エフセキュアブログ : 10年前
10年前 2013年12月05日18:48 ツイート mikko_hypponen ヘルシンキ発 by:ミッコ・ヒッポネン もしあなたが10年前のコンピュータでWindowsを実行していたのなら、それはWindows XPだった. 実際には、十中八九Windows XP SP1(サービスパック1)を走らせていた。 これは重要なことで、Windows XP SP1はデフォルトでファイアウォールが有効になっておらず、自動更新の機能もなかった。 ということは、Windowsを実行していたのならファイアウォールが稼働しておらず、手動でシステムにパッチをあてなければならなかったということだ。そのパッチはセキュリティ上の脆弱性に満ちたInternet Explorer 6でダウンロードした。 それならば2003年にワームやウィルスが蔓延したのも、驚くに値しない。 実際に、2003年には史上最悪の大発
Javaの内部動作を可視化する「ENdoSnipe」、Acroquest TechnologyがOSSとして公開
Acroquest Technologyは2013年7月11日、Javaシステムの内部動作を可視化・診断するソフトウエア「ENdoSnipe Ver.5.0」をオープンソースとして公開したと発表した。Ver.4まではプロプライエタリな製品だった。ダウンロード・サイトおよびGitHubのページからダウンロードできる。 新版の診断機能には、同社が提供するJavaシステムのトラブルシューティング・サービス「JaTS」での障害解析のノウハウを組み込んだという。アプリケーションの性能を監視する機能も追加した。従来版はEclipseプラグインとしてユーザーインタフェース(UI)を実現していたが、新版はWebベースのUIに変更されている。 診断機能では、メモリリークやハングアップリスク、非効率なデータベース・アクセスなどを検出する。プロファイラやデバッガとは異なり、問題が発生する具体的な理由まで指摘でき
エフセキュアブログ : 人気のJava Exploitに改めて注意
人気のJava Exploitに改めて注意 2013年06月30日11:38 ツイート hiroki_iwa1 オフィシャルコメント by:岩井 博樹 現在、UGマーケットではJavaの脆弱性に関連した商品やサービスに注目が集まっています。 下図のようにJavaの脆弱性を標的としたEaaS(Exploit Pack as a Service)が提供されるなど、その注目度の高さが窺えます。このサービスでは、BASICとPROFESSIONALで提供されるExploitコードのタイプが異なります。端的にいえば、PROFESSIONAL版の方は標的に気付かれづらい作りになっています。6ヶ月間で50USDの差額をどう考えるかですが、ビジネスとしてサイバー攻撃を行っているグループには安い買い物でしょう。 このような背景があってかわかりませんが、2012年は日本国内を含め、ウェブ改竄被害が大変多く報
「Java 7 Update 11でも脆弱性は残っているから引き続きJava無効化を」という話について
「Java SE 7 Update 11 でもバグが修正されていない」という専門家の意見が書いてあるロイター通信の記事(Oracle updates Java, security expert says it still has bugs)をTwitterで紹介しましたが、「やはり修正されていない」「修正されたのは2つの脆弱性の内の一つだけ」というニュース記事が複数出てきました。 これらのニュース記事には、「Java 7 Update 11でも脆弱性は残っているから、Java(Java appletを起動するためのブラウザ上のJavaプラグイン)をひきつづき無効化せよ」という内容のCERTの意見が掲載されています(無効化手順はこちら)。 しかし、日本語の記事が曖昧で、少し情報源のページを読んでみると、単に「片方が修正されていないから危険」というわけではない、ちょっとややこしい話のようだった
Androidアプリ開発者なら押さえておきたい Javaセキュアコーディングの意味と効果
本連載では、セキュアコーディングスタンダード「CERT Oracle Secure Coding Standard for Java」の内容をベースに、Android特有の情報を交えつつ、堅牢なプログラムを開発するためのノウハウを具体的な事例とともに紹介していきます。第1回では、セキュアコーディングの意味と、その効果について解説します。 はじめに 昨年、C/C++に関してセキュアコーディングの連載があったことを御存じの方もいるかもしれません。今回始まる「Javaセキュアコーディング入門」は、Javaのプログラミングにおいて、入力値検査、引数の安全な渡し方、例外処理、整数演算といったソフトウェアの脆弱性に直結する問題に対して、コーディング上の注意点や脆弱性を作り込まない作法を解説するものです。具体的には、演算処理、文字列処理、ファイル操作などトピックごとに、よりセキュアなコーディングスタイル
GIFを隠れ蓑に悪性Javaを勝手に実行
クライアント・パソコンを狙った攻撃が巧妙さを増し,対策はますます難しくなってきている。中でもJavaScriptやFlashのぜい弱性を悪用した,スクリプトを使う攻撃は極めて厄介である。スクリプトは静的なWebページだけでなく,動的コンテンツ,画像,ファイルに含まれていることがあり,攻撃を受けた時期の特定が難しいからだ。 そんな中で,今後大きな脅威になると見られている攻撃手法の一つに,「GIFAR」がある。2008年8月に報告された攻撃手法で,2009年2月にホワイトハット・セキュリティのCTOであるジェレミア・グロスマンをはじめとするWebセキュリティの専門家が選ぶ「Top Ten Web Hacking Techniques of 2008」の1位に選ばれた。日本ではあまり話題になっていないが,いつやって来るか分からない。今後の影響範囲を考えると,特にWebアプリケーション開発者は知っ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
OracleはJava 7/8を15年前の技術で作ってるっぽい? - Windows 2000 Blog
整数オーバーフロー検出の3つのアプローチ ――mezzofantiのバグ修正
Java コーディングスタンダード CERT/Oracle 版
GitHub - google/keyczar: Easy-to-use crypto toolkit