■標的型攻撃において利用される Adobe Flash Player の脆弱性「CVE-2012-0779」 Adobe は、2012年5月5日、”Adobe Flash Player” の複数のバージョンに存在する脆弱性「CVE-2012-0779」を修正したと発表しましたが、米国のセキュリティ専門家が運営するセキュリティブログ「KrebsonSecuritya」では、この脆弱性を利用する標的型攻撃について報告。この標的型攻撃では、Eメールとしてコンピュータに侵入し、不正な添付ファイルの実行をユーザに促します。そして、この問題の添付ファイルが、この修正されたばかりの脆弱性を利用するのです。CVE-2012-0779 が利用されると、攻撃者によってそのコンピュータが乗っ取られる恐れがあります。 「TrendLabs(トレンドラボ)」では、実在する組織から送られたように装う Wordファイル
Microsoftの報告書によれば、2011年上半期に発生したソフトウェアの脆弱性を突く攻撃の中で最も多かったのは、Javaを狙った攻撃だった。 OracleのJavaの脆弱性を突いた攻撃が横行し、アップデートを適用しないまま放置された環境が危険にさらされているとして、米Microsoftが11月28日のセキュリティブログで注意を呼び掛けた。 同社が10月に発表したセキュリティインテリジェンスレポート(SIR)第11版によれば、2011年上半期に発生したソフトウェアの脆弱性を突く攻撃の中で最も多かったのは、OracleのJava Runtime Environment(JRE)、Java仮想マシン(JVM)およびJava SEを狙った攻撃だったという。 2010年7月から2011年6月までの1年間で見ると、各四半期の間に発生した攻撃のうち、約3分の1から2分の1をJavaに対する攻撃が占め
A new exploit that takes advantage of a recently-patched critical security flaw in Java is making the rounds in the criminal underground. The exploit, which appears to work against all but the latest versions of Java, is being slowly folded into automated attack tools. The exploit attacks a vulnerability that exists in Oracle Java SE JDK and JRE 7 and 6 Update 27 and earlier. If you are using Java
ここ 1,2 ヶ月ウェブサイト改ざんにて、Exploit コードへ誘導する script タグが埋め込まれる場合、Java Runtime Environment(JRE)の脆弱性 CVE-2008-5353 が悪用される場合が多いですね。2008年12月23日の日記でこの脆弱性を調べてみて、悪用のしやすく危険度の高い脆弱性であることは分かりました。しかし、1 年も経った今頃になって悪用され始めたのはなぜ?と思いました。ひょっとして、JRE はアップデートしても古いバージョンが残るので、最新版の JRE がインストールされていても、古い JRE を呼び出されるのではないかと考えました。ということで、実際に CVE-2008-5353 の Exploit コードを使って、脆弱な JRE が悪用されるか確認してみました。 結論 結論として、脆弱な JRE を指定して Exploit コードを実
》 Trend Micro Portable Security向け 検索エンジン9.200公開のお知らせ (トレンドマイクロ, 6/30) 》 ウイルスバスター2011 プログラムアップデートについて (トレンドマイクロ, 6/30) ・Internet Explorer 9 への対応(ブラウザガード機能における対応) ・Firefox 4 への対応 ・サポートツールで調査用ログを取得した後に、一部のログの設定を元に戻さない現象の改善 Firefox 5 は? 》 Apache OpenOffice.org (Incubating)。 キュゥべぇの正体は apache.org 》 Social Network Attacks Surge (McAfee, 6/30) 》 ネット上で健康食品の虚偽・誇大表示〜消費者庁が67事業者に適正化要請 (so-net セキュリティ通信, 6/23) 》
Archives 2018 (1) February (1) 2015 (1) March (1) 2014 (6) June (1) March (1) February (2) January (2) 2013 (4) December (1) May (1) January (2) 2012 (4) December (1) November (3) 2011 (2) September (1) April (1) 2010 (1) February (1) 2009 (11) December (1) July (3) May (3) February (1) January (3) 2008 (22) December (9) August (3) July (2) June (1) May (1) February (3) January (3) 2007 (35) Decem
情報源はこちら。 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5351 http://sunsolve.sun.com/search/document.do?assetkey=1-66-245246-1 http://www.unicode.org/versions/corrigendum1.html 問題は、Unicodeに準拠していないバイト配列でも中途半端に処理しているのが原因みたい。 対象はJRE6 update 10 以前のバージョン 検証したのは異なるバイト配列をUTF-8デコードした結果が同じ値となってしまうケース。 Sample Aが正常ケースでSample Bは異常ケースなんだけども、結果が同じとなった。 まぁJREを最新に更新すれば問題は解消されるみたい。 public class UTF8 { publ
法務省がオンラインで登記書類を取得できるサービスをしているのだが、Vista 対応に苦しんでいる模様 http://shinsei.moj.go.jp/new/new_top.html#vista (訳)「Java6 u7 で Vista でうまく動かないのを何とかしようとしてたけど、そうこうしているうちに脆弱性があるからって u11 が出ちゃったので u11 でがんばろうとしてる」 うーん。同じバージョンの update で動かなくなっちゃうのはつくりがまずいんじゃないのかなぁ。言ってるそばから u12 が出てるし。法務省の人たちはさておき、作っている人達は恥ずかしくないんだろうか。 そしてソフトを動かすには、事前に JRE をすべてアンインストールしたあと Java6 u7 をインストールしろ(勝手なバージョンを入れると動かなくなるよ)と強欲な案内。つまり、法務省オンライン申請システム
現在、法務省オンライン申請システム(以下「当システム」という。)においては、Sun Microsystems社のソフトウェアであるJava 2 Runtime Environment、(以下「JRE」という。)SEv1.4.2_18を利用しているところですが、JRE1.4.2は本年10月30日をもって、サポート終了となること等から、本年10月20日(月)、当システムを利用するために必要なJREのプログラムをJRE1.4系統からJRE6.0系統へと変更するためのバージョンアップを行います。 上記に伴い、本年10月20日(月)以降に当システムを利用する場合には、JREのプログラム、法務省オンライン申請システムのプログラム等について入替え作業を行っていただく必要がありますので、あらかじめご承知おき願います。 入替え作業の詳細については、引き続き当欄にてお知らせします。 また、バージョンア
■ 厚生労働省の脆弱性放置は何が問題とされているのか 目次 今回の報道 過去の経緯 何が問題なのか 本当に動かなくなるのか 内閣官房に期待すること 新たな問題(Sun Microsystemsの愚行) 今回の報道 先週、NHKが、厚生労働省の電子申請システムのセキュリティ上の問題点を取り上げていた。 NHKニュース「厚労省 欠陥ソフトを放置」, 2007年7月5日 ニュース7 厚生労働省はホームページ上で特定のコンピューターソフトを提供していますが、このソフトには重大な欠陥があり、利用者がパソコンの情報を盗まれるおそれのあることがわかりました。(略) 厚生労働省は、こうした情報を把握できず、5か月以上にわたって、欠陥が修正された最新のソフトに切り替えたり、利用者に注意を呼びかけたりするなどの対策をとっていませんでした。 NHKニュース「厚労省 欠陥ソフト提供中止」, 2007年7月6日 お
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く