Brave、ウェブサイトのローカルホストリソースアクセスをコントロール可能にする計画 | スラド セキュリティ
Brave が今後リリースするバージョン 1.5.4 以降のデスクトップ版 / Android 版 Brave ブラウザーで、ユーザーがウェブサイトによるローカルホストリソースへのアクセスをコントロール可能にする計画を示している。メジャーブラウザーにこのような機能が搭載されるのは Brave が初となる (Brave のブログ記事、 Ars Technica の記事、 Ghacks の記事、 BleepingComputer の記事)。 ウェブサイトによるローカルホストリソースアクセスが可能になっているのは、プライバシーが重視されていなかった時代の名残だという。ウェブインターフェイスを通じたハードウェアの設定など、ユーザーに利益をもたらす形での利用もみられるが、ポートスキャンによるユーザーのフィンガープリンティングや攻撃の入り口となる脆弱性検出など、悪意ある利用も多い。 そのため、既に B
最恐のウイルスと呼ばれた「Emotet」終息の日を迎える | スラド セキュリティ
各国現地時間の25日正午、世界各地で猛威を振るったマルウェア「Emotet」の自己削除プログラムが起動し、最恐と呼ばれたコンピュータウイルスが根絶された記念すべき日となった。 既報の通り、欧州刑事警察機構を中心とした欧米8か国の合同捜査チームが今年1月27日に「Operation LadyBird」を実行。ウクライナにある活動拠点とオランダにあるC&Cサーバの制圧に成功していた。この時、オランダの警察当局は押収したC&Cサーバから世界中のEmotetを無害化、さらに時限的な自己削除を行うプログラムを配信。Emotetの感染端末に別のマルウェアを注入する攻撃が確認されていたことから、感染端末を特定し、別途注入されたマルウェアを駆除するための猶予期間として、2021年4月25日12時00分が活動限界に設定されていた(ZDNet)。 なお、Emotetの感染拡大防止にあたっては海外の「Crypt
Amazonの「ほしい物リスト」に登録してある住所が第三者にバレる問題、発覚 | スラド セキュリティ
Amazon.co.jpにはユーザーの「ほしい物」リストを公開する機能がある。第三者がこのリストを見て商品を購入しプレゼントできる、というものなのだが、この「ほしい物リスト」には、登録してある発送先住所などの個人情報を盗み取れるという問題があるという(Togetterまとめ:Amazonのほしい物リストを公開していると個人情報を抜かれます)。 必要なのはマーケットプレイスの出品者アカウント。「ほしい物リスト」に入っている商品を購入してプレゼントする際、相手が発送先住所を登録していればプレゼントする側はその住所が分からなくてもそこに発送できるのだが、この際ほしい物リストに入っていない商品についても同時にプレゼントできてしまうという。 これを利用し、ほしい物リストに入っている商品とともに自分が出品する商品をプレゼントとして購入、ほしい物リストにある商品のほうを即座にキャンセルすることで、ほしい
exifヘッダ内に命令を埋め込むことで身を隠すマルウェア | スラド セキュリティ
JPEGデータのexifヘッダ内に命令を埋め込むことで、その身を隠すマルウェアが発見された模様(GIGAZINE、元ネタのsucuri blog)。 元ネタの記事がいまいち分かりにくいのでGIGAZINEの記事も若干分かりにくいものになっているが、このマルウェアはPHPで書かれており、その処理途中であらかじめ指定されていたJPEGファイルを読み込み、そのJPEG画像内のexifヘッダ内にBASE64形式でエンコードされて記載されていた処理を実行する、というものだそうだ。 これのポイントは、PHPのpreg_replace関数を使って任意のコードを実行させているという点。preg_replaceには引数として与えられた文字列を実行する「/e」パターン修飾子があり、これを利用してexifヘッダ内に記述されている命令を実行するという。 わざわざこのような回りくどい処理を行うメリットとしては、コー
お安い GPU で強固なパスワードも用無しに | スラド セキュリティ
大文字小文字に数字をまぶしたパスワードはブルートフォースアタックに対して強固であると言えるだろうか。強固であるとお考えの方はご再考を (ZDNet の記事、本家 /. 記事より) 。 PC Pro Blog の記事にて、GPU を用いたパスワードクラックツール ighashgpu とお安い GPU (1 〜 2 万円で購入できる RADEON HD 5770) の組み合わせで総当たり試行を行った結果が掲載されている。CPU を用いた場合、1 秒間に 980 万パターンの試行が可能であり、5 文字の NTLM ログインパスワードは 24 秒で突破された。一方 GPU では 1 秒間に 33 億パターンほど。パスワードを 6 文字にすると CPU では突破に 90 分ほど要したが、GPU ではたったの 4 秒。7 文字になると CPU では 4 日間かかったが、GPU では 17.5 秒で突破
イケてないハッカー、その所業を晒される | スラド セキュリティ
root 権限を得ていてもなお sudo をしちゃうあたりところとか、展開した後の tar ファイルはちゃんと (rf オプションまでつけて) 消去しちゃうあたりににじみ出る育ちの良さが、アウトローになりたい彼女の望みとの間に齟齬を発生させてハラハラさせられてしまう。tar で展開したら /var/spool/samba に展開されるものだと思い込んじゃっているのかもしれない天然っぷりを持つが、その誤解を自力で解決するカタルシスを観客に与えるものの (あるいはがむしゃらにしているだけかもしれないのだが、そこがまた可愛い) 既に cd /var/ してしまった後だったという「ああーっ」感で観客の心が一つに。自暴自棄になった彼女が後半、続けざまにあちこちからツールをダウンロードするが、そのほとんどで 403 を返されるあたりには胸が厚くなる (薄い方が好みかもしれないが) 。ぽかぽかする ?
アメリカ V.S. UFO ハッカー | スラド セキュリティ
アスペルガー症候群およびパニック発作の患者でもある Gary McKinnon 氏が、UFO の情報を探すために NASA およびペンタゴンのコンピュータにハッキングを行った罪で英国から米国への身柄送還を避けるための最後のチャンスを手に入れた。英国政府は彼を残酷な罰から守るための約束や助けを与えないのだろうか ? NewStatesman の記事が、問題の経緯と McKinnon 氏の今後についてまとめている。 本家の直訳だとかなり意味が分からないので補足すると、McKinnon 氏 (44 歳) は 2001 年から 2002 年にかけて米国防総省や NASA など米国政府が所有するコンピュータを「ハック」したとのこと。米国側はこれによってネットワークのシャットダウンが引き起こされ、80 万ドルもの損害を与えたという。一方、McKinnon 氏はこれについて、「UFO の証拠を探していた
Unlha32.dll等開発停止、LHA書庫の使用中止呼びかけ - Claybird の日記
今日ではほとんどのウイルス対策ソフトが書庫ファイルに対しウイルスチェックを行う機能を備えているが、多くのウイルス対策ソフトで「LZH書庫ファイルのヘッダー部分に細工を施すことでウイルスチェックを回避できる」という脆弱性が存在するとのこと(LZH書庫のヘッダー処理における脆弱性について)。 Micco氏はこれをJVN(Japan Vulnerability Note、JPCERTおよびIPAが共同運営する脆弱性情報集積サイト)に報告したところ、「不受理」となったそうだ。ZIPや7z形式の書庫にも同様の問題があるものの、そちらは「脆弱性」として受理されているとのこと。Micco氏曰く、 「ベンダー, JVN / IPA 等共に『LZH 書庫なんて知らねぇ~よ』という態度から変わることはない」と判断できましたので, UNLHA32.DLL, UNARJ32.DLL, LHMelt の開発を中止す
Wikileaks にイラク民間人へのヘリ攻撃動画をタレ込んだ人物、逮捕される | スラド セキュリティ
米連邦当局は、米国の機密にあたる戦闘映像や国務省にある数十万の機密記録を密告者サイトである Wikileaks に提供した事を吹聴していた軍の情報アナリストを逮捕した。 メリーランド州ポトマック出身のブラッドレイ・マニング技術兵 (22) は、バグダッドの東 40 マイルに位置する FOB Hammer に駐留しており、そこで彼は 2 週間ほど前に軍の犯罪捜査部により逮捕された。家族によれば、彼は現在クウェートで拘留されており、まだ正式に告訴されたわけではないという。 かつてハッカーとして鳴らしたとある人物からの情報によれば、その人物により先月下旬に当局にタレ込まれたとのこと。その人物とマニング氏のチャット履歴によれば、マニング氏は 4 月に Wikileaks に投稿されたヘリ攻撃ビデオをリークした事で賞賛を得たという。そのビデオには 2007 年に米軍のヘリコプターがバグダッド市内で無
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ウィキリークス、2回目の米大統領討論会に合わせてクリントン陣営責任者のメールとされる内容を公開 | スラド セキュリティ