OperaとChrome、RSS脆弱性 | エンタープライズ | マイコミジャーナル
Opera Software SecurityFocus、Opera Unspecified Security Bypass VulnerabilityにおいてOpera 9から10までマイナーリリースバージョンも含め24のブラウザにセキュリティバイパスの脆弱性があると報告されている。この脆弱性を利用されると許可されている権限以上の権限で特定のJavaScriptが実行され、Operaにおける任意のフィードを操作される危険性があるという。Google Chromeにも同様の脆弱性があるようだ。 Exploiting Chrome and Opera's inbuilt ATOM/RSS reader with Script Executionの説明によれば、RSS/Atomを登録しようとリンクをクリックして飛んだ先で悪意のあるJavaScriptが実行される可能性がある。この問題を一時的に
学生の成績を誤表示 京大、システム不具合で - MSN産経ニュース
京都大は26日、情報システムの不具合で、学生28人分の成績が本人以外の学生の照会に誤って表示されたと発表した。 大学によると、誤表示は、学内サイトで成績を確認できる機能を工学部で25日に先行運用した際に発生した。運用開始後10分間に学生363人が2009年度前期の成績を確認。うち28人にほかの学生の氏名、生年月日が入った成績が表示された。 成績表を作成するシステムから学内のサイトへデータを送る途中で、ファイル変換が適切に行われなかったことが原因という。大学は運用前の動作確認を怠っていた。 大西有三副学長は「十分に確認するよう体制を強化し、個人情報の取り扱いについて万全を期したい」と話した。
[ Mac OSX ] [ Linux(Fedora) ]サーバ計画|プログラムメモ
旧なアクセス増加によってWEBサーバが重い。そんな時は別のマシンでapacheのログを解析するとよいです。 そこで ■ Visitors http://www.hping.org/visitors/index_jp.php ダウンロードして、解凍して make すると「visitors」という実行可能なファイルが出来ます。 それを /usr/bin 等へコピー 使い方 visitors オプション ログファイル > out.html とすると 解析結果が out.html ファイルに出力されます。 オプションは visitors -h とすると表示されますが、とりあえずは visitors -A ログファイル > out.html と「 -A 」オプションをつけて解析してみるのがいいかと思われます。
IT news, careers, business technology, reviews
Heads on: Apple’s Vision Pro delivers a glimpse of the future
Google Chromeに早くも複数の脆弱性
Google Chromeに悪質ファイルをダウンロードしてしまう脆弱性や、すべてのタブがクラッシュしてしまう脆弱性が見つかった。 米Googleがβ版をリリースしたばかりの新ブラウザ「Google Chrome」に、早くも脆弱性の報告が相次いでいる。US-CERTは9月3日、Google Chromeはデフォルトで、ユーザーに警告することなくファイルをダウンロードしてしまう脆弱性があると報告。また、すべてのタブがクラッシュしてしまう別の脆弱性も見つかっている。 US-CERTによると、Google Chromeではダウンロードしたファイルをワンクリックで開くことができるため、ユーザーがうっかり悪質なファイルを開いてしまう恐れがある。この脆弱性を発見したセキュリティ研究者のアビブ・ラフ氏によれば、原因はGoogle Chromeが古いバージョンのWebKit 525.13を使っていることにあ
2008-07-28
本日午後、京都市内を雷雨が駆け抜けました。いやーすごかった。京大もキャンパス内や近隣で何発か落ちたようで(特に吉田は界隈で最も高い建物が多いですから)、何度か雷光と轟音が同時に感じられました。学内で何カ所か瞬停したりサージが出たりしたようで、落ちちゃったネットワーク機器やサーバも多々あったようです。ただ幸い私の直接関わるサーバたちはみな無事でした。転ばぬ先のUPSです。 落雷とUPSというと一度苦い思い出があります。和歌山大学に勤めていた当時、やはり落雷で停電したのですが(このときは瞬停ではなく数分)、この間にサーバを支えていてくれたはずのUPSがなぜかサーバをうまく自動シャットダウンしてくれず(サージでUPS上のマイコンが狂った、実はUPSの設定が何かおかしかったなどいくつかの推測がありますが原因はわからずじまい)、力尽きて落ちてしまった時に運悪くサーバがファイルシステムを変な状態にして
カード番号2万8000件流出の恐れ アイリスプラザのECサイト、SQLインジェクションで
アイリスプラザは7月24日、ECサイト「アイリスプラザインターネットショッピング」に不正アクセスがあり、顧客のクレジットカード情報が流出した可能性があると発表した。 流出した可能性があるのは、2007年6月1日から08年6月6日までに同サイトを利用した顧客のクレジットカード番号2万8105件。うち987件は有効期限の情報も含んでいる。名前やパスワードの流出はなく、カードの不正利用も報告されていないとしている。 中国からSQLインジェクションによる不正アクセスを受けたとみられる。ファイアウォールやSQLインジェクション対策をしていなかった、既に使われていない古いプログラムが攻撃を受けたという。 同社によると、6月6日にカード会社からの連絡を受け、アクセスログを調査。不正アクセスの形跡を発見したためページを閉鎖し、24時間体制でアクセスログの監視を始めた。17日にセキュリティ専門会社によるログ
Gmailアドレスから氏名を明らかに、スパムへ悪用の恐れも
Googleアカウントを利用して、他人のGmailアドレスからそのユーザーの氏名を割り出せてしまう方法があることが分かり、セキュリティ専門家がSecuriteamのブログで紹介した。 それによると、自分のGoogleアカウントでカレンダーの共有機能を使い、他人のGmailアドレスを入力すると、そのアドレスの持ち主が登録している氏名が表示される。 Securiteamブログでは、GmailシステムがGoogleカレンダーなどのサービスと密接に結び付いていることに起因する「脆弱性」としてこの問題を紹介。このやり方で、「admin@gmail.com」のアドレスの持ち主の氏名を表示させたスクリーンショットを公開している。 この「機能」を利用すれば、スパム送信者がGmailユーザーの氏名を割り出し、名指しでスパムメールを送ってくる可能性もあるとブログでは指摘している。 過去のセキュリティニュース一
第23回 無線LANの安全な使い方(前編)
まだまだ暑い毎日だが,相談室は閑古鳥状態だ。もったいないので,冷房の設定温度は30度にしたまま。室長の四谷博士と相談員の市谷君は,うちわをあおぎながら将棋を指している。 室長:いやあ,ひまじゃなあ。 市谷:博士が「ひまだ」と言ってるとまた相談が来ますよ,きっと。…あ,お客さんだ。 室長:! …マジで予言者か? 先月も同じ予言が当たったじゃろう。 市谷:…。いらっしゃいませ。お名前とご用件を伺えますか。 室井:私は室井といいます。伺いたいのは無線LANの安全性についてです。ゲーム機を購入して無線LANにつなごうと思うのですが…。 市谷:無線LANは暗号化しないで使うと危険です。まず暗号化の設定をお勧めします。 室井:実は,知人の青島というヤツが,無線LANはたとえ暗号化していても,盗聴されたり勝手に使われたりするというんですよ(図1)。 図1●無線LANは暗号化していれば安全なのか? 室井さ
第10回 スクリプトインジェクションが無くならない10の理由 | gihyo.jp
SQLインジェクション対策は非常に簡単です。しかしブラウザに対する「スクリプトインジェクション」はなかなか無くなりません。スクリプトインジェクションが無くならない10の理由をあげてみます。 複雑な攻撃経路と対策 前回紹介したように、ブラウザに対するスクリプトインジェクション攻撃の経路は3種類あります。エスケープ方法も数種類あります。すべての出力を完全にエスケープできればセキュリティ維持も容易になりますが、タグや属性を出力したい場合もあるため、必ずしもすべての出力をエスケープできるわけではありません。さらに攻撃手法にも、サイトをまたがった攻撃、直接攻撃、間接攻撃などパターンがあります。エスケープできないデータへの不正なスクリプトの挿入を防ぐには、データの起源までさかのぼり安全性を確保しなければなりません。ブラウザに対するスクリプトインジェクション対策はデータベースサーバへのSQLインジェクシ
Skypeのパスワードを盗む「偽プラグイン」が出回る
セキュリティベンダーの米マカフィーやフィンランド エフセキュアなどは2007年10月17日(現地時間)、インターネット電話ソフト「Skype」のユーザー名(Skype名)とパスワードを盗む悪質なプログラム(ウイルス)が出回っているとして注意を呼びかけた。 ウイルスは、「Skype-Defender」という名前の、Skypeのプラグインに見せかけてユーザーに実行させようとする。ファイル名は「65404-SkypeDefenderSetup.exe」など。 このウイルスは、実行されると、現在動作しているSkypeを終了させる。そして、偽のSkypeログイン画面を表示し、ユーザー名とパスワードの入力を促す(図1)。ユーザー名とパスワードが入力されると、それらを特定のWebサイトへHTTPで送信する。 その後、入力されたユーザー名とパスワードを認識できなかったとして、再度入力を求めるメッセージを表
Wi-Fi接続からクッキーを盗み見るツール | WIRED VISION
Wi-Fi接続からクッキーを盗み見るツール 2007年8月 9日 ハッキング コメント: トラックバック (1) Scott Gilbertson 2007年08月09日 セキュリティー関連会議『Black Hat USA 2007』がラスベガスで7月28日〜8月2日(米国時間)に開催された。 聞くだけでも恐ろしい話がすでにいくつか紹介されているが、英国放送協会(BBC)は、攻撃者がWi-Fi接続を通じてクッキーを見ることが可能になる方法を示したデモについて報じた。 Errata Security社のRobert Graham氏が作った2つのプログラム、『Hamster』と『Ferret』は、Wi-Fiのユーザーがウェブメールやソーシャル・ネットワーキング・サービス(SNS)のアカウントにログイン/ログアウトする際に、Wi-Fiのトラフィックをかぎ回り、クッキーを取得する。 攻撃者は、ユー
「ファイルの拡張子表示」、実施者は3分の1足らず――IPA調査 - @IT
2007/07/10 インターネット利用者の間では「不審な添付ファイルは開かない」「怪しいWebサイトにはアクセスしない」といったセキュリティ対策が浸透してきた一方で、設定変更にひと手間かかる「ファイルの拡張子を表示させる」といった方策はまだ広く実施されていないことが、情報処理推進機構(IPA)の意識調査によって明らかになった。 IPAは7月10日、「情報セキュリティに関する新たな脅威に対する意識調査(2006年度第2回)」の結果を公開した。この調査は3月30日から31日にかけて、15歳以上のインターネット利用者を対象にWeb上で実施したもので、有効回答数は5316件だった。 IPAセキュリティセンター ウイルス・不正アクセス対策グループリーダーの小門寿明氏によると、インターネット上の脅威は「愉快犯で姿を現すものから、金銭を目的とし、陰に潜んで姿を見せないものへと変化してきた。最近PCを利
「+Lhaca」の修正版がリリース、ウイルスが狙うぜい弱性を解消
ファイル圧縮・解凍ソフト「+Lhaca(ラカ)」の作者である村山富男氏は2007年6月26日、ぜい弱性を修正した「+Lhaca 1.2x系デラックス版」の新版「Lhaca121.exe」を公開した。 セキュリティベンダーの米シマンテックは6月25日(米国時間)、日本国内で広く使われているLhaca(+Lhaca)に、未修正のぜい弱性が見つかったことを明らかにした。このぜい弱性を悪用するウイルス(悪質なプログラム)が確認されたことで、ぜい弱性の存在が明らかになった。 ウイルスはLZH形式(.lzh)ファイル。Lhacaで読み込むと、ファイルに仕込まれたプログラムがぜい弱性を突いて勝手に動き出し、パソコンを乗っ取る。同時に、ユーザーの目を欺くために、ダミーのファイルをLhacaに展開させる。その結果、パソコン上には、一太郎形式の文書ファイルが生成されるという。 同社では、日本語版Windows
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
PC
http://www.technobahn.com/cgi-bin/news/read2?f=200905192010
@police-アドビシステムズ社の Adobe Reader と Acrobat のセキュリティ修正プログラムについて(3/11)
http://www.asahi.com/national/update/0630/NGY200706300024.html
「ファイル交換ソフト利用で即解雇」情報流出の日本パープルが発表
株式会社 リアルクリエイト - ウィルティ