「Java 7 Update 11でも脆弱性は残っているから引き続きJava無効化を」という話について
「Java SE 7 Update 11 でもバグが修正されていない」という専門家の意見が書いてあるロイター通信の記事(Oracle updates Java, security expert says it still has bugs)をTwitterで紹介しましたが、「やはり修正されていない」「修正されたのは2つの脆弱性の内の一つだけ」というニュース記事が複数出てきました。 これらのニュース記事には、「Java 7 Update 11でも脆弱性は残っているから、Java(Java appletを起動するためのブラウザ上のJavaプラグイン)をひきつづき無効化せよ」という内容のCERTの意見が掲載されています(無効化手順はこちら)。 しかし、日本語の記事が曖昧で、少し情報源のページを読んでみると、単に「片方が修正されていないから危険」というわけではない、ちょっとややこしい話のようだった
米国国土安全保障省 Java 7のゼロデイ修正プログラムを適用してもまだ危険と警告
Java 7のゼロデイを修正するプログラムですが、昨日書いたように完全ではないようです。 【緊急】MacもWindowsもLinuxも Javaを使ってるなら必須 ゼロデイ脆弱性の緊急修正プログラムが公開 : I believe in technology なお、この緊急修正プログラムでもまだすべての欠陥は修正されていないという指摘もあります。 上記記事で引用したロイターから追加情報が出ています。 U.S. says Java still risky, even after security update (Reuters) - The U.S. Department of Homeland Security warned that a security update of Oracle Corp's Java software for Web browsers does not do e
New Java 0-Day Vulnerability Exploited in the Wild
Insider New Java vulnerability is being exploited in the wild, disabling Java is currently your only option A new Java 0-day vulnerability has been discovered, and is already being exploited in the wild. Currently, disabling the plugin is the only way to protect your computer. Update on December 11: Oracle’s Java vulnerability left open since October 2012 ‘fix’, now being used to push ransomware T
Javaに未解決の脆弱性が発覚、標的型攻撃に利用される
脆弱性を解決するパッチは現時点で存在しない。セキュリティ各社はJavaを無効にするなどの対策を呼び掛けている。 Javaの未解決の脆弱性を悪用した標的型攻撃の発生が確認され、セキュリティ各社が注意を呼び掛けている。脆弱性検証ツール「Metasploit」にも、この脆弱性を突くモジュールが追加された。 この脆弱性についてはセキュリティ企業のFireEyeが8月26日のブログで伝え、Secuniaなどの各社も確認している。脆弱性は「Java Runtime Environment (JRE)7 Update 6」のビルド1.7.0_06-b24で確認され、1.7xなど他のバージョンも影響を受けるとみられる。FireEyeは1.7 Update 6をインストールした最新版のFirefoxで、この問題を悪用することに成功したという。 この脆弱性を突いてマルウェアに感染させる攻撃用のWebサイトも見
AndroidのLVL(License Verification Library) Crack編 - @vvakame の日記
※ ここに書いてあることは間違ってることもあるかもしれません。頑張ってますが間違っていたらTwitterかコメントなどで教えていただけるとうれしいです。 前回のまとめ とりあえず、LVL使うだけなら簡単だね、というとこまでなんとなく見ました。 前回 d:id:vvakame:20101009#1286604355 では、とりあえずLVLを導入してみました。 で、 Lv.1 カジュアルクラッカー対策 Lv.2 ガチでハッカー対策 Lv.3 雲の上… LVLをとりあえず導入するだけで、(多分) Lv.1の人たちへの対策としてはOKです。 具体的には、rooted端末でadb pull とかでapkを抜いてすぐ返品するような人々は LVLのおかげでアプリを使えなくできるはず。 やったことないから知らないけど…。 今回は、Lv.2のプログラムの構造とかがそれなりにわかっているクラッカーさんになりき
AndroidのLVL(License Verification Library) とりあえず導入編 2010-10-09 - vvakameの日記
※ ここに書いてあることは全部間違っている可能性があります。頑張ってますが間違ってたらごめんなさい。Twitterかコメントなどで教えていただけるとうれしいです。 LVLってなんなの? Googleが提供しているライセンス認証とかできる物体。 このライブラリを利用して、自分のプログラム内で利用者が購入者かどうか確認することができます。 有料アプリでしか使うことができません。 どういう時に使えなくできるの? アプリケーションの利用者が購入している人ではないとき(正規ユーザではないとき)。 最新のバージョンじゃないとき。(VersionCode と VersionName がMarketにある最新版と一致しないとだめ) まぁ、○○のとき、××する、というのは自分で書くので、適当ですね。 どうやって検証するの? vending(Marketアプリ)のサービスに検証を依頼する 検証結果を受け取り、
AntiSamyをためす - teracc’s blog
OWASPがAntiSamyというオープンソースのソフトウェアをリリースしました。 Category:OWASP AntiSamy Project - OWASP ツールの名前は、有名なMySpaceのJavaScript Wormからきています(多分)。 HTML断片から、JavaScript要素を除去するためのソフトで、現行版はJavaで作られています。プロジェクトのホームページによると、将来的にPHPや.NET環境にも移植される予定とのことです。 V1.0をダウンロードしてちょこっと触ってみました。 以下、メモ&感想です。 ParserとしてNekoHTMLを使用している。 XMLのポリシーファイルと、ポリシーファイルに基づいてHTMLを処理するエンジンで構成されている。 ポリシーファイルには、許可するHTMLタグ・属性名・属性値、CSSプロパティ名・値などのパターンを、正規表現をつ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
