FirefoxなどMozilla製品に危険度「高」の脆弱性
報告された6件の脆弱性には、APOP認証のバグにより、攻撃者に機密情報を取得される恐れがある問題も含まれる。 仏セキュリティ機関FrSIRTは5月30日、Mozilla Firefox、Thunderbird、Seamonkeyで複数の脆弱性が発見されたと報告した。危険度は最も高い「Critical」としている。 発見された脆弱性は合計6件で、メモリ破損のエラーにより脆弱なアプリケーションのクラッシュや任意のコード実行につながる問題や、フォームオートコンプリート機能のエラーによりメモリリソースの消耗やサービス不能(DoS)状態につながる問題などが含まれる。ほかに、APOP認証の問題により、攻撃者に機密情報を取得される恐れがある脆弱性もある。 この問題の影響を受ける製品は以下の通り。 バージョン2.0.0.4より前のFirefox 2.xおよびThunderbird 2.x バージョン1.5
機能変更、お知らせなど - はてなの日記 - はてなサーバーへの不正な侵入について
はてなサーバーへの不正な侵入について 本日、はてなのサービスを提供する2台のサーバーに、先週金曜日より不正な侵入が行われていたことが判明しました。 はてなでは本日午前4時頃にこの事実を認識し、午前6時頃に不正なアクセスの遮断を行いました。また、現在継続的に詳細な調査、対策を行っております。 今回の不正侵入は、はてなサーバー群の入り口に当たるサーバーのうちの2台に対して、サーバーのログイン情報を機械的に総当たりする方法によって行われました。不正侵入に成功したアカウントにより、ftp scanner, irc botプログラムが設置され、外部に対して実行されるという被害が発生しました。 はてなではさらに、内部に存在するデータベースサーバーなどへのアクセスの形跡などについて調査を行いましたが、これらの形跡は発見されておらず、データベース上のユーザー情報が取得されたり、皆様にご利用いただいているサ
NHKとリニアと原発の関係。- セキュリティホール memo
Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。 このページの情報を利用される前に、注意書きをお読みください。
情報セキュリティマネジメントシステム(ISMS)とは
情報セキュリティマネジメントシステム(ISMS)とは 2014年4月14日 1. ISMSとは 近年、IT化の進展に伴い、不正アクセスやコンピュータウイルスによる被害、及び内部不正者や外注業者による情報漏えい事件など、情報資産を脅かす要因が著しく増加しており、これらの脅威に対して適切にリスクアセスメントを実施して、企業における総合的な情報セキュリティを確保するためには、ISMSの構築・運用が必須事項となっている。 ISMSとは、個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源を配分して、システムを運用することである。 ISMSが達成すべきことは、リスクマネジメントプロセスを適用することによって情報の機密性、完全性及び可用性をバランス良く維持・改善し、リスクを適切に管理しているという信頼を利害関係者に与え
ジャストシステム ニュースリリース(2006/10/03)ジャストシステム、セキュリティソフト市場に参入 「Kaspersky(カスペルスキー) 6.0」を、11月17日(金)より発売
[ 2006.10.03 ] ジャストシステム、セキュリティソフト市場に参入 世界最高水準の総合セキュリティソフト 「Kaspersky(カスペルスキー) 6.0」を、11月17日(金)より発売 株式会社ジャストシステムは、Kaspersky Labs International(本社:ロシア、代表者:Natalya Kaspersky、以下Kaspersky Labs社)と提携し、Kaspersky Labs社が開発した総合セキュリティソフト「Kaspersky(R) Internet Security 6.0」とアンチウイルスソフト「Kaspersky(R) Anti-Virus 6.0」を、11月17日(金)より発売します。希望小売価格は、12,800円(税別)と8,800円(税別)です。 「Kaspersky Anti-Virus」は、コンピュータを攻撃する悪性プログラムの検知率や
Windows ( 関連) のサポート
Last modified: Tue Jul 6 18:01:21 2010 +0900 (JST) セキュリティ hotfix はいつまで無料で入手できるのか
スラッシュドット ジャパン | ミクシィ、画像に認可制御なしの欠陥を改修できず、ヘルプで弁解
jbeef曰く、"セキュリティホールmemo経由、葉っぱ日記10月17日のエントリによると、2005年5月にIPAの脆弱性情報届出窓口に届け出られたmixiの欠陥の件が、1年半たってようやく決着したという。この欠陥は、mixi内でアップロードされた画像が、mixiにログインしていなくても画像のURLを指定すれば誰にでも閲覧できてしまうというもの。もっとも、数百万人の会員がいるとされるmixiでは、いずれにせよ誰にでも見られるのに等しいのだから問題じゃないという考え方もあろう。しかし、「友人まで公開」に設定している日記の画像はどうだろうか。普通のユーザなら、写真画像も「友人まで公開」だと信じて貼り付けるのではなかろうか。 葉っぱ日記によると、IPAはこれを脆弱性として受け付け、取り扱いを開始したものの、11か月後の2006年4月になって、ミクシィ側からギブアップの連絡があったという。その内容
独りの超電波プログラマ - 東芝のサイトが恐ろしくセキュリティ的に激しく超超超超超ヤバイ
http://dynabook.com/assistpc/download/makeula/makemod.cgi?filename=http://d.hatena.ne.jp/kudzu/ 上のURLを見て、ページを見てもらえばなんとなく想像できると思うけど、「同意する」のリンクをクリックした後に接続する先のURLを任意のURLにできる。 つまり、 適当なウェブサーバにトロイ(本物の実行ファイルにウィルスをつけるとかすると凶悪)を置く 上記URLのfilename=の項目をトロイのURLにする URLをSPAMなりなんなりでばらまく これで簡単にフィッシングできんな。さらにfilename=の項目をpostでできたら完璧*1。できるらしいので、死ぬほどやばい!もう東芝からダウンロードなんて絶対しない! URL自体はdynabook.comなわけで、相当な人がだまされると思うんだけど。これ
感染したウイルスに関する詳細情報
現在までに弊社で確認できているウイルスの内容は、以下の通りです。 概要 W32/HLLP.Philis.av(McAfee VirusScanでの呼称※1)か、その亜種と思われます。ファイル感染型ウイルスで、感染したファイルを実行すると、ローカルマシンおよびネットワーク上の共有フォルダにある実行ファイルを検索し、ウイルスコードを付加します。 被害 弊社では、感染行動以外の活動を確認しておりませんが、既知のW32/HLLP.Philis.avと活動内容が近いことから、特定のオンラインゲームのアカウント情報を取得すると思われます。 詳細な活動内容
弊社サイトのウイルス感染に関するお詫びとご説明(修正版)
9月27日(水)に、弊社ライブラリサービスで公開されていたソフトがウイルスに感染していたという事故が発生しました。利用者のみなさまに多大なご迷惑をおかけしたことを心よりお詫び申し上げます。 9月27日に、弊社サイトから当該ソフトをダウンロードされた方は、下記のページをご覧いただき、ダウンロードされたソフトがウイルスに感染したものでないかをご確認ください。万一、ウイルスに感染したソフトであった場合は、同ページに記載された方法で対策を実施してくださいますようお願いいたします。 https://www.vector.co.jp/info/060927_3_system_maint.html 2006年9月27日 12:00頃、社内クライアントPCにおいて、一部のウイルススキャンソフトにより新型ウイルスが発見されました。調査した結果、社内ネットワークサーバおよび公開用サーバにあるファイルへの感染の
スラッシュドット ジャパン | gzipに複数の脆弱性〜LHAにも関連あり?
Elbereth曰く、"JVNにて、gzipの脆弱性についていくつか報告があがっています。 JVNVU#933712: gzip (GNU zip) の huft_build() における NULL ポインタ参照の脆弱性 JVNVU#596848: gzip (GNU zip) の LZH の取扱いにおいて無限ループが引き起こされる脆弱性 JVNVU#554780: gzip におけるバッファオーバーフローの脆弱性 JVNVU#773548: gzip の LZH の取扱におけるバッファオーバーフローの脆弱性 JVNVU#381508: gzip の make_table() の配列処理における脆弱性 2006年9月22日現在では、JVNの上記記事では対象ベンダとしてRedhat、ubuntu、FreeBSDから報告があがっていますが、gzipのことであるからして影響はさらに広範囲になるも
Enjoy*Study - WEBシステムでの入力文字のテストについて
WEBシステムで、フォームの入力文字として、確認しておいた方が良い文字のパターンを列挙してみます。 (自分の備忘録として。思いついたら随時追記。) HTMLエスケープ <>&"'入力した文字が、ちゃんと画面に表示されるか確認する。 例えば、<hr> "' のような文字を入れてみて、HTMLとして解釈されないようになっていること。 DBに登録されるような項目の場合、DB上にはどのような形で登録されるのか確認。(必要もなくエスケープしてDB上に登録していたりしないかなど) JavaScriptへの埋め込み文字 <>&"'\HTMLエスケープに絡んで、、JavaScriptのコードに対して、HTMLエスケープと同様にエスケープした文字を埋め込むと問題が起きる可能性があるので注意。 <hr>をエスケープした文字を埋め込むと、 alert("<hr>");そのまま<hr&
yohgaki's blog - これからのプログラムの作り方 - 文字エンコーディング検証は必須
(Last Updated On: 2016年3月3日)最近PostgreSQL、MySQL両方にSJISエンコーディングを利用している際のエスケープ方法の問題を修正がリリースされています。この件は単純に「データベースシステムにセキュリティ上の脆弱性があった」と言う問題ではなく「アプリケーションの作り方を変える必要性」を提起した問題です。 参考:セキュアなアプリケーションのアーキテクチャ – sandbox化 PostgreSQL、MySQLの脆弱性は特にSJIS等、マルチバイト文字に\が含まれる文字エンコーディングが大きな影響を受けますが、同類の不正な文字エンコーディングを利用した攻撃方法が他の文字エンコーディングでも可能です。例えば、UTF-8エンコーディングは1文字を構成するバイト列の最初のバイトの何ビット目までが1であるか、を取得してUTF-8文字として1バイト~6バイト必要なのか
Re:問題提起としては歓迎 (#950524) | 更新料0円で10年使えるアンチウイルスソフトが登場 | スラド
アンチウィルスソフトの問題は、購入時に維持費用が見えにくいことにあります。 例えば、販売店での特売などで、安くパッケージを購入できても、 アップデート費用が高かったりすると結果的に同じことです。 もちろん新種ウィルスやマルウェアなどの収集、解析、パターン・ ワクチン開発などで、コストがかかっているのはわかりますが、 ユーザに明示しないのは不透明な気がしてならないです。 ヨドバシなどの販売店で、ベンダーの応援販売員が声をかけてくると、 必ず「年間更新料はいくらなのか?」と尋ねたことがありますが、 はっきりと金額を答えてきたのは、マカフィーだけでした。 (たまたまかもしれませ 更新料の問題もありますが、毎年新版を出して、旧版のサポートを2年間で 打ち切ってしまう製品が多いのも困りモノですね。 その点ウイルスセキュリティZEROの姿勢は評価しますが、なぜこの時期に? とは思います。まさか2006
貴方がつないでいるのは本当に「インターネット」ですか? — 旧メイン・ブログ | Baldanders.info
Winny を主な経路とする暴露ウイルスが蔓延し, 個人情報や機密情報がネット上に暴露される被害が続出しています。 これら一連の問題について本家でも散発的に戯れ言を書きましたが, ここではもう少しだけまじめに考察していきたいと思います。 今回は覚え書きの形式のため「である調」で書いてます。 文体の不整合についてはご容赦ください。 ついでに駄文・長文についてもご容赦を。 Winny を使った暴露ウイルスによる被害が社会問題化するはるか以前から「インターネット」は安全な場ではなくなっている。 メールや IM 等を使った spam やウイルス散布はもはや日常茶飯事だし, 更にネットにつながっているマシンに対して直接攻撃をかけたりマシン内に潜伏して他のマシンへ攻撃する「踏み台」として利用する行為も当たり前の光景になってきている。 最近では Phishing などの詐欺行為も常態化してきた。 このよ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
認証基準のISO/JIS化に伴う対応について
ベクター、ウイルス感染の疑いでライブラリのダウンロード停止中 | スラド
gzipだけじゃない脆弱性 Okumura's Blog
IE が onload="window()" で死ぬ話 | 水無月ばけらのえび日記