北朝鮮独自開発のMac OS X風OS「Red Star」にて致命的なセキュリティホールが見つかる
北朝鮮はスマートフォンやタブレットを独自開発し、国内で販売しています。北朝鮮ではハードウェアだけでなく、PC向けの独自オペレーションシステム(OS)「Red Star OS」も開発しているのですが、このOSには致命的なセキュリティホールが存在し、単純な方法で誰でも簡単に管理者権限が得られるようになっていることが明らかになりました。 Heads up, dear leader: Security hole found in North Korea’s home-grown OS | Ars Technica http://arstechnica.com/information-technology/2015/01/heads-up-dear-leader-security-hole-found-in-north-koreas-home-grown-os/ Red Star OSが初めて登場し
IPAにIPAの脆弱性を報告した - kusano_k’s blog
JVNDB-2014-000133 iLogScanner におけるクロスサイトスクリプティングの脆弱性 IPAはソフトウェアやウェブアプリケーションの脆弱性関連情報の届け出を受け付けている。 IPAがiLogScannerというツールを出していることを知った。 Apacheとかのログを入力すると攻撃の兆候を検出してくれるという便利そうなツール。 IPAのソフトに脆弱性があったら面白いと思い、探すことにした。 とりあえず、まずは動かしてみようと、ksnctfのログを食わせてみた。 何もしていないけど、終了。 脆弱性の詳細 iLogScannerは攻撃と思われるログを出力するけど、その際エスケープが行われていなかった。ブラウザのURLに<や>などを入力してもURLエンコードされてしまうが、telnetなどで直接書き込むとApacheのログにも<や>が残る。 脆弱性の悪用方法 攻撃者がターゲッ
EMETを利用した標的型メールの防御
最近、様々なメディアでサイバー攻撃についてのニュースが報道されている。このようなサイバー攻撃のいくつかは、標的型メールを利用していたと報告されている。標的型メールとは、ある特定の組織や個人に限定して送信される不正なメールである。この標的型メールは、ターゲットが限定されているため、ウイルス対策ベンダーでも検体の収集が難しく、ウイルス対策ソフトでの対応が難しいという特徴がある。 標的型メールには、不正なファイルが添付されていることが多い。添付されているファイルは主に以下の2種類である。 1.exeファイルまたは、zipなどで圧縮されたWindows実行ファイル 2.脆弱性を攻撃する不正なコードが含まれたドキュメントファイル このうち、最近注目を集めているのが2番目。不正なコードは、クライアントパソコン(PC)にマルウエアを感染させようとするプログラムである。ドキュメントを開くアプリケーションに
PHP5.3.7のcrypt関数に致命的な脆弱性(Bug #55439)
PHP5.3.7のcrypt関数には致命的な脆弱性があります。最悪のケースでは、任意のパスワードでログインできてしまうという事態が発生します。該当する利用者は、至急、後述する回避策を実施することを推奨します。 概要 PHPのcrypt関数は、ソルト付きハッシュ値を簡単に求めることができます(公式リファレンス)。crypt関数のハッシュアルゴリズムとしてMD5を指定した場合、ソルトのみが出力され、ハッシュ値が空になります。これは、crypt関数の結果がソルトのみに依存し、パスワードには影響されないことを意味し、crypt関数を認証に用いている場合、任意のパスワードでログインに成功する可能性があります。 影響を受けるアプリケーション crypt関数を用い、ハッシュアルゴリズムとしてMD5を指定しているアプリケーション。 環境にも依存しますが、デフォルトがMD5の場合もあります。筆者のテスト環境
【セキュリティ ニュース】ゼロデイ脆弱性利用する震災関連の標的型攻撃が出回る - 本文や件名は日本語、組織も偽装(1ページ目 / 全1ページ):Security NEXT
東日本大震災に関連した内容でユーザーの興味を引き、添付された不正ファイルを開かせるメールが出回っている。トレンドマイクロでは、複数の法人より報告を受けているという。 同社が確認したメールは、メールの件名や本文が日本語で送信されており、送信元を関連団体や関係者に偽装しているなど、いわゆる「標的型攻撃」だったという。 添付されていたファイルの名称は「地震」「津波」「原発」「節電」など震災に関連するキーワードを用いており、ファイルの拡張子は「exe」「scr」「doc」「xls」など幅広い。 ファイルを誤って開くと、脆弱性が攻撃され、マルウェアへ感染するおそれがあり、PCに関する情報が外部へ送信されたり、バックドアが作成され、リモートで操作される可能性がある。 こうした攻撃のなかには、Adobe Systemsの「Flash Player」などに見つかった未修整の脆弱性が利用されている場合もある
狙われる「情報家電」、コーヒーメーカーにも“危険な脆弱性”
狙われる「情報家電」、コーヒーメーカーにも“危険な脆弱性” 「組み込みシステムは格好の標的」、IPAがシンポジウム開催 「組み込みシステムは、攻撃者にとって格好のターゲット。情報家電(ネットワーク接続機能を持つ家電)も例外ではない」。情報処理推進機構(IPA)研究員の鵜飼裕司氏は2011年2月24日、IPAが開催したシンポジウムにおいて、情報家電のセキュリティについて解説した。 2010年から、政府では2月を「情報セキュリティ月間」と定め、情報セキュリティに関する普及啓発活動を、官民連携で集中的に実施している。その活動の一環としてIPAでは、「情報家電」「自動車」「中小企業におけるクラウド」「重要インフラ」の4分野におけるセキュリティ動向を解説するシンポジウムを、2月24日と25日の2日にわたって開催している。 鵜飼氏は情報家電のセキュリティに関するシンポジウムに登壇。情報家電を含めた組み
共通脆弱性タイプ一覧CWE概説 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
共通脆弱性タイプ一覧CWE概説 CWE(Common Weakness Enumeration) ~脆弱性の種類を識別するための共通の脆弱性タイプの一覧~ >> ENGLISH 共通脆弱性タイプ一覧CWE(Common Weakness Enumeration)(*1)は、ソフトウェアにおけるセキュリティ上の弱点(脆弱性)の種類を識別するための共通の基準を目指しています。 1999年頃から米国政府の支援を受けた非営利団体のMITRE(*2)が中心となり仕様策定が行われ、2006年3月に最初の原案が公開されました。その後、40を超えるベンダーや研究機関が協力して仕様改善や内容拡充が行われ、2008年9月9日にCWEバージョン1.0が公開されました。 CWEでは、SQLインジェクション、クロスサイト・スクリプティング、バッファオーバーフローなど、多種多様にわたるソフトウェアの脆弱性を識別するた
コーヒーメーカーの脆弱性が発覚 | スラド セキュリティ
ついにコーヒーメーカーの脆弱性が発覚した。 Jura-Capresso社から発売されているF90型コーヒーメーカーには別売りのインターネット接続キットがあり、インターネット経由でPCからお好みのコーヒー設定などが行える。しかし、この接続キットには脆弱性があり、外部からの不正アクセスによってコーヒーの濃さや水量設定を変更したり、互換性の無いパラメータを設定することで故障させることも出来るという。 ここまでならまだ笑い話で済むが、この脆弱性を利用してユーザのWindows XPシステムへアクセスすることも可能とのこと。現在のところパッチは無い(本家/.記事より)。 コーヒーメーカーの操作は、台所まで行って自分でやるのが安全のようです。 どうも、このコーヒーメーカーのインターネット接続キットは、PCと接続して使用するものだそうで、そのためにWindows XPシステムへのアクセスまで可能になって
[データセンターを疑似攻撃]1万項目の約1%に問題見つかる
外部からのセキュリティ攻撃に対する防御レベルを調べるため,ライブドアなどデータセンター事業者3社が合同で,検証実験を行った。4日間にわたる疑似攻撃によって見つかったセキュリティ脆弱性はわずかだった。しかし,現場の運用スタッフは異変に何も気付かなかった。検証を担当したライブドアの伊勢さんに,その経緯と結果を報告してもらう。 インターネットを通じて外部から自社のサーバーに対してセキュリティ攻撃を受けたとき,現場の運用スタッフはそのことに気付けるのか。攻撃の糸口を与えてしまうセキュリティ脆弱性はどれだけあるのか──。 筆者がデータセンター事業の責任者を務めるライブドアは,自社で運用するサーバーのそうした防御レベルを調べるため,同業のソフィア総合研究所,さくらインターネットと合同で,2007年6月に疑似的なセキュリティ攻撃を受ける検証実験を行った(図1)。攻撃は,セキュリティ診断サービスを提供する
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
深刻な脆弱性が見つかったInternet Explorer(IE6~11)を巡り全国各地の社内がコントでカオス : 市況かぶ全力2階建
http://segroup.fujitsu.com/secure/service/files/wa_sample.pdf