FFRI-Tech-Meeting #4-1 「Android 端末検査のコツ」│セキュリティ・リサーチのフォティーンフォティ技術研究所
HOME » FFRI BLOG » 2013年 » 1月 » FFRI-Tech-Meeting #4-1 「Android 端末検査のコツ」 - 2013-01-31 2013-01-31 FFRI-Tech-Meeting #4-1 「Android端末検査のコツ」 先端技術研究部の松木です。 私はこれまでに「Android端末セキュリティ分析サービス」をいくつか担当して、いろいろなAndroid端末に触れてきました。自分が検査した端末が無事に発売されたニュース記事などを見ると、よかったという気持ちになります。また、発売後に脆弱性が見つかっていないか気になったりします。今回の社内勉強会FFRI-Tech-Meeting #4では、「Android端末検査のコツ」と題して話をしました。その中で話したことを簡単に紹介します。 なお、FFRI-Tech-Meeting(FFRIの社内技術者
チェックしておきたい脆弱性情報<2013.01.31>
2014年1月1日から、CVE番号の番号体系が変更されることになりそうです。 2013年1月22日、CVE Editorial Boardは、新規番号体系案に対する意見を募集するとアナウンスしました(CVE ID Syntax Change - Call for Public Feedback)。現状の番号体系CVE-YYYY-NNNN(年+4桁固定)では、年間1万件以上の脆弱性を取り扱うことができません。この問題を解決するため、図1に示す3案がCVEの新規番号体系候補としてが挙がっています。メーリングリストなどを通して意見を募集した後、2013年3月に結論を出し、2014年1月1日からCVEの新規番号体系での運用を開始するとしています。 CVE ID Syntax Change - Call for Public Feedback ここからは、1月20日までに明らかになった脆弱性情報のう
やっぱりUPnPは「無効」に設定すべき?という話について調査してみた
「「UPnP(libupnp)に脆弱性・WANから攻撃可能」という話の中身を調査してみた」とう記事を書きました。ここでは、ニュースで騒がれている脆弱性は、「WAN側にUPnPのサービスを公開しなければ防げる」という話になりました。しかし、実は今回のニュース以前から、「WAN側にUPnPのサービスを公開していなくてもUPnPを悪用される危険性がある」脆弱性が指摘されていました。つまり、「WAN側のUPnPのサービスを公開しないようにする」のは今回のニュースの問題(WANからの攻撃)を防ぐためには有効であっても、そもそも別の脆弱性があるため「UPnPを無効にすべき」、なようなのです。しかし、この危険性が公開されたのは2008年1月で丸4年前(そもそも度が高すぎる)。「もしかしたら今は大丈夫かも」という可能性もあるため、追跡調査してみました。 ※謝辞:この脆弱性の存在については @hamano
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
