The npm blog has been discontinued. Updates from the npm team are now published on the GitHub Blog and the GitHub Changelog. tl;dr - Update to npm v6.13.4 as soon as possible on all your systems to fix a vulnerability allowing arbitrary path access. The Vulnerabilities In versions of npm prior to 6.13.3 (and versions of yarn prior to 1.21.1), a properly constructed entry in the package.json bin fi
送信元表記が送信者IDのケース SMSのメッセージを受信した際に表示される送信元には、電話番号の代わりに任意の英数字も表記できる。この英数字の送信元表記を「送信者ID(Sender ID)」という。JC3の図では 通信事業者A が送信者IDに当たる。 なお送信者IDの利用可否は受信側の通信事業者の対応状況によって異なる。Twilioの販売パートナーであるKWCの説明によると、日本国内ではNTT DOCOMOとSoftBankが送信者IDに対応し、KDDIは対応していないとのこと²。私はKDDIの回線を所有していないため、受信側がKDDIの電話番号を使用している場合の挙動は検証できていない。 まずはiOSの公式メッセージアプリに届いていたAmazonからのメッセージのスレッドで偽装を試みる。送信者IDは Amazon となっているため、TwilioでSMSを送信する際のFromの値に Ama
7payの新規登録停止を知らせる張り紙。全国津々浦々のフランチャイズ店舗にまで掲出を行き渡らせるのは簡単なことではない。 撮影:7pay取材班 7payの不正使用をめぐって、その脆弱性が背景にあるとの見方が強まっている。窃盗容疑などで複数の中国籍の容疑者らが逮捕されているが、実態にはまだ不可解な部分が少なくない。 一連の7pay報道のなかで、徐々にハッキングの手法に関する情報が出てきたが、具体的に「7payの脆弱性とは、一体どんなものだったのか」は直接的に報じられていない。 Business Insider Japanの「7pay」取材班では、複数の協力者の通信解析を通じて、7payとその周辺に潜む脆弱性のうち、重要な事象の1つである外部ID経由のハッキング(不正侵入)のメカニズムについて確証を得た。 不正アクセス犯はどんな手口で侵入したのかを探る。
「セブンペイ HP」より 7payでの「クレジットカードからの不正チャージ」事件は、史上まれに見る「ずさんなセキュリティ」が背景にあることがわかってきました。被害者インタビューから考えると、セブンイレブンからの情報漏えいの可能性を考えなければなりません。 決済業界の中の人・めるかば氏も被害 7payの事件では、多くの被害者が経緯をTwitterでリポートしています。そのなかでもっとも信頼できる情報を発信されているのが、めるかば氏です。めるかば氏は、ある企業で決済の仕事をされており、まさに今回の事件が起きた同じ業界にいらっしゃる方です。めるかば氏に伺った話から、被害の経緯をまとめます。 被害にあっためるかば氏の報告ツイート。一連のツイートで被害状況を詳しくリポートしている めるかば氏の被害経緯 ・7月1日:7payサービス開始にともない登録。5,000円チャージし、1度決済 ・7月3日朝:7
JVN#37288228 スマートフォンアプリ「+メッセージ(プラスメッセージ)」における SSL サーバ証明書の検証不備の脆弱性 SoftBank Android アプリ「+メッセージ(プラスメッセージ)」 10.1.7 より前のバージョン iOS アプリ 「+メッセージ(プラスメッセージ)」バージョン 1.1.23 より前のバージョン 株式会社NTTドコモ Android アプリ「+メッセージ(プラスメッセージ)」 42.40.2800 より前のバージョン iOS アプリ 「+メッセージ(プラスメッセージ)」バージョン 1.1.23 より前のバージョン KDDI株式会社 Android アプリ「+メッセージ(プラスメッセージ)」 1.0.6 より前のバージョン iOS アプリ 「+メッセージ(プラスメッセージ)」バージョン 1.1.23 より前のバージョン
Appleは、Macやスマートデバイス向けにテキスト処理に起因する脆弱性を解消するアップデートをリリースした。 「macOS High Sierra 10.13.3 Supplemental Update」や「iOS 11.2.6」の提供を開始したもの。 いずれのアップデートも、テキスト処理に起因する脆弱性「CVE-2018-4124」を修正する。 特定のUNICODE文字を処理するとメモリ破壊が生じ、アプリケーションがクラッシュする。問題の文字コードを含んだツイートなど拡散させうようとするなど、脆弱性を悪用する動きも確認されていた。 Macに関しては、「macOS High Sierra 10.13.3」向けのアップデートのみとなっている。また同様の問題を解消するため「tvOS 11.2.6」「watchOS 4.2.3」もあわせてリリースした。 (Security NEXT - 201
Appleが「iOS 11.2.6」「macOS High Sierra 10.13.3追加アップデート」を公開。特定の文字列を使用するとアプリがクラッシュする問題を修正した。 米Appleは2月19日、iOSやmacOS High Sierraなどのアップデートを公開し、インドで使われているテルグ語の特定の文字を受信するとアプリがクラッシュする問題に対処した。 Appleのサポート情報によると、iOSの更新版となる「iOS 11.2.6」では、特定の文字列を使用するとアプリがクラッシュする問題、および一部の他社製のアプリが外部アクセサリに接続できない問題の2件を修正した。 また、セキュリティ関連ではCoreTextの脆弱性に対処した。この脆弱性を悪用された場合、細工を施した文字列を処理することによって、ヒープ破損を誘発される恐れがあった。 iOSと同じ不具合や脆弱性は、同日公開された「m
米Intelの脆弱性対策パッチをインストールした一部のCPU搭載マシンでリブートが増える不具合が確認された問題で、Intelは1月22日、現在出回っているパッチの導入を中止するよう、メーカーやエンドユーザーに呼び掛けた。 Intelは「Meltdown」「Spectre」と呼ばれるCPUの脆弱性が発覚したことを受け、1月上旬までにOEMなどを通じて対策パッチを配信した。ところがこのパッチが原因でリブートが増える不具合が報告され、IntelはBroadwell、Haswell、Skylake、Kaby Lakeの各CPUを搭載したマシンで問題を確認していた。 1月22日の時点では、このうちBroadwellとHaswellの問題について、根本の原因を突き止め、アップデートの初期バージョンを業界パートナー向けにリリースしてテストを行っているという。テストが完了次第、正式リリースを予定している。
パスワードなしでログインできてしまう「Mac」のバグがまた発見された。しかし、前回発見された同様のバグと異なり、今回のバグを悪用されても、コンピュータに少しいたずらされるだけで済みそうだ。 このバグが発見されたことで、Appleのソフトウェアの全体的な品質について、懸念の声が上がるのは避けられないだろうが、この脆弱性を悪用されても、コンピュータを完全に乗っ取られることはない。 2つのバグを比較してみよう。2017年11月、ユーザー名として「root」を使用すれば、誰でもパスワードなしでMacにログインできることが明らかになった。これは、コンピュータ内のデータを泥棒や詮索好きな友達、家族、同僚から守る最も基本的な防衛線を無力化する深刻な脆弱性だ。米国時間2018年1月8日、パスワードフィールドにどのような文字を入力しても、システム環境設定の「App Store」設定のロックを解除できることが
Key Reinstallation Attacks Breaking WPA2 by forcing nonce reuse Discovered by Mathy Vanhoef of imec-DistriNet, KU Leuven, 2017 Introduction We discovered serious weaknesses in WPA2, a protocol that secures all modern protected Wi-Fi networks. An attacker within range of a victim can exploit these weaknesses using key reinstallation attacks (KRACKs). Concretely, attackers can use this novel attack
Appleは、Mac向けOSの新バージョン「macOS High Sierra」をリリースした。しかし、そのわずか数時間前に、あるセキュリティ研究者がゼロデイ脆弱性を指摘していた。 米国家安全保障局(NSA)の元アナリストで、現在はSynackで主席セキュリティ研究者を務めるPatrick Wardle氏が、ハッキングの様子(パスワードを抜き取るエクスプロイト)を示した動画を投稿した。 パスワードは、Macのキーチェーンに格納されている。通常は、マスターログインパスワードがなければ、これにアクセスすることはできない。 しかしWardle氏は、攻撃者がインターネットからダウンロードした無署名のアプリを使用して、そのパスワードがなくてもプレーンテキストで記されたすべてのパスワードを取得して盗むことのできる脆弱性を示している。 同氏は、ハッキングの様子を示す短い動画へのリンクをツイートした。 W
Incapsulaのセキュリティ研究者であるDaniel Svartman氏は8月30日(米国時間)、「Discovering a Session Hijacking Vulnerability in GitLab|Incapsula」において、GitLabにセッションハイジャック可能な脆弱性が存在していたと伝えた。同氏は5月18日の時点でGitLabに問題を報告しており、対処が行われるまで情報公開を控えていたとしている。記事では、GitLabに存在していたセッションハイジャックの脆弱性がどのようなものであったか、GitLabがどのような対処をしたかを伝えている。 GitLabとは、Gitベースのリポジトリ管理、問題追跡、コードレビューなどが行えるOSS。 今回発見されたセッションハイジャックは古くから存在している脆弱性の1つ。セッショントークンを窃取されると、ユーザーになりすましてさまざ
エグゼクティブサマリ WordPress 4.7と4.7.1のREST APIに、認証を回避してコンテンツを書き換えられる脆弱性が存在する。攻撃は極めて容易で、その影響は任意コンテンツの書き換えであるため、重大な結果を及ぼす。対策はWordPressの最新版にバージョンアップすることである。 本稿では、脆弱性混入の原因について報告する。 はじめに WordPress本体に久しぶりに重大な脆弱性が見つかったと発表されました。 こんな風に書くと、WordPressの脆弱性なんてしょっちゅう見つかっているという意見もありそうですが、能動的かつ認証なしに、侵入できる脆弱性はここ数年出ていないように思います。そういうクラスのものが久しぶりに見つかったということですね。 WordPress、更新版で深刻な脆弱性を修正 安全確保のため情報公開を先送り Make WordPress Core Conten
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
