「Java Web Start」に脆弱性--Windowsユーザーに研究者が警告
Javaに脆弱性が見つかったと、2人の研究者が米国時間4月9日に警告を発した。悪意のあるコードが含まれるウェブページをWindows搭載マシンで訪れると、乗っ取られるおそれがあるという。 GoogleエンジニアのTavis Ormandy氏はメーリングリスト「Full Disclosure」で詳細を明らかにし、WintercoreのエンジニアRuben Santamarta氏も、この件について同社のブログに記事を書いた。 問題があるのは「Java Web Start」フレームワークで、これは開発者によるJavaアプリケーション作成を簡単にするものだ。Ormandy氏によると、ブラウザでJavaプラグインを使用しない設定にしてもシステムを攻撃から守れないという。 「このツールキットではURLパラメータについて最低限度の確認手段しか提供されず、Java Web Startユーティリティに任意の
カード番号も“使い捨て”の時代に!?痒いところに手が届く「ワンタイムデビット」
クレジットカード、銀行振り込み、コンビニ払い、代引き決済――ネットショップにおける決済方法は多々あるが、実際に使用してみると、「一長一短」といった感が否めない。 クレジットカードはセキュリティの不安が残るし、銀行振り込みは確認までに時間がかかる。はたまたコンビニまで出向くのは気が重いものだし、代引き決済は別途手数料を取られる場合が多い。なるべく安く、迅速に、しかも安全に取引が可能な決済手段というものは、案外と少ないものである。 そんななか登場した、ジャパンネット銀行の「ワンタイムデビット」は、ユーザーの“痒いところ”に手が届く新しい決済サービスだ。 一番の特徴は、その名のとおり、カード番号を「ワンタイム」――つまり必要なときだけ発行するという点である。いわば“使い捨て”のデビットカードというわけだ。 デビットカードとは、金融機関発行のキャッシュカードをそのまま決済用カードとして使用できるサ
Twitterのパスワード流出問題、根本原因はユーザーの使い回し
Twitterが一部ユーザーのパスワードをリセットしたのは、別のサイトから流出したパスワードがTwitterへのログインに使われたためだという。 米Twitterは一部ユーザーにパスワードの変更を促した背景について、Statusページに詳しい経緯を掲載した。ユーザーのパスワードの使い回しが原因で、別のサイトから流出したパスワードを使ってTwitterにログインされたと説明している。 発端は、特定のアカウントのフォロワーが、2月2日までの5日間で突如激増したことだった。Twitterは状況から判断して、この不審なユーザーをフォローしているアカウントについて、パスワードを強制的にリセットすることが最善だとして判断したという。 パスワード流出の原因になったとみられるのは、特定の人物が数年前に開設した複数の共有サイトと、共有サイトの利用に関するフォーラムサイトだった。これらサイトでは利用者にユーザ
無線LANのWPAをわずか数秒から数十秒で突破する新しい攻撃方法が登場、早期にWPA2に移行する必要あり
今回の方法は昨年11月に発表された「Tews-Beck攻撃」(WEPのTKIPにおいて辞書攻撃ではなくプロトコルの不備をつくことによって、15分前後かかるが、鍵の一部を確定的に導出できる方法)がQoS制御を利用する機器に限定されるものであり、鍵の導出に15分もの時間が必要であったのに対して、わずか数秒から数十秒で導出してしまうことができるというもの。 このWPAについての実践的な攻撃方法は8月7日に「A Practical Message Falsification Attack on WPA」という題目で、台湾にて開催される国際会議 JWIS2009(Joint Workshop on Information Security )にて大東俊博氏(広島大学 情報メディア教育研究センター)と森井昌克氏(神戸大学大学院 工学研究科)によって発表される予定となっています。 詳細は以下から。 Jo
TwitterでスパムDM出回る フォロワーに自動でDM送りつけ
Twitterで8月1日ごろから、スパムDM(ダイレクトメッセージ)が出回っている。DMに書かれたURLのページにアクセスし、ボタンをクリックすると、同じDMを自動でフォロワーに送り付けるという仕組み。ITmedia Newsのアカウントにも数通届いており、日本のユーザーも被害にあっている。 DMとは、2人のユーザー間でやりとりできるメッセージ機能。通常の投稿「つぶやき」(Tweet)と異なり、内容は送ったユーザーと受け取ったユーザーしか見られず、相手が自分をフォローしていないと送れない。スパムDMも、見知らぬアカウントではなくフォローしているアカウントから送られてくるため、内容を信頼し、書かれたURLを思わずクリックしてしまう人が多いようだ。 スパムDMは英文で、「has sent you a FREE GIFT to join MobsterWorld. Accept you free
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Javaに未修正の脆弱性、Webページを閲覧するだけで攻撃を受けるおそれ
