「ブラウザーではJavaを無効に」――Javaの脆弱性に注意喚起相次ぐ
国内外のセキュリティ組織やセキュリティ会社は2013年1月11日以降、Javaの実行・開発環境である「Java 7」に新たな脆弱性が見つかり、攻撃に悪用されているとして注意を呼びかけている。対策は、脆弱性を修正した「Java 7 Update 11」にアップデートすること。セキュリティ組織の米US-CERTなどでは、WebブラウザーでJavaを無効にすることも勧めている。 今回脆弱性が見つかったソフトウエアは、プログラミング言語JavaのプラットフォームであるJava 7 Update 10およびそれ以前。 具体的には、Javaで作成されたアプレットやアプリケーションの実行環境であるJava SE Runtime Environment(JRE 7)、それらの開発環境であるJava SE Development Kit(JDK 7)、JREやJDKなどをまとめたパッケージであるJava P
Facebookのメッセージは送信者を自由に偽装して送れることが判明
これちょっとマズいんじゃないかなあ。 Kampa! の人である佐田さんが見つけて教えてくれたんだけど、 Facebook のメッセージは割と簡単に他人になりすまして送れるみたい。 以下、すべて送信者と受信者の自発的な協力を得て試してみた結果です。 起きること Facebook ではユーザーに @facebook.com のメールアドレスが与えられています。 個人ページが www.facebook.com/namaewo の人なら namaewo@facebook.com という具合に。 そのアドレス宛にメールを送ると、 アドレスの所有者に Facebook 上のメッセージとして届きますね。 この時、そのメールの送信元メールアドレスが 別の Facebook ユーザーによって登録されているアドレスであった場合 Facebook では、そのユーザーから送られたメッセージとして扱われます。 電子
Amazonクラウド、「東京データセンターも、米パトリオット法の対象内」と説明 - Publickey
「Amazonはアメリカの会社なので東京リージョンもパトリオット法の対象内です」 今月3月2日に、日本国内のデータセンターとして「東京リージョン」の稼働を発表したAmazonクラウド。その東京リージョンは米パトリオット法の対象内であることを、アマゾン ウェブ サービス ジャパンの小島英揮(おじまひでき)氏が、3月4日に行われたJapan AWS User Group(JAWS)主催の「JAWS-UGサミット2011春」で、参加者の質問に答える形で明らかにしました。 パトリオット法によるデータセンターのリスクとは パトリオット法は、米国内外のテロリズムと戦うことを目的とした米国の法律です。2001年に米国で発生した同時多発テロ事件後に、捜査機関の権限を拡大する法律として成立しました。 情報通信の分野についての主な点は、電話回線の傍受に加えてISPにおける通信傍受も可能となり、捜査令状により電
Google Buzz(バズ)のコメントで意図せず本名が公開されるケースが続発、Googleから設定に関する勧告も
2月10日(水)から公開が開始されたGoogle版Twitterとも言えるサービス「Google バズ」ですが、このサービス上でコメントした内容に、意図せず本名が表示されてしまうケースが多く発生しているようです。 モバイル端末からのつぶやきには位置情報も付与されるようになっているため、場合によっては自分の名前と住所を公開してしまうことになりかねず、この点が物議を醸したのを察したためか、Google Japan Blogでも注意勧告とも取れる内容が更新されています。 詳細は以下から。Google Japan Blog: Google バズ を快適にお使いいただくために Google Buzz(バズ)とは、Googleのアカウントからコメントをリアルタイムで投稿できる、いわば「Google版Twitter」とも言えるサービスです。Gmailとの連携によって、登録しているアドレスの中でGmail
急増するサイト改ざんとGumblar感染、対策の速やかな実施を
Webサイトの改ざんとGumblarウイルスへの感染被害が急増し、JPCERT/CCやセキュリティ各社がユーザーやサイト管理へ対策の早期実施を呼び掛けた。 Webサイトの改ざんと、改ざんされたサイトで閲覧者がマルウェア「Gumblar」(別名Geno、JS-Redirなど)に感染する被害が急増している問題で、JPCERTコーディネーションセンター(JPCERT/CC)やセキュリティ企業が1月7日、ユーザーやサイト管理へ対策の早期実施を呼び掛けた。 Gumblarが関係するとみられるWebサイトの改ざん被害は、2009年春ごろから継続しているが、同年10月下旬から急増。年末年始の長期休暇後に鉄道や流通、メーカーなどの大企業サイトでも相次いで改ざんが見つかり、深刻な問題になっている。 セキュリティ企業によれば、Webサイトの改ざんはSQLインジェクション攻撃をはじめとするさまざまな方法で攻撃者
Wii のファームウエアアップデート 4.2、Homebrew 対策が裏目に? | スラド IT
ストーリー by reo 2009年10月05日 14時00分 うちの PS3 も起動しなくなっちゃったんですけど 部門より 任天堂は 9 月 29 日、Wii に外部ソフトを導入できる Homebrew 対策としてファームウエアアップデート 4.2 をリリースしたそうだ。英文のリリースノートには「許可されていないチャンネルやファームウエアは Wii コンソールを損なう恐れがあるため、Wii メニューバージョン 4 .2では許可されてないファイルを自動的に検知し取り除くようになりました。これに加え、システムパフォーマンスを向上させる改善もいくつか行われていますが、これは頻繁に使われる機能やメニューに影響するものではありません」といった内容が掲載されている。 しかし 本家 /. の記事によれば、任天堂が Homebrew 対策の一環として boot2 を更新したことで不具合が発生しているとの
Twitterに大量の不正アカウント、偽ソフトや詐欺行為に
マイクロブログTwitterのアカウントが不正目的で大量に登録され、偽ウイルス対策ソフトの宣伝に使われているという。セキュリティ企業のF-SecureやSophosがブログで伝えた。 それによると、不正アカウントは英語やドイツ語などのさまざまなユーザー名で登録されており、Twitterトレンドや正規ユーザーのつぶやきなどから拾い出したキーワードを使って自動的につぶやきを投稿している。 つぶやきにはURL短縮サービスを使ったリンクが添えられており、クリックすると不正サイトに誘導。「あなたのコンピュータはウイルスに感染しています」といった虚偽の情報で脅して偽ウイルス対策ソフトの購入を迫り、金銭をだまし取ったり、トロイの木馬などの不正プログラムをばらまこうとしたりする。 これとは別にSophosは、Twitterユーザーのアカウントに「rofl is this you on here?」(ここに
asahi.com(朝日新聞社):新型インフル45歳男性死亡 持病なし、死因不明 大阪 - 関西ニュース一般
新型インフルエンザに感染した大阪府四條畷(しじょうなわて)市の会社員の男性(45)が9日正午過ぎ、死亡した。大阪府が発表した。新型インフルに感染した、または感染が疑われる患者の死亡は全国で12人目。男性の持病は確認されていない。厚生労働省によると、インフル以外の病気が確認されていない人が死亡したのは初めてという。 府によると、男性は5日に37.3度の発熱があり、7日にも37.2度の熱があったため、近くの診療所で受診。簡易検査でA型陽性と判定され、タミフルを服用した。8日には平熱に戻った。9日も平熱で、妻が午前8時半ごろ外出し、同11時過ぎに帰宅したところ、自宅の居間で意識不明の状態で倒れていた。 搬送先の病院で死亡が確認され、府立公衆衛生研究所で遺伝子検査をしたところ、新型への感染が確認された。家族が解剖に同意しておらず、死因はわからず、新型インフルと死亡との因果関係も不明。家族は保健
私のTwitterアカウント(@omowaku)が停止された件:Chris Dingの思惑ブログ:オルタナティブ・ブログ
Twitterをやっている方の中、鳥達に吊られているクジラのイラストを見たことがあって、下記のイラストを見たことがない方が多いのではないでしょうか。 tweetme (注:アカウント停止が解除になったため、上のイラストは出なくなりました) 現在、私のTwitterアカウント(@omowaku)をアクセスすると、この写真が出ます。アカウントをプロテクトしたわけではなく、8月30日からアカウントがTwitter社より停止(suspend)されたのです。ログインができていて、TLも表示されるが、つぶやき、フォロー、アンフォロー、設定変更など他の操作は一切できない状態になっている。つまりつぶやく自由がなくなっている。 突然のできことだったのでちょっとびっくり。Twitterのログイン画面に、「This account is currently suspended and is being inve
Twitterに深刻な脆弱性? つぶやきを見ただけでアカウント乗っ取りの恐れ - ITmedia News
Twitterのサードパーティーアプリケーションにまつわる深刻な脆弱性情報が英国のブログに掲載された。 Twitterには深刻な脆弱性があり、ユーザーが特定のつぶやきを見ただけでアカウントを乗っ取られてしまう恐れがある――。英国のSEO情報ブログにそんな情報が掲載された。 この情報は、SEOサービスの専門家デビッド・ネイラー氏のブログに8月25~26日に掲載された。それによると、脆弱性はサードパーティーのアプリケーションに起因する。Twitterのつぶやきは、例えばTweetDeck、TwitterFox、HootSuiteといった専用アプリケーションから投稿することもでき、この場合は使われたアプリケーション名がつぶやきの下に表示される。 しかしこの部分は、外部のアプリケーション開発者がTwitterのフォームに入力した内容がそのまま反映され、例えばHTMLコードやJavaScriptのs
ユーザーが制御できない「秘密cookie」、半数強のサイトが利用
米研究チームの発表によると、Adobe Flashを使ってネット上のユーザーの行動をひそかに追跡し続けるサイトが増えているという。 Adobe Flashを使ってネット上のユーザーの行動を追跡し続ける「秘密cookie」を利用するサイトが増えているという。米カリフォルニア大学バークリー校などの研究チームがこのほど論文を発表した。 「Flash cookie」は通常のcookieとは異なり、ブラウザのセキュリティ設定ではコントロールできないという。研究チームが大手サイトによる同cookieの利用実態について調べたところ、調査対象としたサイトの半数以上がFlash cookieを使ってユーザー情報を保存していることが判明した。 中にはユーザーが削除したHTTP cookieを、Flash cookieを使って復活させているケースもあった。しかしその存在についてはサイトのプライバシーポリシーでも
高木浩光@自宅の日記 - やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合
■ やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合 一年前、「退化してゆく日本のWeb開発者」という題で、ケータイWebの技術面での蛸壺化について次のように書いた。 iPhoneに契約者固有ID送信機能が搭載される日 (略)こうして退化してゆくケータイWebが、日本のスタンダードとなってしまい、いつの日か、PC向けの普通のインターネットまで、単一IDの全サイト送信が必須になってしまうのではないかと危惧した。 (略)iPod touchでNAVITIMEを動かしてみたところ、下の図のようになった。 (略)契約者固有IDがないとどうやって会員登録システムを作ったらいいのかわからないんじゃないのか……というのはさすがに穿ち過ぎだと思いたい。NAVITIMEからソフトバンクモバイルに対して、契約者固有ID送信用プロキシサーバの用意を要請している……なんてことがなけれ
MobsterWorldのTwitter上での宣伝に見るOAuthの課題 - Nothing ventured, nothing gained.
昨夜から今朝にかけて、TwitterでMobsterWorldというゲームの招待がDMで送られてきた。あまり普段DMでやりとりをするような人からではなかったので、ほうっておいたのだが、招待に応じると、自分のTwitterアカウントを使って、DMを送るようなものだったらしい。詳しくは以下のITmediaの記事を参照。 TwitterでスパムDMが出回っている。DMに書かれたURLのページでボタンをクリックすると、同じDMをフォロワーに送り付けるという仕組み。 ITmedia: TwitterでスパムDM出回るフォロワーに自動でDM送りつけ これは、OAuthを利用して、正規の手続きを経て、Twitterのアカウントを利用しているものだ。詳しくは、以下のまちゅダイアリーを参照。 これはウイルスや脆弱性じゃなくて、OAuthという仕組みを見事に悪用している。 OAuth詐欺とでも言えばいいのか。
TwitterでスパムDM出回る フォロワーに自動でDM送りつけ
Twitterで8月1日ごろから、スパムDM(ダイレクトメッセージ)が出回っている。DMに書かれたURLのページにアクセスし、ボタンをクリックすると、同じDMを自動でフォロワーに送り付けるという仕組み。ITmedia Newsのアカウントにも数通届いており、日本のユーザーも被害にあっている。 DMとは、2人のユーザー間でやりとりできるメッセージ機能。通常の投稿「つぶやき」(Tweet)と異なり、内容は送ったユーザーと受け取ったユーザーしか見られず、相手が自分をフォローしていないと送れない。スパムDMも、見知らぬアカウントではなくフォローしているアカウントから送られてくるため、内容を信頼し、書かれたURLを思わずクリックしてしまう人が多いようだ。 スパムDMは英文で、「has sent you a FREE GIFT to join MobsterWorld. Accept you free
@IT編集部のblog : Twitterとマルウェアの相性が抜群な件
2009年07月27日17:00 カテゴリ 宮田 Security&Trust Twitterとマルウェアの相性が抜群な件 こんにちは、@IT編集部の宮田です。はやってますね、twitter。 私の担当するSecurity&Trustフォーラムなどに関連することはtamiyataアカウント、仕事とは無関係なつぶやきはmtakeshiアカウントで利用しているのですが、分ける必要はなかったのかなー、と後悔しながらつぶやきを公開しています。 さてさて、そのtwitter、断る力でおなじみ勝間和代さんがものすごい勢いで参加し、さらに広瀬香美さんを呼び込んで、twitterクラスタが一気に色めきたちました。そのあたりはITmediaが誇るねとらぼに詳しいです。ねとらぼ:広瀬香美さん「Twitterはヒウィッヒヒー」 一夜で流行語に - ITmedia Newsで、ITmediaのニュースチームが運営
「iPhone 3GS」の暗号化は簡単に解読できる--専門家が警告
犯罪科学の専門家で「iPhone」の開発者でもある人物によると、「iPhone 3GS」の暗号化機能はあまりにも簡単に解読できるため、クレジットカード番号や社会保障番号のような重要な個人データの保護という観点から見れば、実質的には「機能していない」という。 「わたしたち(開発者)の中で、これほど不完全に実装された暗号化を見たことのある人はいないと私は思う。それがセキュリティにとって非常に大きな脅威である理由を説明するのが難しいのは、そのためだ」とJonathan Zdziarski氏はWiredに話した。 Zdziarski氏によると、iPhone 3GSへの物理的なアクセスが可能で無料のソフトウェアがあれば、2分以内でデータを、約45分でRAWディスク全体のイメージを抽出することが可能だという。抽出が始まると、iPhoneは自らデータを復号化する、とZdziarski氏は動画デモの中で説
短縮URLを使ったスパムメールが急増--MessageLabsが警告
電子メールセキュリティプロバイダーのMessageLabsは米国時間7月7日、短縮されたウェブアドレスを含むスパムメールの急激な増加を確認したと述べた。これにより、短縮URLによる脅威の増大がまたしても裏付けられた。 スパマーは短縮URLを使うことで、実際のウェブアドレスをウェブユーザーから隠すことができる。短縮URLは、メッセージの文字数が限られているTwitterのようなソーシャルメディアサイトでよく使用される。MessageLabsによれば、短縮URLは先週、急激に増え始め、今では同社のスパムトラップに引っ掛かるスパムの2%以上で短縮URLが使用されているという。 「こうした性質の急増が発生したときは、多くの場合、スパマーがこれらの短いURLを自動生成する何らかの手段を発見したことを示している」とMessageLabsの上級アンチスパムテクノロジストであるMatt Sergeant氏
ウェブ魚拓、該当利用者のIPアドレスを開示 | スラド IT
魚拓のサイトを見ても、何の件でこんなことになったか分からなかったので調べてみました。 ある人が昨年ある件で新聞等に報道されたことを受け、2ch等にはある人に対して名誉毀損の可能性のある書き込みがされた。 しかし、最近になってある件が不起訴処分となったので、ある人は書き込みに対し名誉毀損の訴訟を 検討している/起こしている。 また、ある人はある件に関する情報をネットから全て削除するべく報道機関や検索エンジン等に削除依頼を出した。 そして削除に応じなかったり、対応が不誠実だと見なしたところには訴訟を起こしている。 知名度のあるサイトとしては、「悪徳商法?マニアックス」なんかも280万円の損害賠償請求を起こされてる。 6月6日に、ある人は2chに「情報開示板を要望するスレ」を立てた。 [unkar.jp] このスレによると、ある人は現在あちこちに十数件の訴訟を起こしている。 私や/.が訴訟に巻き
あっけなく偽造されるプライバシーマーク
個人情報を適切に扱っているWebサイトを示す「プライバシーマーク」が勝手に使われているので気をつけてほしいと、プラバシーマークの発行元、財団法人日本情報処理開発協会のプライバシーマーク事務局が「【ご注意】プライバシーマーク(ロゴ)の不正使用について」というWebページで伝えています。 不正使用をしているサイトは複数にあり、いくつかは閉じられたようですが、6月22日現在でもまだ1つが存在することを確認できます。 不正使用の手口は単純で、画像のプライバシーマークをコピーしてWebサイトに貼っているだけ。誰にでもできる簡単な方法です。 しかし問題なのは、こうして不正使用されて貼ってあるプライバシーマークと、正規に取得されたプライバシーマークを、一般の利用者が見分けることは困難だという点です。 正しいプライバシーマークの見分け方 プライバシーマークは正規に取得した企業や団体ごとに、認定番号入りで配
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TechCrunch | Startup and Technology News
