が平文でネットワーク上にメールアカウントのパスワードを送信してしまう危険性があることが指摘されている(セキュリティ研究者・高木浩光氏によるTogetterまとめ)。 問題点について詳しくはTogetterまとめを参照してほしいが、パスワードを暗号化してやり取りするAPOPを廃止するいっぽうで、利用者にはその代替策となるはずのSSLを使った暗号化通信を「上級者向け」として説明しないどころか、あえてSSLを使用しない設定例を明示しているという点が指摘されている。 SSLを利用せず、POPでの接続を行った場合、パスワードが平文でネットワーク上を流れることになり、たとえば公衆無線LANなどからOCNメー
GPKI(政府認証基盤)の対応遅れにより、Firefoxでハローワークなどのサイト閲覧時に警告が表示される事態に | スラド セキュリティ
日本政府は政府関連サービス向けに認証基盤(GPKI)を提供しているが、Firefoxではそのサポートが遅れており、そのためハローワークなどのサイトがFirefoxでのアクセス時に「接続の安全性が確認できない」と表示される事態になっている(mozillaのbugzilla)。 GPKIの証明書がWindows Updateで配布されたことも以前話題になったが、Firefoxは独自にルート証明書を管理しており、今回は更新された新しいルート証明書がFirefoxに含まれていないために問題が発生しているようだ。 証明書の配布も行われているが、証明書を配布しているwww.gpki.go.jpについてもアクセスすると「接続の安全性が確認できない」という表示がされる状況になっている。
「Galaxy」の基本アプリにも個人情報を盗む機能 | スラド セキュリティ
東亜日報によると、HTCのAndroidスマートフォンやAppleのiOSに含まれているとわかり現在アメリカを騒がせている、個人情報を収集するソフト「Carrier IQ」と似たような機能が、サムスンの「Galaxy S」「Galaxy S2」の基本アプリ、「鏡」「データ通信設定」「プログラムモニター」の3つのアプリに含まれていることが判明したらしい(東亜日報)。 例えば「鏡」は、カメラで自分の姿を表示するだけのアプリであるにも関わらず、端末に保存された連絡先やSMSの本文などスマホにある40以上の機能にアクセスできるように作られていたようだ。 セキュリティ研究者の調査によれば、Carrier IQはメールの本文などは取得しておらず、あくまでサービス向上のためのデータ収集が目的という検証結果が公表された。日本でも少し前に「カレログ」などで個人情報の収集ツールについては厳しい批判がなされ、結
自家製 MP3 プレイヤーが原因で空港閉鎖 | スラド セキュリティ
米ネブラスカ州オマハにある空港で、自家製 MP3 プレイヤーが原因でターミナルが数時間閉鎖されるという事態が起きていたそうだ (OregonLive.com の記事、本家 /. 記事より) 。 大学院生が持っていたのはミント菓子の缶を使って制作された MP3 プレイヤー。この学生はオマハのクレイトン大学で開催されていた科学フェアに参加していたとのことで、この装置もそのために作られたものであったという。しかし空港の X 線装置を通してこの装置を確認した空港保安担当者には、缶のなかにバッテリーとワイヤーが仕込まれた「疑わしき装置」に見えたとのことで、マニュアル通り空港閉鎖の措置が取られたという。 ミント缶 MP3 プレイヤーが空港で引っかかったのは今回が初めてではなく、2 年前にもカリフォルニア州で同じ MP3 プレイヤーが空港の検査で止められ、爆弾処理班まで出動する騒ぎとなったそうだ。なお、
Unlha32.dll等開発停止、LHA書庫の使用中止呼びかけ - Claybird の日記
今日ではほとんどのウイルス対策ソフトが書庫ファイルに対しウイルスチェックを行う機能を備えているが、多くのウイルス対策ソフトで「LZH書庫ファイルのヘッダー部分に細工を施すことでウイルスチェックを回避できる」という脆弱性が存在するとのこと(LZH書庫のヘッダー処理における脆弱性について)。 Micco氏はこれをJVN(Japan Vulnerability Note、JPCERTおよびIPAが共同運営する脆弱性情報集積サイト)に報告したところ、「不受理」となったそうだ。ZIPや7z形式の書庫にも同様の問題があるものの、そちらは「脆弱性」として受理されているとのこと。Micco氏曰く、 「ベンダー, JVN / IPA 等共に『LZH 書庫なんて知らねぇ~よ』という態度から変わることはない」と判断できましたので, UNLHA32.DLL, UNARJ32.DLL, LHMelt の開発を中止す
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
JPCERT/CC、作者音信不通のソフトについても脆弱性情報の公表を開始 | スラド セキュリティ