先日、Twitterでどのように脆弱性を見つけるかに興味あるんだろうかと書いたら、意外に色々な人から反応があったので、これまでに自分が見つけた脆弱性のいくつかについてどういう経緯で見つけたのかちょっと書いてみます。 JVN#89344424: 複数のメールクライアントソフトにおける、添付ファイルによりメールクライアントソフトが使用不能になる脆弱性 これは、添付ファイル名にUnicodeの円記号を含めておくと、メーラ側でShift_JISに変換する際にバックスラッシュに変換されてしまって想定外のディレクトリに添付ファイルが展開されてしまったり、あるいは「©on」のような名前のファイルを添付しておくことでShift_JISに変換してCONというファイルを開こうとしてメーラが固まってしまうという問題です。これは、私自身が文字コードの問題について調べ始めた初期段階で、Unicodeからの変換で問題

情報処理推進機構（IPA）は2011年7月28日、「ファジング（fuzzing）」と呼ばれる脆弱性検出技術の普及活動を、8月に開始することを発表した。IPAの担当者が、人気ソフトなどを対象にファジングを実施し、知見や実績を蓄積。それを基に「ファジング活用の手引き」をまとめ、2012年第1四半期をめどに公開するという。 ファジングとは、検査対象のソフトウエア製品あるいは機器に対して、開発者が想定しないようなデータを次々と入力し、その応答からソフトや機器の脆弱性を探す技術。想定外のデータとは、非常に長い文字列や大きい値など。 入力データの応答として異常な結果を返したり、動作が異常終了したりした場合には、その処理をした箇所を詳細に調べる。ファジングを実施するためのツール（「ファジングツール」や「ファザー」などと呼ばれる）は多数存在する。 IPAによれば、ファジングは脆弱性検出に有効な技術であり実

原文(投稿日：2011/07/13)へのリンク Googleが提供するソーシャルネットワークであるGoogle+は、ほとんどがJavaとJavaScriptで構築されている一方、Google+のビデオ会議フレームワークであるHangoutsはクライアントサーバアプローチを用いている。 Google プラス または Google+は待ち望まれたGoogleが提供するソーシャルネットワークで、招待ベースで限定数のユーザーが利用できる形で最近リリースされた。プロジェクトは2010年初頭から始まったが、裏側でどのような技術が使われているかに関してはほとんど情報が出てこなかった。Plaxoの前CTOでGoogle+のテクニカルリードであるJoseph Smarr氏は、具体的には語らなかったがAnyAskのインタビューでGoogle+の技術詳細を明らかにした。我々はGoogle+のアーキテクチャの詳細

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 昨年末、ZDNet Japan編集部の田中好伸が2010年のセキュリティ動向をまとめた。冒頭、田中はこう書いている。「セキュリティという視点で数年後に振り返った時、2010年は重要な年になるのかもしれない」 2011年も半ばを過ぎた今、この指摘の正当性がより深まってきた。その背景には「Stuxnet」の存在がある。 最も重要なセキュリティの出来事--Stuxnet Symantecがシンガポールで開催したカンファレンス「Next@Norton」では、Stuxnetのデモンストレーションが披露された。 Stuxnetは、Siemensの産業用制御システムを攻撃するマルウェアだ。Stuxnetの攻撃により、イランのウラン濃縮施設で使われてい