Heads on: Apple’s Vision Pro delivers a glimpse of the future
IT news, careers, business technology, reviews
Heads on: Apple’s Vision Pro delivers a glimpse of the future
TCPにDoSの脆弱性、スウェーデン研究者が攻撃デモ実施へ
スウェーデンのセキュリティ企業Outpost24は10月2日、インターネット通信に使われる標準プロトコルのTCPに脆弱性が見つかったと発表した。 Outpost24によれば、この脆弱性は悪用されるとサービス妨害(DoS)攻撃を仕掛けられる恐れがある。現時点で詳しい内容は公表していない。 同社の最高セキュリティ責任者ジャック・ルイス氏はフィンランドのヘルシンキで10月16日から17日に開かれるT2カンファレンスで講演し、Windows、BSD、Linuxおよび組み込みシステムのTCP/IP stackスタックに対する攻撃のデモを実施する予定だという。 フィンランドのCERT-FIによると、この脆弱性は比較的少ないトラフィックで悪用できるが、ソースアドレスレベルのフィルタリングで回避可能との情報もある。影響が及ぶ範囲や深刻度などは現在検証中としている。 CERT-FIは影響を受けるベンダーや脆
WinZipの更新版公開、深刻な脆弱性に対処
WinZip 11.2 SR-1では、同梱のMicrosoftモジュールに存在する深刻な脆弱性を修正した。 Windows用ファイル圧縮/解凍ソフトウェア「WinZip」の更新版となるバージョン11.2 SR-1がリリースされた。深刻な脆弱性を修正し、WinZip 11.0、11.1、11.2の登録ユーザー向けに無料で配布されている。 WinZipのアドバイザリーによると、脆弱性は、WinZip 11に同梱されたMicrosoftのモジュール「gdiplus.dll」に存在する。WinZip 11.2 SR-1とWinZip 12.0では、このモジュールを脆弱性に対処した新しいバージョンに更新した。 gdiplus.dllモジュールはOSを問わずWinZipのプログラムフォルダに保存されているが、実際にこれを使うのはWindows 2000のみ。それ以外のOSではこの脆弱性の影響は受けない
クリックジャッキング:研究者が複数のブラウザに対する新たな脅威について警告
文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎 2008-09-27 10:55 セキュリティ研究者が、すべての主要なデスクトッププラットフォームに影響のある、新たな恐ろしいブラウザに対する脅威に対する警告を発している。その対象となるのは、Microsoft Internet Explorer、Mozilla Firefox、Apple Safari、Opera、そしてAdobe Flashだ。 この脅威は「クリックジャッキング」と呼ばれるもので、OWASP NYC AppSec 2008カンファレンスで議論されるはずだったものだが、Adobeやその他の影響を受けるベンダーの要望で、包括的な修正が準備されるまではこの話題を公にすることが取りやめられていたものだ。 これを発見したのは、Robert Hansen氏とJeremiah Grossm
PDFを悪用するための専用ツール出現、高度な管理機能も
セキュリティ企業のSecure Computingは、AdobeのPDFフォーマットにのみ狙いを定めた新しい脆弱性悪用ツールキット「PDF Xploit Pack」を発見したとブログで伝えた。 PDF Xploit Packは、これまで知られていなかった新手のツールキット。感染したユーザーをキャッシュする機能がサーバ側に搭載され、悪質なPDFファイルの配信に成功するたびに、被害者のIPアドレスを一定期間記録、該当のIPアドレスに悪質なファイルを再配信しないという負荷軽減の仕組みを備えている。 PDFは、OSを問わず企業や個人に普及しているという特性に攻撃側も注目しており、脆弱性を突いたエクスプロイトが出回るようになっている。既存の脆弱性悪用ツールキットもPDFを悪用する機能が強化されているといい、例えば「El Fiesta」というツールキットはPDFを悪用する機能を新たに実装した。 ユーザ
JVNVU#630017: InstallShield の ActiveX コントロール Update Service Agent にバッファオーバーフローの脆弱性
JVNVU#630017 InstallShield の ActiveX コントロール Update Service Agent にバッファオーバーフローの脆弱性 InstallShield の ActiveX コントロール Update Service Agent には、バッファオーバーフローの脆弱性が存在します。結果として遠隔の第三者によって任意のコードを実行される可能性があります。 InstallShield の ActiveX コントロール Update Service Agent は、InstallShield を使った Windows 向けソフトウェアインストーラや isusweb.dll によって提供されるコンポーネントです。この ActiveX コントロールには、バッファオーバーフローの脆弱性が存在します。
「QuickTime」と「iTunes」の最新版に危険なぜい弱性,悪質なコードを実行される恐れ
米商務省の国立標準技術研究所(NIST)は米国時間2008年9月18日,米Appleの音楽/動画再生ソフトウエア「QuickTime 7.5.5」「iTunes 8.0」にセキュリティ・ホールが存在すると警告した。サービス拒否(DoS)攻撃や遠隔コード実行に悪用される恐れがある。これらのソフトウエアにはMac OS X版とWindows版があるが,NISTでは対象となるOSについては言及していない。 NISTの指摘によると,QuickTime 7.5.5/iTunes 8.0にバッファ・オーバーフローを起こすバグがあり,WebブラウザをクラッシュさせるDoS攻撃を受けたり,悪質なコードを実行されたりする危険がある。細工が施されたQuickTime用タグを含むWebページを閲覧したり,特殊な「.mp4」「.mov」形式ビデオ・ファイルを再生したりする形で攻撃を受けるという。 米国政府向けの技
QuickTimeとiTunesの脆弱性を突くゼロデイエクスプロイト公開
QuickTime 7.5.5とiTunes8.0に存在する未パッチの脆弱性を突いたゼロデイエクスプロイトが公開されたとMcAfeeは伝えた。 セキュリティ企業の米McAfeeは9月18日、Appleが提供するQuickTimeとiTunesの最新版に存在する未パッチの脆弱性を突いたゼロデイエクスプロイトが公開されたと伝えた。 McAfeeのブログによると、ゼロデイの脆弱性が報告されたのはQuickTime 7.5.5とiTunes8.0。エクスプロイトは17日に公開され、作者はリモートヒープオーバーフローの脆弱性があると発表しているという。 しかしMcAfeeの調べでは、実際にはスタックオーバーフローの脆弱性であり、この脆弱性を突いてコードを実行されることは現実的にはあり得ないことが分かったという。 ただしユーザーは問題を深刻に受け止め、適切な防御をした方がいいとMcAfeeはアドバイス
「Google Chrome」のセキュリティパッチ、詳細が明らかに
Googleは、ブラウザ「Chrome」に対して3日前に提供開始したセキュリティパッチについて沈黙を守っていたが、米国時間9月8日午後、緊急レベルの脆弱性2件と重要度の低い問題数件が修正されたことを、その詳細とともに明らかにした。 GoogleのChromeプログラムマネージャーMark Larson氏が8日午後、メーリングリストで明らかにしたところによると、緊急レベルのパッチ2件はバッファーオーバーランの脆弱性を改修するもので、この脆弱性を利用されると遠隔地にいる攻撃者によってChromeが動いているコンピュータ上で任意のソフトウェアを実行される恐れがある。1つはSaveAs脆弱性と呼ばれているもので、長いファイル名の扱い方に問題があった。もう1つの脆弱性は、マウスカーソルがリンク上にあるときにステータス領域に表示されるウェブサイトアドレスの扱いに関するもの。 Chrome関連の発表やリ
Google Chromeのアップデートがリリース、脆弱性に対処のもよう
Googleは脆弱性を修正したGoogle Chrome 0.2.149.29をリリースしたが、詳しい情報は公表していない。 米Googleの新ブラウザGoogle Chromeに新たな脆弱性が報告された。Googleは、アップデート版のバージョン0.2.149.29を公開して問題に対処したもようだが、脆弱性の詳細は公表していない。 ベトナム・ハノイ工科大学のセキュリティ研究者が運営するBkisセキュリティブログは、Chromeの「名前を付けてページを保存」機能にバッファオーバーフローの脆弱性を見つけたと報告した。悪用されるとリモートからコードを実行され、システムを完全に制御される恐れがあるという。 Chromeには、これまでに幾つかの脆弱性が報告されているが、攻撃コードの実行を許す深刻な脆弱性が見つかったのは、「これが初めてだ」とBkisブログは伝え、コンセプト実証コードも公開した。 B
ブログ作成の「Movable Type」にXSSの脆弱性
シックスアパートのブログ作成ツール「Movable Type」にクロスサイトスクリプティングの脆弱性が見つかった。 シックスアパートのブログ作成ツール「Movable Type」にクロスサイトスクリプティング(XSS)の脆弱性が発見され、情報処理推進機構(IPA)セキュリティセンターとJPCERT コーディネーションセンターが9月9日、JVN(Japan Vulnerability Notes)に公表した。 脆弱性は、Movable Type 3(3.36以前のバージョン)と同4(4.20以前のバージョン)、同Enterprise 1.5(1.54以前のバージョン)、同Enterprise 4(4.20以前のバージョン)、Community Solutionに存在する。いずれも悪用されると、特定のWebブラウザ上で任意のスクリプトが実行される可能性があるという。 シックスアパートは、この脆
グーグル、「Google Chrome」の脆弱性を修正するセキュリティアップデートを公開
Googleは、いくつかのセキュリティ上の問題を修正するため、大急ぎで用意したブラウザ「Google Chrome」のアップデートを、非公式にリリースした。 新バージョンの0.2.149.29は、Googleが先週、Chromeベータ版を発表した時にリリースされた0.2.149.27に代わるものとなる。Googleは、まず最初に少数のユーザーに向けて、米国時間9月5日にアップデートのリリースを開始したが、変更内容について、多くを公式に発表することはなかった。 Google ChromeプログラムマネージャーであるMark Larson氏は、7日のメーリングリストへの投稿で、「149.29はセキュリティアップデートであり、われわれは可能な限り早くリリースすることに努めた。実のところ、もっと多くの時間をかけて準備を進めたかったのだが、まず問題を修正し、アップデートを提供して、ユーザーを保護する
Chromeの「名前を付けてページを保存」機能に脆弱性
ベトナムの会社がChromeの最新の脆弱性を発見した。InformationWeekがウェブサイトで報じた。Bach Khoa Internet Security(BKIS)は、Chrome 0.2.149.27リリースは重大なバッファオーバーフローの不具合を抱えており、リモートハッカーによってPCがコントロールされる恐れがあると指摘する。BKISはこの脆弱性をGoogleに報告したという。 以下では、この脆弱性と、それを利用した攻撃方法についてのBKISの説明を紹介する。 この脆弱性は、「名前を付けてページを保存」機能を処理する際の境界エラーに起因するものだ。非常に長いタイトル(HTMLのTITLEタグ)の悪意のあるページを保存するとき、プログラムによってスタックオーバーフローが発生し、攻撃者がユーザーのシステムで任意コードを実行することが可能になる。 ハッカーは脆弱性を利用して攻撃を行
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 月額プランが10月末まで無料 お申し込み 会員の方はこちら ログイン 日経クロステック TOPページ
Googleのアルバム「Picasa」を悪用するスパムなどが出現 -- MessageLabsが警告
セキュリティ・ベンダーの英MessageLabsは米国時間2008年9月3日,米Googleのオンライン・アルバム・サービス「Picasa Web Albums」がスパム配信に悪用されたり,各種FlashコンテンツがスパマーのWebサイトへのリダイレクト手段として使われつつある状況を公に警告した。同年8月時点でこれら手口がスパム全体に占める割合は2%未満だが,同社は数カ月後に増えると予測している。 同社が2008年8月に,スパムやウイルス,フィッシングなどに関する調査を実施したところ,スパムはメール全体の78.2%にのぼり,前月に比べ3.12ポイント増加した。攻撃用リンクを記載したメールの64%は,グリーティングカードやポストカードを装っていた。 ウイルス感染メールの割合は87.6通に1通(1.14%)で,前月から0.47ポイント増加した。フィッシング詐欺メールの割合は522.7通に1通(
「Google Chrome」に初のセキュリティ上の脆弱性
複数の研究者は、Googleが公開したウェブブラウザ「Google Chrome」には、未定義のハンドラの影響を受ける脆弱性があると、米国時間9月3日に発表した。デモンストレーションとして提供された、ある脆弱性の問題では、Chromeがクラッシュしてしまう現象も見られる。 Securiteamの公式サイト上に公開された記事では、EvilfingersのRishi Narang氏が、特殊な文字が入った未定義のハンドラを含む悪意のあるリンクにアクセスすると、ユーザーの操作がなくてもChromeがクラッシュすると指摘している。 Googleによれば、Chromeの画面には、「Whoa, Google Chrome has crashed. Restart now?(Google Chromeがクラッシュしてしまいました。ここで再起動しますか?)」というメッセージが表示されるという。 Narang
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
暮らし・学び・医療 | 毎日新聞
SANS.edu Internet Storm Center - SANS Internet Storm Center
United States
United States