Microsoft、Sandy Bridge世代以降のIntelプロセッサーに対応するマイクロコードアップデートを提供開始 | スラド セキュリティ
Microsoftがバージョン1803(April 2018 Update)のWindows 10/Server向けに、IntelプロセッサーのSpectre Variant 2 脆弱性を修正するマイクロコードアップデートを提供開始した(KB4100347、 Neowinの記事、 On MSFTの記事)。 Microsoftでは既にバージョン1709(Fall Creators Update)向けのマイクロコードアップデート(KB4090007)をMicrosoft Updateカタログで提供しているが、現在のところ第4世代CoreプロセッサーなどHaswell世代以降の対応となっている。一方、KB4100347では第2世代CoreプロセッサーなどSandy Bridge世代以降に対応する。 KB4100347は当初、Windows UpdateとMicrosoft Updateカタログで
Foxit Readerに修正予定のない2件の脆弱性 | スラド セキュリティ
Windows用PDFリーダー「Foxit Reader(日本語版)」の未修正脆弱性2件をZero Day Initiativeが公表した(ZDI-17-691/CVE-2017-10951、ZDI-17-692/CVE-2017-10952、Register、AusCERT — ESB-2017.2088)。 CVE-2017-10951の問題はapp.launchURLメソッドに存在し、システムコールを実行する前にユーザーが与えるデータを適切に確認しないというもの。CVE-2017-10952の問題はJavaScriptで書かれたsaveAs関数に存在し、ユーザーが与えるデータに対する適切な確認が行われないため、攻撃者の制御下にある場所に任意のファイルを保存できるというものだ。2件とも攻撃用のWebページまたはドキュメントをターゲットに開かせることで、リモートの攻撃者は現在のプロセスの
Microsoft、Windows 10の次期大型アップデートでSMBv1を無効化する計画 | スラド セキュリティ
Microsoftは今秋提供予定のWindows 10の大型アップデート「Fall Creators Update」で、SMBv1の無効化を計画しているそうだ(Bleeping Computer、BetaNews)。 既にWindows 10 EnterpriseとWindows Server 2016の内部ビルドではSMBv1が無効化されているとのことだが、MicrosoftのNed Pyle氏によればSMBv1を無効化したビルドがInsider Program参加者へ提供されるのはもう少し先のことになるようだ。計画は初期の検討段階であり、詳細は明らかになっていないが、SMBv1が無効化されるのはFall Creators Updateをクリーンインストールした場合のみで、アップグレードで既存の設定が変更されることはないとのこと。 SMBv1は5月に発生したWannaCryptの感染拡大
全自動食器洗い機のHTTPサーバーにディレクトリトラバーサルの脆弱性 | スラド セキュリティ
ドイツの家電メーカーMiele(ミーレ)の業務用全自動食器洗い機のWebサーバー機能に、ディレクトリトラバーサルの脆弱性が発見された(Register、Seclist.org)。 問題が発見された製品はMiele Professional PG 8528という製品。大型の業務用製品で、ネットワーク接続機能や遠隔操作機能も搭載している。 脆弱性は昨年11月に発見され、Miele側に問い合わせが行われたものの、対応を行うかどうかの反応がなかったため3月23日付けで脆弱性が公開されたようだ。これによってハッシュ化されたパスワードが記録されたファイル(/etc/shadow)を外部から取得できるといった問題があるとのこと。 さすがに食器洗い機には機密情報は記録していないだろうし、外部から不特定多数がアクセスできるような環境にある食器洗い機も少ないとは思われるが、第三者によって食器洗い機が乗っ取られ
身代金ではなくセキュリティ記事を読むように要求するランサムウェア「Koolova」 | スラド セキュリティ
セキュリティ研究者のMichael Gillespie氏が12月、「身代金」の代わりにセキュリティ記事を読むよう要求するランサムウェア「Koolova」を発見していたそうだ(Michael Gillespie氏のツイート、 Neowinの記事、 Bleeping Computerの記事、 The Hacker Newsの記事)。 Koolovaはランサムメッセージでランサムウェア「Jigsaw」の良い方の双子だと自己紹介し、ファイルを復号するには2本のセキュリティ記事を読む必要があると表示する。Jigsawは身代金を支払わなければ1時間おきに暗号化したファイルを削除していくというもので、Koolovaも時間内に記事を読まなければファイルが削除されるという。 読むことを要求されるのはGoogle Security Blogのブラウズ中に安全を保つ方法を解説する記事と、Bleeping Com
SMSを使った2要素認証を不許可へ、NISTの新ガイダンス案 | スラド セキュリティ
社内システムや金融系サービスの「2要素」認証は、パスワード忘れやトークン紛失などの際に対面や郵送で本人確認するケースが大半なので、今回NISTが指摘した「(SMSの)通信内容の盗み見や傍受、改ざんなど」ができたとしても、不正アクセス成功のためにはIDとパスワードも盗用する必要があります。 しかし、Google アカウントを含む殆どのWebサービスの2要素認証は、パスワードの再発行用のコードがSMS・音声通話で受け取れてしまうので、事実上電話機(SMS・自動音声通話によるコード取得)のみの「1要素認証」になってしまっています。そのため、ロックされたスマホを奪われただけで、パスワードの再設定と2要素認証の突破がされてしまいます。Androidスマホの場合、挙句の果てに画面ロックまで解除されてしまいます。 アカウントを奪う方法は簡単で、 何らかの隙にターゲット(恋人・知人・同級生・家族その他)の
Snapchat従業員、同社CEOをかたるフィッシングメールにだまされて従業員の個人情報を外部へ送信 | スラド セキュリティ
写真を使用したコミュニケーションサービスを提供するSnapchatは2月28日、同社のCEOをかたるフィッシングメールに従業員がだまされ、一部の従業員や元従業員の個人情報を外部に送信していたことを明らかにした(Snapchatのブログ、Consumerist、V3.co.uk、Next Web)。 フィッシングメールは同社の給与課をターゲットにしたもの。攻撃者は2月26日、SnapchatのCEOを名乗って従業員の給与関連情報を送信するよう求めてきたという。しかし、給与課ではフィッシング詐欺であることに気付かず、一部の従業員と元従業員の給与関連情報を送信してしまったとのこと。なお、内部のシステムに対する侵入は受けておらず、ユーザー情報への不正アクセスもなかったことを強調している。 Snapchatでは情報流出の被害にあった従業員および元従業員に対し、2年間の個人情報盗難保険および監視サービ
LinuxのNetUSBカーネルドライバに脆弱性、Linuxベースのルータなどが影響を受ける | スラド セキュリティ
KCodesが提供するNetUSBカーネルドライバに脆弱性が発見された。NetUSBサーバーに対して特定のデータを送信することで、カーネル空間でのバッファオーバーフローを発生させることができるという(JVNVU#90185396、ZDNet Japan)。 NetUSBではクライアントがサーバーに接続する際にコンピュータ名を送信するが、このコンピュータ名が64文字よりも長い場合にスタックバッファがオーバーフローするという。現時点でD-LinkやNetgear、TP-LINK、ZyXELなどの製品が影響を受ける模様。 比較的分かりやすい理由でのバッファオーバーフローということで、「90年代スタイルの脆弱性」などとのツッコミが入れられている模様。
GoogleがOpenSSLをフォークした「BoringSSL」を公開 | スラド セキュリティ
GoogleがOpenSSLをフォークし、「BoringSSL」として公開した(ImperialVioletブログの記事、 Ars Technicaの記事、 本家/.)。 Googleは何年もの間、OpenSSLに数多くのパッチを当てて使用していたという。一部のパッチはOpenSSLのメインリポジトリに取り込まれたが、大半はAPIやABIの安定性の問題があるなどの理由で取り込まれていなかった。AndroidやChromeなどの製品はパッチの一部を必要とするが、パッチは70以上もあるために作業が複雑になっていたそうだ。そのため、OpenSSLをフォークして、OpenSSL側の変更をインポートする方式に変更したとしている。BoringSSLは近いうちにChromiumのリポジトリに追加される予定で、いずれAndroidや内部的にも使われるようになる。ただし、BoringSSLではAPIやABI
電波に悪意のあるコードを混入させることでスマートテレビをハッキングする手法 | スラド セキュリティ
コロンビア大学の研究者が、ヨーロッパやアメリカの一部で使用されているスマートテレビ「HbbTV(Hybrid broadcast broadband TV)」規格に大きな欠陥を発見したという。高層マンションの屋上から無人機を飛ばし、デジタル放送のデータ部分に悪質なコードを挿入することで、スマートテレビやホームネットワーク内の他の機器を乗っ取ることが可能になるという。研究者はこの攻撃のことを「Red Button攻撃」と呼んでいるようだ(Forbes、研究チーム論文、Engadget、Gizmodo、Slashdot)。 Red Button攻撃の問題は、ユーザーがテレビを視聴中にバックグラウンドで実行可能であり、ハッカーは送信元IPアドレスやDNSサーバーを晒す必要もないので後から犯人を追跡することは不可能であるとされる。研究者によれば、この攻撃を行う際には250ドルの1Wアンプ1つで1.
パソコンの電源鳴きから4096ビットのRSA秘密鍵が解析される | スラド セキュリティ
イスラエル・テルアビブ大学の研究チームが、GnuPGが暗号文を処理する際に変化するパソコンの「電源鳴き」を取り込んで処理することで、4096ビットのRSA秘密鍵を1時間以内に解析できたそうだ(RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis、 論文PDF、 Hack a Dayの記事、 本家/.)。 多くのCPUでは与える命令や結果によって消費電力、発熱、発するノイズなどが変化し、これを観察することで実行中の命令やデータを外部から推測することができる(サイドチャネル攻撃と呼ばれる)。通常この攻撃はスマートカードや小さなセキュリティチップなどに対して行われるが、このチームでは過去に処理するRSAキーによってPCの発する音が変化することを発見していた。 今回の実験では主に高感度マイクを標的PCの排気口に向け、アンプやデータ収
Abodeからの迷惑メールにご注意を | スラド セキュリティ
Adobeならぬ「Abode」からの迷惑メールが出回っているようだ(アドビ サポート担当のTweet、NAVERまとめ)。 Adobeからのメールと見せかけて、不正なURLに誘導させるというメールが出回っている模様で、URLには「abode.com」という文字列が含まれており、うっかりしていると間違えてクリックしてしまう可能性もある。
JR東日本の会員向けサービスでも不正ログイン | スラド セキュリティ
JR東日本の会員向けサービス「My JR-EAST」で3月31日に不正ログインが発生していたそうだ(JR東日本 — My JR-EASTでの不正ログイン発生とご利用のパスワード変更のお願い: PDF、 YOMIURI ONLINEの記事、 INTERNET Watchの記事、 朝日新聞デジタルの記事)。 大手Webサイトで不正アクセスが相次いでいることからJR東日本が調査したところ、3月31日12:26~13:52の間に国内の特定IPアドレスから約26,000件のアクセスがあり、97名のアカウントに対して不正ログインが行われていたことが4月16日に確認されたという。このうち5アカウントについてはユーザーの個人情報が閲覧された可能性があるそうだ。ただし、乗車券などが購入された形跡はないという。JR東日本では、該当する97アカウントについてはログイン停止の措置をとって会員に連絡しており、ほかの
蘭Twente大学で「ノートPCを盗む」課題が出され、大学職員のPC30台が盗まれる | スラド セキュリティ
オランダのTwente大学で、学生らに大学職員のノート型パソコンを盗み出す課題を与えたところ、職員に配布されたパソコン30台はたった60回の試みにして全て盗まれてしまったとのこと(本家/.、University of Twente公式サイト)。 同実験は、Trajce Dimkov教授による、団体組織のセキュリティ対策に関する研究の一環として行われた。ユーザーの調査という名目で任意に選ばれた大学職員30名にノートパソコンを貸し出し、必ずパソコンを机にチェーンで繋ぎ、パスワードロックをかけ、部屋を退出するときにはドアに鍵をかけるよう指示した。一方の学生らには、科学的実験の一環であると説明して職員のパソコンを盗み出す課題を与えた。 パソコンを盗み出すには、「話をデッチ上げて」清掃員や管理人の協力を得られるようにすると上手くいくようだ。例えば技術者の振りをしたり、「指導教授の部屋にパソコンを置き
人民解放軍のサイバー攻撃をうっかりテレビ番組で公開 | スラド セキュリティ
元記事はEpoch Timesのこれ [theepochtimes.com]のようです。 記事が出たあとのアラバマ大学からのコメントが追加されています。 the IP address belonged to a website that was decommissioned in 2001 because it had been created against UAB rules. They said that they believe the purpose of the action demonstrated in the video was not to launch an attack from that website, but to block access to it, and that they're not aware of any such attack, past o
お安い GPU で強固なパスワードも用無しに | スラド セキュリティ
大文字小文字に数字をまぶしたパスワードはブルートフォースアタックに対して強固であると言えるだろうか。強固であるとお考えの方はご再考を (ZDNet の記事、本家 /. 記事より) 。 PC Pro Blog の記事にて、GPU を用いたパスワードクラックツール ighashgpu とお安い GPU (1 〜 2 万円で購入できる RADEON HD 5770) の組み合わせで総当たり試行を行った結果が掲載されている。CPU を用いた場合、1 秒間に 980 万パターンの試行が可能であり、5 文字の NTLM ログインパスワードは 24 秒で突破された。一方 GPU では 1 秒間に 33 億パターンほど。パスワードを 6 文字にすると CPU では突破に 90 分ほど要したが、GPU ではたったの 4 秒。7 文字になると CPU では 4 日間かかったが、GPU では 17.5 秒で突破
WikiLeaksにて東京発公電が初めて公表される | スラド セキュリティ
時事通信によれば、1/1にとうとう在日米国大使館からの公電がWikileaksのサイトで初めて公表されたようだ。公表されたのは、09TOKYO2529、09TOKYO2588、10TOKYO171のリファレンスIDが付いたもので、いずれもIWC(国際捕鯨委員会)における米国との交渉に絡むもののようだ。その関連で日本の立場に影響を与える外的要因の一つにシー・シェパードが挙げられており、米国側がシー・シェパードに対して税制上の問題の有無を調べていたことが示されている。それに対して、日本側はシー・シェパードが米国で訴追されればIWCでの交渉の前進が容易になるとの見通しを出していたようだ。 おそらく、Wikileaks側が国際的に関心が高いものを選んだ結果の公表だと思うが、今後はさらなる爆弾が待っているかもしれない。
ビックカメラ.com、ユーザーのパスワードをリセットしてサービス再開。しかしパスワードの変更は不可 | スラド セキュリティ
不正アクセスによりユーザー情報が流出、そのためサイトを一時閉鎖していた通販サイトビックカメラ.comが、サービスを再開した。しかし、アカウントを登録していたユーザーに対しては安全性確保のためパスワードのリセットが行われ、新パスワードがメールで送られてきたのだが、そのパスワードでログインした後にパスワードの変更が行えないという、常識では考えられない運用になっている。 会員メニューによると、 下記の個人情報表示に制限を設けています。 段階的に、制限の解除を行っていく予定になっております。(現時点では未定です) ご不便をおかけしますが、ご了承くださいませ。 万一、情報の変更が必要の場合、当社サポートセンターにご相談をよろしくお願いします。 [制限事項] 「登録内容の変更」:ご利用いただけません。 「パスワードの変更」:ご利用いただけません。 「住所録」:ニックネームのみの表示/変更・削除不可(追
尖閣映像流出問題、神戸の海保職員が「自分が関与」と名乗り出る | スラド セキュリティ
NHKニュースやMSN産経ニュースによれば、 尖閣諸島沖での中国漁船衝突事件の映像がYouTubeへ流出した問題で、神戸市の第5管区海上保安本部の職員が、自分が映像を流出させたと名乗り出ていることが分かったらしい。現在は航行中の船に乗っているということだが、10日中に神戸港に戻り、事情聴取を受けることになる。 Googleからのログの押収によって、既に神戸市内のネットカフェから投稿されたことが明らかになっているが、石垣海上保安部は第11管区海上保安本部(那覇)であり、第5管区海上保安本部(神戸)との接点はほとんどないと思われる。仮にこの職員が流出させたとすれば、映像の入手方法が次に問題となるだろう。
メッセサンオーの顧客情報漏洩、原因は化石級の杜撰なCGI | スラド セキュリティ
INTERNET Watchの記事が伝えているように、4月2日、ゲームや同人誌などを販売するメッセサンオーの顧客情報がGoogleにキャッシュされ、誰でも閲覧できる状態になっていたことが発覚した。現在はキャッシュが見えないよう対策されているが、m-birdの日記などによると、使われていたショッピングカートの管理画面が、URLにパスワードを含む仕様になっていたのが原因らしい。INTERNET Watchの記事は「追記」として、これがWEBインベンターが提供するCGIスクリプトだとし、開発元が対策を呼びかけていると伝えている。 しかし、その対策元の呼びかけは、「管理プログラムがGoogleにインデックスされないようにする」というもので、 「パスワード付きのURLが検索エンジンに拾われないようにするために気をつけてください」という注意喚起metaタグ(noindex,nofollow,noarc
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
