Firefox 1.0.7にDoS脆弱性 | スラド
個人的観測ですが、これを修正した1.0.x系列は出ないのではないかと思われます。 この問題はbugzilla.mozilla.orgにBug 303433 [mozilla.org]として登録されていますが、斜め読みする限り、1.5系列及び以降の開発版ではBug 238493 [mozilla.org]の修正により直ったんだからよかんべぇ、ということになっている模様です。これが単なるクラッシュバグで、悪用出来ないだろうというコメント (Bug 303433 comment #43) もあります (summaryからも "seems exploitable" が削除されている)。 Bug 238493が大き目の変更でバックポートし辛く、新たにクラッシュの修正のみのパッチを作るような暇が (11/9リリース見込み?の) 1.5目前で無い為に、見送られるのではないかと思います。 繰り返しますが、
t_komuraの日記 [セキュリティ]Web Application Security Reviews
PHP Everywhere に Web Application Security Reviews という、投稿がありました。 非常に興味深かったので、訳してみました。金融機関で受けた Web アプリケーションのセキュリティチェック項目をまとめたものだそうですが、結構厳しいです。 誤訳などがありましたら指摘していただけますと幸いです。 全ての重要な作業過程において、開発側と検査側を含めなければならない。言い換えると、もし私(開発側)が重要な案件を作成する場合、他の誰か(検査側)の検査と承認を受けなければならない。 取引の活発な団体の全ての取引において、ユニーク ID と(前後の)変更データ、タイムスタンプを保存しなければならない。 PHP または ASP で使用される全てのデータベースのパスワードは暗号化されていなければならない。 もし、Web アプリケーションがインターネットに公開される
![t_komuraの日記 [セキュリティ]Web Application Security Reviews](https://cdn-ak-scissors.b.st-hatena.com/image/square/ae7f4abb7e6442fab45fa96b182f48e5f0527f6b/height=288;version=1;width=512/https%3A%2F%2Fogimage.blog.st-hatena.com%2F17680117127090908787%2F17680117127090918273%2F1556506981)
テロ対策に駅改札口で顔画像自動照合実験 | スラド
osamus曰く、"asahi.comの記事によると、東京都内地下鉄の駅にて、テロ対策を目的として鉄道の乗客の顔をカメラで撮影し、不審者と照合する「顔認証システム」の導入実験が来年春にも行われるそうです。 実験にあたっては財団法人運輸政策研究機構が研究会を18日に開き、オブザーバとして、国土交通省・東京メトロ・日本民鉄協会・警察庁などが参加する模様。 実験に用いられるシステムは米国のIT企業とNTTコミュニケーションズが共同で開発したもので、駅の改札に設置してあるカメラの映像と不審者千人程度のデータベースとを照合、撮影データが不審者のデータに一致すると警報をならして警備員に知らせる仕組みになる予定です。撮影データをDBと照合にするのに1人あたり1秒以内だそうで、導入の可否は実験で誤認率などを検証した後に判断するとしています。 攻殻機動隊の「IRシステム」が現実のものとなるわけですが、やはり
ウェブベースのFTPクライアント - ネタフル
Access FTP through your browserという記事より。 If you, like myself, work from an office with a highly restrictive firewall policy and you need to upload and download files from an FTP server, then you’ll be glad to know there are web-based FTP services you can use. firewallポリシーなどでオフィスからFTPができない場合に、ウェブベースのFTPサービスを知っていると役に立つんじゃないか、ということで、ウェブベースのFTPクライアントが紹介されています。 ・Web2ftp ・Net2ftp どちらもSSL、anonymousでのFTPに対
楽天KC、クレジットカード番号含む1186件の個人情報を流出
楽天KCは10月12日、1186件の個人情報が流出したと発表した。最大で5518件分が流出した可能性もある。 楽天KCは10月12日、クレジットカード番号などを含む1186件の個人情報が流出したと発表した。 流出したのは、楽天が買収する以前の旧国内信販時代のもので、氏名・電話番号(自宅、勤務先)・クレジットカード番号を含む契約番号・振替口座など。確認されているのは1186件だが、最大で5518件分が流出した可能性もあるという。 同社に「貴社の顧客リストと思われる資料を拾得した」との情報が寄せられ、内容を確認した結果、個人情報に関する項目が記載されていたため、警察にも届けたという。 流出した契約番号を使った不正取引は現時点で確認されていないが、引き続き調査を進める。流出の可能性がある契約5518件のうち、正常クレジットカード会員420件については、カードの切替えを実施する。不正取引が判明した
Webブラウザの安全度をチェックする - SAFETY JAPAN 2005
日常生活や仕事におけるWebブラウザの利用機会は増える一方だ。それにつれ,Webブラウザのユーザー・インタフェースや機能を悪用して詐欺や個人情報収集を狙う攻撃が増加するとともに,巧妙化している。フィッシングやスパイウェアが代表例だ。そこで,主要なWebブラウザの機能やユーザー・インタフェースをセキュリティの観点からチェックした。その結果,エンコードされたURLやexeファイルの処理,クッキーの扱いなどに違いがあることが分かった。 フィッシング,ボット,スパイウェア,情報漏えい―。 インターネットのセキュリティ問題は日を追うごとに悪化している。これらの詐欺行為や悪意あるプログラムへの感染の大半は,Web ブラウザと メーラー経由で行われる。しかも,メーラーで引き起こされる問題の多くがHTMLメールに起因する。HTML メールは表示にWeb ブラウザの部品を使う。つまり,セキュリティ問題の多
ますます見えなくなるボットに注意を――ラック
ラックによると、ボットやスパイウェアの悪質化が進み、ユーザーにそれと気づかれないよう活動する傾向が強まっているという。 「ウイルスやスパイウェアの作者は、ただの愉快犯から金銭を目的とした犯罪者へと変質してきた。またウイルスの手口も、昔は感染すると怪しい挙動を取ったりマシンが不安定になるためすぐ気づくことができたが、今は安定して動作するようになり、実害が発生してから初めて感染に気づくような状態だ。にもかかわらずユーザー側の意識は変わっていない――」。 ラックの取締役執行委員、SNS事業本部長を務める西本逸郎氏は、最近のセキュリティ動向に関する説明会の中でこのように現状に警告を鳴らした。 同社は広くセキュリティ事業を展開しており、コンサルティングのほか、攻撃手法や脆弱性に関する研究、JSOC(Japan Security Operation Center)からの顧客のリモート監視などを手がけて
モジラ財団、「Thunderbird 1.0.7」をリリース--セキュリティと安定性の向上を狙う
Mozilla Foundationは米国時間9月29日、電子メールアプリケーション「Thunderbird」のアップデートをリリースし、複数のセキュリティ脆弱性を修正した。Mozillaは、Thunderbird 1.0.7について、ウェブサイトに「セキュリティと安定性を向上させるためのアップデート」だと記している。同電子メールアプリケーションは、Windows、Linux、Mac OS X上で稼働する。 Mozillaはすでに、ウェブブラウザ「Firefox」のバージョン1.0.7や、同アップデートと同じ脆弱性に対応した「Mozilla Suite」の新版をリリースしている。Thunderbirdのアップデートで修正された問題の1つは、LinuxコマンドラインにおけるURLパーシングの脆弱性だ。同脆弱性の脅威度をSecuniaは「極めて重大」と分類していた。Secuniaによると、攻撃
S/MIMEを使ったフィッシング詐欺対策
企業がすべきフィッシング詐欺対策(最終回) S/MIMEを使ったフィッシング詐欺対策 亀田 治伸 日本ベリサイン株式会社 システムエンジニアリング部 部長代理 2005/9/30 前回は、現在策定が進められている送信者認証技術として「SenderID」と「DomainKeys」について解説しました。これらは、メールを送信したサーバを正しいと信頼する方法として注目を浴びています。 しかし、実装は始まっているものの、まだまだ仕様が完成したとはいいがたく、いくつかの問題が残っているのも事実です。一方、フィッシング詐欺は切実な問題として存在しています。金融機関などの企業にとっては、何らかの対策を施さなくてはなりません。 SenderIDやDomainKeysは、実際に存在しているドメインから送られてきたメールであれば、仮にそれが悪意に満ちたメールだったとしてもユーザーに届いてしまいます。1999年
@IT:ノートン2006シリーズは、とっても積極的
2005/10/1 シマンテックは9月30日、個人向けのセキュリティ製品「ノートン・シリーズ」の最新バージョン3製品を10月14日に発売すると発表した。発表されたのは「ノートン・インターネットセキュリティ 2006」「ノートン・アンチウイルス 2006」「ノートン・パーソナルファイアウォール 2006」の3製品。集中管理ができるコンソールを用意して操作性を向上させたほか、スパイウェア対策機能を強化した点が特徴だ。 最新バージョンのノートン2006シリーズでは、メールやWeb、メッセンジャーなどのセキュリティに関するさまざまな設定を集中的に管理・確認できる「ノートン・プロテクションセンター(Norton Protection Center)」を搭載。Windows OSが持つ機能とも密接に連携し、PCのセキュリティを保つという。例えば、Windowsの機能である「Microsoft Upda
XMLHttpRequestオブジェクトの脆弱性はFirefox/Mozilla以外のブラウザにも影響
IPAとJPCERT/CCによると、先日リリースされた「Firefox 1.0.7」「Mozilla Suite 1.7.12」で修正された脆弱性の1つが、他の複数のWebブラウザにも存在するという。 情報処理推進機構(IPA)セキュリティセンターとJPCERTコーディネーションセンター(JPCERT/CC)は9月30日、先日リリースされた「Firefox 1.0.7」「Mozilla Suite 1.7.12」で修正された脆弱性の1つが、他の複数のWebブラウザにも存在するとし、警告を発した。 JVNの情報によると、問題となっているのはJavaScriptのXMLHttpRequestオブジェクトの処理に関する脆弱性だ。 XMLHttpRequestオブジェクトは、Webページの再読み込みを行うことなくサーバと通信するための機能を提供するものだ。本来ならば、JavaScriptの制限によ
Microsoft、IE7 β2披露でハッカーコミュニティーとの関係改善
Microsoftはマレーシアのクアラルンプールで開催のHack in the Box Security Conferenceで、Internet Explorer 7のβ2の初期段階の作業を披露し、かなり良好なフィードバックが得られたと、同社幹部が9月29日に語った。 Internet Explorer(IE)チームのグループプログラムマネジャー、トニー・チョア氏は、ハッカーグループを前に同社が行ったプレゼンについて、「製品のリリース前に披露してフィードバックを募ったのは今回が初めてだ」と話した。 チョア氏と同僚でMicrosoftのセキュリティエンジニアリング/コミュニケーション部門ディレクター、アンドリュー・カシュマン氏は、プレゼンテーションで寄せられたフィードバックを高く評価、参加者について「ハッカー」と呼ぶよりも「セキュリティ研究コミュニティー」という呼び方を好んで使った。 「ハ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「Netscape 8.0.4」公開、Firefoxにもあった危険な脆弱性を修正
Expired
asahi.com: ATMに隠しカメラ UFJ銀行、暗証番号盗撮か
http://www.cnn.co.jp/science/CNN200510160011.html
Linux版の脆弱性などを修正した「Thunderbird 1.0.7」日本語版が公開
MSN-Mainichi INTERACTIVE JCO臨界事故:「無知が原因だった」 唯ーの生存者語る
危険度の高い脆弱性を修正した「Mozilla 1.7.12」の日本語版が公開
韓国語版MozillaとThunderbirdにトロイの木馬、米SANSが警告