IEの脆弱性を悪用するエクスプロイトコード--リモート攻撃のおそれ
Internet Explorer(IE)で新たに見つかった脆弱性を悪用するエクスプロイトコードが登場した。このエクスプロイトコードが使われると、システムがリモートからの攻撃を受ける可能性があるとして、複数のセキュリティ専門家が米国時間21日に注意を呼びかけた。 セキュリティ調査会社のSecuniaは、21日に明らかになったエクスプロイトコードについて、Windows XP Service Pack 2(SP2)上で動作するIE 5.5およびIE 6、ならびにWindows 2000 SP4で動作するIE 6の各バージョンに存在する「極めて重大な」脆弱性を狙うものだと、勧告のなかで述べている。 このエクスプロイトコードは、PCユーザーがだまされて悪質なウェブサイトにアクセスするだけで、何の操作をしなくても、自動的に起動されるおそれがある。 SecuniaのCTO(最高技術責任者)Thoma
パッチ未公開のIE脆弱性を突くマルウェアが出現--MSが警告
Microsoftは米国時間11月29日、ウェブブラウザ「Internet Explorer(IE)」に存在する脆弱性を突くマルウェアが出現したと、警告を発した。なお、この脆弱性を修正するパッチは公開されていない。 Microsoftによると、IEに存在するセキュリティ脆弱性を突き、PCにトロイの木馬をダウンロードする悪質なソフトウェアが、インターネット上に見つかったという。この「TrojanDownloader:Win32/Delf.DH」を検知/削除する機能は、同社が先頃発表したオンラインスキャンサービス「Windows Live Safety Center」に組み込まれている。 Microsoftはこの件について、セキュリティ勧告を公開し、「Windows Live Safety Centerにアクセスし、『Complete Scan』オプションを使用して、この悪質なソフトウェアおよ
IEにまた脆弱性報告、Google Desktopの情報が盗まれる恐れ
IEの脆弱性が原因で、攻撃者がGoogle DesktopユーザーのHDDをスキャンして重要な情報を盗み出すことができてしまうとイスラエルのハッカーが指摘した。(IDG) MicrosoftのInternet Explorer(IE)でフィッシングの手口を使い、Google DesktopユーザーのHDDをスキャンすることができてしまうと、イスラエルのハッカーが指摘した。IEがWebページを処理する方法に脆弱性が存在するため、悪質なWebサイトを攻撃に使ってこのサイトを訪れたユーザーのクレジットカード番号やパスワードといった重要情報を盗むことが可能だという。 「IEを使っているGoogle Desktopユーザーは現在、完全な無防備状態にある」。ハッカーのマタン・ギロン氏は電子メールの取材に応えてこう語った。「経験を積んだ攻撃者なら、ユーザーのHDDからパスワードやクレジットカード番号など
ITmedia エンタープライズ:Perlに脆弱性? 懸念高まる
Dyad Securityは、オープンソースのスクリプト言語「Perl」に深刻な脆弱性が存在する可能性があるとするアドバイザリを公開した。(IDG) Dyad Securityは11月30日、オープンソースのスクリプト言語「Perl」に深刻な脆弱性が存在する可能性があるとするアドバイザリを投稿した。一方で複数のセキュリティ専門家は、この脆弱性の存在に疑問を投げかけている。 Dyadの警告によると、この脆弱性を悪用されるとDoS攻撃が引き起こされる恐れがある。Dyadはさらに、攻撃者にサーバへのアクセスを可能にし、悪意あるアプリケーションを立ち上げることも可能だとしている。 複数の他のセキュリティ企業の研究者がこの脆弱性についてテストを行ったが、確認できたのはDoS攻撃の可能性だけだった。 SecuniaのCTOを務めるトーマス・クリステンセン氏と彼のチームは、さまざまなバージョンのPerl
RSSを占拠するポッドキャスト・ハイジャッカー
初期のころのインターネットを思わせる攻撃だ。ポッドキャスターのエリック・マーカス氏は最近、自分のRSSフィードがどういうわけかリダイレクトされていたことに気付いた。 同氏によると、サイバースクワッターは全面的に協力してこの状況に対処するのでなく、金を払うか恒久的な契約を結ぶよう要求しているという。同氏は、この新しい形のゆすりに対して法的手段を模索している。 同氏はVegan.comというWebサイトを公開し、「Erik's Diner」というポッドキャストを配信している。 この1年、マーカス氏は番組当たり100人から最大1500人のリスナーを獲得した。同氏はここ数週間の間に、Yahoo!がpodcasts.yahoo.comのβ版に同氏の番組のページを作ったことに気付いた。 しかしそのページには、Vegan.comではなく、Podkeyword.comというサイトへのRSSフィードが置いて
RealPlayerに深刻な脆弱性報告
eEyeのアドバイザリーによれば、RealPlayerに深刻な脆弱性が存在し、ユーザーがログインした状態で任意のコードを実行される恐れがある。 セキュリティ企業のeEye Digital Securityは、RealNetworksのメディア再生ソフトRealPlayerに深刻な脆弱性が発見されたとして、概要を公開した。 脆弱性は11月16日と30日に報告された2件。いずれもリモートから悪用でき、ユーザーがログインした状態で任意のコードを実行される恐れがあるという。OSはWindowsが影響を受ける。 eEyeではこのほか、AppleのQuickTimeとiTunesについても危険度「高」の脆弱性を報告している。
シスコ、OpenSSLのセキュリティ脆弱性を警告
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Cisco Systemsは米国時間2日、一部の同社製品におけるオープンソースセキュリティソフトウェア「OpenSSL」の使用について、セキュリティ勧告を発表した。同勧告は、OpenSSL Projectが2005年10月に明らかにした、悪質な攻撃者がユーザーのシステムでリモートコードを実行するおそれがあるとする脆弱性に対応している。 OpenSSLは、インターネットを介したデータ転送の安全性を図るために多くのウェブブラウザで使用されている、SSL(Secure Sockets Layer)暗号化ソフトウェアのオープンソース版だ。Ciscoの勧告では、同社の製品カテゴリのうち、「7.x」ソフトウェアが稼働する「ASA 5500」および「
ソニーBMGのコピー防止機能付きCDにまた別のセキュリティ問題
ソニーBMGと電子フロンティア財団(Electronic Frontier Foundation:EFF)は米国時間6日、ソニーBMGが発売しているCDの一部でコンピュータセキュリティに関する新たな危険性が発見されことを共同で発表した。ソニーではすでにこの問題を解決しているという。 新たに発見された脆弱性を含むのは、SunnComm Technologiesが開発したコピー防止ソフトウェアを含むCDで、攻撃者はこの脆弱性を悪用することで、同ソフトウェアが動作するコンピュータを乗っ取ることができてしまう。このプログラムは通常、それを含むCDがコンピュータに挿入された時点で自動的にインストールされる。 この問題の影響を受けるCDは、11月に470万枚のリコールやソニーBMGに対する訴訟の原因となったコピー防止用ソフトウェア搭載CDとは別のものだという。 「このセキュリティ上の問題に関するわれわ
Firefox 1.5の脆弱性実証コードが公開
Internet Storm Centerによると、Firefox上でバッファオーバーフローとサービス妨害(DoS)攻撃を引き起こすコンセプト実証コードが公開された。 リリース間もないFirefox 1.5で脆弱性が発見され、これを突いたコンセプト実証コードが公開されたとして、Internet Storm Centerが12月8日、情報をサイトに掲載した。 それによると、コンセプト実証コードはPacketstorm Securityが公開したもので、Firefox上でバッファオーバーフローとサービス妨害(DoS)攻撃を引き起こすという。 Firefoxではユーザーが訪れたサイトについての各種情報を「history.dat」というファイルに保存しているが、Webページのトピックを一定の長さにして作成すると、そのページを訪れた後でブラウザを起動するたびにクラッシュしてしまう。 現時点でこの問題
「Excelの脆弱性」がオークションに--イーベイ、削除で対応
eBayは米国時間8日午後、同社オンラインオークションに出品されていた「『Microsoft Excel』の脆弱性」というアイテムを削除した。しかし、その時点で同アイテムの入札価格は、約60ドルに達していたという。 このアイテムは7日午後、「fearwall」という人物により入札開始額1セントでオークションに出品された。同アイテムは翌8日、入札件数が21件、入札価格が56ドルまでに達していた。しかし、その後、eBayはこのアイテムを削除した。 eBayの広報担当者Catherine Englandは9日、このアイテムを削除した理由について、「自分たちのガイドラインに違反しているため」と説明している。「このオークションアイテムは、違法行為を助長しないというわれわれのポリシーに反しているため、削除した」とEnglandは電子メールに記している。 Microsoftの関係者によると、Micros
OperaにもIEと同じセキュリティ・ホール,バージョン8.02以降では修正済み
デンマークSecuniaは現地時間12月13日,Webブラウザ「Opera」のバージョン8.01以前(8.01を含む)には,ダイアログ・ボックスを偽装できるセキュリティ・ホールが存在することを明らかにした。バージョン8.02以降では修正されている。同様のセキュリティ・ホールはInternet Explorer(IE)にも見つかっており,修正パッチが12月14日に公開された(関連記事)。 今回のセキュリティ・ホールは,ファイルのダウンロード時に表示されるダイアログ・ボックス(ダウンロード・ダイアログ・ボックス)に関するもの。Operaが表示するダイアログ・ボックス上に別のウインドウを表示させてユーザーをだまし,ダイアログの「開く(Open)」ボタンを押させることが可能になるという。その結果,悪質なプログラム(ウイルスなど)を意図せずに実行させられる恐れがある。 IEにも同様のセキュリティ・ホ
ITmedia エンタープライズ:Googleサイトに脆弱性、セキュリティ企業の指摘で修正
Watchfireによれば、GoogleのWebサイトに脆弱性が存在し、正規ユーザーを装ったり、フィッシング攻撃を仕掛けることが可能な状態になっていた。 セキュリティ企業のWatchfireが米Googleサイトの脆弱性を発見し、同社から指摘を受けたGoogleで問題を修正していたことが、12月21日にWatchfireが公開したアドバイザリーで明らかになった。 アドバイザリーによれば、GoogleのWebサイトでURLのリダイレクト処理などに関連して2件の脆弱性が存在し、UTF-7のエンコードを使い、Internet-Explorer(IE)の自動エンコーディング機能を利用して攻撃を仕掛けられる状態になっていた。これを悪用すると、Googleサービスの正規ユーザーを装ったり、フィッシング攻撃を仕掛けることが可能だった。 Watchfireは11月15日にこの問題を発見してGoogleに通
シマンテック、ウイルス対策ソフトに危険度「高」の脆弱性 - CNET Japan
Symantecは米国時間20日遅く、同社のウイルス対策ソフトに脆弱性が存在し、ハッカーに悪用されることでシステムの乗っ取りが可能になることを明らかにした。 Symantecによると、このバグは同社のセキュリティ製品に影響を及ぼし、危険度は「高い」という。デンマークのセキュリティ会社Secuniaはこれを「非常に深刻である」と述べた。 Secuniaが発した勧告によれば、このバグはSymantecのほとんどの製品に影響を及ぼすという。影響を受ける製品としては、企業向けおよび家庭向けバージョンの「Symantec AntiVirus」「Symantec Norton AntiVirus」「Symantec Norton Internet Security」が挙げられる。また、Windows版とMacintosh版の違いは問わない。 この脆弱性は、ウイルス分析におけるファイルフォーマットサポー
iTunesとQuickTime最新版に脆弱性
最新版のiTunesとQuickTimeにヒープオーバーフローの脆弱性が見つかった。いずれも深刻度は「高い」。 セキュリティ対策サイトのSecurity-Protocols.comは12月20日、Apple ComputerのiTunes 6.0.1およびQuickTime 7.0.3にヒープオーバーフローの脆弱性が存在するというアドバイザリーを公開した。ともに最新版であり、通常はiTunes最新版をインストールするとQuickTimeも最新版に更新される。 細工を施した.movファイルによって、このヒープオーバーフローは引き起こされる。この脆弱性を突くと、攻撃者はプログラムをクラッシュさせ、任意のコードを実行させることが可能となる。Mac OS XおよびWindows向けの全バージョンのiTunesおよびQuickTimeにこの脆弱性は存在するという。 Security-Protocol
グーグル、クロスサイトスクリプトの脆弱性を修正
Googleが、フィッシング詐欺行為や口座乗っ取りなどの攻撃を可能にするセキュリティ脆弱性を修正したことを、セキュリティ研究者らが米国時間21日に明らかにした。 この問題を発見したウェブセキュリティベンダーのWatchfireによると、この欠陥はクロスサイトスクリプティングとして知られるもので、Googleが2つのエラーページ用のメカニズムで適切な安全対策をとっていなかったことが原因だという。Watchfireは、この問題に関する勧告をセキュリティ関連のメーリングリストで公開した。 Watchfireのセキュリティ調査ディレクターOry Segalによると、この欠陥を悪用されるとフィッシング詐欺を仕掛けられたり、別のユーザーになりすますことが可能になるという。フィッシングは、ユーザー名やパスワード、クレジットカードの詳細情報、社会保障番号といった機密情報をだまし取るために行われる。 「Go
スラッシュドット ジャパン | UTF-7エンコードされたタグ文字列によるXSS脆弱性に注意
jbeef曰く、"本家に「Cross Site Scripting Discovered in Google」というストーリが掲載された。 これは、Web Application Security Consortiumが主宰するメーリングリストに投稿された記事を伝えるもの。その記事によると、Google.comにXSS(クロスサイトスクリプティング)脆弱性が見つかり、発見者が11月15日にGoogleに連絡したところ、12月1日に修正されたという。この脆弱性の原因と対策は以下の通り。" (つづく...) "まず、Googleの404 Not Foundのページはこの例のように、リクエストされたURLのパス名を画面に表示するようになっている。ここで、そのパス名にHTMLのタグを構成する文字「<」「>」が含まれている場合、Googleは、これをきちんと「<」「>」にエスケープして出
仮想マシン「VMware」にセキュリティ・ホール,実験環境にしているユーザーは要注意
デンマークSecuniaなどは現地時間12月21日,仮想マシン・ソフト「VMware Workstation」などにセキュリティ・ホールが見つかったことを明らかにした。ゲストOS上で特定の操作をされるとバッファ・オーバーフローが発生し,ホストOS上で任意のプログラムを実行される恐れがある。NAT機能を有効にしている場合のみ影響を受ける。対策はVMwareのアップデートやNATの無効化。米SANS Instituteでは,ゲストOS上でマルウエア(悪質なプログラム)の解析などをしているユーザーはすぐに対策を施すよう勧めている。 影響を受けるVMware製品は以下のとおり。 VMware Workstation 5.5 およびそれ以前VMware GSX Server 3.2 およびそれ以前VMware ACE 1.0.1 およびそれ以前VMware Player 1.0 およびそれ以前 今回
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Google Talk、実行中メモリに名前やパスワードが平文で保存されていた