Adobe Flash Player - Downloadshttps://main--cc--adobecom.hlx.page/cc-shared/assets/img/product-icons/svg/express.svg | Adobe Express 注目を集めるコンテンツを制作するなら、Adobe Expressがお勧めです 美しいコンテンツを簡単に作成して共有できます。プロがデザインした何千ものテンプレートの中から選び、SNS投稿、チラシ、バナーなどをあっという間に作成できます。 Adobe Expressを無料で入手
標的型攻撃疑いのアクティビティを調べてみた。 | Recruit Tech Blog
こんにちは。Recruit-CSIRT 六宮です。 先日、社内から「怪しいメールが届いた」との報告がありました。今回は、そのメールやダウンロードされる不正プログラムなどについて、調査結果を共有したいと思います。みなさんにとって有益な情報になれば幸いです。 今回届いたメール 実際に届いたメールはこちらになります。送信者のメールアドレスは、国内の携帯電話キャリアのアドレスでした。 メールヘッダを確認した限りでは、今回のメールは From などの偽装は考えにくく、実際に携帯電話から送信された可能性が高いと考えられる状態でした。 話をメール本文に戻したいと思います。本文中には短縮 URL サービスの URL があり、見るからに怪しいですね。アクセスをすると架空の履歴書が表示されます。 いまは 2017 年ですので、誕生日(1984年)と年齢(30)がミスマッチですね。 また、この架空の履歴書につい
Masato Kinugawa Security Blog: connection.swf + XSS によるクロスオリジンの情報奪取
Flashを使った、ちょっと変わった情報奪取手法を紹介します。 この手法、以前から条件によっては攻撃が可能になる場合があるだろうと想像していたんですが、なかなか実例にぶつからず、2013年に開催されたサイボウズの脆弱性発見コンテスト「cybozu.com Security Challenge」で初めて本当に動作するものを発見しました。 実は既に「SECCON 2013 全国大会」でも一部詳細を発表しています。スライドの15ページの辺りから書いてある件です。 http://www.slideshare.net/masatokinugawa/cybozu-security-challenge/15 発表の時点ではサイボウズ側で修正されていなかったので、具体的な箇所を伏せていますが、今は修正されたので、具体的な箇所をあげながら説明したいと思います。 なお、この問題はFlash自体の脆弱性ではない
Masato Kinugawa Security Blog: CVE-2014-0509: 上位サロゲートを使ったFlashのXSS
Flashの文字列処理の方法が適切でないために、 適切にXSS対策が施されたFlashファイル上でもXSSを引き起こせる場合があった問題について書きます。 この問題は以下に掲載されているように、 2014年4月のFlash Playerのアップデートで修正されました。 http://helpx.adobe.com/security/products/flash-player/apsb14-09.html These updates resolve a cross-site-scripting vulnerability (CVE-2014-0509). 本問題は、 このブログでも何度か取り上げた ExternalInterface.call() の問題に関係するものです。取り上げたのはこの辺の記事です: Flash動画プレイヤー「ふらだんす」に存在したXSSから学ぶ、FlashのXSS3パ
Masato Kinugawa Security Blog: CVE-2014-0503: 0x00文字を使ったFlashのセキュリティ制限のバイパス
Flash Playerに存在した、 セキュリティ制限をバイパスすることができた問題について書きます。この問題は2013年11月10日にAdobeに報告し、2014年3月のアップデートで修正されました。 http://helpx.adobe.com/security/products/flash-player/apsb14-08.html These updates resolve a vulnerability that could be used to bypass the same origin policy (CVE-2014-0503). 早速どのような問題だったか書いていきます。 (なお、本問題はFirefoxにインストールしたFlash Playerでしか再現しませんでした。) loader.load() という関数があります。この関数は、画像やSWFなどをSWF上にロードす
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
Masato Kinugawa Security Blog: Flash動画プレイヤー「ふらだんす」に存在したXSSから学ぶ、FlashのXSS3パターン
ストリーミング・ジャパンが以下のURLで提供しているFlash動画プレイヤーの「ふらだんす」に存在し修正された、僕が報告した3件のXSSについて書きます。 http://www.streaming.jp/fladance/ 更新しましょう 2013年4月12日に提供されたバージョン 2.1.5以降 を使っていなければXSSの穴をサイトに作っていることになります。一応「ふらだんす」の上で右クリックすると使っているバージョンがわかるので脆弱かどうか確認できますが、こういったFlashの動画プレイヤーの更新情報をちゃんとチェックしている人はほとんどいないと思うので、最近導入した人でなければまず脆弱なものを使っていると思います。心当たりがある人は「2.1.5」に更新しましょう。あるいは使っているサイトをみかけたら教えてあげましょう。 これ以降は技術的な話です。 技術的な話 あらかじめことわっておく
swfobject.js がアレな話 - ほむらちゃほむほむ
もばいる全盛感のある世間的には今更,FLASH なんてどうでもいいし,swfobject.js 自体 2009年から更新されてないから,こんな古いものをと言われかねないような話ではあるものの,日本語での言及をあまり見てないし,つい先日もさる通信キャリアがトップページでやらかしてて多分知られてないんだろうなと思ったので書こうと思った次第. swfobject.js とは何か この記事の対象読者にとっては説明するまでもない話とはおもうけど一応前置きとして説明しておくと,swfobject.js は FLASH を web ページに埋め込むための JavaScript のライブラリ.クロスブラウザ対応してたり,面倒な HTML-tag のお作法を覚えなくても良くなったりとでデファクトスタンダードな感じのモノ.2007年とちょい古いがリクルートMTL の SWFObject v2.0 ドキュメント
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://csi.sproutgroup.co.jp/archives/000093.html
Catch-up on Flash XSS exploitation – bypassing the guardians! – Part 1 | Soroush Dalili (@irsdl) Blog