パワーポイント深刻な脆弱性 パソコン開くだけで乗っ取りも - ライブドアニュースby ライブドアニュース編集部 ざっくり言うと パワーポイントに深刻な脆弱性が発覚した 現在サポートされているほぼすべてのWindowsパソコンに影響する ファイルを開くだけでパソコンを乗っ取られてしまう可能性がある 提供社の都合により、削除されました。 概要のみ掲載しております。 関連ニュース ランキング 総合 国内 政治 海外 経済 IT スポーツ 芸能 女子
2 段階認証は本当に安全なのか調べてみた | はったりエンジニアの備忘録
このブログを読んでいる人なら Google や AWS の 2 段階認証(マルチファクタ認証)を有効にしていると思います。もしパスワードが漏れてしまってもワンタイムパスワードを入力しないと認証されないので安心です。 有名どころのサービスでは使えるところが増えてきましたが、2 段階認証を有効にしていれば万全なのでしょうか。エンジニアである以上、その仕組みを理解したうえで自信を持って安全と言いたいところ。 というわけで、2 段階認証は本当に安全なのか仕様を紐解きながら調べてみました。 ワンタイムパスワードの仕様 ワンタイムパスワードを生成する仕様は HOTP と TOTP の 2 つがあり、RFC の仕様になっています(TOTP はドラフト段階)。 HOTP (HMAC-Based One-Time Password Algorithm) TOTP (Time-Based One-Time P
PC でパワポを開いただけで「乗っ取り」被害に -- 現行 Windows ほぼすべてに脆弱性 [インターネットコム]
普段使っている PC で「PowerPoint」形式のプレゼンテーション資料などを開いただけで、「乗っ取り」の被害に遭う恐れがある。米国 Microsoft(MS)がサポート対象としている Windows OS のほぼすべてにこうした脆弱性(ぜいじゃくせい)があると、同社が発表した。対応するセキュリティ更新はまだないが、「Fix it」という応急策が利用できる。 MS はすでに英語圏向けの文書を公開しているが、続けて日本語の情報発信も充実させつつある。詳しい内容は公式ブログおよびセキュリティアドバイザリで確認できる。またセキュリティ組織である JPCERT/CC の注意喚起も役立つ。 以下に概要をまとめると、「CVE-2014-6352」と呼ばれるこの脆弱性は、Windows Server 2003 を除き、MS がサポート対象とする Windows OS すべてで存在を確認済み。Wind
![PC でパワポを開いただけで「乗っ取り」被害に -- 現行 Windows ほぼすべてに脆弱性 [インターネットコム]](https://cdn-ak-scissors.b.st-hatena.com/image/square/9a1a985f975627d51392e3f2bdd0b6a0534ec6c1/height=288;version=1;width=512/https%3A%2F%2Fimage.internetcom.jp%2Fimg%2F20141022%2F1413955640.jpg)
TLSのダウングレード攻撃を防ぐSCSVとは
2018/01/09追記 TLS1.3の仕様ではダウングレード攻撃対策が異なっています。 TLS1.3もしくはTLS1.2に対応したサーバは、それ以下のTLSバージョンをねごシーエションする際はServerHelloのランダムの下位ビットに規定の文字列を挿入する決まりになりました。 クライアントはランダムの下位ビットを見てダウングレードしていないか確認します 2015/04/26追記 rfc7507としてTLSのSCSVはRFCとなりました。 draft-00よりIANA Considerationsの追加や、DTLSに関する記述が追加されています。 2015/08/04追記 中間者攻撃と言う表現は盗聴行為を含む攻撃であるが、今回は盗聴行為については必要が無いため表現を変更いたしました。 以上 ダウングレード攻撃 TLS通信を行う際、ハンドシェイクに失敗した場合にプロトコルのバージョンを下
自堕落な技術者の日記 : 様々なサーバーのPOODLE SSLv3脆弱性(CVE-2014-3566)対策のまとめ(更新3) - livedoor Blog(ブログ)
基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通 もくじ 1. はじめに 2. SSLv3を無効化できる場合のサーバー対策 2.1. Apache HTTPD Server + mod_ssl 2.2. Apache HTTPD Server + mod_nss 2.3. nginx 2.4. lighttpd 2.5. Microsoft IIS 2.6. (訂正)Apache Tomcat (Java JSSE) 2.7. Node.js 2.8. IBM HTTP Server 2.9. Amazon Web Services 2.10. その他のサーバー 2.11. SSLv3 を無効化するリスク 2.12. OpenLDAP 3. 諸般の事情で SSLv3 を有効にせざるを得ない場
Amazon RDS – MySQL セキュリティアドバイザリ
2014 年 10 月 29 日午後 4 時 30 分 (大洋平標準時) - 更新 MySQL 5.1 のセキュリティ更新 MySQL 5.5 および 5.6 に関して Oracle が発表したセキュリティ上の問題のいくつかをこちら (http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html#AppendixMSQL) で確認しました。https://www.mysql.com/support/eol-notice.html で説明されているように、Oracle は 2013 年 12 月に MySQL 5.1 を Sustaining Support に移行し、パッチの提供を中止しました。MySQL のセキュリティと信頼性のパッチを引き続き受け取るには、MySQL 5.1 を実行しているお客様は、ア
JVNVU#98283300: SSLv3 プロトコルに暗号化データを解読される脆弱性(POODLE 攻撃)
SSL v3 をサポートするプログラムは、中間者攻撃が可能な環境で、Padding Oracle On Downgraded Legacy Encryption (POODLE) 攻撃の影響を受ける可能性があります。 OpenSSL をはじめとする SSL v3 をサポートするソフトウェアが本脆弱性の影響を受ける可能性があります。 [2014年12月11日 - 追記] TLS を実装している製品においても、本脆弱性の影響を受ける場合があることが公開されました。 SSL v3 プロトコルに対して、中間者攻撃により通信内容を解読する攻撃手法が報告されています。この攻撃手法は "POODLE" (Padding Oracle On Downgraded Legacy Encryption) と呼ばれています。 ウェブブラウザ等のプログラムの多くでは、上位のプロトコルで通信できない場合にプロトコル
暗号化通信の有効確認 | 【e-Tax】国税電子申告・納税システム(イータックス)
e-Taxソフト等をご利用になる場合には、暗号化通信を有効にする必要がありますが、 平成29年5月13日(土)以降はTLS1.2以上に対応していない環境からはe-Taxソフト等を利用することができなくなりました。 インターネットオプションにおいて、暗号化通信が有効となっているか以下の手順で確認してください。 1. 以下の手順により、「インターネットオプション」を表示します。 <Windows 10をご利用の場合> Windowsの「スタート」メニューから「Windowsシステムツール」→「コントロールパネル」→「ネットワークとインターネット」→「インターネットオプション」を表示します。 <Windows 11をご利用の場合> Windowsの「スタート」メニューから「すべてのアプリ」→「Windowsツール」→「コントロールパネル」→「ネットワークとインターネット」→「インターネットオプシ
SSL 3.0に深刻な脆弱性「POODLE」見つかる Googleが対策を説明
米Googleのセキュリティチームは10月14日(現地時間)、SSL 3.0の深刻な脆弱性「POODLE」(Padding Oracle On Downgraded Legacy Encryptionの略でプードルと読む)の発見とその対策について発表した。 同社はPOODLEのセキュリティアドバイザリーもPDFで公開した。 SSL 3.0は15年前の古いバージョンではあるが、いまだにこのバージョンを使っているWebサイトが多数あるという。また、Webブラウザのほとんどは、HTTPSサーバのバグによりページに接続できない場合、SSL 3.0を含む旧版のプロトコルでリトライするという形でSSL 3.0もサポートしている。 この脆弱性を悪用すると、パスワードやクッキーにアクセスでき、Webサイト上のユーザーの個人情報を盗めるようになってしまうという。 Googleはシステム管理者はWebサイトの
r/crypto - OpenSSL bug allows RSA 1024 key factorization in 20 minutes
Thankfully it's very easy to tell whether it's real. If anyone can publish the two, non-trivial factors of this number (where neither is 1!) then they'll have my attention: 0xe5c30e1286c41c7137dc06194199dde641120de591c1b7392de35ef6a961d6d29faa3bcdb7603d42768a90322197a7a46fa2cf23f6f10de5554db6e7322ba35e858f576f840347c795c8782c3f4ef9f530d2fd1f6b5c275ce49404958f0decddd0b53386d12c745891d5eeca1f265bdf8
エンジニアが知っておくべき”iWorm” | DevelopersIO
おはようございます、せーのです。 先日のイベントでは久しぶりに新たなガジェット「Apple Watch」が発表され、最近では近々新型のiPadが出るとか、攻めの姿勢で突っ走るAppleですが人生山あり谷あり、いいことばかりではありません。 先日よりmacが対象となっている新しいマルウェア、その名も「iWorm」が猛威を振るっております。 私の部屋もmacだらけですのできちんとチェックすると共に、エンジニアとしてそもそもiWormって何なのよ、というところを押さえておきたいと思います。 経緯 最初にこのマルウェアを発見したのはロシアのセキュリティ企業Dr. Webでした。Dr. Webはサイトにて声明を発表しましたがこの時点で既に17,000台ものmacが感染された後でした。マルウェアの正式名称は「Mac.BackDoor.iWorm」、C++とLUAを使って書かれており、感染源は不明(後述
EC2 Maintenance Update II | Amazon Web Services
I’d like to give you an update on the EC2 Maintenance announcement that I posted last week. Late yesterday (September 30th), we completed a reboot of less than 10% of the EC2 fleet to protect you from any security risks associated with the Xen Security Advisory (XSA-108). This Xen Security Advisory was embargoed until a few minutes ago; we were obligated to keep all information about the issue con
XSA-108 - Xen Security Advisories
Filesadvisory-108.txt (signed advisory file) xsa108.patchAdvisory-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Xen Security Advisory CVE-2014-7188 / XSA-108 version 4 Improper MSR range used for x2APIC emulation UPDATES IN VERSION 4 ==================== Public release. ISSUE DESCRIPTION ================= The MSR range specified for APIC use in the x2APIC access model spans 256 MSRs. Hypervisor cod
ドコモからのお知らせ : docomo IDへの不正ログインに関するお知らせ | お知らせ | NTTドコモ
お客様の設定により、お客様情報が「非表示」となっております。お客様情報を表示するにはdアカウントでログインしてください。 お客様情報表示についてへ お客様情報表示についてへ ドコモからのお知らせ docomo IDへの不正ログインに関するお知らせ 2014年9月30日 株式会社NTTドコモ(以下 ドコモ)が提供するdocomo IDへの外部からの不正なログインがあったことが判明いたしました。 ドコモのサーバへのハッキングによるdocomo IDの流出ではありませんが、お客様にはご迷惑とご心配をおかけいたしますことを深くお詫び申し上げます。 1.経緯 2014年9月29日(月曜)、特定のIPアドレスから、docomo IDへ、不正にログインを試みる事象を確認しました。
bash の脆弱性 "Shell Shock" のめっちゃ細かい話 (CVE-2014-6271) - もろず blog
※(2014/10/1 追記) 脆弱性の番号を誤って CVE-2014-6721 と表記してしまっていました 正しくは "CVE-2014-6271" です 失礼致しました ※(2014/10/7 追記) 2014/10/7 14:00時点で Shell Shock への修正パッチは6個 公開されています 既に対応済みのシステムでもパッチの漏れがないか注意してください シェルに脆弱性が見つかったらしいです このコマンドを実行すると脆弱性があるバージョンかのチェックができるようです $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" 以下のように表示されたらアウトです vulnerable this is a test どうやら、このコマンドが正常に実行できるというのがこの脆弱性の正体らしく、 echo vuln
エフセキュアブログ : 9.18のサイバー攻撃に関して(追記)
9.18のサイバー攻撃に関して(追記) 2014年09月16日20:00 ツイート hiroki_iwa1 オフィシャルコメント by:岩井 博樹 先週末あたりから、毎年恒例の9月18日に関する攻撃を確認しています。 覚えの無いコンテンツなどがアップロードされていませんでしょうか。 #スクリーンショットの記載内容からすると、フライングの気もしますが・・・ 現在のところ、確認されている幾つかのウェブサイトにおいては、Joomla! の既知の脆弱性が悪用されているように見受けられます。 また、攻撃対象に関してですが、特定のウェブサイトというよりは手当たり次第に改竄を行っている模様です。 #DoS攻撃に関しては未確認です。 昨年は国内外において複数のウェブサイトが改竄が確認されましたが、その多くは攻撃対象リストに掲載されたウェブサイトでは無く、不特定多数に対してでした。今年も同様の傾向ではない
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
UPnP対応機器を踏み台としたリフレクター攻撃が増加、警察庁が注意喚起 