WebGLの(実質的に)仕様上の脆弱性について(日本語訳) - ものがたり(旧)
WebGLの(実質的に)仕様上の脆弱性が見つかったとされて、話題になっています。元はContext Information Security社のブログの記事なのですが、 http://www.contextis.co.uk/resources/blog/webgl/ 日本語でもかいつまんで紹介されています。 http://japan.cnet.com/news/service/35002505/ とはいえ、これじゃ何だか意味が分かりませんし、原文はなかなか簡単には読めないと思うので、ちょっくら日本語訳してみました。全体的にやっつけながら、後半は特に寝ぼけながら訳しているので、何かおかしいところがありましたらコメント等で教えて下さいませ。翻訳許諾は明日辺りお願いしてみようと思います。(ダメって言われたら消す)→もらいました。調査の次のラウンドが終わったらまた結果を教えてくれるみたい。 追記:
やさしいセキュリティ講座(5)
Microsoftがインターネットをもっと使いやすくするために作り出したActiveX。しかし今日では「危険なため利用しないほうが良い」とまで言われています。Internet ExplorerやOutlookを安全に使うためにActiveXについて知っておきましょう。 ActiveXの種類 ActiveXが危険なプログラムの様に言われていますが、そもそもWindowsという巨大なプログラムの塊は多数のActiveXで構成されています。もともとActiveXとはある特定の処理を行う小さなプログラムのことで、その単位をコンポーネントと呼びます。 例えば画面に文字を表示する「文字表示」のActiveXコンポーネントや、プリンタに文字を出す「文字プリント」のActiveXコンポーネントのようにいろいろな種類のコンポーネントがあります。 ではInternet Explorer(IE)や
ActiveX - Wikipedia
ActiveX(アクティブエックス)とは、マイクロソフトが開発するインターネットに関するソフトウェアコンポーネントやその技術を示す用語である。一般的には同社製のウェブブラウザであるInternet Explorerやそのコンポーネントを利用したソフトウェア上で動的なコンテンツを再生するための技術(ActiveXコントロール)を指す。JavaScriptやHTML5/CSS3といった標準規格の普及によって2015年現在では当たり前となった、RIA (リッチインターネットアプリケーション) を実現するための技術の先駆けとも言える。 元々はマイクロソフトがオブジェクトのやりとりを行う仕組みであるObject Linking and Embedding (OLE) からインターネットに関する技術を分離させたものがActiveXにあたる。 ActiveXコントロール[編集] 開発者を除いたエンドユー
ITmediaに不正コードが設置される | スラド
Livedoorニュース 「ITmedia」に何者かが不正侵入、ページを書き換えて不正コード設置 によれば、「ITmedia Biz.ID」トップページ、「TechTargetジャパン」Webキャストページ、「ITmediaメールマガジン」ご案内ページの3つが、2007年4月27日18時から5月1日13時までの期間、不正コードの入ったページを表示した可能性があるとのこと。 一時期はよくあったページ書き換えですが、久々に狙われウイルスまで置かれたようです。 同社からは アイティメディア株式会社:当社のサイトにおける不正コード混入ページ公開について ご報告と対処のお願い と言うアナウンスが出ており、既に対策は取ったようですが原因に関しては究明中のようです。
Web2.0が直面する「2007年危機」
「わたしは時間と空間を曲げられるのだ!」。突然どこからともなく現れた変な日本人はそう言った。 「うわあっ」とわたしは驚きの声を上げた。「君は誰なんだ。どこから来た?」 「わたしはヒーローだ。1年後の未来から君のもとへやってきた」 「ちょっと待て。分かった――君はあのテレビの新番組のヒーローだな。チアリーダーを助けて、世界を救えと言いに来たのか?」 「あんなバカなチアリーダーのことは忘れろ!」。そう言ってヒーローは続けた。「もっと大事なニュースを持ってきたんだ。Web2.0は2007年に、その存在を脅かすたくさんの深刻な脅威に直面することになる」 「それは興味深いな。みんなに警告しないと。でもその前に聞きたいんだけど、あの番組に出てくるブロンドの美女は自分のパワーと邪悪なる半身を制御しているのか?」 「彼女にはパワーはない――彼女はいかれてるんだよ! それよりちゃんと聞け。Web2.0が20
HotmailとYahoo Mailを悩ますフィルタの欠陥
セキュリティ専門家が米国時間23日に明らかにしたところによると、ウェブメールサービスのYahoo MailやHotmailのメッセージフィルタ機能に欠陥があり、ユーザーは特別に作られたオンラインスクリプトを使った攻撃を受ける可能性があるという。 イスラエルのコンピュータセキュリティ会社、GreyMagic Softwareの研究開発ディレクター、Lee Dagonによると、悪意のある人間がこの欠陥を突いて、ユーザーのパスワードを盗んだり、被害者が開いた電子メールの中味を見たり、ウェブメールを使ってワームを蔓延させる恐れがあるという。GreyMagicはこの欠陥を3月6日に発見し、これに対する勧告を23日に発表した。 「HotmailとYahooは、あらゆる手段を用いて電子メールのなかにあるスクリプトの実行を阻止しており、両サービスでは受信メッセージに含まれるHTMLコンテンツにフィルタをか
米ヤフー、Yahoo Mailのクロスサイトスクリプティング脆弱性を修正
Yahooが、ウェブベースの無料電子メールサービスに存在していたセキュリティ脆弱性を修正した。この脆弱性はフィッシング詐欺やユーザーアカウントの盗難といった攻撃に悪用される可能性があった。 このクロスサイトスクリプティングの脆弱性に関する勧告を米国時間21日に公開したSEC Consultによると、この問題の原因は、Yahooのウェブサイトが特定の文字列と組み合わされた特定のスクリプトタグを検出しなかったことにあったという。 クロスサイトスクリプティングの脆弱性は頻繁に発見されており、先日はGoogleのウェブサイトで、さらにその前にはMicrosoftの「Xbox 360」サイトでも見つかっていた。 Yahooのウェブサイトでもこうした脆弱性が発見されていたが、この脆弱性が悪用された場合、ユーザーアカウントの不正取得や情報盗難を目的としたフィッシング詐欺が可能になるほか、ユーザーのPCに
IEに新たな脆弱性--専門家、エクスプロイトコードの公開を警告
「Internet Explorer(IE)」にあるパッチ未公開の脆弱性を悪用し、Windows PCの乗っ取りを可能にするコードが、ネット上で公開されたと専門家が警告している。 このコードは、一般に閲覧可能なウェブサイトで公開されているため、悪意を持ったユーザーが利用し、Windows搭載マシンを攻撃するための技術を開発することも可能だ。Microsoftの広報担当者は米国時間9月14日、本件について調査中であると述べた。 「これまでの調査により、攻撃者はこのエクスプロイトコードを使うことで、メモリ破損を引き起こせることが分かった」と広報担当者は述べた。MicrosoftはWindowsのユーザーに対し、攻撃の可能性を回避するため、ActiveXとアクティブスクリプトコントロールを無効にすることを推奨した。 Symantecが同社セキュリティ情報サービス「DeepSight」のユーザーに
IEに新しい「緊急」レベルの脆弱性
仏セキュリティ機関FrSIRTは9月19日、MicrosoftのInternet Explorer(IE)で新たな脆弱性が発見されたと警告した。危険度は4段階中で最も高い「緊急(Critical)」。 この脆弱性は、長すぎる「塗りつぶし」が行われた直角形を含むVML文書を処理する際に、ベクター画像のレンダリングライブラリ(Vgx.dll)でバッファオーバーフローのエラーが起こることが原因。ユーザーに不正なWebサイトを訪問させ、サービス拒否攻撃や任意のコマンド実行に悪用される恐れがある。 この脆弱性の影響を受けるのは、Windows 2000 SP4上で動作するIE 5.01 SP4、Windows 2000 SP4およびWindows XP SP1で動作するIE 6 SP1、Windows XP SP2およびWindows Server 2003で動作するIE 6、Windows 98お
Yahoo!メールの脆弱性を突く“ゼロデイ”ウイルス出現,メールを開くだけで感染
セキュリティ組織の米SANS Instituteなどは現地時間6月12日,米Yahoo!が提供するWebメール・サービスの脆弱性(セキュリティ・ホール)を突いて感染を広げるウイルスが出回っているとして注意を呼びかけた。メール本文を読もうとするだけで感染し,アドレス・リストの情報を盗まれるとともにウイルス・メールを送信させられる。Yahoo!では現在対処中であるとしている。 Yahoo!のWebメール・サービス(Yahoo!メール)には,メールに細工が施されていると,メール本文を開くだけで,添付されたHTMLファイルを勝手に開いてしまう脆弱性が見つかった。HTMLファイルにスクリプト(JavaScript)が含まれている場合には,そのスクリプトも勝手に実行されてしまう。今回のウイルスはこの脆弱性を悪用するもので,HTMLファイルに含まれるスクリプトがウイルスの実体である。なお,今回の脆弱性は
シマンテック、ヤフーメールの脆弱性を悪用するワームを確認
パッチが適用されていないJavaScriptの脆弱性を悪用し、Yahooの電子メールユーザーを標的とする新たなワームが確認されたと、セキュリティ企業が警鐘を鳴らしている。 Symantecが米国時間6月12日に発表した勧告によると、「Yamanner」と呼ばれる同ワームは、最新のベータ版をのぞくすべてのYahooウェブベースメールをターゲットにしているという。 Yahooは米国時間6月12日、脆弱性のフィックスを準備中であることを明らかにし、ワームに感染したユーザーはほとんどいないはずだと述べている。 「Yahooでは、この問題に解決し、ワームの攻撃から顧客を保護しようと、作業を進めているところだ。修正パッチはYahoo Mailのユーザーに自動的に配信されるようになるため、ユーザーはこれといった手続きを踏む必要はない」とYahooの広報担当は述べた。 Yahooメールの受信ボックスに届く
Yahoo!メールの脆弱性突く新ワーム
Symantecによると、「JS.Yamanner@m」はYahoo!メールサービスの脆弱性を突いて繁殖し、感染すると特定のアドレスあてに自らのコピーを送信する。 セキュリティ企業のSymantecは6月12日、Yahoo!メールサービスの脆弱性を突いて繁殖するワーム「JS.Yamanner@m」が発見されたとして、情報を公開した。 Symantecによると、このワームはJavascriptを含んだHTMLメールとして届く。件名は「Graphic Site」、本文には「Note: forwarded message attached.」と記載され、送信元にはさまざまな名称が使われている。 メールを開くとYahoo!メールサービスの脆弱性を突いてスクリプトが実行され、Yahoo!メールのフォルダから収集したアドレスあてに自らのコピーを送りつける。ターゲットとなるのは「@yahoo.com」と
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IPアドレスから分かること?