GNU Bashに重大な脆弱性、環境変数を渡して呼ぶことで任意コード実行が可能に | スラド セキュリティ
GNU Bashに新たな脆弱性が発見された(CVE-2014-6271)。環境変数を経由して関数定義を渡す場合に、細工をしてコマンドを実行させることができる。攻撃に使う環境変数の名前に制限はなく、たとえば内部的にshを実行するようなCGIに対してHTTP ユーザーエージェントを送る際や、ssh接続時に環境変数を渡す時など、環境変数を改変した状態でbashが呼ばれるようになっていれば攻撃ができる(ThreatPost、CSO Online)。 この脆弱性はすべてのバージョンの bashにあるとされ、Mac OS Xにも当該のバージョンが含まれるとされている。一部の Linux ディストリビューションではすでにアップデートを配布している。 Red Hat Security Blogによると、脆弱性のあるバージョンでは以下の"echo vulnerable"の部分が予期せず実行される。
謎の偽携帯電話基地局が全米各地で見つかる | スラド セキュリティ
セキュリティーを強化した携帯電話「GSMK CryptoPhone」シリーズを米国で販売しているESD Americaによると、通信会社が設置したものではない偽の携帯電話基地局(インターセプター)が全米各地で発見されているそうだ(Twitter — Cell Hacking Alerts、 Popular Scienceの記事、 本家/.)。 インターセプターの中身はコンピューターに無線通信機能を追加したもの。通話内容の傍受のみが可能な低機能なものから、政府機関が使用する VME Dominatorのように偽のテキストメッセージを使用してスパイウェアを送り込むといったことも可能なものもある。インターセプターはCryptoPhone 500が存在を検出。米軍基地周辺で数多く発見されているが、使用者は不明だ。ラスベガスのカジノ付近でも発見されており、フロリダからノースカロライナへの経路で8つの
Android 4.3で追加されたパーミッション設定機能、Android 4.4.2で削除される | スラド セキュリティ
Android 4.3では個人情報などへのアクセス許可をアプリごとに設定できる「App Ops」という隠し機能が追加されていたが、先日リリースされたAndroid 4.4.2で取り除かれてしまったそうだ(Electronic Frontier Foundationの記事、 The Vergeの記事、 本家/.)。 Androidアプリには、システムリソースや個人情報などへのアクセスを要求するパーミッション設定がある。アプリの中には無断で個人情報を外部送信するものも多いが、各項目へのアクセス許可をユーザーが指定することはできず、インストール時に確認してアプリを使うかどうかを選択することしかできなかった。Android 4.3ではApp Opsを使用することで、アプリが要求するアクセス許可の項目をリストアップし、望ましくない項目を無効化できるようになっていた。しかし、Android 4.4.2
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
