オープンソースのウイルス対策ソフト「ClamAV」にセキュリティ・ホール
デンマークSecuniaなどのセキュリティ・ベンダー各社は現地時間10月16日,オープンソースのウイルス対策ソフト「Clam Antivirus(ClamAV)」に2種類のセキュリティ・ホールが見つかったことを明らかにした。細工が施されたファイルを読み込むだけで,悪質なプログラムを実行される恐れがある。対策は,バージョン0.88.5以降にアップグレードすること。 ClamAVには,(1)PEファイル(Portable Executive file)を処理する部分,および(2)CHMファイル(Compiled HTML Help file)を処理する部分に,それぞれセキュリティ・ホールが見つかった。このため,細工が施されたPEファイルをClamAVで読み込むとバッファ・オーバーフローが発生し,任意のプログラムを勝手に実行される恐れがある。また,細工が施されたCHMファイルを読み込むと,Cla
PHPセキュリティチェックリスト:phpspot開発日誌
Checklist for Securing PHP Configuration | Ayman Hourieh's Blog Inside is a check list of settings that are intended to harden the default PHP installation.PHPセキュリティチェックリスト。 PHPの設定ファイルによってはセキュリティ的によろしくない場合もよくあることなので、そのチェックを行うためのリスト。 allow_url_fopen、register_globals など、一連のphp.iniに関する設定のチェックする際に役立ちます。
mixCipher - mixi Diary Cryptographer - Lab MagicVox.net
mixCipher は mixi の日記本文やコメントを暗号化することで,心無いユーザによる情報漏えいを防ぐためのソリューション(?)です。 "みっくすさいふぁー"と読みます。投稿者が設定したパスワードを正しく入力しない限り元の文章を読むことはできません。しかし貴方が信頼してパスワードを教えた人が,実は情報漏えいの黒幕であった場合にはどうしようもありません。マイミクは大切にしましょう。 どうやって読むの? mixi 日記を読んでいて -----BEGIN BLOWFISH DATA BLOCK----- DWVKdwrD2vbTQiDeeHN5ZoKGi9YOUZdiMClHGHXj Wub+YxpRqvobqw== -----END BLOWFISH DATA BLOCK----- のような日記本文やコメントを見かけたら,すかさず次の Bookmarklet(ブックマークレット) を実行
Mac OS Xの脆弱性を悪用したエクスプロイトコードが出現
Apple Computerの「Mac OS X」に存在する脆弱性を悪用するコードが週末に登場した。 このコードは、Mac OS Xの中核部分に存在する脆弱性を悪用し、ユーザー権限の不正な追加を可能にするもの。Appleは先週、カーネルでのエラー処理方法を修正するフィックスを公開した。もっとも、このエクスプロイトコードはフィックスが登場する前に書かれたもののようだ。 Matasano Securityの研究者Dino Dai Zovi氏は、「脆弱性が修正されるよりも前にこのコードは書かれたようだ」と述べた。Appleのアップデート情報サイトには、Dino Dai Zovi氏の名前が脆弱性の発見者として記載されている。「これはゼロデイエクスプロイトのようだ。パッチがリリースされる前に配布された可能性もある」(Dino Dai Zovi氏) Apple関係者にコメントを求めたが、本稿執筆時点で
「MS、Defender用APIの提供を拒否」:シマンテックが批判
Symantecは今週に入り、Microsoftの「Windows Vista」に同梱されるスパイウェア対策製品「Windows Defender」のAPIを提供するよう同社に求めたが、拒否されていることを明らかにした。APIを参照できなければ、同社のセキュリティ製品とVistaの互換性を検証できないと、Symantecは苦言を呈している。 Symantecの欧州担当バイスプレジデントJohn Brigden氏は、「Microsoftは故意にボトルネックを作り出し、ユーザーが同社の製品に乗り換えるよう誘導している。支配と統制にほかならない行為だ。彼らはわざとAPIの提供を遅らせている」と話した。 Microsoftは米国時間9月27日、Symantecの懸念に応え、今週初めにDefenderのAPIを利用できるようにしたと述べた。 Microsoftの関係者は、「パートナーや顧客と話し合っ
「アクセスするだけでキーロガーが仕込まれる」,IEの脆弱性を突くサイト
セキュリティ・ベンダーの米Websenseは現地時間9月22日,Internet Explorer(IE)が影響を受けるパッチ未公開のセキュリティ・ホール(脆弱性)を悪用するWebサイトが続出しているとして注意を呼びかけた。アクセスするだけで「キーロガー(ユーザーのキー入力情報を盗む悪質なプログラム)」がインストールされるサイトもあるという。 IEのコンポーネントの一つであるMicrosoft Vector Graphics Rendering library(Vgx.dll)には,パッチ未公開のセキュリティ・ホールが見つかっている(関連記事:IEにまたもやパッチ未公開のセキュリティ・ホール)。細工が施されたWebページやHTMLメールを開くだけで任意のプログラムを実行される危険なセキュリティ・ホールである。実際,このセキュリティ・ホールを突いて悪質なプログラムをインストールするWebサイ
FirefoxやMac OS Xに対する脅威増大も - Symantec報告 | ネット | マイコミジャーナル
米Symantecは、今年上半期(1〜6月期)のセキュリティ事情などを調査したレポート「Symantec Internet Security Threat Report: Volume X」を発表した。攻撃対象の幅が広がるなど、より複雑化する実態が明らかになっている。 同レポートによれば、今年上半期に新たに発見された脆弱性は、前期比18%増となる2249件。ブラウザについて見ると、最も多くの新たな脆弱性が発見されたのは、Mozilla Firefox/Mozilla Browser。昨年下半期(7〜12月期)の約2.8倍となる47件の脆弱性が報告されている。一方、Internet Explorerの脆弱性は38件にとどまった。 今年上半期に新たに発見されたセキュリティ上の脆弱性は過去最高件数を記録した 出典: Symantec Internet Security Threat Rep
Microsoft がオレオレ証明書を使っている
■ Microsoft がオレオレ証明書を使っている えー、さっき気付きまして、ちょっとビックリした次第。 IE以外のブラウザで MSNのトップページ に行って、左下にある「Hotmail」って言うリンクをクリックしてから「強化されたセキュリティでサインイン」っていうリンクをクリックすると目出度くセキュリティの警告が表示されます。 この不正な証明書の発行元は「Microsoft Secure Server Authority」とか言っちゃってるので自署名ってやつなんでしょうかね。そういえば、MSNのトップにアクセスする時に「お使いの Web ブラウザでは、このサイトが正しく表示されないことがあります。」とか言われたけど、これの事か。なるほど。 このサインインのページ、いくつかのフレームにわかれているんだけど、ヘッダの所とかはちゃんとした証明書だったりするんだよね。何か中途半端な感じ。 とま
高木浩光@自宅の日記 - RFIDタグ搭載ランドセルの校門通過記録で仲良しグループを割り出すという小学校教諭の発想は普通?
■ RFIDタグ搭載ランドセルの校門通過記録で仲良しグループを割り出すという小学校教諭の発想は普通? 論座2006年8月号に「IT技術は小学生を守るか」という記事が出ていた。これに次の記述がある。 立教小学校(略)の「登下校管理システム」は、ICタグを用いたセキュリティーシステムの草分けだ。(略)導入を進めた石井輝義教諭(情報科主任)は「動機は、どちらかというとセキュリティーよりも利便性にありました」と語る。(略) 「教師の仕事の一部を肩代わりしてもらうことで、生身の子どもと接することに集中できる」。今後はさらに、記録を時間順にソート(並べ替え)して仲良しグループを割り出す、長期欠席児童を把握するといった可能性を考えている。昨年5月の遠足では、バスに児童が乗り込んだかどうかタグで確認する実験も行った。無線LAN機能と専用ソフトを備えたモバイルPCをリーダーとして用いたという。 さらに、技術
IT news, careers, business technology, reviews
Generative AI will drive a foundational shift for companies — IDC
ぼくはまちちゃん!
はてなダイアリー (メインブログです!) → ぼくはまちちゃん! (Hatena) はまちや2のツイッターです! 気軽にフォローしてみてくださいね! → Twitter / はまちや2 はてなブックマーク → Hamachiya2のブックマーク タンブラーです! かわいい絵をあつめたりしています! → [tumblr] hmcy ゲームの動画をあげて、ぼくもモテモテユーチューバーになるつもりです! → はまちや2(Hamachiya2)のYouTube (以下は過去の記事など) きみのライフを可視化するよ! → [JavaScript] ライフカウンター 空から女の子が…! → 空から女の子が降ってくる AIRアプリの簡単な作り方 → [AIR][JavaScript] JavaScriptでかんたんAIRアプリに挑戦 つくってみました! → ドリームメーカー : ブラウザで簡単にノベルゲ
Windows 2000のアクセス制御についての簡単な説明
注:フォルダへの「フル コントロール」を付与されたグループまたはユーザーは,ファイルがアクセス許可で保護されているかどうかに関わらず,そのフォルダ内の任意のファイルを削除できます. アクセスの継承 標準の状態では「継承可能なアクセス許可を..」 というオプションが設定されており, ファイルやフォルダは上位のフォルダに設定されたアクセス許可を 「継承」しています. つまり, OS はそれらファイルやフォルダに上位のフォルダと同一のアクセス許可が与えられているものと見なします. 継承の有無はプロパティダイアログのセキュリティタブにおいて 「継承可能なアクセス許可を親からこのオブジェクトに継承できるようにする」 がチェックされていること, アクセス許可がグレー表示されて変更不可能であることで判別できます. 追加的なアクセス許可を明示的に与えることができます.例えばユーザ
情報セキュリティ入門
コンピュータやネットワークが一般社会に浸透し,情報を扱う利便性は向上してきました。しかし利便性の向上は,同時にセキュリティの低下も招きました。サービスの利便性を享受するには,自分の身は自分で守り,他人には迷惑をかけないようにしていかねばなりません。 この連載コラムでは, ●情報セキュリティに関する知識を増やしたい ●何をすればどうなるのかはわかっているけれど,その舞台裏を知りたい ●情報セキュリティ関連の資格試験を受験するための基礎知識を固めたい という方々を対象に,知っておきたい情報セキュリティの概念,技術,規約などを解説していきます。 忙しい方は,各回の冒頭にある「ポイント」だけを読んでいただければ話の大枠は理解できるようにしました。ポイント部分に目を通して興味がわいてきたり,自分の弱点だと感じたら,そのあとに続く本文もぜひ読んでみて下さい。 毎週水曜日に1本ずつ記事を掲載して行く予定
■ - hoshikuzu | star_dust の書斎
■CSSXSS脆弱性よりもっとヤバイ脆弱性がIEに発見されたようですね そのうち整理され、まとまった情報が日本語で出ることでしょうけれど。とりあえず。 Secunia - Advisories - Internet Explorer "mhtml:" Redirection Disclosure of Sensitive Information Secunia - Internet Explorer Arbitrary Content Disclosure Vulnerability Test CSSXSS脆弱性と同じ方向性のIEの脆弱性が発見され、実証コードがSecuniaでデモンストレーションされています。 このことによりログイン中の本人でないと閲覧できないはずの情報が、罠ページを踏むことで悪意ある者に盗まれます。セッション管理にも影響あり。最悪乗っ取りまで考えられるかも… mhtml
Macユーザーにささげる「Windowsセキュリティ入門」
ソフトウェアの世界にもコンバージェンスの波が押し寄せてきた。Appleは先週、次期Mac OS X「Leopard」(開発コード名)へ搭載する予定の機能を取り出して、これを一足早いクリスマスプレゼントとして公開した。この「Boot Camp」は、Intelプロセッサを搭載したMacで、Mac OS X 10.4.6とWindows XP SP2のデュアルブートを実現する(Linuxのインストールに成功したとの報告もすでに数件ある)ソフトウェアで、無償でダウンロードできる。これで、AppleのMacを買うか、DellあるいはGatewayを買うかで迷わなくて済むようになったが、こんなことは初めてだ。Intel Macなら、これまでにないほど多くのOSを選べるからだ。また、MacでのWindows用アプリケーション(少なくともPhotoshopなどのグラフィック系アプリ)の実行に関しては、いま
なぜCSSXSSに抜本的に対策をとることが難しいか - いしなお! (2006-03-31)
_ なぜCSSXSSに抜本的に対策をとることが難しいか CSSXSSの説明について、その脅威を過剰に表現している部分がありました。その部分について加筆訂正しています。 @ 2006/4/3 tociyukiさんによる「[web]MSIE の CSSXSS 脆弱性とは何か」および「[web]開発者サイドでの CSSXSS 脆弱性対策」には、より正確なCSSXSS脆弱性の内容およびそれに対するサーバーサイド開発者で可能な対策について紹介されていますので、是非そちらもご覧ください。 @ 2006/4/4 今までも何度かこの辺の話はあまり具体的ではなく書いてきたけど、そろそろCSSXSSを悪用したい人には十分情報が行き渡っただろうし、具体的な話を書いてもこれ以上危険が増すということはないだろうから、ちょっと具体的に書いてみる。 ちなみに私自身は、CSSXSSの攻撃コードなどを実際に試したりといった
■ - hoshikuzu | star_dust の書斎
■セッション管理をinput[type="hidden"]等で行うことについて input[type="hidden"] セッション管理の方法として、input[type="hidden"]には、生のセッションIDをに突っ込めば良いのか、あるいはセッションIDと何かの秘密キーとを結合させた上で良いハッシュをかませた値を突っ込むのがベターなのか、あるいはワンタイムトークンが良いかもだとか、cookieも併用するのかもとか、いろいろあるのかもしれませんが、私にはよくわかりません。勉強したいのであちこちのぞいていますけれど。でも気になることもあるので以下、ちょっと日記に書いてみます。質問風味であって回答風味ではありません。 いわゆるCSSXSS 一応見出しなのでキャッチー【謎】にCSSXSSという名前を使いました。でも性質から考えるとちっともXSSじゃないのでCSSXSSという名前はもうやめにし
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GMail本文を暗号化してみる-Greasemonkey用スクリプトGmail Encryption - 適宜覚書はてな異本
サービス終了のお知らせ
http://www.kingsoft.jp/products/is/antispyfree/