研究者が宣言、「有名ソフトの『ゼロデイ脆弱性』を毎日公開する」
セキュリティ組織の米サンズ・インスティチュートは2010年9月1日、セキュリティ研究者で組織されるグループが、有名なソフトのゼロデイ脆弱(ぜいじゃく)性(未修正の脆弱性)を、1カ月にわたって毎日1件以上公開し続ける予定であるとして注意を呼びかけた。 ゼロデイ脆弱性を公開するとしているのは、「Abysssec Research」というグループ。4人のセキュリティ研究者で構成されているという。構成メンバーの本名などは一切不明。 同グループでは、2010年9月中、有名なソフトのゼロデイ脆弱性を毎日1件以上公開するとしている。対象となるのは、米マイクロソフト、米モジラ、米サン、米アドビシステムズ、米ヒューレット・パッカード、米ノベルなどのソフトだという。 同グループでは、既に1日目のゼロデイ脆弱性を公開している。1日目に公開されたのは、Adobe ReaderおよびFlash Playerの脆弱性
チェックしておきたいぜい弱性情報<2010.08.31>
2010年8月22日までに明らかになったぜい弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。 Adobe Reader 9.3.4/8.2.4、Acrobat 9.3.4/8.2.4リリース:APSB10-17(2010/08/19) 米アドビ システムズからAdobe Reader 9.3.4/8.2.4とAcrobat 9.3.4/8.2.4がリリースされました。このリリースでは、2010年7月28日にセキュリティカンファレンスBlack Hat USA 2010で報告された任意のコード実行につながるぜい弱性(CVE-2010-2862)(図1)、2010年3月29日に公開されたPDFファイルにおけるLaunchを用いたプログラム実行のぜい弱性(CVE-2010-1240)、APSB10-16で公開されたAdobe Flash Playe
チェックしておきたいぜい弱性情報<2010.08.24>
2010年8月15日までに明らかになったぜい弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。 Flash Player 10.1.82.76/9.0.280.0リリース:APSB10-16(2010/08/10) Adobe Flash PlayerとAdobe AIRに、メモリー破損による任意のコード実行、ユーザーのWebブラウザー上のクリック操作を乗っ取るクリックジャッキング攻撃につながる計6件のぜい弱性が報告されました。影響を受けるバージョンは、Adobe Flash Player 10.1.53.64およびそれ以前のバージョンと、Adobe AIR 2.0.2.12610およびそれ以前のバージョンです。Adobe Flash Playerを利用しているユーザーは10.1.82.76へのアップデートを、Adobe AIRを利用しているユ
大手サイトも驚愕させた、ガンブラーはどう動く?
なお、ガンブラーは1つの不正プログラムをさすのではなく、上記の一連の攻撃をさすことが一般的だ。 Webサイト改ざんの仕組み --> 以上のように、ガンブラーの最初の活動は、正規のWebサイトの改ざんだ。ここでいう改ざんは、正規のWebサイトのソースコードに、不正プログラムの感染源になる不正サイトへ誘導する記述を追記することである。 図2が実際に改ざんされたWebサイトに埋め込まれたソースコードとなる。一部モザイク処理をしているのでわかりにくいが、前半部分がオリジナルのWebサイトに記載されていたソースコードで、後半部分が埋め込まれたスクリプト文になる。
チェックしておきたいぜい弱性情報<2010.08.10>
2010年8月1日までに明らかになったぜい弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。 Apache HTTPサーバー2.2.16リリース(2010/07/25) Apache HTTPサーバー2.2.16がリリースされました。2.2.16では、mod_dav、mod_cacheでのパスの無いHTTP要求に関するぜい弱性(CVE-2010-1452)、mod_proxy_ajp、mod_proxy_http、mod_reqtimeoutでのタイムアウト処理に関するぜい弱性(CVE-2010-2068)を解決しています。 [参考情報] Apache Software Foundation:Changes with Apache 2.2.16JVNDB-2010-001644(CVE-2010-2068):Apache HTTP Server
チェックしておきたいぜい弱性情報<2010.08.04>
2010年7月25日までに明らかになったぜい弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。 Firefox 3.6.8、Firefox 3.5.11リリース(2010/07/24) 7月21日に、Firefox 3.6.7、Firefox 3.5.11リリースがリリースされました。Firefox 3.6.7では14件、Firefox 3.5.11では11件のセキュリティ問題を解決しています。ただFirefox 3.6.7において修正した「プラグイン引数配列によるクラッシュ問題」に起因して、メモリー破壊の形跡があるクラッシュ問題が新たに生じてしまったことから、7月24日に、この問題を解決したFirefox 3.6.8がリリースされました。 [参考情報] Mozilla:Firefox 3.6セキュリティアドバイザリーMozilla:Firef
G Data、Windowsの脆弱性悪用攻撃に備えるツールを無償提供
Windowsのショートカットファイルの処理に起因する脆弱性を悪用した攻撃を防ぐためのツールを公開した。 セキュリティ企業のG Data Softwareは7月28日、Microsoft Windowsの未修整の脆弱性を悪用した攻撃に対処するためのツール「G Data LNK Checker」の無償提供を開始した。 問題の脆弱性は、Windowsのショートカットファイル(.lnk)の処理に起因するもので、細工された.lnkファイルを参照するだけでマルウェアが実行される恐れがある。脆弱性を悪用する方法が公開されたため、多数のマルウェア亜種が既に出現しており、今後被害が多発する可能性があるという。 G Data LNK Checkerは、ウイルス対策ソフトと併用することができる。ショートカットアイコンの表示を監視し、脆弱性を悪用するコードの自動実行を防ぐ。対応OSはWindows XP以降とし
エフセキュアブログ : LNK脆弱性:Chymine、Vobfus、SalityおよびZeus
LNK脆弱性:Chymine、Vobfus、SalityおよびZeus 2010年07月27日00:46 ツイート sean_sullivan ヘルシンキ発 by:ショーン・サリバン 悪いニュースがある。現在、いくつかのマルウェアファミリが、MicrosoftのLNK脆弱性(2286198)を悪用しようとしているのだ。 しかし良いニュースもある。これまでに、我々によって、そして他の多くのベンダによって、これらの新しいエクスプロイトサンプルが検出されている。基本的に、我々が見ているのはベーシックな同一のエクスプロイトメソッドを使用した新しいペイロードで、これは同エクスプロイトの新バージョンではなく、ジェネリックに検出される。 以下は状況の概要だ。StuxnetルートキットはLNKゼロデイを利用する初のファミリーだった。そして先週、ChymineとVobfusがこれに続いた。我々の検出名は「
「ゼロデイ対策にはアカウントの使い分けが有効」――専門家が伝授
「未修正の脆弱(ぜいじゃく)性を悪用するゼロデイ攻撃が増えている。企業のセキュリティが向上しているため、ゼロデイでないと対策をすり抜けられないためだ」。米国のセキュリティ組織「サンズ・インスティチュート」のフェローを務めるエリック・コール氏は2010年7月28日、NRIセキュアテクノロジーズが開催した説明会において、ゼロデイ攻撃の現状や対策について解説した(写真1)。 コール氏によれば、以前と比べると、企業の脆弱性対策は大幅に向上しているという。「5~6年前なら、修正パッチが公開されてから6カ月が経過した脆弱性でも、きちんと修正していない企業が多かった。このため、既知の脆弱性を悪用する攻撃でも十分“通用”した」(コール氏)。 ところが最近では、「修正パッチが公開されてから6~8週間もすれば、多くの企業は対応済みで、悪用が難しくなっている」(コール氏)。そこで攻撃者は、攻撃を“成功”させるた
クリックジャッキング対策
このところ「ライクジャッキング」と呼ばれる攻撃が話題になっている。筆者の近辺でも、友人がこの手口に引っかかり、隠しておきたいような情報が、利用しているソーシャルネットワーキングサービス(SNS)にプロフィールとして勝手に投稿されてしまった。今回はこの攻撃について解説しよう。 「ライクジャッキング」という言葉は、「クリック」と「ハイジャッキング」の合成語である「クリックジャッキング」から派生した表現だ。クリックジャッキングは以前から使われている手口だが、外部サイトのコンテンツを表示するWebサイトが増えるにつれてよく報道されるようになった。例えば今は、外部サイトで作られたテキストや画像などのコンテンツを表示したり、コンテンツとやり取りしたりするWebサイトが多い(関連記事:クリックジャッキング攻撃/正体が見えた「クリックジャッキング」/クリックジャッキングとは)。 Webページに特殊な細工を
チェックしておきたいぜい弱性情報<2010.07.21>
2010年7月11日までに明らかになったぜい弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。 米シスコCisco Industrial EthernetのSNMPコミュニティ名がハードコードされている問題(2010/07/07) Cisco Industrial Ethernet 3000シリーズの読み込みおよび書き込み用SNMPコミュニティー名がハードコードされているという報告です。ハードコードされている名称は、public、privateというよく知られている名称です。 SNMPコミュニティー名がハードコードされているというぜい弱性は、Cisco IOSシリーズのルーターおよびスイッチでの問題(Advisory ID: cisco-sa-20040420-snmp)、Cisco IP/VCビデオカンファレンスシステムでの問題(Adviso
チェックしておきたいぜい弱性情報<2010.07.13>
2010年7月4日までに明らかになったぜい弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。 Adobe Reader 9.3.3/8.2.3、Acrobat 9.3.3/8.2.3リリース:APSB10-15(2010/06/29) 米アドビ システムズからAdobe Reader 9.3.3/8.2.3とAcrobat 9.3.3/8.2.3がリリースされました。このリリースでは、2010年6月4日にセキュリティアドバイザリー(APSA10-01)で報告された任意のコード実行につながるぜい弱性(CVE-2010-1297)、メモリー破損ならびにメモリー初期化処理の問題、サービス不能につながるぜい弱性など、計17件のぜい弱性を解決しています。 既に、ぜい弱性(CVE-2010-1297)を悪用した侵害活動は発生していますので(図1)、Adob
チェックしておきたいぜい弱性情報<2010.06.14>
2010年6月6日までに明らかになったぜい弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。 Flash PlayerおよびAdobe Reader、Acrobatにぜい弱性:APSA10-01(2010/06/04) 米アドビ システムズからAdobe Flash Player 10.0.45.2、9.0.262およびそれ以前のバージョン10.0.x/9.0.x、Adobe ReaderとAcrobat 9.3.2およびそれ以前のバージョン9.xにおいて、異常終了やシステム侵害の影響を伴うぜい弱性(CVE-2010-1297)のアドバイザリーが発行されました。アドバイザリーによれば、Flash Player 10.1 RC(release candidate)、Adobe ReaderとAcrobat 8.xは、このぜい弱性の影響を受けないと
プレス発表 サポートが終了するWindowsを利用しているシステム管理者への注意喚起:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、2010年7月13日(米国時間)にサポートが終了するマイクロソフト社の「Windows 2000 Server」について、このOSを利用しているシステム管理者に対し、サポートが継続しているOSへの迅速なバージョンアップ実施を呼びかけるため、注意喚起を発することとしました。 2010年7月13日(米国時間)にマイクロソフト社が提供しているOS「Windows 2000 Server」、「Windows 2000 Professional」のサポートが終了します(*1) 。これらのOSのサポートが終了すると、たとえ新たな脆弱性が発見されたとしても、修正プログラムが提供されなくなります。 ウイルスや不正アクセス被害に関してIPAに寄せられる相談には、依然としてサポートが終了したクライアントOSの利用者からのものが含まれています。その中
チェックしておきたいぜい弱性情報<2010.07.06>
2010年6月26日までに明らかになったぜい弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。 Firefox 3.5.10/3.6.4リリース(2010/06/23) MozillaからFirefox 3.5.10/3.6.4がリリースされました。対応したセキュリティ問題は9件で、Firefox 3.6.4では、セキュリティ問題などの修正に加えて、プラグインが原因となったクラッシュを防止する機能が搭載されました。また、Firefox 3のサポートは2010年3月で終了していますので、Firefox 3.5以降への移行を検討しておく必要があります。 【 任意のコード実行 】 MFSA 2010-25:スコープの混同による解放済みオブジェクトの再使用 MFSA 2010-26:メモリー破壊の形跡があるクラッシュ(rv:1.9.2.4/ 1.9.1
Windows 2000のサポート終了まで1週間、最大のリスクは「脆弱性」
Windows 2000のサポート終了まで1週間となった。セキュリティ企業やIPAがWindows 2000を使い続ける危険性について、改めて注意を呼び掛けている。 米Microsoftは、7月13日(現地時間)にWindows 2000およびXP Service Pack 2(SP2)のサポートを正式に終了する。サポート終了まで1週間となった5日、セキュリティ企業各社や情報処理推進機構(IPA)がWindows 2000を使用し続けるセキュリティ上の問題について注意を呼び掛けた。 この問題に関する以前の記事で取り上げたように、Windows 2000は今なお多くの企業で使用されているとみられる。セキュリティ企業のフォティーンフォティ技術研究所(FFR)が市場調査や企業のOS移行の動向などから独自に集計した結果によると、Windows 2000で稼働するサーバは10万台以上、クライアントマ
「Adobeのパッチは不完全」――PDF悪用問題でセキュリティ企業が指摘
PDFの機能がコード実行に悪用されてしまう問題は、Adobeの最新パッチでも解決されていないとセキュリティ企業が指摘した。 Adobeが6月29日付でリリースしたReaderとAcrobatの更新版をめぐり、ベトナムのセキュリティ企業Bkisが「PDF仕様の脆弱性を修正したとするAdobe Readerのパッチは不完全だ」とブログで指摘した。 Adobeが公開したReaderとAcrobat最新版のバージョン9.3.3には、PDFの仕様である「/launch」機能の脆弱性を解決するパッチが含まれていた。この問題は3月に発覚したもので、任意のコード実行に利用される恐れがあるとされ、脆弱性を突いたマルウェアも多数出回っているという。 Bkisのブログによると、同社は問題が解決されているかどうか検証するため、この脆弱性の存在を証明するコンセプト実証用のPDFファイルをAdobe Reader最新
2割のAndroidアプリが個人情報を取得 犯罪に悪用される恐れも
Android携帯向けに販売されているアプリケーションを調べたところ、個人情報へのアクセスを許してしまうものが多数見つかった。 携帯電話向けセキュリティ製品を手掛ける米SMobile Systemsは、GoogleのAndroid携帯向けアプリケーションストアで販売されているアプリケーションについての調査結果を発表した。個人情報にアクセスできるものが多数あり、詐欺などに利用されたり、マルウェアに感染したりする恐れがあるという。 Androidマーケットで提供されている約4万8000本のアプリケーションを調べた結果、サードパーティーアプリから個人情報や機密情報にアクセスできるものが20%に上った。「こうした情報が他人に渡れば、なりすましやモバイルバンキング詐欺、企業スパイなどに利用される恐れがある」と同社は警告する。 さらに、任意の電話番号に発信することを許可してしまうアプリケーションが5%
「Webアプリの脆弱性対策は簡単です」
「Webアプリケーションの脆弱性対策は簡単です」。 セキュリティ関連の取材をするようになって10年以上になるが、セキュリティ対策が「簡単」だと聞いたのは恐らく初めてである。取材の相手は、TISの早矢仕善弘氏(技術本部 セキュアワン室 室長)。ソースコードを対象にした脆弱性チェックツールとして広く利用されている米Fortify Softwareに、同社ソフトの検証を依頼されたこともあるというセキュリティの専門家である。 早矢仕氏によるとWebアプリケーションの脆弱性は、たった四つの原則を守れば防げるという。SQLインジェクションやクロスサイトスクリプティング(XSS)など著名なものはもちろん、最近になって発見されている数多くの脆弱性が、いずれかの原則の対象になる。四つの原則を紹介しよう。 (1)ユーザー入力を精査する Webページのフォームなどに入力された文字列は、きちんとチェックしなければ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ScanNetSecurity - Windowsにおけるショートカットファイル処理の脆弱性検証レポートを発表(NTTデータ・セキュリティ)