Microsoftの広告SDKを通じた不正広告キャンペーン、1か月以上経過しても対策なし | スラド セキュリティ
Microsoftがストアアプリ向けに提供している広告SDKを通じた不正広告攻撃キャンペーンが4月から発生しており、1か月以上経過しても対策は行われていないようだ(Softpediaの記事、 The Registerの記事、 Bleeping Computerの記事、 Born's Tech and Windows Worldの記事)。 不正広告攻撃の内容としては、アプリのバナー広告に触れなくてもデフォルトブラウザーでWebページが開き、「賞品が当たった」「ウイルスに感染している」などと表示されるというもの。サードパーティー開発者によるアプリだけでなく、Microsoft製のアプリや、Outlook.comなど広告の表示されるMicrosoftのWebサイトでも発生しているらしい。MSDNのフォーラムでは4月17日にアプリ開発者が報告しており、4月19日にはMSDNのコミュニティサポート担
九州大学、セキュリティ対策ソフトの不具合により約500件のトラブル発生 | スラド セキュリティ
九州大学では学生や教職員向けにセキュリティ対策ソフトを提供しているそうだが、これが原因で多数のトラブルが発生しているという(西日本新聞)。 Windows 10の更新にセキュリティ対策ソフトが対応できておらず、更新後にPCが正常に動作しなくなるというトラブルが約500件確認されているという。なお、同大学は職員や学生向けにトレンドマイクロの「ウイルスバスター」製品を提供しているようだ(九州大学情報統括本部)。 なお、筑波大学でも学生向けにウイルスバスターを提供しているそうだが、こちらでも似たようなトラブルが発生しているという(筑波大学情報環境機構学術情報メディアセンターによる障害情報)。 ちなみに、ウイルスバスターは現在でも一部の製品がWindows 10 April 2018 Updateに未対応となっている(トレンドマイクロの「Windows 10 Update対応予定」ページ)。トレン
Chrome 45のセキュリティ改善により、開けないサイトが現れる(更新) | スラド セキュリティ
Chrome 45ではセキュリティ改善のため、クライアントサイドでのTLS 1.0へのフォールバックが廃止されたため、HTTPS経由で繋がらないサイトが現れている(ただしHTTP経由で開けるものは多い)。 これは、バギーなサーバーが、仕様に反してTLS 1.0よりも新しいClientHelloを無視するために起こるもので、Chromeは「SSL サーバーが古い可能性があります。」というエラーメッセージを表示する。 ざっと確認したところ、 ヤマト運輸のクロネコメンバーズ、 ミスタードーナツ、 ダスキン、 出版社共同ネット、 競輪、 J-CASTの東京バーゲンマニア、 神奈川県教育委員会ネットワークシステム、 東京学芸大学、 太平洋フェリー などがHTTPS経由で開けないようだ。 編注: タレこみにあった日本自動車連盟、UCカード、UR都市機構については、他のWebブラウザーでも正常にアクセス
GoogleがOpenSSLをフォークした「BoringSSL」を公開 | スラド セキュリティ
GoogleがOpenSSLをフォークし、「BoringSSL」として公開した(ImperialVioletブログの記事、 Ars Technicaの記事、 本家/.)。 Googleは何年もの間、OpenSSLに数多くのパッチを当てて使用していたという。一部のパッチはOpenSSLのメインリポジトリに取り込まれたが、大半はAPIやABIの安定性の問題があるなどの理由で取り込まれていなかった。AndroidやChromeなどの製品はパッチの一部を必要とするが、パッチは70以上もあるために作業が複雑になっていたそうだ。そのため、OpenSSLをフォークして、OpenSSL側の変更をインポートする方式に変更したとしている。BoringSSLは近いうちにChromiumのリポジトリに追加される予定で、いずれAndroidや内部的にも使われるようになる。ただし、BoringSSLではAPIやABI
若者のサイバーセキュリティ産業離れ | スラド セキュリティ
現在、サイバーセキュリティ産業は活況を示している。米労働統計局によれば2018年まで情報セキュリティ専門家の需要は53%ほど増えると予想されているそうだ。しかし、米国の若者達の多くはサイバーセキュリティ分野での仕事には興味を持っていないという。防衛ハイテク企業Raytheonによる複数回答による調査では、21世紀生まれの若者のうちサイバーセキュリティへの興味を持っているのはわずか24%だったそうだ(MOTHERBOARD、Raytheon、本家/.)。 また、他のハイテク分野と同様に性別によるも大きいそうで、サイバーセキュリティに興味を持つ男性が35%だったのに対し、女性はわずか14%しかいなかったそうだ。インタビューによる調査によると、現在サイバーセキュリティ分野で働いている人の80%以上は男性であったという。 とはいえ、この分野の実際の給料はかなり高いそうだ。Semper Secure
スイス Jura 社製コーヒーマシンの深刻な脆弱性がようやく公開される | スラド セキュリティ
先月末に脆弱性対策情報データベースに掲載された JVNDB-2009-004384 によると、Jura Impressa F90 (Amazon.co.uk のアイテム) 用の Jura Internet Connection Kit は、特権関数へのアクセスを適切に制限しないことが分かった。 悪意ある第三者が巧妙に細工したリクエストを行うことにより、サービス運用妨害 (物理的損害) 状態にされる、コーヒーの設定を変更される、およびコードを実行されるといった深刻な事態となることが考えられる。つまり「俺はエスプレッソを飲もうとしたらいつのまにかカプチーノを飲んでいた」という危険性があり (参考: hority 氏によるつぶやき) 、CVSS による深刻度も 10.0 (危険) となっている。該当機種保有者はすみやかにベンダーからの情報を参照して適切な対策を実施するように広く呼びかけられている
VPNなどで使われる認証プロトコル「MS-CHAPv2」、クラックされる | スラド セキュリティ
アレゲ人ならきっと読んでるセキュリティホール memoによると、認証プロトコル「MS-CHAPv2」がご臨終とのこと。MS-CHAPv2はVPNの1つであるPPTPなどで一般に使われていますが、「All users and providers of PPTP VPN solutions should immediately start migrating to a different VPN protocol. PPTP traffic should be considered unencrypted.」とまで書かれています。とはいえ代替となるOpenVPNはメジャーなOSに統合されていないようでrootやJailbreakを要するため、PPTPほど気軽に使えるものではなさそうです。
GmailからHotmailへの移行を試したIT編集者、2週間で断念 | スラド セキュリティ
英国のPC誌、PC Proの編集者がメインのWebメールをGmailからHotmailに移行する実験を行ったが、2週間で断念したとのこと(PC Proの記事、 本家/.)。 最近ではHotmailのスパムが3%以下であることをMicrosoftのプロダクトマネージャーから聞かされたPC Proの編集者 Barry Collins氏は、Hotmailへの移行実験を行うことを決意した。メッセージの振り分け・並べ替えやSkyDriveとの統合といった新機能を試すという目的もあったという。しかし、実験を始めて2週間後、Collins氏のHotmailアカウントからスパムが送信されているという報告がTwitterで相次いだ。HotmailにログインしたCollins氏は、アカウントがハックされ、すべての連絡先に攻撃用サイトへのリンクを記載したスパムが送信されていることに気づいたという。実験を開始した
ソフトバンク携帯の https 接続の仕様変更は致命的脆弱性の解消のため | スラド セキュリティ
高木浩光@自宅の日記によれば、6/30 に実施されたソフトバンクモバイルのガラケー Web ブラウザにおいて https: 接続する際の仕様の変更であるが、実は致命的な脆弱性を解消するものであったようだ。 ソフトバンクモバイルでは、https: サイトへ直接接続するのではなく、サイトへのリンクのすべてが https://secure.softbank.ne.jp/ へ書き換えられ、そこで中継されるという仕様だったのだが、今回の仕様変更でこの機能が廃止されている。ITmedia +D モバイルの記事ではサイト開発の利便性向上のためと書かれているのだが、高木氏の日記にて Gmail の内容や cookie 内容を攻撃者側から取得できてしまうデモが掲載されており、昨年の 6 月にメールと Twitter でソフトバンク側と接触していた経緯まで説明されている。 ソフトバンク側は、一年かかってこの中
住基ネットの情報、秋田市職員が不正に閲覧 | スラド セキュリティ
秋田市の職員が住民基本台帳システムに不正にアクセスし、計54世帯分の個人情報を不正に閲覧していたことが分かった(NHK、秋田魁新報)。 問題の職員は、別の職員の机にパスワードが書かれた付箋が貼り付けられているのを見て、それを利用して住民基本台帳システムや課税情報が登録されたシステムに不正にアクセスしたとのこと。計54世帯分の住所や氏名、課税状況を閲覧したという。 職員は「知っている職員や知人の年齢に興味があって見た」と話しているという。 総務省によると、住基ネットの不正アクセス事件はこれまで起きたことがないとのこと。初の事件が「メモに書かれたパスワード」という、やってはいけない基本中の基本で漏れてしまった。戒告で済ませて幕引きをはかっているが、これでよいのだろうか?
FreeBSDに緊急性の高い脆弱性が発覚、セキュリティアドバイザリが公開 | スラド セキュリティ
FreeBSDのランタイムリンクローダ「rtld」に脆弱性が発見された。この脆弱性を突くことで、ユーザーがroot権限で任意のコードを実行できるという。FreeBSD 7.0/7.1/7.2/8.0で影響があるとのことで、12月3日付けで対応パッチがリリースされている。 マイコミジャーナルの記事によると、setuidビットが有効になったプログラムをロードする際の環境変数チェックにバグがあり、ローカルユーザーがroot権限で任意のコードを実行できてしまうとのこと。 ということで、FreeBSDをお使いの方はすみやかに対策をお取りください。
i モードブラウザ 2.0 のアップデートにより閲覧できないサイトが発生 | スラド セキュリティ
ストーリー by reo 2009年11月10日 11時30分 隠してることと知らないことは、外からは見分けがつかない 部門より 鈴の音情報局 blog の記事で話題にあがっているが、2009 年夏の i モードブラウザ 2.0 搭載機種に、10 月 27 日以降に開始された JavaScript の再有効化アップデートを当てた端末は、i モードブラウザ・フルブラウザ共に、80 番ポート (http) 以外のウェルノウンポート (ポート番号 0 ~ 1023) への接続ができなくなっているようだ (= ポート 80, 1024 ~ 65535 にはアクセスできる) 。 事前の告知もなく、i モードブラウザ 2.0 の仕様にも記述がないことからユーザーの一部で混乱が起きている。ドコモに問い合わせをしたが、何番ポートはアクセスできなくなったかなどについては教えられないという回答をされたという声
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Windows XPのサポート終了に関連する諸問題は誰の責任か | スラド セキュリティ