Safariに脆弱性が見つかる。Windows版は新バージョンが出ていないためIPAなどが使用停止を勧告 | スラド アップル
IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)による脆弱性対策情報ポータルサイト「JVN」が23日、Apple Inc.が提供しているWebブラウザー「Safari」に脆弱性が含まれていることを発表した(窓の杜)。 JVNの発表によると、Safari v6.0.1より前のバージョンで本脆弱性の影響を受けるとしており、脆弱性を悪用された場合、リモートからローカルファイルを読み取られる恐れがあるとしている。 本脆弱性の対策としては最新版へのアップデートが推奨されているが、23日現在Windows版のSafari v6.0.1は公開されていないため、JVNではWindows版の「Safari」の使用を停止するように勧告している。
指定されたページが見つかりません。|Infoseekニュース
404 NOT FOUND 指定されたページが見つかりません。 掲載から一定の日数が経過した記事は、 配信社との契約に基づき削除される場合がございます。 (その場合、一定期間経過後は記事を見ることが出来ません。) それ以外のケースについては、お手数ですが 以下のいずれかの方法でページをお探しください。 ブラウザの再読み込みを行う 入力したURL(ページアドレス)にタイプミスがないか確認する ブラウザの「戻る」ボタンを押して前画面からやり直す
各ブラウザからパスワードを抜き出すフリーソフト「WebBrowserPassView」
Internet Explorer/Firefox/Google Chrome/Operaに保存されている各サイトのパスワードを抜き出して表示してくれるのがこのフリーソフト「WebBrowserPassView」です。極めてシンプルな機能なのですが「あのサイトのパスワードってなんだったっけ?」という時に地味に役立ちます。 使い方などは以下から。 ※パスワードを抜き出すというソフトウェアの特性上、常駐させて使用しているアンチウイルスソフトやセキュリティソフトによってはスパイウェアやマルウェアとして反応することがありますが、誤検知なので問題ありません。 WebBrowserPassView - Recover lost passwords stored in your Web browser http://www.nirsoft.net/utils/web_browser_password.h
ハッキングコンテストで使われたWindows 7版IE8のセキュリティ機構回避手法、公開される | スラド セキュリティ
ハッキングコンテスト「Pwn2Own 2010」でWindows 7のハッキングに使われた脆弱性実証(Exploit)コードが公開された (Vreugdenhil Researchのブログ記事、Exploitコード)。 このExploitコードはJavaScriptコードが含まれたHTMLコードとなっており、Windows7のIE8から開くとネイティブコードが実行されるというもの。内容は整数型のラップアラウンドを起こさせてからヒープ確保を行わせて文字列のヒープオーバーフローを起こすという単純なものだが、Windows7に備わっているセキュリティ機構であるASLR(アドレス空間配置のランダム化)やDEP(ヒープやスタックでのコード実行の禁止)を突破する点が新しい。方法の詳細は論文に書かれている。 ASLRの回避に使った方法は、バッファのオーバーフロー部分をいじくり回してヒープのレイアウトを求
米FTC、「Flash Cookie」によるトラッキングに対しAdobeと協議 | スラド IT
WebブラウザのFlashプラグインが各種データを保存する際に使用する「Local Shared Object」(通称Flash Cookie)について、米FTCが「Flashの問題」としてAdobeと協議を行っているそうだ(Engadget)。 Flash CookieはHTTPで使用されているCookieと同じように、サーバー側で生成した情報をクライアント側に保存させる技術。これを悪用することでユーザーのトラッキングが可能であるため、プライバシー保護の観点からその使い方が議論されていた。 ちなみに、上記の記事内では「PNG画像内にトラッキングデータを埋め込む」など、「CookieやFlash Cookie以外のユーザーをトラッキングする手法」も紹介されており興味深い。
やさしいセキュリティ講座(5)
Microsoftがインターネットをもっと使いやすくするために作り出したActiveX。しかし今日では「危険なため利用しないほうが良い」とまで言われています。Internet ExplorerやOutlookを安全に使うためにActiveXについて知っておきましょう。 ActiveXの種類 ActiveXが危険なプログラムの様に言われていますが、そもそもWindowsという巨大なプログラムの塊は多数のActiveXで構成されています。もともとActiveXとはある特定の処理を行う小さなプログラムのことで、その単位をコンポーネントと呼びます。 例えば画面に文字を表示する「文字表示」のActiveXコンポーネントや、プリンタに文字を出す「文字プリント」のActiveXコンポーネントのようにいろいろな種類のコンポーネントがあります。 ではInternet Explorer(IE)や
ActiveX - Wikipedia
ロゴマーク ActiveX(アクティブエックス)とは、マイクロソフトが開発するインターネットに関するソフトウェアコンポーネントやその技術を示す用語である。一般的には同社製のウェブブラウザであるInternet Explorerやそのコンポーネントを利用したソフトウェア上で動的なコンテンツを再生するための技術(ActiveXコントロール)を指す。JavaScriptやHTML5/CSS3といった標準規格の普及によって2015年現在では当たり前となった、RIA (リッチインターネットアプリケーション) を実現するための技術の先駆けとも言える。 元々はマイクロソフトがオブジェクトのやりとりを行う仕組みであるObject Linking and Embedding (OLE) からインターネットに関する技術を分離させたものがActiveXにあたる。 開発者を除いたエンドユーザーの間では、Activ
高木浩光@自宅の日記 - ケータイWebはそろそろ危険
■ ケータイWebはそろそろ危険 これまでの背景と最近の状況変化 「安全なWebサイト利用の鉄則」にある通り、フィッシングに騙されずにWebを安全に使う基本手順は、(パスワードやカード番号などの)重要な情報を入力する直前に今見ているページのアドレスを確認することなのだが、しばしば、「そのページにアクセスする前にジャンプ先URLを確認する」という手順を掲げる人がいる。しかし、それは次の理由で失当である。 ジャンプ先URLを確認する手段がない。ステータスバーは古来よりJavaScriptで自由に書き換えられる表示欄とされてきたのであり、ジャンプ先の確認に使えない。 ジャンプ先URLを事前に確認したとしても、それが(任意サイトへの)リダイレクタになっている場合、最終的にどこへアクセスすることになるか不明。 そもそも、アクセスする前から、アドレス確認の必要性を予見できるとは限らない。普通は、アクセ
『NOD32のV4.0は 重たくありませんか?』 キヤノンITソリューションズ NOD32アンチウイルス V4.0 のクチコミ掲示板
[ログイン新規ID登録]閲覧履歴ご利用ガイド 『NOD32のV4.0は 重たくありませんか?』のクチコミ掲示板 ホーム > パソコン > セキュリティソフト > キヤノンITソリューションズ(Canon IT Solutions) > NOD32アンチウイルス V4.0 > クチコミ掲示板 キヤノンITソリューションズ 2009年 6月12日 発売 NOD32アンチウイルス V4.0 お気に入り登録 32 最安お知らせメールが受け取れます 価格情報の登録がありません 価格推移グラフ 価格帯:¥―~¥― (―店舗) メーカー希望小売価格(税別):¥4,800 ウイルス・スパイウェア対策:○ メーカートップページ セキュリティソフトの人気売れ筋ランキング ―位 4.63 19人 86件(2010年 7月13日更新) この製品をキープ ピックアップリストを作成 ご利用の前にお読みください 本ペー
ソフトバンク携帯電話に脆弱性、「かんたんログイン」でのなりすましが可能に | スラド セキュリティ
セキュリティコンサルティング会社のHASHコンサルティングが、ソフトバンク携帯電話のブラウザ機能の脆弱性について発表している(『Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題』)。 この脆弱性は「DNS Rebinding」と呼ばれる手法を用いるもので、認証に「かんたんログイン」を使用しているサイトがターゲットとなる。攻撃の仕組みは上記のサイトなどを参照していただきたいが、TTLを短く設定したDNSを用い、悪意のあるWebサイトのドメインに対応するIPアドレスを短期的に攻撃対象のWebサイトのものに書き換えることで、ドメインが異なるWebサイトの情報をAjaxで取得するというもの。これにより、ターゲットのサイト上で閲覧に認証が必要な情報を盗み取ることができる。 一般的なWebブラウザではセッション管理をCookieで行っているため、悪意のあるWebサイトのドメイン
ハルファ紀行 Fx3.6:8080
Firefox3.6がリリースされました。 Personas(ペルソナ)による着せ替えが売りのようですが…。 Mozilla、Firefox 3.6 正式版を発表!! (Mozilla Japan)新型ウイルス「ガンブラー」対策に有効なプラグインチェックツールを提供 (略) セキュリティ面では、被害が急増している新型コンピュータウイルス 「ガンブラー」の感染防止にも役立つ画期的なプラグインチェックツールを提供し、 すべてのユーザにより安全なインターネット環境を提供します。ガンブラー商法? Mozilla Delivers Firefox 3.6 to Millions of Users (Mozilla) ではgumblarには一言も触れていません。 プラグインチェック (髪ではなく眉として見ると)何とも言えない顔はそのままだったようです。 リリースノート(En)ではプラグインチェックにつ
IEに脆弱性--米国企業へのターゲット型攻撃に悪用される
Microsoftが米国時間1月14日に述べたところによると、Googleを含む多数の米国企業をターゲットとする攻撃者たちは先頃、「Internet Explorer(IE)」の新たなセキュリティホールを突くソフトウェアを利用したという。 Googleは今週、攻撃があったことを明らかにしたが、IEはそれらの攻撃で「媒介として利用されたものの1つ」とMicrosoftは声明で述べている。「現在までに、Microsoftはユーザーへの広範な影響を確認しておらず、『IE6』の脆弱性を悪用する限定的なターゲット型攻撃のみを確認している」と声明には書かれている。 Microsoftが14日午後にアドバイザリで述べたところによると、この脆弱性は「Windows 7」と「Windows Vista」「Windows XP」「Windows Server 2003」「Windows Server 2008
JavaScriptを使わずにWebブラウザの閲覧履歴を盗む | スラド セキュリティ
bugzilla.mozilla.org では JavaScript を使う exploit も使わない exploit も Bug 147777 [mozilla.org] として扱っています。この bug のコメント中、 JavaScript を使わない例は、はっきりしたものとしては 2006 年 12 月の Comment 71 [mozilla.org] が初出でしょうか。 2005 年 6 月の Comment 48 [mozilla.org] もそれっぽいですが。 まだ正式版どころか RC も出ていないので一般の人にはお勧めしませんが、人柱の人は Firefox 3.5 Preview を使って about:config から layout.css.visited_links_enabled を false にすると、リンクが visited かどうかによってスタイルを変えるの
Google Chrome、ハッキングコンテストで唯一の生き残りブラウザに(ITmediaエンタープライズ) - Yahoo!ニュース
カナダのバンクーバーで3月18〜20日に開催されたハッキングコンテストPwn2Own 2009で、参加者らはGoogleのChrome以外の主要Webブラウザすべてのハッキングに成功した。このコンテストはカナダのセキュリティ企業dragostech.comが2007年から毎年開催しているもので、今年はWebブラウザと携帯端末のセキュリティ侵入のテクニックが競われた。 ターゲットとなったWebブラウザは、Windows 7搭載のソニーのVAIOにインストールされたInternet Explorer(IE)8、Firefox、Chromeと、Mac OS X搭載のMacBookにインストールされたSafariとFirefox。Webブラウザの脆弱性を突くコード(エクスプロイトコード)の実行によってセキュリティを破った参加者に、1バグ当たり5000ドルの賞金とノートPCが贈られるというルール。
Firefox 2.0にURIハンドラを悪用される脆弱性 | スラド
Secunia アドバイザリによると、Firefox 2.0に「firefoxurl://」というURIハンドラを利用してリモートからシステムアクセスを許してしまう危険性(Firefox "firefoxurl" URI Handler Registration Vulnerability)が報告されています。CNETの記事によると、この脆弱性の大きな特徴は、FirefoxだけでなくIEで攻撃ページにアクセスした場合にも悪用されるということ。両者とも単体では安全なのですが、IEからFirefoxがURIハンドラ経由で呼び出される場合、IEはコマンドラインをチェックして文字をエスケープせず、またFirefoxはコマンドラインに引数が付加される可能性を考慮していなかったため問題が生じるということのようです。FirefoxとIEの両方をインストールしている方はクロスブラウザスクリプトのデモページ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
MS「インターネットエクスプローラでマジヤバイバグが見つかった。最悪サイト見ただけでパソコン支配される」 : はちま起稿
United States
Adobe Flash Player - Downloads
サイトのセキュリティについて EV SSL - UK Hotel Booking
IE6を一行でクラッシュさせるコード | スラド