MSのATLの脆弱性はFlashとShockwaveにも影響
Flash PlayerとShockwave Playerは、脆弱性のあるMicrosoftのVisual Studioを利用して開発されていたことが分かった。 米Microsoftが開発ツールVisual Studioに組み込まれたActive Template Library(ATL)の脆弱性情報を公開したことを受けて、米Adobe Systemsは7月28日、Flash PlayerとShockwave Playerがこの脆弱性の影響を受けることが分かったと発表した。 Adobeによると、Flash PlayerとShockwave Playerは脆弱性のあるATLを利用して開発された。ただし脆弱性が存在するのはWindows版のInternet Explorer(IE)向けプラグインのFlash PlayerとShockwave Playerのみ。FirefoxなどIE以外のブラウ
高木浩光@自宅の日記 - やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合
■ やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合 一年前、「退化してゆく日本のWeb開発者」という題で、ケータイWebの技術面での蛸壺化について次のように書いた。 iPhoneに契約者固有ID送信機能が搭載される日 (略)こうして退化してゆくケータイWebが、日本のスタンダードとなってしまい、いつの日か、PC向けの普通のインターネットまで、単一IDの全サイト送信が必須になってしまうのではないかと危惧した。 (略)iPod touchでNAVITIMEを動かしてみたところ、下の図のようになった。 (略)契約者固有IDがないとどうやって会員登録システムを作ったらいいのかわからないんじゃないのか……というのはさすがに穿ち過ぎだと思いたい。NAVITIMEからソフトバンクモバイルに対して、契約者固有ID送信用プロキシサーバの用意を要請している……なんてことがなけれ
TwitterでスパムDM出回る フォロワーに自動でDM送りつけ
Twitterで8月1日ごろから、スパムDM(ダイレクトメッセージ)が出回っている。DMに書かれたURLのページにアクセスし、ボタンをクリックすると、同じDMを自動でフォロワーに送り付けるという仕組み。ITmedia Newsのアカウントにも数通届いており、日本のユーザーも被害にあっている。 DMとは、2人のユーザー間でやりとりできるメッセージ機能。通常の投稿「つぶやき」(Tweet)と異なり、内容は送ったユーザーと受け取ったユーザーしか見られず、相手が自分をフォローしていないと送れない。スパムDMも、見知らぬアカウントではなくフォローしているアカウントから送られてくるため、内容を信頼し、書かれたURLを思わずクリックしてしまう人が多いようだ。 スパムDMは英文で、「has sent you a FREE GIFT to join MobsterWorld. Accept you free
「IE」に対する最新攻撃の原因、たった1つのタイプミス--MSが認める
7月上旬以降、「Internet Explorer(IE)」を攻撃の脅威にさらしている同ブラウザのセキュリティホールは、Microsoftによるコード内のたった1つのタイプミスによって引き起こされていた。 Microsoftは米国時間7月28日、同社の「Security Development Lifecycle(SDL)」ウェブサイトに投稿したブログ記事の中で、誤って入力されたアンパサンド(「&」)が攻撃の原因であることを認めた。 MicrosoftのセキュリティプログラムマネージャーであるMichael Howard氏は自身のブログの中で、そのタイプミスによってIEが使用するActiveXコントロールのコードに問題が生じてしまったと説明した。そのコントロールは、Microsoftが古いコードライブラリを使って作成したもので、Howard氏はこのコードライブラリに脆弱性があることを認めて
MozillaZine.jp » Blog Archive » URL バーのなりすまし脆弱性
Mozilla Security Blog から、7 月 28 日 (米国時間) にポストされた URL バーのなりすまし脆弱性 (原文 URL bar spoofing vulnerability) の翻訳をお届けする。 これは悪意を持つページ上に配置された悪質なコードを含むリンクをクリックすると、その URL が新規ウィンドウやタブで開かれるとなりすましが可能になる問題だ。現在、ブラウザがその URL が正規のものであるかどうかを判断することは不可能であり、唯一ユーザがこの問題を軽減する方法として、ユーザ名やパスワードなどの機密情報を扱う場合は、ブックマークした正規 URL または正規 URL を新規ウィンドウやタブの URL バーに手動で入力することだと書かれている。 問題 悪意をもったウェブページによって新しいウィンドウまたはタブが開かれる場合、アドレスバーの URL をなりすます
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 会員の方はこちら ログイン 有料会員(月額プラン)は初月無料! お申し込み 日経クロステック TOPページ
高木浩光@自宅の日記 - 新はてなブックマークの登録ブックマークレットは使ってはいけない
はてなブックマーク(以下「はてブ」)がリニューアルされ、ブラウザからブックマークレットでブックマーク登録(以下「ブクマ登録」)しようとすると、図1の画面が現れるようになった。「こちらから再設定をお願いします」と指示されているが、この指示に従ってはいけない。ここで提供されている新型ブックマークレットは使ってはいけない。(この指示には従わなくてもブクマ登録はできる。) 新型ブックマークレットを使用すると図2の画面となる。ブクマ登録しようとしているWebサイト(通常、はてな以外のサイト)上に、はてブの画面のウィンドウが現れている。これは、Ajaxと共に近年よく使われるようになった「ページ内JavaScriptウィンドウ」である。(ポップアップウィンドウとは違い、ウィンドウをドラッグしてもブラウザの外に出すことはできず、あくまでも表示中のページ上のコンテンツであることがわかる。)
セキュリティ&プログラミングキャンプに関連する記事集め - 葉っぱ日記
はてブでもいいんだけど整理しておいたほうが他の人も見やすいだろうから。というわけでこのエントリは随時更新。 Twitter とか Wassr とかは避けておいたんだけど、参加者同士がつながるという点では挙げておいたほうがよかったのかな。まぁいいか。 参加者 自作自演 自作自演 : セキュリティ&プログラミングキャンプに行ってきた。 自作自演 : はてなの伊藤直也さんの話を聞いてきた。 techno セキュリティ&プログラミングキャンプ2008 [day 1] - trial and error セキュリティ&プログラミングキャンプ2008 [day 2] - trial and error セキュリティ&プログラミングキャンプ2008 [day 3] - trial and error セキュリティ&プログラミングキャンプ2008 [day 4] - trial and error セキュ
[Mozilla] 塞がれたセキュリティホールを開けろという人々 - くでんな日々や公開どう?
◆ [Mozilla] 塞がれたセキュリティホールを開けろという人々 はじめに結論を書いておきます。 extensions.checkUpdateSecurityをfalseにする(安全な「アドオンの更新」が提供されているか確認する設定を無効にする)ということは、一度塞がれたセキュリティホールを自らの手で開けるということである。 この設定項目はMozilla製品やアドオンの開発者がテストなどに用いるために存在するものと思われる。一般ユーザはこの設定を初期設定から変えるべきではない[註1]。 Firefox 3では、「アドオンの更新」を提供しているアドオンのうちで安全な「アドオンの更新」を提供していないものはインストールできなくなりました。それで、Webを見てると、Mozilla Re-MixやFirefox更新情報 WikiなどのWebサイトや、それにやすっち。さん(例1・例2)やGomi
「Flash Player」に危険な脆弱性、「すぐにバージョンアップを」
「Adobe Flash Playerのバージョンテスト」ページの表示例。バージョンが「9.0.124.0」でない場合には、すぐにバージョンアップする必要がある 米アドビ・システムズは2008年4月8日(米国時間)、同社の「Adobe Flash Player」に複数の脆弱性が見つかったことを明らかにした。細工が施されたFlashファイルやWebページを開くだけで、悪質なプログラム(ウイルスなど)を実行される恐れがある。対策は、最新版(バージョン9.0.124.0)へのバージョンアップ。同社やセキュリティ組織などは、すぐにバージョンアップすることを推奨している。 今回公表された脆弱性は7件。影響を受けるのは、Flash Playerのバージョン9.0.115.0以前(9.0.115.0を含む)とバージョン8.0.39.0以前(8.0.39.0を含む)。いずれの脆弱性も、バージョン9.0.1
Latest topics > Firefox 3で安全にアドオンを配布するための方法のまとめ - outsider reflex
Latest topics > Firefox 3で安全にアドオンを配布するための方法のまとめ 宣伝。日経LinuxにてLinuxの基礎?を紹介する漫画「シス管系女子」を連載させていただいています。 以下の特設サイトにて、単行本まんがでわかるLinux シス管系女子の試し読みが可能! « ユニコーンガンダム 腕 Main ボーイズ・オン・ザ・ラン8 » Firefox 3で安全にアドオンを配布するための方法のまとめ - Dec 25, 2007 第8回Mozilla拡張機能勉強会のプレゼン資料を公開した。 以下、内容を改めて整理してみる。 update.rdfの確実性の保証 まず、Firefox 3ではセキュアな方法で自動更新が行われないアドオンはインストールできなくなる。ここでいう「セキュアな自動更新」とは、「インストールされたアドオンについて、自動更新でダウンロードしてきた新バージョン
「Flash Player」に危険な脆弱性が多数、最新版にバージョンアップを
「Adobe Flash Player」のページにアクセスした例。インストールされているFlash Playerのバージョンを確認できる(図では、バージョン9.0.115.0がインストールされている) 米アドビシステムズは2007年12月18日(米国時間)、同社の「Adobe Flash Player」に複数の脆弱性が見つかったことを明らかにした。細工が施されたWebページにアクセスするだけで、悪質なプログラム(ウイルスなど)を実行される危険性などがある。対策は、最新版にバージョンアップすること。 今回明らかにされた脆弱性は合計10件。その中には、Flashファイルの処理に関する脆弱性が含まれる。細工が施されたファイルを開くと、ファイルに含まれるウイルスなどを勝手に実行される恐れがある。そういったファイルが置かれたWebページにアクセスするだけでも被害に遭う危険性がある。 影響を受けるのは
yaari.com からの招待状にご注意 | スラド
ストーリー by Masafumi Otsune 2007年12月02日 6時24分 他サービスのパスワードを入力させて知人を検索する機能って便利だけど悪用できるよなぁ……と思ってたら 部門より recompile.net より。GmailやHotmailをお使いの方は、yaari.com と称するインド発なSNSからの招待メールがきた人がいると思う。このサイトにユーザー登録しようとすると、GmailまたはHotmailのパスワード入力を促される。実はこのサイト、入力されたメールアドレスとパスワードを利用してGmailやHotmailのコンタクトリストを盗み、盗んだメールアドレス全てに招待状を送信してしまうそうだ。こうして招待状を送信された人がまたGmailやHotmailのアドレスを持っていて登録をした場合、またコンタクトリストが盗まれてしまい、次の人へ、という連鎖が起こり現在広範囲で流
窓の杜 - 【NEWS】定番圧縮・解凍DLL「UNLHA32.DLL」「UNARJ32.DLL」などに脆弱性、修正版が公開
定番の圧縮・解凍用DLL「UNLHA32.DLL」などの作者として知られるMicco氏は10日、同氏が開発している圧縮・解凍用DLL「UNLHA32.DLL」「UNARJ32.DLL」および圧縮・解凍ソフト「LHMelt」に、ヒープオーバーフローの脆弱性が存在することを公表した。また同日、当該の脆弱性を修正した各ソフトの最新版を公開した。 最新版のバージョンは、「UNLHA32.DLL」がv2.62a、「UNARJ32.DLL」がv1.10a、「LHMelt」が1.61b となっている。いずれもWindows 95/98/Me/NT 3.5/NT 4.0/2000/XP/Server 2003/VistaおよびWindows 3.1用のWin32s環境に対応するフリーソフトで、現在作者のホームページからダウンロードできる。また、「UNLHA32.DLL」「UNARJ32.DLL」は窓の杜ラ
Firefox の jar ファイルに関する脆弱性 - えむもじら
ちょっと古い情報ですが、Firefox の jar: URI 形式の圧縮ファイルの処理にクロスサイトスクリプティングの脆弱性が発見されたとのニュースがありました。細工をした jar ファイルにアクセスさせることにより、Firefox 上でファイルのアップロードなどの任意のコードを実行することが可能になります。今のところ、回避策は、NoScript 1.1.7.8以降をインストールすることだそうです。 対応するバグ(Bug 369814)は2月に登録され、早くから blocking1.8.1.4+ フラグ(Firefox 2.0.0.4 で対応必須なバグ)が付いたものの、ずるずると遅れて blocking1.8.1.10+ まで来ています。今回、バグが公開されたことで対応が早まるでしょうか? 11/17追記:Mozilla Security Blog によると Firefox 2.0.0.1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
MozillaZine.jp » Blog Archive » Firefox 3.5.2 と Firefox 3.0.13 がリリースされた
「Adobe Reader」「Acrobat」の最新版が公開、7月22日に公表された脆弱性を修正
Flash Playerの最新版公開、危険度の高い脆弱性を修正 
定例外公開のマイクロソフトセキュリティ更新を確認する 
Firefox 2.0.0.8 リリース - えむもじら