Chromeに重大なゼロデイ脆弱性?発見者はGoogleに内容を伝えず | スラド セキュリティ
グルジアのセキュリティー研究者、Ucha Gobejishvili(longrifle0x)氏はリモートからコードを実行可能なGoogle Chromeの重大なゼロデイ脆弱性を7月に発見したと主張している。しかし、詳細をGoogleには伝えておらず、11月24日にニューデリーで開催されるマルウェアカンファレンス「MalCon」で行うデモで詳細を明らかにするとのこと(The Security Ledgerの記事、 MalConによるUcha Gobejishvili氏のプロフィール、 本家/.)。 脆弱性はChromeのDLLに存在し、悪用するとリモートからマルウェアをダウンロードして実行させることが可能となる。MalConでのデモはWindowsを使用するが、ほかのOSでも同様の操作が可能だという。Gobejishvili氏によれば非常に危険な脆弱性であり、デモ後にソースコードを公開するこ
自家製 MP3 プレイヤーが原因で空港閉鎖 | スラド セキュリティ
米ネブラスカ州オマハにある空港で、自家製 MP3 プレイヤーが原因でターミナルが数時間閉鎖されるという事態が起きていたそうだ (OregonLive.com の記事、本家 /. 記事より) 。 大学院生が持っていたのはミント菓子の缶を使って制作された MP3 プレイヤー。この学生はオマハのクレイトン大学で開催されていた科学フェアに参加していたとのことで、この装置もそのために作られたものであったという。しかし空港の X 線装置を通してこの装置を確認した空港保安担当者には、缶のなかにバッテリーとワイヤーが仕込まれた「疑わしき装置」に見えたとのことで、マニュアル通り空港閉鎖の措置が取られたという。 ミント缶 MP3 プレイヤーが空港で引っかかったのは今回が初めてではなく、2 年前にもカリフォルニア州で同じ MP3 プレイヤーが空港の検査で止められ、爆弾処理班まで出動する騒ぎとなったそうだ。なお、
お安い GPU で強固なパスワードも用無しに | スラド セキュリティ
大文字小文字に数字をまぶしたパスワードはブルートフォースアタックに対して強固であると言えるだろうか。強固であるとお考えの方はご再考を (ZDNet の記事、本家 /. 記事より) 。 PC Pro Blog の記事にて、GPU を用いたパスワードクラックツール ighashgpu とお安い GPU (1 〜 2 万円で購入できる RADEON HD 5770) の組み合わせで総当たり試行を行った結果が掲載されている。CPU を用いた場合、1 秒間に 980 万パターンの試行が可能であり、5 文字の NTLM ログインパスワードは 24 秒で突破された。一方 GPU では 1 秒間に 33 億パターンほど。パスワードを 6 文字にすると CPU では突破に 90 分ほど要したが、GPU ではたったの 4 秒。7 文字になると CPU では 4 日間かかったが、GPU では 17.5 秒で突破
Twitter で常に HTTPS が利用可能に | スラド セキュリティ
Twitter は、常に HTTPS 接続を使用するオプションを追加した (Twitter Blog の記事より) 。 これまでも Twitter では「https://twitter.com」にアクセスすることで HTTPS 接続を使用できたが、今後はオプション設定により常に HTTPS 接続が利用できるようになる。HTTPS 接続を有効化するには、Twitter にログインして設定画面を開き、「常に HTTPS のみを利用」チェックボックスをオンにすればいい。設定は Cookie にも保存される。将来的には HTTPS 接続をデフォルト設定にしたいとのことだ。 なお、現時点では携帯電話でモバイル版の Twitter を使用する場合は、オプション設定が適用されない。HTTPS 接続で使用するには、ログイン後に「https://mobile.twitter.com」へ移動する必要がある。ま
イケてないハッカー、その所業を晒される | スラド セキュリティ
root 権限を得ていてもなお sudo をしちゃうあたりところとか、展開した後の tar ファイルはちゃんと (rf オプションまでつけて) 消去しちゃうあたりににじみ出る育ちの良さが、アウトローになりたい彼女の望みとの間に齟齬を発生させてハラハラさせられてしまう。tar で展開したら /var/spool/samba に展開されるものだと思い込んじゃっているのかもしれない天然っぷりを持つが、その誤解を自力で解決するカタルシスを観客に与えるものの (あるいはがむしゃらにしているだけかもしれないのだが、そこがまた可愛い) 既に cd /var/ してしまった後だったという「ああーっ」感で観客の心が一つに。自暴自棄になった彼女が後半、続けざまにあちこちからツールをダウンロードするが、そのほとんどで 403 を返されるあたりには胸が厚くなる (薄い方が好みかもしれないが) 。ぽかぽかする ?
米政府の「情報漏洩防止計画」、あっさり漏洩 | スラド セキュリティ
度重なる情報の漏洩に対処すべく、米政府が立てた「情報漏洩防止計画」がMSNBCにリークされたそうだ(TechSpot、本家/.)。 何とも皮肉な話であるが、今後の情報漏洩を減らす目的のためのこの計画がまだ実施されていないというのもさらに皮肉な点であろう。 11ページに渡るこのメモは、機密情報にアクセスのある政府高官らに送られたとされている。メモには延々と続く「自己評価リスト」も含まれており、各組織の脆弱性を洗い出し、今後の改善策を打ち出すよう指示が下されている。また、心理学者や社会学者を利用し、情報漏洩に関わる可能性の高い人員を割り出す計画についても言及されている。さらに、ニューメディアとの接触は全て報告するよう義務付ける計画もあるとのことだ。
生パスワードを平文メールで送ってくる企業 | スラド セキュリティ
はてなの AnonymousDiary で「平文メールにパスワードを書いて送ってくる糞企業一覧」というエントリーが話題になっている。 曰く、リクナビで JR 東海にエントリーしたところ、「○○様 ID: 12345678 パスワード: mypassword こんにちは ! JR 東海人事部です。」というメールが到着したのだそうだ。しかも、定期的にパスワードがメールで送られてきたとのこと。 同様のサイトは他にもあって、いくつもの大企業の名前が挙っている。こういうのはどうにか無くせないものだろうか。
パスワード再発行の「ひみつの質問」、「好きなディズニーキャラクターは?」はNG | スラド セキュリティ
ネズミの国よりスヌーピーが好きな ID がちょっと試してみた。当然のことながらカードクラブ会員ではない(登録にはディズニー★JCBカード [jcb.co.jp]が必要) ログインIDが分からない場合は「ディズニー★JCBカードインフォメーションセンター」に問い合わせてくださいということになっているので、これはいい。おそらく問題となるのはIDが容易に推測できちゃう場合。 パスワード再発行画面 [disneycardclub.jp]でパスワードの再発行手続きに必要なものは次の3つ。 ログインID (「ディズニー・カードクラブ」サイトにログインするためのID) ※半角英数字3-10文字以内で入力してください。ひみつの質問 「母親の旧姓は?」「ペットの名前は?」「好きなディズニーキャラクターは?」「あなたの出身地は?」「お父さんのお誕生日は?」から選択ひみつの質問の回答(※全角20文字以内で入力し
Google、「ハッキング学習用Webアプリ」を公開 - スラッシュドット・ジャパン
Googleが「ハッキングを通じてWebアプリのセキュリティや脆弱性を学ぶ」ことを目的としたWebアプリ「Jarlsberg」を公開した Google Online Security Blog)。 Jarlsbergは、「ハッカーがどのようにセキュリティ脆弱性を見つけるか」「どのようにWebアプリを攻撃するか」「どうすればそのような行為への対策を行えるか」を学習することを目的としたもの。Google Apps上で動作しているWebアプリで、ユーザーが実際にさまざまな攻撃をテストしてみることが可能。「jarlsberg.appspot.comドメイン上で任意のスクリプトを実行できるようなファイルをアップロードせよ」などの課題やヒント、その解答と対策なども多数用意されている。また、ソースコードについてもすべて公開されている。 ドキュメントはすべて英語だが、セキュリティに興味のある方は挑戦してみ
ブラウザのパスワードマネジャを信頼して大丈夫? | スラド セキュリティ
本家記事 Firefox 2.0 Password Manager Bug Exposes Passwords によると、Firefox に Reverse Cross-Site Request (RCSR) 脆弱性があるという報告が Bugzilla へ寄せられています。 Firefox のパスワードマネジャは、記憶したパスワードを同一ドメインの別ページにも適用するそうですが、 Chapin Information Services による PoC では、 その際に hidden や display:none を使うことで「知らないうちに」情報が抜き取られるようにしています。 この実例は 10 月の時点で Netcraft が発見 していたそうですので、MySpace 利用者は念のためパスワード変更などの対策をとるべきかもしれません。 さて、今回の件で根本的な問題はどこにあるのでしょうか
100 体のマルウェアでセキュリティソフトを比較してみた | スラド セキュリティ
100 体のマルウェアを仕込んだ PC で有料・無料の 18 個のセキュリティソフトの検出率を比較した動画がニコニコ動画で話題になっている (ニコニコ動画、Youtube、作者のブログ記事より)。 テストするウィルスの内容によって結果が大きく変わるので、この結果を過信しないで欲しいとの作者の言だが、セキュリティソフトによる検出率がけっこうばらついていて興味深い。動画では F-Secure internet security と Kaspersky がほぼ並んで 94/100, 93/100。Microsoft Security Essentials と KINGSOFT internet security は 37/100 と奮わなかった。/.Jer ご使用のソフトがどの位置につけているか語り合ったり、年度末のセキュリティソフト購入のための指針として考えてみるのもいいかもしれない。
アメブロでのID/パスワード流出事件、発端は「ID/パスワードリスト」のメールでの誤送信 | スラド セキュリティ
先日、アメブロを利用していた芸能人のID/パスワード一覧が流出する事件が起きたが、この情報流出の発端はアメブロを運営するサイバーエージェントの社員が、誤って「ID/パスワードリスト」をメールで送信してしまったことだったそうだ(読売新聞)。 この情報を悪用してネットに公開していたのがメールを受け取ったホリプロの元契約社員だったことも明らかになり、この元契約社員は不正アクセス禁止法違反の疑いで逮捕されている。 なぜこのようなID/パスワードリストがあったのか、また容疑者はなぜこれを公開するに至ったのか、色々と気になるところである。
サイバー攻撃の発信源として使われる中国 | スラド セキュリティ
2月18日のウォール・ストリート・ジャーナル(原文の元記事)が、米ネットウィットネスが最近明らかにしたサイバー攻撃に関する調査結果(NetWitnessのPress Release)を伝えている。 これによると、2008年後半頃から、約2500の企業・政府機関が不正アクセスを受けた可能性があるという。当然、ボットネットを中心とした攻撃だが、その指令センターはドイツにあり、東欧の犯罪組織が関わり、中国のコンピューターが使用された可能性があるという(中国のコンピューターは比較的不正操作しやすいからという)。事件の端緒をつかんだのは1月26日。ちなみに使われていたスパイウェアはZeuSと呼ばれており「free」でも入手できるが、今回の攻撃には2000ドルの有償版が使われたという。 また、先頃明らかになったGoogle等の一連の米企業へのサイバー攻撃は「中国の30代のフリーランスのセキュリティコン
最も危険なプログラミングエラーTop 25、2010年版 | スラド セキュリティ
昨年も取りまとめられていた「最も危険なプログラミングエラーTop 25」の2010年版が発表された(本家/.記事)。 2010年版で一番のエラーとされたのは、クロススクリプティングを引き起こし得る「ウェブサイトの設計不備」。その後にSQLインジェクションの原因となる「SQLクエリの保護不備」、バッファオーバーフローの原因となる「メモリバッファ境界チェックの不備」と続く。このTop 25のエラーは、最近中国で起きたGoogleへの大規模サイバー攻撃や、その他軍用システムから一般ユーザまでを対象とした大小様々なサイバー攻撃の多くで悪用されているとのこと。 今回のレポートでは、製品のセキュリティに対して開発者らが責任を負うよう消費者が声を挙げるべきであると推奨している。「開発チームのメンバー全員がセキュアプログラミング技術のトレーニングを適切に受けていることを確証する責任を負う」ようベンダーに求
Winnyプロトコル互換の閲覧ソフト「Nyzilla」がリリースされる | スラド セキュリティ
セキュリティ研究者の高木浩光氏が、Winnyプロトコルを使用してWinnyネットワークで公開しているファイルを閲覧するソフト「Nyzilla」をリリースした(高木氏によるリリース告知)。 NyzillaはIPアドレス(もしくはURI)で指定したWinnyノードでどのようなファイルが公開されているかを確認できるソフト。 Nyzillaで閲覧して表示されるファイルは、そのサイトでアップロードフォルダに格納されたファイルか、または、「Cache」フォルダに格納された(他からダウンロードして溜め込んだ)ファイルです。 とのことで、そのノードで意図的に公開したファイルだけでなく、キャッシュについても確認できる。 高木氏は以前より「Winnyなどの日本のP2Pファイル共有クライアントでは、自分がどのようなファイルを公開しているのかが分かりにくい」といった旨(香母酢とライムの違いから日本の異端ぶりを読み
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Windows XP/2003のヘルプ機能を悪用したリモート攻撃が確認される | スラド セキュリティ