アップルからMac OS Xのセキュリティアップデート--深刻な脆弱性に対応
Apple Computerは米国時間3月1日、Mac OS Xのセキュリティアップデートを公開した。このアップデートでは、ウェブブラウザの「Safari」や電子メールソフト「Apple Mail」に見つかっていたものなど、あわせて20件の脆弱性が修正されている。 このセキュリティアップデートではさまざまな脆弱性に対応しているが、そのなかには攻撃者によるMacの乗っ取りを誘発するものもいくつか含まれる。ここ2週間で、Mac OS Xを狙うトロイの木馬やワーム、さらにはウェブサイトにアクセスしただけで悪質なコードをインストールされる可能性のある深刻な脆弱性などが立て続けに見つかっていたことから、同OSの安全性に対する厳しい精査が続いてきていた。 今回のアップデート(Security Update 2006-001)では、SafariやApple Mailに影響するこれらの脆弱性が修正されてい
「Mac OSの安全神話に陰り」は本当か
Apple Computerのファンは長い間、Mac OS Xを使っていれば安全だと指摘することが大好きだった。同OSにはハッカーがほとんど手を出さなかったからだ。しかし、先ごろ3種類の脅威が明らかになったことを受け、一部からは同OSの安全神話がついに終焉を迎えた、との声が上がり始めている。 ここ2週間のあいだに、Mac OS Xを狙うワームが2つ発見されたほか、簡単に悪用できる深刻なセキュリティ脆弱性も同OSに見つかった。この脆弱性により、Macユーザーも悪質なウェブサイトや電子メール経由で悪質なコードがインストールされる脅威にさらされることになった。こうした脅威はこれまでWindowsユーザーが頻繁にさらされてきたものだった。 これらの脅威は、Macを取り巻く環境が大きく変化していることを示すものだが、しかしMacユーザーはあまり心配する必要はないと専門家らは述べている。明らかになった
Mac OS Xに深刻な脆弱性--「Safari」ブラウザの取り扱いに注意
Mac OS Xのなかに見つかった深刻な脆弱性が悪用され、Apple Computerのマシンに悪質なコードがインストールされてしまうおそれがあるとして、米国時間21日にセキュリティ専門家が警告を発した。 Mac OS Xにセキュリティ関連の問題が浮上したのは、この1週間で3度めのことになる。専門家の話では、この脆弱性により、Appleのウェブブラウザ「Safari」を使って悪質なサイトにアクセスすると、ユーザーが何もしなくてもrootkitなどの悪質なソフトウェアがマシンにインストールされてしまうという。こうした危険は、Windowsユーザーのほうが馴染みが深いものだ。 ネットワーク上の脅威を追跡調査するSANS Internet Storm Centerは、「この脆弱性がかなり深刻な問題を引き起こす可能性がある。悪質なウェブサイトにアクセスしただけで、別のマシンを使う攻撃者に、コンピュ
Mac OS Xを標的とするトロイの木馬が出現--感染経路はIMプログラム - CNET Japan
セキュリティ専門家は米国時間16日、Apple Computerのオペレーティングシステム「Mac OS X」を標的とする、初めてのトロイの木馬と考えられる悪質なプログラムが発見されたことを認めた。 Appleと外部のアナリストは、この悪質なプログラムを「Leap-A」と呼び、それ自体は「ウイルス」ではないと述べている。AppleがCNET News.comに提供した声明の中には、Leap-Aは「ユーザーによるダウンロードと、その結果生じるファイルの実行を必要とする」と記されていた。プログラムの性質について、同社はこれ以上の情報は明らかにしていない。 同プログラムは、「OSX/Oompa-A」または「Ooompa Loompa」トロイの木馬などと、セキュリティ専門家によっては呼んでいる。これまで大規模な感染は起こっておらず、McAfeeやSymantecは深刻度の低い脅威と評価している。
PostgreSQL 8.1系列に重大なセキュリティ・ホール,修正版が公開
PostgreSQL Global Development Teamは2月14日(現地時間)オープンソースのデータベースPostgreSQLのセキュリティ・ホールを公表した。一般ユーザーが特権ユーザーに昇格できてしまうという問題で,8.1.0から8.1.2が影響を受ける。対策は同日リリースされた最新バージョン8.1.3にバージョン・アップすること(関連記事:【PostgreSQLウォッチ】第24回 セキュリティ問題とpgpool Global Developement Group発足)。 この問題は,SET ROLEコマンドのバグにより,ユーザーが特権ユーザーを含む他のユーザーIDを自分のIDとしてセットできてしまうというもの。 8.1.3と同時にバグ修正版である8.0.7, 7.4.12,7.3.14がリリースされているが,8.1.0から8.1.2以外にはこのセキュリティ・ホールは存在し
AjaxとPHPを使ったワンタイムパスワード方式のログイン認証:phpspot開発日誌
JamesDam.com ? AJAX Login System Demo This is an example of a login system that does not require page refreshes, but is still very secure. Ajax+PHPでの画面遷移なしのログイン画面作成サンプルが公開されています。 フォームに、user1, pass1 を入力すると即時認証が行われ、次のようにログイン状態になります。 認証には、Ajaxを使ったワンタイムパスワード方式が使われます。 具体的には、Ajaxでサーバからチャレンジコードを取得し、チャレンジコードとパスワードをmd5でハッシュして、更にその値をサーバに送信し、認証を取ります。 このため、従来の方式よりは安全な認証が可能となります。 Ajaxが出てきたことで、ブラウザを開いたままの状態でインタ
Sony BMGコピー防止機能付き音楽CDが招いた大問題/SAFETY JAPAN 2005 [特集]/日経BP社
特集: Sony BMGコピー防止機能付き音楽CDが招いた大問題 トロイの木馬などを誘発する「rootkit」で パソコンセキュリティの低下を招き、世界レベルの訴訟へ ●毎年年始に米国ネバダ州ラスベガスで行われる世界最大の家電見本市「International CES(Consumer Electronics Show)」。今年の初日の基調講演はソニーのハワード・ストリンガー会長兼CEOだった。同社初の外国人トップの講演ということで注目されていたが、講演の冒頭、本題に入る前の枕の話として、ストリンガー会長は「我が社はSony BMGの件で消費者からひどい懲罰を受けることとなった」と発言し、聴衆の関心を集めた。 ●「Sony BMGの件」とは、昨年末、欧米でソニーの子会社であるレコード会社Sony BMGに対して頻発している一連の訴訟問題のことを指す。総合家電企業であると同時に
[ThinkIT] 第1回:SQLインジェクションによるデータベース操作 (1/3)
SQLインジェクションでは、クエリなどの任意データを、データベースが実行するSQL文に挿入します。挿入されたクエリは、意図しないデータを検索したり、データベースの情報を変更したり削除したりするというように、様々な操作をデータベースに行います。問題を実証するために次の例を見てみましょう。 // 問題を実証するための入力 $name = "ilia'; DELETE FROM users;"; mysql_query("SELECT * FROM users WHERE name='{$name}'"); 上記の関数内では、ユーザが指定した名前とnameカラムの値が一致したデータをusersテーブルから取り出すことを想定しています。普通、$nameには、iliaといった文字列のように、アルファベットとスペースからできた文字列が格納されています。 しかしここでは、$nameにまったく新しいクエリ
ウェブサイトの信頼性を高める新たな試み
ウェブブラウザの下部に表示される鍵型をしたアイコンへの信頼性が、緩い基準とずさんな監督のために低下してしまっているが、今年認証基準の強化とブラウザのアップデートが実施されれば、この信頼性も再び向上することになるだろう。 この黄色い鍵のアイコンは、アクセス中のウェブサイトとブラウザとのデータのやりとりが暗号化されており、認証機関と呼ばれる第3者組織によってそのサイトが本物であると確認/保証されていることを示している。しかし近頃では認証の基準が緩くなっていることから、鍵アイコンが表示されていても、そのサイトが安全であるとは言えなくなっている。 この問題を解決するために、SSL(Secure Socket Layer)証明書を発行する複数の企業が各ウェブブラウザの開発元と協力して、「信頼性の高い」新しいタイプの証明書を開発しようとしている。これらの企業は「CA Forum」と呼ばれる非公式な組織
アップル、MiniStore機能のプライバシー問題でiTunesを修正
Apple Computerは、「iTunes」ソフトウェアの新しい推薦機能について先週浮上したプライバシー関連問題を受け、わかりやすい告知を搭載したアップデートを公開した。同時に、同社では、この機能を簡単に無効にするための方法も目立つように変更した。 「MiniStore」というこの新機能は、アクティブプレイリストの表示をベースにして他のiTunesユーザーに楽曲を推薦する。推薦された楽曲の情報は、iTunes Music Storeから購入されていない楽曲の場合であってもAppleに送信される。 コンピュータ専門家らは先週、送信される情報にiTunes固有の顧客ID番号と関連づけられたデータが含まれることを発見した。この番号は、.MacサービスやApple Developer Connectionなど、Appleのほかのアカウントにも利用される。ただし、あるApple関係者は先週、同社
PostgreSQLの修正プログラムが公開に--深刻な脆弱性に対応
オープンソースデータベース「PostgreSQL」に見つかった深刻な脆弱性を修正するプログラムがリリースされた。PostgreSQL Global Development Groupでは、脆弱性が悪用されるのを防ぐため、ただちに修正プログラムを適用するようユーザーに呼びかけている。 この修正プログラムは、PostgreSQL Global Development Groupのウェブサイトからダウンロードできる。バージョン7.3、7.4、8.0のほか、最新版にあたるバージョン8.1も更新の対象となる。バージョン8.1は2005年11月にリリースされたばかりだ。 PostgreSQL開発プロジェクトのメンバーであるMarc Fournierは、「バージョン8.1と8.0用の修正プログラムは、特にWindowsユーザーにとって非常に重要だ。両バージョンのユーザーには出来るだけ早くアップデートして
サニタイズ言うなキャンペーンについて - Ogawa::Memoranda
Posted by: Hirotaka Ogawa @ December 28, 2005 06:43 PM | 隣のオフィスの人がこんなことを書いていました: 高木浩光@自宅の日記 - プログラミング解説書籍の脆弱性をどうするか, 「サニタイズ言うなキャンペーン」とは何か, ASPとかJSPとかPHPとかERBとか、逆だ.. なるほどね、「サニタイズ言うなキャンペーン」とはそういう意味でしたか。私自身、PHPやPerlで適当に書き散らしたものをこのブログで公開してしまっているわけでそれらについてすべてケアできているとは到底思えない、これから気をつけようと思いました(笑)。 で、やっぱり思ったのは、PHPにしろPerlにしろSQLにしろ、String Processingの範疇にあるプログラムは、ほとんど常に処理中の文字列が指し示す「型」を意識しなければ作れないにも関わらず、最もベーシック
高木浩光@自宅の日記 - ASPとかJSPとかPHPとかERBとか、逆だったらよかったのに
■ プログラミング解説書籍の脆弱性をどうするか 印刷されて流通する書籍に脆弱性がある、つまり掲載されているサンプルコードにズバリ脆弱性があるとか、脆弱性を産みやすいコーディングスタイルを身につけさせている解説があり、それが脆弱なプログラマを生産し続ける根源になっている問題は、「なんとかしないといけないねえ」と以前から言われてきた。 ソフトウェア製品の脆弱性は、指摘があればパッチが提供されたり修正版に差し替えられたりするが、書籍の脆弱性はどうか。正誤表が差し込まれるとか、回収する措置がとられるかというと、それは望めそうにない。言論には言論で対抗すればよいということになるだろうか。 久しぶりにいくつかの書籍について調べてみた。先月園田さんの日記などで比較的評判良く紹介されていた2冊を読んだ。 山本勇, PHP実践のツボ セキュアプログラミング編, 九天社, 2004年6月 GIJOE, PHP
RTFM
ドキュメントを読まない輩 結論: ぐぐるな。ドキュメントに書いてあるとわかっているのになぜ google に頼る? 巷間でよく見られる、しかし Apache の配布アーカイブ一式に含まれているドキュメントをちゃんと読んでいれば起きないはずの設定ミスや、ミスではないがふしぎな設定について。 <Limit>: セキュリティ上のリスクがあるのですみやかに確認・修正されたし AddDefaultCharset: 穴ではないが修正が必要 LanguagePriority: ほとんどのサイトでは無意味 ScriptAlias: 管理者でなくエンドユーザがハマるのはしかたないけれど SetEnvIf: どこも間違ってはいないのだが… Apache のドキュメントは日本語未訳なところが一部残っているけれど、全体として非常によくまとまった情報源である。少なくとも、「このディレクティブをどう設定するとどう動く
fladdict.net blog: MIXIの足跡トラップについて追記
MIXI足跡トラップのエントリがfladdict.net開始以来の最大トラフィックになって正直ビビッてる。 確かに、MIXIの足跡トラップは、深刻な問題になりえるけれど ちょっと周囲の反応がヒステリックになりすぎてる気がする。 そもそも、今回のMIXIの足跡トラップは ・プロフィールに自分の写真をおかない ・友達にしか連絡先等のリアル情報を見せない設定にする。 ・ハンドル名を実名にしない という一般的な、ネットでのプライバシーに対する処置だけで十分に防げる。 セキュリティホールというよりは、どちらかというとネットカフェでhotmailやamazonからログアウトし忘れた、というレベルの危機管理の問題だと思う。リアル社会で言うならば、援交やっててラブホで免許盗まれたといった類のトラブルであって、普通にネットライフを楽しむる分にはまず問題ない。 だから徹底的なログオフだ、機能廃止だという話の前
fladdict.net blog: MIXIを使った、トラフィックの個人追跡システム
というのが可能だと考え付いて、ちょっと愕然とした。 自分のサイトに、隠しiframeでMIXIの自ページを読み込ませておくの。 そうすると、自分のサイトを訪れたログイン中のMIXI会員は、足跡がついちゃうの。あとは定期的に足跡キャッシュする。誰がウチのサイトを見てるかバレバレ(注:実装してないよ)。 一見、アホネタだけど。これ凄いシリアスな問題だよな。だってさ、エロサイトとかにそういう仕組みがあったら、最悪の場合一瞬で個人情報特定されるぜ?サイトのクッキーと、MIXIのアカウントとかが結びつけられた日には、何がおこるかわかったもんじゃないですよ。 100万超過の巨大コミュニティとなった今、MIXIの持っていた知り合いとの人間関係を担保とした安全性ってのは、もうとっくに崩壊してる。さらにザバサーチのようにネット上に分散する情報をかき集めれば、かなりの精度で個人情報が筒抜けになる危険性も増して
Firefox 1.5のバグを悪用する実証コードが公開に
米国時間7日、Firefoxの最新版を悪用するエクスプロイトコードが公開された。これが悪用された場合、ユーザーのマシンがDoS(サービス拒否)攻撃を受けたような状態になるおそれがある。 このエクスプロイトコードは、先ごろリリースされたWindows XP版のFirefox 1.5にあるバグを悪用する。約1年前に登場したFirefoxは、急速にシェアを伸ばしブラウザ市場全体の8%を獲得した。 オンラインの脅威を監視しているInternet Storm Centerのサイトで公開された情報によると、Firefoxの最新版ではhistory.datファイルに欠陥があるという。このファイルには、ユーザーがFirefox 1.5を使ってアクセスしたウェブサイトの情報が含まれている。 「アクセスしたページにあるトピックが長すぎると、ブラウザが毎回クラッシュしてしまう。いったんこのような現象が発生した場
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
iTunesとQuickTimeの最新版にヒープオーバーフローの脆弱性
インターネット殺人事件 : 日記 : 2005-02
空港制限区域に入るための暗証番号がWinny上に流出、JAL副操縦士のPCから