Windowsのパッチ適用を早急に - 9日提供のパッチに早くも攻撃とUS-CERT | ネット | マイコミジャーナル
マイクロソフトが9日に公開し、セキュリティパッチを提供した脆弱性「Server サービスの脆弱性により、リモートでコードが実行される (921883) (MS06-040)」に対する攻撃コードが発見された。US-CERTがパッチ提供日の9日(日本時間、以下同)に伝えた情報で、早急にパッチを適用する必要がある。 MS06-040は、情報提供者としてUS-CERTと米SANS Instituteがクレジットされている。SANSは公式blogの中で「MS06-040に関して多くの質問が届いている」とした上で、「パニックを起こさず、パッチの適用を」と呼びかけている。 MS06-040は非常に危険な脆弱性。脆弱なPCに攻撃者が特殊なパケットを送りつけるだけで、任意のコードがSYSTEM権限で実行されてしまう。つまり、攻撃者によって無差別に送りつけられるパケットの対象に、たまたまセキュリティパッチを適
「Ruby on Rails」に脆弱性--早急なアップデートが必要
人気の高いオープンソースのウェブアプリケーションフレームワーク「Ruby on Rails」にセキュリティ脆弱性が発見されたことから、同製品のユーザーに対して、早急にアップデートを適用するよう促す警告が出された。 Ruby on Railsの開発チームは米国時間8月9日、同脆弱性を修復するパッチをリリースした。パッチの適用は、同ウェブアプリケーションフレームワークの最近のバージョンを用いて構築されたすべてのサイトで「必須」になっているという。 今回リリースされたパッチが修復対象としているのは、開発チームが「深刻なセキュリティ問題」を引き起こすおそれがあるとする脆弱性で、バージョン1.1から1.1.4までの全バージョンに影響をおよぼす。ただし、この脆弱性の詳細な特徴は明かされていない。 開発チームが発表した声明には、「問題の深刻度が高いため、脆弱性の詳細までは明らかにできない」と記されていた
安全なセッション管理を実現するために ― @IT
HTTPを使用したWebアプリケーションにおいて、安全なセッション管理を行うことは難しい問題である。タブブラウザによる画面の複数起動や、Webブラウザの戻るボタン/更新ボタンの押下といった、予期しない画面遷移に起因するバグの発生に頭を悩ませることは多いだろう。 大きな問題が発生しないならば、画面遷移の仕様上の制限をクライアントに許容してもらう選択肢もあるだろうが、不正な画面遷移を利用したセキュリティホールが存在するならば、放置しておいてよい問題ではなくなる。今回はセッション管理を安全に行うための基本的な注意点について解説していこう。 セッション固定攻撃とは何か セッション固定攻撃(Session Fixation)という脆弱性を耳にしたことはあるだろうか。脆弱性そのものの詳しい解説は本稿の趣旨ではないため割愛するが、簡潔に説明すると、以下のような手順を踏むことによりセッション情報がハイジャ
仮想マシン「VMware」にセキュリティ・ホール,実験環境にしているユーザーは要注意
デンマークSecuniaなどは現地時間12月21日,仮想マシン・ソフト「VMware Workstation」などにセキュリティ・ホールが見つかったことを明らかにした。ゲストOS上で特定の操作をされるとバッファ・オーバーフローが発生し,ホストOS上で任意のプログラムを実行される恐れがある。NAT機能を有効にしている場合のみ影響を受ける。対策はVMwareのアップデートやNATの無効化。米SANS Instituteでは,ゲストOS上でマルウエア(悪質なプログラム)の解析などをしているユーザーはすぐに対策を施すよう勧めている。 影響を受けるVMware製品は以下のとおり。 VMware Workstation 5.5 およびそれ以前VMware GSX Server 3.2 およびそれ以前VMware ACE 1.0.1 およびそれ以前VMware Player 1.0 およびそれ以前 今回
5分で絶対に分かるフィッシング詐欺
フィッシング詐欺って何だろう? フィッシング詐欺とは、オンラインバンクやクレジットカード会社の名前をかたってユーザーからIDやパスワード、銀行口座番号や暗証番号、クレジットカード番号などの個人情報を盗み取る犯罪です。このほかにもポータルサイト、オンラインショップ、オンラインオークション、オンラインゲームなども詐称の対象となります。 基本的には送信者を詐称したメールを不特定多数のユーザーに送りつけ、フィッシング詐欺師(フィッシャー)が用意した本物そっくりの偽サイトに誘導します。最近では事前に入手した個人情報を使って、本人を狙い撃ちするパーソナライズドフィッシングという手法も使われています。 また、フィッシャーがユーザーPC内のHostsファイルを書き換えてしまい、ユーザーが正しいURLを入力してもフィッシャーが用意した偽サイトに接続されるファーミングという手法も存在します。
『Google』の検索から自分を守る方法(上) | WIRED VISION
『Google』の検索から自分を守る方法(上) 2005年10月25日 コメント: トラックバック (0) Ann Harrison 2005年10月25日 サンディエゴ在住のジェリ・アガリアさんは、ほとんどの米国人と同じように、個人情報に結びつく痕跡を残しているように見える。自分の名義で電話を所有し、銀行口座を持ち、公共料金を支払い、ローンもクレジットカードもある。しかし、定時制の学校に通いながら主婦業をしているアガリアさんは、インターネットの世界では減少の一途をたどっているえり抜きの特権階級に属している――アガリアさんの名前は『Google』(グーグル)でヒットしないのだ。 「プライバシーを大切にしているだけ」とアガリアさんは話す。「政府や企業はすでに、マーケティング目的で個人のことを知りすぎていると思う」 インターネットが日常生活に浸透するにつれ、ウェブ上にうっかり自分への道しるべを
150万台のPCで構成される「ボットネット」が確認,DoS攻撃をちらつかせた脅迫も
米SANS Instituteは米国時間10月20日,オランダのセキュリティ組織がおよそ150万台のPCで構成される「ボットネット」を発見したことを伝えた。このボットネットに関与したと思われる人物の一人は,DoS(サービス妨害)をちらつかせて,ある米国資本の企業を脅迫した疑いもある(関連記事)。また,別の企業のサイトに対してDoS攻撃を仕掛けた疑いもあるという。 SANS Instituteの情報は,オランダのあるセキュリティ・サイトで公開されている記事に基づいている。それによると,およそ150万台のPCにボットが埋め込まれ,一つのボットネットを形成していたという。発見したのはオランダのセキュリティ・レスポンス・チーム「GovCert.nl(Dutch Computer Emercency Response Team)」。ただし,このボットネットを構成するオランダ国内のPCは3万台程度であ
ITmediaニュース:Xeroxプリンタに追跡コード――EFFが警告
Expired:掲載期限切れです この記事は,Associated Press との契約の掲載期限(30日間)を過ぎましたので本サーバから削除しました。 このページは20秒後にNews トップページに自動的に切り替わります。
緊急レベル3個を含む9個のセキュリティ修正が公開(MS05-044~052) - @IT
Windows HotFix Briefings ALERT セキュリティ情報 緊急レベル3個を含む9個のセキュリティ修正が公開 ―― 実証コード公開やポート・スキャンの報告あり ―― DA Lab Windowsセキュリティ 2005/10/18 マイクロソフトは、月例の修正プログラム公開日である2005年10月12日、以下の9個(MS05-044~052)の脆弱性情報を公表し、修正プログラムの提供を開始した。9個のうち3個の最大深刻度は、最も緊急性の高い「緊急」レベルである。一部の脆弱性については、詳細な技術情報だけでなく、実証コードも公開されている。すでに攻撃の前兆となるポート・スキャンなども確認されているようなので、至急に適用作業を開始する必要がある。 [緊急]:Internet Explorer の累積セキュリティ更新プログラム(MS-05-052/896688) [緊急]:Di
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
