研究者が宣言、「有名ソフトの『ゼロデイ脆弱性』を毎日公開する」
セキュリティ組織の米サンズ・インスティチュートは2010年9月1日、セキュリティ研究者で組織されるグループが、有名なソフトのゼロデイ脆弱(ぜいじゃく)性(未修正の脆弱性)を、1カ月にわたって毎日1件以上公開し続ける予定であるとして注意を呼びかけた。 ゼロデイ脆弱性を公開するとしているのは、「Abysssec Research」というグループ。4人のセキュリティ研究者で構成されているという。構成メンバーの本名などは一切不明。 同グループでは、2010年9月中、有名なソフトのゼロデイ脆弱性を毎日1件以上公開するとしている。対象となるのは、米マイクロソフト、米モジラ、米サン、米アドビシステムズ、米ヒューレット・パッカード、米ノベルなどのソフトだという。 同グループでは、既に1日目のゼロデイ脆弱性を公開している。1日目に公開されたのは、Adobe ReaderおよびFlash Playerの脆弱性
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 月額プランが10月末まで無料 お申し込み 会員の方はこちら ログイン 日経クロステック TOPページ
Adobe ReaderとAcrobatの更新版がリリース、深刻な脆弱性に対処
Adobeはユーザーに対し、脆弱性を修正したReader/Acrobat 9.3.1またはReader/Acrobat 8.2.1にアップデートするよう呼び掛けている。 米Adobe Systemsは2月16日、予告通りにAdobe ReaderとAcrobatの更新版をリリースし、複数の深刻な脆弱性に対処した。 Adobeのアドバイザリーによると、今回の更新では、ドメインサンドボックスをかわして不正なクロスドメインリクエストをできてしまう脆弱性と、アプリケーションをクラッシュさせて攻撃者にシステム制御を可能にさせてしまう恐れのある脆弱性を修正した。いずれも危険度は4段階で最も高い「Critical」となっている。 脆弱性が存在するのはAdobe Reader 9.3までのバージョン(Windows、Macintosh、UNIX版)とAdobe Acrobat 9.3までのバージョン(Wi
「Adobe Reader」と「Flash Player」に深刻な脆弱性--アドビが警告
Adobe Systemsは米国時間2月11日、「Adobe Reader」と「Adobe Flash Player」に存在する新しい深刻なセキュリティホールについて明らかにし、Flash Playerの脆弱性を対象とするセキュリティアップデートをリリースした。Adobeによれば、Reader向けのパッチも来週公開される予定だという。 Adobeによるセキュリティ情報の事前通知によれば、以下のソフトウェアを対象とするアップデートが16日にリリースされるという。 Windows版、Mac版、Unix版のReader 9.3 Windows版、Mac版の「Adobe Acrobat 9.3」 Windows版、Mac版のReader 8.2 Windows版、Mac版のAcrobat 8.2 16日のアップデートではFlash Playerの問題も修正される、とAdobeは述べた。 セキュリテ
ユーザーが制御できない「秘密cookie」、半数強のサイトが利用
米研究チームの発表によると、Adobe Flashを使ってネット上のユーザーの行動をひそかに追跡し続けるサイトが増えているという。 Adobe Flashを使ってネット上のユーザーの行動を追跡し続ける「秘密cookie」を利用するサイトが増えているという。米カリフォルニア大学バークリー校などの研究チームがこのほど論文を発表した。 「Flash cookie」は通常のcookieとは異なり、ブラウザのセキュリティ設定ではコントロールできないという。研究チームが大手サイトによる同cookieの利用実態について調べたところ、調査対象としたサイトの半数以上がFlash cookieを使ってユーザー情報を保存していることが判明した。 中にはユーザーが削除したHTTP cookieを、Flash cookieを使って復活させているケースもあった。しかしその存在についてはサイトのプライバシーポリシーでも
AdobeがFlash Player更新版をリリース、複数の脆弱性を解決
Flash Player最新版では不正なPDFなどを使って悪用されていた脆弱性や、MicrosoftのATLに起因する脆弱性を解決した。 米Adobe Systemsは7月30日、予告通りにFlash Playerの更新版をリリースし、ゼロデイ攻撃に利用されていた深刻な脆弱性や、Microsoftの開発ツールに起因する脆弱性を解決した。 脆弱性が修正された最新バージョンはAdobe Flash Player 9.0.246.0と10.0.32.18、Adobe AIR 1.5.2。リモートからのコード実行に利用される恐れのある脆弱性やクリックジャッキングの脆弱性など、多数の深刻な問題を解決した。さらに、Microsoftが臨時パッチで対処したActive Template Library(ATL)の脆弱性に起因する問題にも対処している。 これら脆弱性が悪用されると、アプリケーションがクラッ
アドビの「ゼロデイ脆弱性」は8ヶ月前から知られていたことが明らかに
文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎 2009-07-27 11:05 現在のAdobe Flash Playerに対するゼロデイ攻撃は、実際にはゼロデイ攻撃ではなかったことがわかった。新たに明らかになった情報によれば、Adobeのセキュリティ対応チームはこの脆弱性について、2008年12月31日から知っていたが、これを「データ損失・破壊」の問題だと誤診断していた(画像参照・画像提供:@Shirkdog)。 7月第4週にこの攻撃に関する情報が明らかになった際、Adobeは素早くこのバグチケットへのアクセスをロックし、「セキュリティバグへと再分類」されたと表示した。 特別に作成されたPDF文書内でFlash Playerを悪用する今回の攻撃が出回った後、Adobeのセキュリティ対応プロセスは加速され、同社は一時的な緩和策を提供する個別
Adobeが初の定例更新版を公開、ReaderとAcrobatの脆弱性に対処
Adobe ReaderとAcrobatの脆弱性は事前に情報が公開され、不正なPDFファイルを使った悪用コードが出回っていた。 米Adobe Systemsは6月9日、予告通りAdobe ReaderとAcrobatのアップデートを公開し、ゼロデイ攻撃に利用されていた深刻な脆弱性に対処した。 影響を受けるのはAdobe Reader 9.1.1とAcrobat 9.1.1までのバージョン。Adobeのセキュリティ情報では13件の脆弱性を挙げ、それに加えて社内で見つかった脆弱性にも対処したとしている。悪用された場合、アプリケーションがクラッシュしたり、システムを制御されたりする恐れがある。 特にJBIG2フィルタに存在する脆弱性は、不正なPDFファイルを使った悪用コードが出回っており、SANS Internet Storm Centerは早期のアップデート適用を呼び掛けている。 Adobeは
履歴消去じゃ消えないエロサイトの隠れた痕跡に要注意 - てっく煮ブログ
色んなホームページを見ていると閲覧履歴が自動で保存されます。恥ずかしいページを見たあとには、他の人にばれてしまわないように、こっそり履歴を消している人もいることでしょう。通常、ブラウザには「履歴を削除する機能」が備わっていて、ブラウザの履歴を削除すればあなたの悪行の数々は消え去ってくれるように思えます。しかし、ブラウザからは消せない履歴が残っているのです…ブラウザからは消せない履歴それが Flash の Local Shared Object です。Local Shared Object は Flash 版の Cookie みたいなもので、Flash で一時的なデータを保存するときにはよく用いられるものです。Local Shared Object は次の場所に保存されています。OS場所Windows XPC:\Documents and Settings\ユーザ名\Application
Acrobat 9はPDFのパスワード解除も高速化?
「Adobe Acrobat 9の弱点のおかげで、PDF文書のパスワード解除に要する時間が大幅に短縮された」とElcomSoftが指摘した。 Adobe Acrobat 9では従来製品に比べてPDF文書のパスワードの推測が簡単になったと指摘されたことを受け、AdobeがブログでPDFのパスワードセキュリティについて説明。ユーザーへ破られにくいパスワードを作成するよう改めて促した。 ロシアのElcomSoftは、PDFファイルのパスワード解除ソフトウェアの最新版「Advanced PDF Password Recovery 5.0」発表プレスリリースで、「Adobe Acrobat 9の弱点のおかげで、PDF文書のパスワード解除に掛かる時間が大幅に短縮された」と解説した。 ElcomSoftによれば、「AdobeはAcrobat 9を“256ビット暗号で強化された最もセキュアなPDF作成ツー
AdobeやNoScriptからクリックジャッキング対策発表される | スラド
ページ上に仕組まれたボタンなどをユーザの意図とは無関係にクリックさせる「クリックジャッキング」への対策がAdobeやNoScriptから発表された。(CNET Japan、本家/.より) この攻撃の詳細情報はベンダーが対策を講じるまで伏せられていたが、今回Adobeが回避策を発表したことにより公表された。その攻撃手法はフレーム化されたコンテンツやFlash/Silverlight/Java等を使用したコンテンツなどでマウスポインタの下に透明なボタンのようなユーザには見えないものを配置し、ユーザにクリックさせるというというものだそうだ。この手法を用いてFlashのセキュリティ設定を変更しPCのカメラやマイクを乗っ取り、遠隔から操作する方法がGuy Aharonovsky氏のブログでデモ動画とともに紹介されている。 Adobeはこの問題を回避するため、Adobe Flash Playerの「グ
「Flash Player」に危険な脆弱性、「すぐにバージョンアップを」
「Adobe Flash Playerのバージョンテスト」ページの表示例。バージョンが「9.0.124.0」でない場合には、すぐにバージョンアップする必要がある 米アドビ・システムズは2008年4月8日(米国時間)、同社の「Adobe Flash Player」に複数の脆弱性が見つかったことを明らかにした。細工が施されたFlashファイルやWebページを開くだけで、悪質なプログラム(ウイルスなど)を実行される恐れがある。対策は、最新版(バージョン9.0.124.0)へのバージョンアップ。同社やセキュリティ組織などは、すぐにバージョンアップすることを推奨している。 今回公表された脆弱性は7件。影響を受けるのは、Flash Playerのバージョン9.0.115.0以前(9.0.115.0を含む)とバージョン8.0.39.0以前(8.0.39.0を含む)。いずれの脆弱性も、バージョン9.0.1
Adobe、Reader/Acrobatの脆弱性修正アップデートを公開
Adobe Reader 8.1.1/Acrobat 8.1.1が公開された。Adobeはユーザーに対しアップデートを強く勧告している。 米Adobe Systemsは10月22日、Adobe ReaderとAcrobatに報告された深刻な脆弱性に対処するセキュリティパッチを公開した。 Adobeのアドバイザリーによれば、エンドユーザーが悪質なファイルをAdobe ReaderかAcrobatでロードすると脆弱性が悪用され、システムを制御される恐れがある。 影響を受けるのはAdobe Reader 8.1/7.0.9、Adobe Acrobat Professional/3D/Standard 8.1、Adobe Acrobat Professional/Standard/3D、Elements 7.0.9およびそれ以前のバージョン。Windows XPでInternet Explorer
Adobe Acrobatの脆弱性突くコンセプト実証コードが公開
Adobe ReaderとAcrobatのゼロデイの脆弱性を突いたコンセプト実証コードが、セキュリティメーリングリストに投稿された。 Adobe ReaderとAcrobatのゼロデイの脆弱性情報が公開された問題で、この脆弱性を突いたコンセプト実証コード(PoC)がセキュリティメーリングリストに投稿された。セキュリティ企業のPanda Securityが明らかにした。 Adobeは現在、この問題を修正するパッチを開発中。脆弱性情報を最初に公開したハッカー組織「GNUCITIZEN」は、パッチがリリースされるまでPoCの公開は控えるとしていた。 しかしPanda Securityによれば、何者かがこの情報を手掛かりに脆弱性の存在を突き止め、PoCを作成したとみられる。 このPoCのファイルを脆弱性のあるAdobe Acrobatで開くと「calc.exe」が実行される。ただし、悪質な機能は持
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Adobe Reader/Acrobat、Flash Playerに深刻な脆弱性、すでにゼロデイ攻撃も 
Adobe Reader/Acrobatの修正パッチ、10月4日の週に前倒し公開 
ほとんどのブラウザーで個人を識別できる“指紋”を残す、米EFFが警告 
「Flash Player 9」に危険な脆弱性、アドビがアップデート版を公開
Flash Playerに深刻な脆弱性、修正バージョンをリリース
B. Feeds - Kuler - Adobe Learning Resources