この問題は、4月16日に公開されたJava最新版の「Java 7 Update 21」(1.7.0_21)も影響を受けるという。 ポーランドのセキュリティ企業Security Explorationsは4月22日、米OracleのJava SEにまた新たなセキュリティ問題が見つかったとして、セキュリティメーリングリストの「Full Disclosure」で概略を公表した。 Security Explorationsによれば、新たに見つかった脆弱性はJavaのリフレクションAPIに関連するもので、4月16日に公開されたJava最新版の「Java 7 Update 21」(1.7.0_21)も影響を受けるという。この問題を悪用すれば、Javaのセキュリティ対策であるサンドボックスを完全に迂回することが可能だとしている。 この問題はJREプラグインやJDKソフトウェアだけでなく、最近発表されたサ
The Polaris Dawn crew is back on Earth after a historic mission
Googleアカウントへの不正アクセスを防ぐ方法として「2段階認証」がある。2段階認証ではログイン時にユーザー名およびパスワードに加え、携帯電話に送信されたパスコードが要求されるというものだ。しかし、これをを回避する方法がDuo Securityによって発見された(本家/.)。 幸いDuo Securityは良心的なチームだったため、この問題はGoogleのセキュリティチームへ報告され修正された。しかし一度は仕様だと断り、修正に半年もかかったという。このプロセスは改善してほしいところである。 発見された手法は、「アプリケーション固有のパスワード(ASP)」を利用するもの。GmailやGoogleカレンダーなどにアクセスする一部アプリケーションでは2段階認証が利用できないため、Googleはそれらのアプリケーション向けに専用のパスワードであるASPを生成する方法を用意している。しかし、このA
「Webアプリにおける11の脆弱性の常識と対策」という記事を久しぶりに読みました。出た当事も思いましたが、基本的な誤りが多く、読者が誤解しそうです。このため、編集部から頼まれたわけではありませんが、「勝手に査読」してみようと思います。 細かい点に突っ込んでいくとキリがないので、大きな問題のみ指摘したいと思います。 ※2013年2月25日追記 このエントリに対して、編集部が元記事を修正くださいました。徳丸も修正に協力いたしましたが、十分正確な内容ではないことをお含みおきください。 ※追記終わり 同記事の想定読者は誰か査読にあたり、この記事の想定読者を明確にしておいた方がよいですね。記事の冒頭には、連載の説明があります。 本連載は、JSP/サーブレット+StrutsのWebアプリケーション開発を通じて、Java言語以外(PHPやASP.NET、Ruby on Railsなど)の開発にも通用する
「Java SE 7 Update 11 でもバグが修正されていない」という専門家の意見が書いてあるロイター通信の記事(Oracle updates Java, security expert says it still has bugs)をTwitterで紹介しましたが、「やはり修正されていない」「修正されたのは2つの脆弱性の内の一つだけ」というニュース記事が複数出てきました。 これらのニュース記事には、「Java 7 Update 11でも脆弱性は残っているから、Java(Java appletを起動するためのブラウザ上のJavaプラグイン)をひきつづき無効化せよ」という内容のCERTの意見が掲載されています(無効化手順はこちら)。 しかし、日本語の記事が曖昧で、少し情報源のページを読んでみると、単に「片方が修正されていないから危険」というわけではない、ちょっとややこしい話のようだった
悪名高い「Blackhole」や「Nuclear Pack」などのツールキットが既にこの脆弱性を悪用しているという。US-CERTはWebブラウザでJavaを無効にする対策を奨励している。 米セキュリティ機関のUS-CERTは1月10日、「Java 7 Update 10」までのバージョンに未解決の深刻な脆弱性が見つかったとして、セキュリティ情報を公開した。この脆弱性を突いた攻撃も既に横行しているという。 US-CERTによると、脆弱性は「Java Management Extensions(JMX) MBean」コンポーネントに存在する。攻撃者がこの問題を悪用して細工を施したHTML文書をユーザーに閲覧させることにより、リモートから認証を受けずに任意のコードを実行できてしまう恐れがあるという。 共通脆弱性評価システムCVSSによる深刻度評価は、ベーススコアで最高値の「10.0」。この脆弱
横浜市のホームページ(HP)に脅迫文を書き込まれた事件に絡み、同市のHPの弱点が悪用された可能性があることから、市はHPのプログラムを修正してセキュリティー対策を強化する方針を固めた。 この事件を巡っては、明治大学生だった少年(19)が県警に逮捕され、その後、保護観察処分となった。しかし、今月上旬、「真犯人」を名乗る人物から東京都内の弁護士などに届いた犯行声明とみられるメールに、犯人しか知り得ない犯行予告の全文が書かれていたことなどから、県警は少年以外の第三者が関与しなかったか事件の検証を始めている。 犯行声明とみられるメールには、閲覧させたウェブサイトから不正な命令を送ってパソコンを操作する「クロスサイト・リクエスト・フォージェリ(CSRF)」と呼ばれる攻撃を仕掛けたと書かれている。 市IT活用推進課によると、悪用されたのは市広聴相談課の管理する市のHP内にある投稿欄「市民からの提案」。
このエントリでは、脆弱性対処における例外処理について、奥一穂氏(@kazuho)との会話から私が学んだことを共有いたします。セキュアプログラミングの心得として、異常が起これば直ちにプログラムを終了することが推奨される場合がありますが、必ずしもそうではないというのが結論です。 はじめに Webアプリケーションの脆弱性対策では、脆弱性が発生するのはデータを使うところであるので、データを使う際の適切なエスケープ処理などで対処するのがよいと言われます。しかし、処理内容によってはエスケープができない場合もあり、その場合の対処についてはまだ定説がないと考えます。 エスケープができない場合の例としては、以下があります。 SQLの数値リテラルを構成する際に、入力に数値以外の文字が入っていた メール送信しようとしたが、メールアドレスに改行文字が入っていた 入力されたURLにリダイレクトしようとしたところ、U
nProtectを開発するインカインターネットのブログ記事によると、2012年3月2日にFlash Playerの脆弱性(CVE-2012-0754)を利用したターゲット型攻撃が国土地理院に対して行われたとのことで、同ブログで攻撃に使われたメールが公開されている。攻撃が成功したかどうかについては書かれていない。なお、国土地理院は昨年10月にサーバーが不正侵入されている(/.Jの記事)。 該当のメールの送信者は「東海大学政治経済部経済学科所属」となっており、Yahoo! JAPANのメールアドレス(~@yahoo.co.jp)が使われている。本文は地域デザイン学会の名簿を送るという内容で、もっともらしい添付ファイルの「地域デザイン学会の名簿.xls」を開くとMS OfficeからFlashファイルが読み込まれてCVE-2012-0754の脆弱性によって任意のコードが実行されるという仕組み。
改ざんされてウィルス配布コード埋めこまれてから復旧までの作業や申請の手続きについてまとめていきます。 追記: 「改ざんされた場合そのものの対処方法」という意味で書かせて頂きました。phpMyAdmin の脆弱性についてではなく全般的な内容となっております。誤解を与える表現となってしまい申し訳御座いません。 今回埋めこまれた不正なコード 実際のコードは改行やスペースがなくなって一行のコードとなっておりますので非常に気づきにくいです。 <?php @error_reporting(0); if (!isset($eva1fYlbakBcVSir)) { $eva1fYlbakBcVSir = "7kyJ7kSKioDTWVWeRB3TiciL1UjcmRiLn4SKiAETs90cuZlTz5mROtHWHdWfRt0ZupmVRNTU2Y2MVZkT8h1Rn1XULdmbqxGU7h1Rn
Security Bulletin Microsoft Security Bulletin MS12-007 - Important Vulnerability in AntiXSS Library Could Allow Information Disclosure (2607664) Published: January 10, 2012 | Updated: January 16, 2012 Version: 2.1 General Information Executive Summary This security update resolves one privately reported vulnerability in the Microsoft Anti-Cross Site Scripting (AntiXSS) Library. The vulnerability c
Security Bulletin Microsoft Security Bulletin MS12-006 - Important Vulnerability in SSL/TLS Could Allow Information Disclosure (2643584) Published: January 10, 2012 | Updated: July 17, 2013 Version: 1.3 General Information Executive Summary This security update resolves a publicly disclosed vulnerability in SSL 3.0 and TLS 1.0. This vulnerability affects the protocol itself and is not specific to
Security Bulletin Microsoft Security Bulletin MS12-005 - Important Vulnerability in Microsoft Windows Could Allow Remote Code Execution (2584146) Published: January 10, 2012 Version: 1.0 General Information Executive Summary This security update resolves a privately reported vulnerability in Microsoft Windows. The vulnerability could allow remote code execution if a user opens a specially crafted
Vulnerabilities in Windows Media Could Allow Remote Code Execution (2636391) Published: January 10, 2012 | Updated: July 31, 2012 Version: 1.3 General Information Executive Summary This security update resolves two privately reported vulnerabilities in Microsoft Windows. The vulnerabilities could allow remote code execution if a user opens a specially crafted media file. An attacker who successful
Vulnerability in Windows Object Packager Could Allow Remote Code Execution (2603381) Published: January 10, 2012 Version: 1.0 General Information Executive Summary This security update resolves a privately reported vulnerability in Microsoft Windows. The vulnerability could allow remote code execution if a user opens a legitimate file with an embedded packaged object that is located in the same ne
フォティーンフォティ技術研究所 執行役員 技術本部 先端技術研究部長 村上純一氏。11月22日(火)に開催する本誌主催のセミナー「2011 Webセキュリティセミナー」で「標的型攻撃の実態とその対策」について解説する。 「ネットワークの外側に対する対策はどの企業も講じています。しかし、ネットワークの内側に対してはセキュリティ意識が甘くなる傾向があります。具体的には、パスワードを使い回していたり、脆弱性を放置していたりといったケースがあります。こうした無防備な状態でAPT攻撃を受けた場合、被害は想像以上に拡大します」 そう指摘するのは、フォティーンフォティ技術研究所の村上純一氏だ。フォティーンフォティ技術研究所は、自社セキュリティ製品を展開する一方で、セキュリティの基盤技術の研究開発部門を専門に有する、国内セキュリティベンダーとしては珍しい企業だ。村上氏は、同社で執行役員 技術本部 先端技術
日本マイクロソフトは2011年11月9日、Windowsなどに関するセキュリティ情報を4件公開した。最大深刻度(危険度)が最も高い「緊急」の情報は1件。それに含まれる脆弱性を悪用されると、細工が施されたデータを送信されるだけで、悪質なプログラム(ウイルスなど)を実行される恐れがある。対策はセキュリティ更新プログラム(パッチ)の適用。 今回公開されたセキュリティ情報の影響を受けるのは、現在サポート対象となっている全てのWindows(Windows XP/Vista/7/Server 2003/Server 2008/Server 2008 R2)。 最大深刻度が緊急のセキュリティ情報は次の1件。 (1)[MS11-083]TCP/IP の脆弱性により、リモートでコードが実行される (2588516) これは、Windowsの通信機能に関するセキュリティ情報。Windows Vista/7/
奈良先端科学技術大学院大学の提供する茶筌 (ChaSen) には、バッファオーバーフローの脆弱性が存在します。 茶筌 (ChaSen) version 2.4.4 およびそれ以前茶筌 (ChaSen) version 2.3.3 およびそれ以前上記バージョンの茶筌 (ChaSen) を組み込んでいるソフトウェアが本脆弱性の影響を受けます。 奈良先端科学技術大学院大学の提供する茶筌 (ChaSen) は、日本語の形態素解析をするためのソフトウェアです。茶筌 (ChaSen) には、文字列の読み込みに問題があり、バッファオーバーフローの脆弱性が存在します。 なお、茶筌 (ChaSen) は一時的に開発が停止していましたが、2011年12月8日より、ChaSen legacy プロジェクトによって開発が再開されました。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く