マイクラもハッキング ~「Apache Log4j」ライブラリに致命的なリモートコード実行のゼロデイ脆弱性【12月10日18:45追記】/「CVE-2021-44228」のCVE番号が割り当てられる予定。かなり広範囲に影響か。【やじうまの杜】
来栖川電算
ビジネスに役立つ AI をお届けします 来栖川電算は AI 技術の研究開発から応用まで幅広いサービスを提供する名古屋工業大学発ベンチャー(2003 年設立)です。未踏ソフトウェア創造事業の採択者やソフトウェア分野の様々なコンテストの入賞者が在籍しています。最先端の AI 技術だけでなく、膨大な高品質データを生み出す技術、ハードウェアの限界性能を引き出す実装技術、高品質なソフトウェアを実現する設計技術にも定評があります。 手軽に使える様々な認識エンジン 来栖川電算の認識エンジンを活用すれば、センサーデータに埋め込まれた意味を手軽に抽出できます。種類ごとに用意された認識エンジンは教師データや設定を変えるだけで様々なタスクへ応用できます。Linux・Android・iOS 用のライブラリ、WebAPI、コマンドラインツールなどプログラマフレンドリーな SDK を提供しています。トレーニングやコン
例えば、Strutsを避ける
はじめに 筆者は10年以上ウェブアプリケーション開発を主な業務とするJavaプログラマであったにも関わらず、Strutsについてはこれまでずっと食わず嫌いでした。初期のStrutsは「XMLだらけで効率が悪そう」というイメージが強かったためです。最近はRuby on Rails等の影響を受けCoC(convention over configuration)を採り入れ、XML地獄もだいぶ解消したようです。 StrutsはJavaアプリケーションらしくない種類(任意のコード実行等)の脆弱性を連発することでも知られており、最近は我々の提供するSaaS型WAFサービス、Scutum(スキュータム)のお客様からも頻繁にStrutsについての問い合わせを受けるようになりました。また、去年見つかった任意のコード実行の脆弱性では、脆弱性の公表後すぐにPoCが出回り実際に攻撃が発生するなど、悪い意味で注目
Oracleが定例アップデートを予告、Javaに深刻な脆弱性が多数存在
Oracleの定例アップデートは米国時間の4月15日に公開予定。計103件の脆弱性のうち、Java SEの脆弱性が37件を占める。 米Oracleは、Javaやデータベースなど同社製品の脆弱性をまとめて修正する定例セキュリティアップデートの「Critical Patch Update」(CPU)を米国時間4月15日に公開すると発表した。 同社の事前告知によると、今回のCPUではOracle製品に存在する計103件の脆弱性に対処を予定している。Java SEの脆弱性はこのうち37件を占め、危険度がCVSSベーススコアで最も高い「10.0」の極めて深刻な脆弱性も複数含まれる。 Javaのほかにもデータベース、Fusion Middleware、仮想化製品、MySQLなど多数の製品がアップデートの対象となる。
Play Framework Security Advisory
Session Injection Date 06 Aug 2013 Description A vulnerability has been found in Play’s session encoding. An attacker may inject arbitrary data into a session, by tricking Play to place a specially crafted value containing null bytes into the Play session. Impact Any application that places user input data into Play’s stateless session mechanism may be vulnerable. Typically, this will impact appli
ERR01-J. センシティブな情報を例外によって外部に漏えいしない
例外を伝播させる際に例外に含まれるセンシティブな情報を取り除かないと、攻撃者にさらなる攻撃の手がかりを与えるような情報漏えいを引き起こすことが多い。攻撃者はプログラムの内部構成や動作メカニズムを外部に晒すために、巧妙に細工した入力を作成することができる。例外メッセージおよび例外の種類は、内部の情報を漏えいしうる。たとえば、FileNotFoundException という例外メッセージはファイルシステムの構成に関する情報を、例外の種類は要求されたファイルが存在しないことを明らかにする。 このルールは、クライアントプログラムだけでなく、サーバサイドのアプリケーションにも当てはまる。攻撃者は脆弱なウェブサーバからだけでなく、脆弱なウェブブラウザを利用するユーザからもセンシティブな情報を集めることができる。Schönefeld は2004年に Opera v7.54 に対する攻撃手法を発見した。
IT news, careers, business technology, reviews
The rise of synthetic media: Get ready for AI avatars at work
Macを標的にしたマルウェアFlashback
Mac OS Xを狙う「Flashback」マルウエア(日本経済新聞) 本旨とは関係無いですが、日本経済新聞はじめ、いくつかの新聞社はWEBの記事でなぜ全角英字を使うのやら。読みにくい上に、この手の話題だとそれだけで信用出来ない印象を持ってしまいますが。 それはともかく、Mac用のマルウェア「Flashback」というのが世界で60万台以上のMacに感染しているとか。Java の脆弱性を利用したもので、元々ユーザーを騙してインストールさせる際に「Flash Player」のアップデートを装っていたため、このような名前がついているそうです。今は他にも亜種がいろいろあるようです。 これについてエフセキュアブログに説明と対策がありましたので参考にして下さい。 ・目下のMacマルウェア ・Flashbackはあるか? 結論から言うとJavaを無効にしておけば心配ないということだと思うのですが、特に
「JavaはGoogleへ売却すべき」――脆弱性放置のOracleに忠告
企業が手にできる最悪の保証といえば、政府によるソフトウェア使用禁止令だろう。2013年1月10日(米国時間)、米Oracleに起きたことは、まさにそれだった。米国土安全保障省(DHS)が、全てのコンピュータユーザーに対して、重大な脆弱性があることを理由に、クライアントPCのJavaを無効にすべきだと警告したのだ。 関連記事 米Oracleの怠慢を批判――「Javaはアンインストールすべき」 検出不可? Javaの脆弱性を突く「ファイルなしボット」 Javaをアンインストールせずにセキュリティを高める方法 「Java 7 Update 10」に、「Red October」というグローバルマルウェアネットワークへ接続する重大な脆弱性悪用プログラム(エクスプロイト)が見つかった。そのエクスプロイトは、世界中の政府系機関にある数百台のクライアントPCに侵入し、数カ月間にわたって活動していた。 Or
検出不可? Javaの脆弱性を突く「ファイルなしボット」
Javaの脆弱性を突く、ファイルを持たないマルウェアに、ロシアのコンピュータが集団感染した。同種の攻撃がロシアだけで発生するとは限らず、Windowsマシンだけが標的になるとも限らない。 関連記事 米Oracleの怠慢を批判――「Javaはアンインストールすべき」 Javaをアンインストールせずにセキュリティを高める方法 仕組みは周知の通りだ。社内のエンドユーザーが感染サイトを閲覧し、知らないうちに最新型のマルウェアをダウンロードする。もしウイルス対策ソフトウェアがそれなりに機能していれば、ダウンロードを阻止するか、少なくともユーザーのHDDにある不正ファイルを検出、隔離してくれる。だがHDDに検出すべきファイルがなかったとしたら? もしもマルウェアがメモリだけに存在し、まさか破られるとは管理者もウイルス対策ソフトウェアもOSさえも思っていない、信頼すべきプロセスの下で実行されていたとした
Javaにまたも未解決の脆弱性か、セキュリティ企業がOracleに通報
過去に何度もJavaの脆弱性を発見してきたセキュリティ企業が、新たに2件の脆弱性に関する情報をOracleに提供したことを明らかにした。 ポーランドのセキュリティ企業Security Explorationsは2月25日、2件の脆弱性に関する情報とコンセプト実証コードをOracleに提供したことを明らかにした。Oracleは提供された情報について調査した上で返答すると伝えてきたという。 Security Explorationsは、過去に何度もJavaの脆弱性を発見してきたセキュリティ企業。メディア各社はこの脆弱性について、Oracleが2月19日に公開したばかりのJava最新版「Java 7 Update 15」が影響を受けると伝えている。 JavaはOSを問わないマルチプラットフォーム対応の特性を利用して、WindowsとMacの両方を狙った攻撃に利用されるケースが急増している。最近で
エフセキュアブログ : もっとも手が届きやすい果実:Java
もっとも手が届きやすい果実:Java 2013年02月26日02:00 ツイート sean_sullivan ヘルシンキ発 by:ショーン・サリバン コンピュータ・セキュリティ上、あらゆる評価基準において、現時点でもっとも手が届きやすい果実という称号の保持者はJavaだ(Javaという言葉で、ここではJREや各種ブラウザのプラグインも意味する)。ずっとそうだった訳ではない。どうして、こうなったのだろうか?手の届きやすい果実の歴史について、ハイライトをおさらいしよう。 2004〜2008年:WindowsからOfficeへ攻撃がシフト 2004年8月 — Windows XP Service Pack 2がリリース 2005年2月 — RSA Conferenceにてマイクロソフトが最初のベータ版Microsoft Updateをアナウンス 2005年6月 — Microsoft Upda
ウェブリブログ:サービスは終了しました。
「ウェブリブログ」は 2023年1月31日 をもちましてサービス提供を終了いたしました。 2004年3月のサービス開始より19年近くもの間、沢山の皆さまにご愛用いただきましたことを心よりお礼申し上げます。今後とも、BIGLOBEをご愛顧賜りますよう、よろしくお願い申し上げます。 ※引っ越し先ブログへのリダイレクトサービスは2024年1月31日で終了いたしました。 BIGLOBEのサービス一覧
JVNTA13-010A: Oracle Java 7 に脆弱性
以下の製品を含む、全ての Java Platform Standard Edition 7 (1.7, 1.7.0) を使用しているウェブブラウザ等のシステム Java Platform Standard Edition 7 (Java SE 7)Java SE Development Kit (JDK 7)Java SE Runtime Environment (JRE 7)OpenJDK 7 および 7uIcedTea 2.x (IcedTea7 2.x) Oracle が提供する Java 7 には、Java のサンドボックスを回避され、任意のコードが実行可能な脆弱性が存在します。 なお、本脆弱性を使用した攻撃コードが公開されており、攻撃も観測されています。 細工された Java アプレットが埋め込まれたウェブページや、Java Network Launching Protocol
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://blogs.oracle.com/otnjp/post/entry/java_se_7%E3%81%8C%E3%82%A2%E3%83%83%E3%83%97%E3%83%87%E3%83%BC%E3%83%88%E3%81%95%E3%82%8C%E3%81%BE%E3%81%97%E3%81%9F_%E6%9B%B4%E6%96%B0%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6%E3%81%AE%E6%B3%A8%E6%84%8F%E3%81%A7%E3%81%99
Safari:「Web サイト設定を管理」で Web サイトごとに Java Web プラグインを有効化できます - Apple サポート
FacebookやApple、MSまで……Javaの脆弱性を狙う攻撃の手口
IT news, careers, business technology, reviews
IT news, careers, business technology, reviews
サービス終了のお知らせ