JavaのアップデートをOracleが公開、27件の脆弱性を修正
OracleがJDK/JRE 6 Update 19を公開。Java SEとJava for Businessの脆弱性27件を修正した。 米Oracleは3月30日付でJava SEとJava for Businessのクリティカルパッチアップデートを公開し、合計27件の脆弱性に対処した。 脆弱性はImageIO、Java 2D、Java Runtime Environment、Java Web Start、Pack200、Sound、JSSE、HotSpot Serverなどのコンポーネントに存在する。危険度は最も高いもので、CVSS 2.0のベーススコアが7.5(最大値は10.0)となっている。 影響を受けるのはJDK/JRE 6 Update 18までのバージョンと、JDK 5.0 Update 23までのバージョン、SDK/JRE 1.4.2_25までのバージョン。脆弱性を修正した
メッセサンオーでエロゲ通販した人の個人情報、Googleさんがかっさらう : イフカルト - ライブドアブログ
23 :まとめ:2010/04/02(金) 00:46:55.35 ID:l0qBDTEA エロゲを通販で買った人達の個人情報が丸見えで購入厨大敗北!! ★2 まとめ 起きたこと ・善良なエロゲ購入厨の個人情報リストがGoogle先生によってキャッシュされている事が判明 住所やら必死すぎる連絡事項やら突っ込みどころ満載 ・モペキチがくだらんことをしてるのでGoogle(http://74.125.153.132/の奴)以外のURLは踏むなよ 馬鹿があーだこーだ言っても所詮素人の見解なので安全な範囲から楽しみましょうね 原因 ・CGIがザル →GETでパスワード受け入れる →POSTでパスワード投げてもセッション管理の為にURIにパスワードを含み続ける ・人間がザル →パスワード含んだURIをGoogleのクロール範囲に公開 メッセの申し開き待ち 2 : すりこぎ(神奈川県):2010/04
通販でエロゲを買った人の個人情報が丸見えな件 : オレ的ゲーム速報@刃
この記事は自主規制致します、申し訳ございませんでした。 .. .. .. .. ::/ ⌒`"⌒`ヽ、:: ::/,, / ̄ ̄ ̄ ̄\:: ::/,//:: \:: ;/⌒'":::.. |⌒ヽ / /、:::::... /ヽ_ \ ( ⌒ー-ィ⌒ヽ、 /⌒`ー'⌒ )_ . l ̄`ー──ゝィソノー‐ヾy_ノー─" \ \ \ \  ̄ ̄ ̄ ̄  ̄ \ \ \ \
Twitterのスパム対策、迷惑ツイートの割合が急減
迷惑ツイート(つぶやき)の増加に見舞われているTwitterが、ブログでこれまでのスパム対策の成果を説明した。スパムをさらに減らすため、ユーザーにも協力を呼び掛けている。 ブログによると、Twitterで横行しているスパムには、不正リンクを掲載して詐欺サイトやマルウェア感染サイトに誘導する、ツイートを複製して繰り返し投稿する、強引なアカウントのフォローとフォロー解除で注意を引こうとする――といった手口があるという。 システムの人気が高くなるほど、それを利用しようとするスパムは増えるものだが、Twitterではユーザーに快適に使ってもらうため、継続的にスパム対策を講じてきたと同社は説明。この対策が奏功して全ツイートに占めるスパムの割合は激減したといい、ブログに掲載されたグラフによれば、最も多い2009年8月で10%を超えていたスパムの割合が、2010年2月には1%程度に減っている。
グーグル、ウェブアプリの脆弱性検査ツール「skipfish」を公開
Googleは米国時間3月19日、オープンソースのウェブセキュリティスキャナ「skipfish」を公開した。ウェブアプリケーションをスキャンして、セキュリティホールの有無を調べられるものだ。 skipfishでウェブアプリをスキャンすると、ブラインドSQLやXMLインジェクションといった「巧妙な仕掛け」を含む脆弱性の有無が確認できると、Googleの開発者Michal Zalewski氏はskipfishのwikiで述べている。 skipfishは対象サイトへの再帰的クロールと辞書ベースの調査を実行し、その結果を表示したインタラクティブなサイトマップを作成する。脆弱性がある場合には強調表示する。また、skipfishが作成する最終レポートは、セキュリティ評価の判断材料として利用できる。 同様のスキャンツールは、「Nikto」や「Nessus」など、すでに商用でもオープンソースでも複数出回っ
Internet Explorerの「スクリプトによる貼り付け処理」機能の能力を検証する
2001年11月5日 作成 2001年11月11日 追記: 「関連」の3番目の項目 目次 概要 検証実験 脅威 Microsoftの公式見解 クリップボードの盗聴を防止する設定 関連 FAQ 概要 MicrosoftのWebブラウザ「Internet Explorer」(以下「IE」と略す)には、 「スクリプトによる貼り付け」という名の機能があります。これは、 「JScript」(JavaScriptをMicrosoftが独自拡張した言語の名称)の 独自機能のひとつで、 var str = clipboardData.getData("Text"); という一文で、 システムのクリップボードの中身を取り出せる機能です。 これは、おそらく、Web上のサービスでカット&ペースト機能をJScriptで 実現するために用意された機能と考えられます。 しかし、この機能が悪用されると、 悪意のあるペー
解雇に逆襲:4000台のサーバー破壊を企てたファニー・メイのIT技術者 | WIRED VISION
前の記事 物理学の基礎を築いたベル研の歴史:画像ギャラリー ブラックホールから噴出する「宇宙ジェット」の高解像度画像 次の記事 解雇に逆襲:4000台のサーバー破壊を企てたファニー・メイのIT技術者 2009年1月30日 Kevin Poulsen メリーランド州にあるファニー・メイのデータセンター 米国の金融機関、ファニー・メイ(Fannie Mae)の元エンジニアが2008年の秋にこっそり仕掛けたとされるロジック・ボムは、 4000台ある同機関のサーバーを完全に破壊する威力を持つものだった。[ファニー・メイは米連邦住宅抵当公庫の呼称。当初は政府系金融機関だったが、1968年に民営化。サブプライムローン問題が明るみにされるまでは、ファニー・メイ発行の証券は政府機関債と見做され、米国債に次ぐ高い信用力を保っていた。2008年9月以降、米政府の管理下にあり、普通株および優先株の配当が停止さ
はてなフォトライフが実はプライベートな画像を全世界に公開している件 - 公開こまたく日記
タイトルは釣りですJK。はしたなくてすみません。 以前書いたEye-fiを手に入れたので利用できる有料オンラインストレージサービスを比較検討してみた以降、Flickrの有料アカウントを利用してフォトライフを送っています。無意識的に何気なくパシパシ撮っていた画像がお構いなしにすべてUPされてしまうので、ひたすら便利なもののセキュリティという意味ではトレードオフかななんて思いつつ使っています。 さて、はてなフォトライフやFlickrに代表されるオンラインストレージサービスですが釣りタイトルのように、例えプライベートフォルダを作成して保存をしている画像であっても第三者に表示されてしまう、ということはご存じでしょうか(有名な話ですが)。 例をあげてみます。 id:komatakアカウントのプライベートフォルダにはハンバーガー食べてるkomatakさんがいらっしゃいました。このURLです。 http
2008年、USBメモリなどを経由して感染を広げるマルウェアが多発
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます マカフィーは1月19日、2008年度のコンピュータウイルス、不審なプログラムについて、検知データの集計結果を発表した。ウイルスでは外部メディアにより感染を拡げる「Generic!atr」「PWS-Gamania.gen.a」などのAutorunワームが多かった。 一方、電子メールで感染するマルウェアでは、「Spy-Agent.bv.dldr」 が日本だけでなく世界的にスパムメールとして配信された。 2008年末からは「W32/Xirtem@MM」の亜種が多く発見された。また、SQLインジェクションによる攻撃も顕著で、脆弱点を修正していないアプリケーションを使ってアクセスしたユーザーが新たなマルウェアに感染するといった被害が数多くあった。
よく使われる危険なパスワードトップ500
セキュリティを強化するために使用されるパスワードですが、面倒くさいからとか覚えられないからといって安易なものを使ってしまうとあまり意味がありません。多くの人が思い浮かべる使われやすいパスワード500個が紹介されているので、自分の使っているものと同じものがないかチェックしてみてください。 詳細は以下から。 What’s My Pass? >> The Top 500 Worst Passwords of All Time よく使われるパスワードトップ500。 50人に1人はトップ20のうちのどれかのパスワードを使用しているそうです。「1234」といった簡単な数字の羅列や「qwerty」などのキーボードを横に順番に押しただけのもの、「password」といったそのままの単純なものが上位に多くありますが、「porsche」や「ferrari」といった自動車の名前や「starwars」「matri
情報処理推進機構 - IPA職員の私物パソコンによる情報流出について
当機構職員が自宅において保有する私物のパソコンでファイル交換ソフト「Winny」を使用した結果、コンピュータウイルスに感染し、パソコン内の情報が流出したという事実を確認しました。 これにより、当該職員に関わる個人情報等や一部の公開画像が流出したと見られます。他方、これまでの調査では、当機構の業務関連の非公開情報は含まれておりませんが、さらに確認を行っているところです。 当機構は、情報セキュリティ対策を推進しており、ファイル交換ソフト(Winnyなど)の利用の危険性についてもかねてから注意喚起を行ってきたところです。今般このような事態が発生したことについて、陳謝申し上げるとともに、再発の防止に全力を尽くしてまいります。
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
高木浩光@自宅の日記 - 対策にならないフィッシング対策がまたもや無批判に宣伝されている, 追記(26日)
■ 対策にならないフィッシング対策がまたもや無批判に宣伝されている 「PCからオンライン取引、ケータイで認証」−ソフトバンクBBの新発想・認証サービス, Enterprise Watch, 2007年9月20日 「同サービスはまったく新しい認証の手段だ。暗号化技術にも依存しないので、クラッカーとのいたちごっこにもならず、これまでの認証の問題を一挙に解決することが可能。本当の意味でIT革命が起こせると期待できるサービスだ」と意気込みをあらわにしながら説明を行った。(略) 「PCを標的にしたハッキングやDoS攻撃を受ける可能性がゼロになる」(中島氏)。また、偽サイトとはシンクロしないため、フィッシング詐欺を100%防止することも可能だ。 ソフトバンクBB、携帯活用認証システムでWebサイトログイン対応に, ケータイWatch, 2007年9月20日 今回の新機能は、安全・簡便・低コストで、そう
OpenOffice.orgのTIFF処理に脆弱性--複数OSで影響の恐れ
セキュリティ専門家が「OpenOffice.org」の脆弱性を発見した。この脆弱性が攻撃者に悪用されると、遠隔地からLinuxやWindows、Macを搭載したコンピュータでコードが実行可能になる恐れがある。 OpenOffice 2.0.4およびそれ以前のバージョンは、不正に細工されたTIFFファイルに対して脆弱である。こうしたファイルは、電子メールに添付して配布されたり、ウェブサイトに公開されたり、PtoPソフトウェアを介して共有されたりする可能性がある。米国時間9月17日にリリースされた最新バージョンであるOpenOffice 2.3では、この脆弱性の影響を受けない。 iDefenseの研究員がこの脆弱性を発見し、OpenOfficeのTIFF解析コードに脆弱性が存在すると主張している。 「特定のタグに対するTIFFディレクトリエントリを解析するときに、パーサがファイルの信頼できない
第7回 いまさらながらクロスサイトスクリプティングの基礎の基礎 | gihyo.jp
今回はWebアプリケーションを作ったことがない方でも分かるようクロスサイトスクリプティング脆弱性を解説します。 クロスサイトスクリプティングとは? 初めてクロスサイトスクリプティングと聞いて、どのような問題なのかすぐに理解できる人はいないと思います。サイトAに記述されたJavaScriptプログラムがサイトB上で実行されるために発生することが問題とされたので、「サイト間をまたがるスクリプトの実行」問題として、クロスサイトスクリプティング(XSS)と名前が付けられました。この命名では直感的に分かりづらい、サイト間にまたがらずHTMLメールなどにJavaScriptを挿入する攻撃でも同じ効果が得られることから、「JavaScriptインジェクション」とも呼ばれるようになっています。 図1 簡単なクロスサイトスクリプティング 例1 簡単な直接攻撃 掲示板サイトに投稿されたデータをエスケープ処
仙石浩明の日記: chroot されたディレクトリから脱出してみる
要約すれば、 「chrootなんて簡単に抜けられるからセキュリティ目的で使っても意味ないよ。」 ってことね。そうだったのか。 そうだったのか orz Note that this call does not change the current working directory, so that `.' can be outside the tree rooted at `/'. In particular, the super-user can escape from a `chroot jail' by doing `mkdir foo; chroot foo; cd ..'. chroot するときは、そのディレクトリへ chdir しておくのが常識と 思っていたので気づいていなかった。 つまり、 故意にカレントディレクトリを chroot 外へもっていけば、 chroot された
マルウェア対策用USBメモリ携行の勧め ― TechTargetジャパン
医者や弁護士は、カクテルパーティーのような場では自分の職業をあまり人に明かしたがらないという話を聞いたことがある。それを耳にしたほかの出席者が病気や法律問題に関するアドバイスを求めて周囲に集まり、無料相談の輪が形成されてしまうからだ。昨今のパーティーでは、コンピュータセキュリティの分野で働いているとほのめかそうものなら、あっという間にそういった輪ができるのは間違いない。セキュリティ専門家が出席していると聞けば、誰もが動作の遅くなったPCや煩わしいポップアップウィンドウに関してアドバイスを求めようと思うのは無理からぬことだ。 情報セキュリティ専門家にとって、手元に本格的なツールセットがなくても、取りあえず応急対策を実施する必要がある、といったケースはよくある。本稿ではこういった場合のために、マルウェアに感染したマシンに対して利用できるポータブルなソフトウェアキットを作成する方法を紹介する。イ
無線LANのWEP/WPAキーを表示するフリーソフト「WirelessKeyView」 - GIGAZINE
無線LANの設定も昔ほど複雑ではなく、全自動でかなりセキュリティの高い設定ができるようになっている機種も増えていますが、それに伴って「一体自分の無線LANのWEPキーは何なのか?」というのが万が一の際にまったくわからないという事態も増えています。そういう際に役立つのがこのフリーソフト「WirelessKeyView」です。 使い方は至って簡単、起動するだけ。それだけでWindowsのWireless Zero Configurationを使ったWEP/WPAキーが表示されます。ただ表示するだけでなく、テキストファイルにして保存したり、HTML形式のレポートにしたり、クリップボードに直接コピーすることもできます。 ダウンロードと使い方は以下から。 WirelessKeyView: Recover lost WEP/WPA key stored by Wireless Zero Configu
結局セキュリティってなんなのさ : インフラエンジニアに成る
野良無線LANを見かけるけど大丈夫なの? そう、友達より話を聞いた。 都心に引っ越したマンション付近で 無線のアクセスポイントがちらほらあるそうな。 それも、どうやらご家庭の無線環境のようで セキュリティ設定は皆無の状態。 望んでもいないのにアクセスポイントを発見してしまうそうである。 だから、そのネット環境を使おうと思えばいつでも使える状況とのこと。 なにやら物騒な話である。 ここで、何が原因なのかという話になった。 初期設定におけるセキュリティの問題に注目して はじめからANY接続を拒否するとか WEPキーを求められるとかはじめからするべきではないかと いう話を友達はしていた。 しかし、提供した側の言い分というか言い訳はこうだと私は思う。 ユーザの使い勝手を意識した場合、 必然的にセキュリティは弱めにして 余計なところでつまずかないようにと考慮していると。 WEPでつまずいたらサポート
Webメール,盗み見されていませんか:ITpro
最近,顧客などからWebメールの利用に関する相談が多くなっている。企業内の個々の社員が勝手に利用している場合はもちろん,企業として利用する場合に,メール本文を外部に置くことで情報漏えいにつながるのではないかという危機感からだ。企業の機密が漏れることはもちろん,個人のプライバシーにかかわる問題でもある。 Webメールは,既に多くのユーザーがプライベートのメールとして利用している。“実名”でビジネス用メールにGoogleやYahoo!などの外部サービスを利用しているユーザーも増えている。ただ,自分の電子メールが他人に読まれていたという事例は過去にいくつもあり,決して珍しい話ではない。事業者のサーバーにメールを置くWebメールとなると,不安はさらに膨らむ。 さすがにWebメール・サービスも,一昔前と比べるとそれなりにセキュリティ対策はとられている。それでも,必ずしも十分とは言えないのが実情である
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
