Unlha32.dll等開発停止、LHA書庫の使用中止呼びかけ - Claybird の日記
今日ではほとんどのウイルス対策ソフトが書庫ファイルに対しウイルスチェックを行う機能を備えているが、多くのウイルス対策ソフトで「LZH書庫ファイルのヘッダー部分に細工を施すことでウイルスチェックを回避できる」という脆弱性が存在するとのこと(LZH書庫のヘッダー処理における脆弱性について)。 Micco氏はこれをJVN(Japan Vulnerability Note、JPCERTおよびIPAが共同運営する脆弱性情報集積サイト)に報告したところ、「不受理」となったそうだ。ZIPや7z形式の書庫にも同様の問題があるものの、そちらは「脆弱性」として受理されているとのこと。Micco氏曰く、 「ベンダー, JVN / IPA 等共に『LZH 書庫なんて知らねぇ~よ』という態度から変わることはない」と判断できましたので, UNLHA32.DLL, UNARJ32.DLL, LHMelt の開発を中止す
捨印を言われるがままに押していませんか? | スラド セキュリティ
連帯保証人制度 改革フォーラムというサイトにある「捨印の恐ろしい本当の話し」という記事を読んでびっくりした。例えば新規にクレジットカードを作る際など、通常の捺印とは別に欄外にある「捨印」という箇所に押印した経験は皆さんもおありだと思うが、この捨印のお話である。 金融機関相手の金銭消費貸借契約書や保証契約書に捨印があれば、金融機関側が契約書の内容を、契約者に未承諾で書き換えても、その書き換えた内容が有効になるらしい。つまり、実質白紙委任と同様の状態になってしまうようだ。実際にいくつかの判例もあり、最高裁もその有効性を認めている。その法的根拠は民事訴訟法 228 条の 4とのこと。 敗訴事例には、出典付きで実際の事例・判例も紹介されている。「捨印が金融機関に流用され、本人が自覚しないうちに連帯保証人に切り替わっていたケース」(平成 16 年 9 月 10 日日本経済新聞記事) だ。 谷岡さんは
外務省、幹部の執務室への携帯電話持ち込みを禁止 | スラド セキュリティ
朝日新聞の記事によると、外務省は来月1日から局長・部長級以上の全幹部の執務室への携帯電話持ち込みを禁止するそうだ。携帯電話の持ち主が知らない間に、遠隔操作で端末のマイク機能を使って周囲の会話を盗聴する「ロービングバグ」と呼ばれるケースがあるそうで、秘密保全の観点から禁止対象の拡大に踏み切ったそうだ。 外務省では2006年から大臣室、事務次官室など一部で携帯電話の持ち込みを禁止し、入室者は入り口で専用の箱に端末を預けていたそうだが、今後は他の幹部室でも同様の措置を取るそうだ。これは、外部の訪問者だけでなく外務省職員も持ち込みを禁じられるという。なお、外務省によると、防衛省や内閣情報調査室でも同様の対応が取られているそうだ。 正直、このような遠隔操作が可能だったのが意外なのだが、改めて自分の携帯電話を見て、何だか得体の知れない機械に思えてきた。
窓の杜・Vectorでウイルス感染発覚 | スラド セキュリティ
窓の杜およびVectorでウイルスに感染しているソフトが配布されていたことが確認された(窓の杜の告知ページ、Vectorの告知ページ、Internet Watchの記事)。 感染が確認されたのはDelphiのライブラリに感染するウイルス「W32/Induc-A」で、このウイルスに感染した状態でDelphiでコンパイルを行うと、汚染されたバイナリを作成する模様。 感染が報告されたソフトは以下のとおり。 Vector: PickBack、PickBack2BellTheCat、BOB、Clips、HiG(BeS Tools)、kOSU、OSPE、壱番館Wise Disk Cleaner 4 Free 4、WiseRegistryCleanerFree窓の杜: Glary Utilities、Glary Undelete
米国でクレジットカード情報が大量に流出 | スラド セキュリティ
ストーリー by hayakawa 2009年01月22日 11時12分 「業界最先端の暗号化」っていったい何? 部門より USA TodayやInquirerなどが報じているが、米国の大手カード処理会社Heartland Payment Systemsが「カード決済システムが攻撃され、数千万件の個人情報が流出した可能性がある」と発表した。 Inquirerによると、システムへの侵入が確認されたのは先週のことで、カード番号や有効期限、そして一部のカード所有者の名前といった情報が流出したそうだ。クラッカーはSnifferを使って同社とカード会社や銀行がやりとりする情報を傍受していたと見られている。同社は「業界最先端の暗号化」を行っているとしていたが、情報をやりとりする際はデータを暗号化しておらず、そのためクラッカーが認証情報を容易に傍受することができたようだ。
GPUを使ってWPA/WPA2-PSKパスワードをクラックするセキュリティ製品が発売 | スラド セキュリティ
ストーリー by hayakawa 2009年01月17日 12時00分 とりあえず「悪用厳禁!」と言っておきましょうか 部門より 本家/.記事によると、NVIDIAもしくはATIのGPUを使い、WPA/WPA2-PSKのパスワードクラックを行うことができる製品がリリースされたそうだ。これは、ElcomSoftというソフトウェアベンダーの「Elcomsoft Wireless Security Auditor」という製品で、価格は1,199ドル。Windows XP/VistaおよびWindows Server 2003/2008で動作するそうだ(32bit版と64bit版があるとのこと)。ElcomSoftのプレスリリースも参照のこと。 HotHardwareによるレビューによると、Wireless Security AuditorはGPUを使った辞書総当たり方式でパスワードクラックを行
SSLで使われる証明書の偽造に成功、200台のPS3でMD5をクラック | スラド セキュリティ
TechCrunch Japaneseで日本語の記事が出ているが、HTTPSで通信を行う際に使われる公開鍵証明書を偽造することに成功したそうだ。 HTTPSでは、接続しようとしているWebサイトが正当なものかどうかを判断するために公開鍵証明書を使用している。この公開鍵証明書は認証局の署名により「正当なものである」ことが担保されるが、今回は証明書のデジタル署名にMD5が使われていることに注目、PS3を200台使ったシステムでこの署名をクラックしてニセ証明書を作成することに成功したとのこと。 現在ではMD5は安全ではない、ということは広く知られているとは思うが、まだMD5を使用して認証を行っている認証局は少なくないようだ。対策としては認証局がMD5ではなくより強固なSHA-1などの暗号化方法を採用することくらいしか無い模様で、ユーザーサイドでは「不審なサイトには重要な情報は送信しない」というこ
Comodo CAがサーバ証明書を関係のない第三者に発行、大問題に | スラド セキュリティ
本家のストーリにもなっているが、認証局として知られる「Comodo」のアウトソース先の証明書販売業者が、mozilla.com用のサーバ証明書を関係のない第三者に発行してしまう事件が発生したようだ(eWeekの記事「SSL Certificate Vendor Sells Mozilla.com Cert to Some Guy」、mozilla.dev.tech.cryptoグループに掲載されている事件の経緯)。 これをやらかしたのは「Certstar」というComodoの再販業者のようだ。StartComのEddy Nigg氏がこの再販業者に対してmozilla.com用のサーバ証明書の取得を試みたところ、何の本人確認手続きもなしに証明書が発行され手に入ってしまったのだそうだ。mozilla.dev.tech.cryptoでは、Comodoの人が出てきて、この再販業者からの発行を停止し
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
