JVN#89260331: spモードメールにおいて Java メソッドが実行される脆弱性株式会社NTTドコモが提供する spモードメールには、 Java メソッドが実行される脆弱性が存在します。 Android 4.0.X およびそれ以前向け spモードメール rev.5900 から rev.6300 までAndroid 4.1 およびそれ以降向け spモードメール rev.6000(初版) から rev.6620 まで
スマートフォンアプリへのブラウザ機能の実装に潜む危険 ――WebViewクラスの問題について
はじめに AndroidにはWebViewと呼ばれるクラスが用意されています。簡易的なブラウザの機能を提供しているクラスで、URLを渡してHTMLをレンダリングさせたり、JavaScriptを実行させたりすることができます。内部ではWebKitを使用しておりAndroidの標準ブラウザと同じような出力結果を得ることができるため、このクラスを使用することで簡単にWebブラウザの機能を持ったアプリケーションを作成できます。 しかし、その簡単さ故、使い方を誤ったり仕様をよく把握していなかったりすると、脆弱性の元になります。今回はこのWebViewクラスの使い方に起因する脆弱性について見ていくことにしましょう。 WebViewクラスとJavaScript WebViewクラスを使用した場合、注意しなければならないのはJavaScriptを有効にした場合です。デフォルトではJavaScriptの機能
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
セキュリティ専門家が語るWindowsに「入れるべきツール」と「消すべきツール」
著者紹介:宮田健(みやた・たけし) 元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。アイティメディアのONETOPIでは「ディズニー」や「博物館/美術館」などのキュレーターをこなしつつ、自分の生活を変える新しいデジタルガジェットを求め日々試行錯誤中。 秋葉原で開催されたイベント「Internet Week 2013」に行ってきました。いくつかの講演がありましたが、その中でセキュリティ業界の識者が「Windowsを使っているのならとにかくインストールして!」と力説するツールがありました。 そのツールの名前は「EMET」(Enhanced Mitigation Experience Toolkit、エメット)。簡単に説明すると、悪意を持った攻撃者がセキュリティ上の欠陥を突こうとした場合に、それを強制終了させてしまう「攻撃
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
『Androidアプリのセキュア設計・セキュアコーディングガイド』【2013年4月1日版】を公開しました。 - JSSEC | 一般社団法人日本スマートフォンセキュリティ協会
2022年8月29日 『Androidアプリのセキュア設計・セキュアコーディングガイド』【2022年8月29日版】を公開しました。 ・『Android アプリのセキュア設計・セキュアコーディングガイド』【2022年8月29日版】 ・「サンプルコード一式」 【2022年8月29日版】 報道関係各位 JSSEC、『Androidアプリのセキュア設計・セキュアコーディングガイド』2022年8月29日版を公開 一般社団法人日本スマートフォンセキュリティ協会 一般社団法人日本スマートフォンセキュリティ協会(JSSEC:会長 佐々木 良一)の技術部会 セキュアコーディングWG(リーダー 宮崎 力)は、2012年6月に公開した『Android アプリのセキュア設計・セキュアコーディングガイド』(以下 本ガイド)の14版目の改定版である2022年8月29日版を公開しました。 ■2022年8月29日版の改訂
【PC遠隔操作事件】被疑者の素顔を弁護人に聞く(江川紹子) - エキスパート - Yahoo!ニュース
4人を誤認逮捕し、うち2人から虚偽の自白を引き出したことが明らかになっているPC遠隔操作事件。威力業務妨害容疑で逮捕された片山祐輔氏は関与を否認している。当初は、事件と片山氏を結びつける決定的な証拠があると報じられ、警察は絶対的な自信を持っているように見えたが、その後も160人もの捜査員を動員して証拠集めを続けるなど、苦労している状況も伝わってくる。 片山容疑者の弁護人となったのは、足利事件で菅家利和さんの無実を証明するなど、刑事事件の経験豊富な佐藤博史弁護士だ。佐藤弁護士に、2月19日時点での弁護人としての考えや主張を聞いた。 【弁護人となるいきいさつ】ーー佐藤先生がなぜ弁護人に? 報道で彼の逮捕を知った時には、他の方と同じように、警察がこれだけの発表をしたのだし、まず間違いないのだろう、ただ本人は否認しているんだな、と思っただけでした。彼が当番弁護士を要請し、その時にたまたま当たったの
Oracle、Java 7 Update 11を公開 脆弱性に対処
米Oracleは1月13日(現地時間)、1月10日に発覚した「Java 7 Update 10」の深刻な脆弱性に対処したアップデート「Java 7 Update 11」を公開した。JavaコントロールパネルあるいはOracleのWebサイトからダウンロードできる。 この脆弱性を利用した攻撃の発生がセキュリティ各社から報告され、脆弱性に関する詳しい情報もインターネットで出回っていることから、Oracleではできるだけ早くこのアップデートを適用するよう、強く推奨している。 リリースノートによると、2つの脆弱性に対処した他、Javaコントロールパネルでのセキュリティレベルの初期設定を「中(M)」から「高(H)」に変更した。これにより、ユーザーが無署名のJavaアプレットなどを起動しようとすると、必ず警告が表示されるようになる。
各種ブラウザーで Java (applet) を無効にする方法
こちら(米国)では、見つかった Java のセキュリティホール(+それを利用した実際のアタック)が大問題になり、米国政府が「ただちに Java を無効にするように」と声明を出し(参照)、全国ニュースでも大きく取り上げられている。 実質的な危険があるのは Java applet なのだが、Java と Java applet の違いの分からない報道機関は、大々的に「Java が危険」と報道しており、Sun Microsystems を買収して Java を入手した Oracle にとっては大きなブランドイメージの損失だ。Oracle は火曜日には56カ所のセキュリティホールを塞いだパッチを提供するそうだが、そんなパッチでは、今回作られてしまった「Java は危ない」というイメージは拭えない。 どのみち、Java applet にはほとんど価値がないので、これを機会に無効にする人も多いようだ(
米Oracleの怠慢を批判――「Javaはアンインストールすべき」
米Microsoftはここ数年、OSのセキュリティ強化において、かなりいい仕事をしてきた。そのおかげで、マルウェアを使った攻撃は、OSに代わってアプリケーションレイヤーが狙われるようになっている。マルウェア対策ソフトベンダーであるロシアのセキュリティ企業Kaspersky LabsがまとめたITセキュリティ動向に関する最新報告書を見ても、Microsoftのアプリケーションが極めてしっかりとしている一方で、米OracleのJavaや米Adobe Systemsの「Adobe Acrobat」「Adobe Flash」には課題が多いことが分かる。 報告書によると、2012年第3四半期のエクスプロイトのうち、56%はJavaの脆弱性を、25%は「Adobe Acrobat Reader」(バージョン6からは「Adobe Reader」に名称変更)の脆弱性を悪用していた。MicrosoftのWi
「CVE-2012-4681:Oracle Java7 任意のOSコマンドが実行可能な脆弱性」の攻撃手法解説 - ( ꒪⌓꒪) ゆるよろ日記
Ocacle Java7で任意のOSコマンドを実行可能な脆弱性がある、と話題になりました。 JVNTA12-240A: Oracle Java 7 に脆弱性 本日パッチがリリースされました。 Oracle、Javaの深刻な脆弱性を公表―攻撃者はリモートであらゆる操作が可能〔今朝パッチ緊急リリース〕 Alert for CVE-2012-4681 PoCコードも公開されています。この脆弱性を突く攻撃はどのようなものか興味があったので、調べてみました。 調査結果は、今週に行われた8月29日 JJUG Night Seminar ~ Java VM<&納涼会 ~(東京都) で話してきたのですが、パッチも出たことだしブログにも書いてみようと思います。 Javaのセキュリティモデルについて Javaのセキュリティは、サンドボックスモデルによって確保されています。サンドボックスは、JVM上で実行さ
いま一番危ない脆弱性は何だ?――2012年版
クライアントパソコン(PC)に放置されやすい脆弱性は何か。本コラムでは、以前にも同じテーマの記事を掲載した。日本IBM セキュリティー・オペレーション・センター(以下、東京SOC)で、ドライブバイダウンロード攻撃の被害に遭ったPCについて調査した結果に基づいた解説である。今回は、最近まとめた今年(2012年)の調査結果について解説する(参考:2010年の調査結果、2011年の調査結果)。 今回の調査では、Black Hole、Incognito、RedKit、Sakuraの4種類および名称不明の1種類のドライブバイダウンロード攻撃ツール(Exploit Pack)の被害に遭ったクライアントPCを対象に、悪用された脆弱性を調査した(表1)。これらは、東京SOCで検知したドライブバイダウンロード攻撃によく使われた攻撃ツール上位5種類で、いずれも頻繁にアップデートされ、次々に新たな脆弱性を攻撃す
こてさきAjax:WebSocketがデフォルトdisableとなった件 - livedoor Blog(ブログ)
拙著(「徹底解説 HTML5 APIガイドブック コミュニケーション系API編」)の補足・修正POSTです。 p.24にWebSocketをサポートしているブラウザが記載されていますが、周知の通り、以下のブラウザでデフォルトdisableになりました。 FireFox4 Opera11 ちなみに、執筆以降サポートを開始した iOS4.2.1のsafari は、現状使える状態です。 disableとなった理由は、現状実装されているバージョン(Draft76)にセキュリティ上の脆弱性が見つかったため。脆弱性がFixされた仕様がIETFで固まれば、マイナーバージョンであっても再び対応するとのこと。 http://hacks.mozilla.org/2010/12/websockets-disabled-in-firefox-4/ 脆弱性の詳細は、Adamさんのレポートで述べられています。 ただし
米Yahoo!で議論された、フロントエンドエンジニアリングの将来(後編)
米Yahoo!が11月8日から3日間にわたり開催したWebテクノロジーのイベント「YUIConf 2010」。主にWebアプリケーションのフロントエンド技術を中心にしたセッションが並ぶ中で、著名人によるパネルディスカッション「The Future of Frontend Engineering」が開催され、そのビデオが公開されています。 この記事は「米Yahoo!で議論された、フロントエンドエンジニアリングの将来(前編)」の続きです。 後編では会場からの質問を中心に、IE9問題、HTML5とWebのセキュリティ、そしてフロントエンドエンジニアの採用などについてディスカッションしています。 左から、司会のDion AlmaerとBen Galbraith。Tantek Çelik、Joe Hewitt、Elaine Wherry、Doug Crockford、Thomas Sha、Ryan
XMLをparseするアプリのセキュリティ - 2009-06-21 - T.Teradaの日記
「XML」「セキュリティ」という単語でWeb検索すると、多くヒットするのはXMLデジタル署名やXML暗号などを説明したWebページです。 本日の日記では、それとはちょっと違うテーマ(XXEと呼ばれる攻撃)について書きます。 脆弱なコードと攻撃方法 さっそく脆弱性があるサンプルプログラムです。 import java.io.*; import javax.servlet.*; import javax.servlet.http.*; import org.w3c.dom.*; import org.apache.xerces.parsers.*; import org.xml.sax.*; public class Test1 extends HttpServlet { public void service(HttpServletRequest request, HttpServletRe
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「最も洗練されたAndroidトロイの木馬」発見~急速に凶悪化するマルウェア 
Javaの修正は不完全、不要な場合はJavaを無効に~トレンドマイクロが注意喚起 
文字コードに起因する脆弱性とその対策
Java 仮想マシンのテスト - 1.4.2_xx, 1.5.0, 6.0, 1.3.0_xx, 1.3.1_xx, 1.4.0_xx, 1.4.1_xx
http://tokumaru.org/d/20090914.html