High Sierraの「I am root」問題はsuコマンドでも可能だったそうです。詳細は以下から。 現地時間2017年11月28日午後、トルコのソフトウェアエンジニアLemi Orhan Erginさんのツイートによって広まった脆弱性”CVE-2017-13872″は、ユーザ名に「root」を使用することでパスワード無しに管理者権限でログインできるというmacOSの根幹を揺るがすもので、セキュリティ関係者の間ではガーディアンズ・オブ・ギャラクシーのGrootの台詞「I am Groot」をもじり”#iamroot“問題として広まりましたが、 Appleが本日公開した「Security Update 2017-001」でこの脆弱性が修正されたのを受け、この不具合を既に把握していたセキュリティ関係者が情報を公開(Full disclosure)しており、それによるとこの脆弱性はコマンドラ
今日(6月18日)午後、GigaZineで「iOSとOS XでiCloud・メール・ブラウザ保存のパスワードが盗まれる脆弱性が発覚、Appleは半年以上も黙殺」1というセンセーショナルな記事が出ました。まぁ、Webメディアだからしょうがないかという感じではありますが、記事を読んだだけでは何のことやらさっぱりなので、読みましたよ、元の論文。 その論文は、これです。 Xing, Bai, Li, Wang, Chen, Liao: “Unauthorized Cross-App Resource Access on MAC OS X and iOS” 2 まずは、著者たちに拍手をしましょう。 その上で: 著者たちが、初めて発見したと主張するゼロデイ攻撃は以下の4つ、細かくは5つに分類されます。 Password Stealing (Keychainのアクセス・コントロール脆弱性)[MacOS
Hidden backdoor API to root privileges in Apple OS X
TL;DR The Admin framework in Apple OS X contains a hidden backdoor API to root privileges. It’s been there for several years (at least since 2011), I found it in October 2014 and it can be exploited to escalate privileges to root from any user account in the system. The intention was probably to serve the “System Preferences” app and systemsetup (command-line tool), but any user process can use th
このマルウェアは感染先のMacにバックドアを開いて攻撃側のサーバに接続し、画面のスクリーンショットを収集するなどの機能を持つ。 正規のApple Developer IDを使って署名されたマルウェアが出回り、Macを使っている人権活動家などの監視に使われているのが見つかったという。セキュリティ企業のF-Secureが5月22日のブログで伝えた。 F-Secureによると、ドイツの捜査関係者から連絡を受けて調べたところ、Macを狙ったスパイウェア「OSX/KitM」が、2012年12月から2013年2月にかけて発生したスピアフィッシング攻撃に使われていたことが分かったという。 この攻撃では、クリスマスカードに見せかけたファイルをメールに添付して送る手口で、狙った相手をOSX/KitMに感染させていた。OSX/KitMは、感染先のMacにバックドアを開いて攻撃側が操るルーマニアのサーバに接続し
アップルに関連したハッキングのタイムライン 2013年02月20日21:20 ツイート sean_sullivan ヘルシンキ発 by:ショーン・サリバン Apple関連のハッキングには、たくさんの複雑な話が含まれる。タイムラインでおさらいしよう。 2月1日:Twitterの情報セキュリティ部門のディレクターBob Lord氏が、Twitterのブログに「Keeping our users secure」という記事を投稿。金曜日のことである。NFLのスーパーボウルがあった週末だ。Lord氏は同社がハッキングされ、結果的に25万個のアカウントのパスワードをリセットすることになったと説明した。同氏はブラウザのJavaのプラグインを無効にするようにアドバイスした。 2月1日:アメリカ国土安全保障省のUS-CERT(United States Computer Emergency Readine
Facebookのハッキングと、モバイル・アプリ開発者への水飲み場型攻撃と、Macのマルウェア 2013年02月18日22:12 ツイート sean_sullivan ヘルシンキ発 by:ショーン・サリバン 2月1日金曜日。Twitterがハッキングされたとアナウンス。情報セキュリティ部門のディレクターBob Lord氏によるブログへの投稿(Keeping our users secure)では詳細不明だったが、ブラウザのJavaプラグインを無効にするように推奨。 そして同氏によると、攻撃者は「非常に精通しており、他の企業や組織も最近同様の攻撃を受けたことを確信している」とのことだ。 2月15日金曜日。Facebookがハッキングされたとアナウンス。セキュリティ・チームのノート(Protecting People On Facebook)によれば、ほんの一握りの従業員が、「ラップトップに
機能を絞り、Leopardの標準アプリケーションとの連携を重視。データベースの概念を知る必要なく、利用できるパーソナルデータベース“Bento”が登場する。 FileMakerが11月14日に発表したパーソナルデータベース「Bento」。これは、まるで「iTunes」で楽曲を管理するように、友人のアドレスや予定、各種のファイルなどを管理できる個人向けデータベースだ。 イベントやパーティの参加者リスト、プロジェクトのトラッキング、ToDoリスト、在庫目録、音楽や映画などのライブラリ……。こうした個人で利用するデータベースを簡単に作ることができる。ここで言う“簡単”とは、iLifeやiWorkを使うのと同じレベルの簡単だ。データベースの概念を理解する必要なく、容易にデータベースを構築できる。 アドレスブックとiCalからデータ取得 データベースの作り方は“iTunes的”と表現すると分かりやす
カナダのバンクーバーで開催されたセキュリティ・コンファレンス「CanSecWest Vancouver 2007」(4月18~20日)で初めて実施されたハッキング・コンテストでは、「Mac」への侵入を果たしたハッカーが1万ドルの賞金を獲得した。 このハッカーは、AppleのWebブラウザ「Safari」に存在するセキュリティ・ホールをターゲットにしてコンテストに優勝したという。CanSecWestの運営者の1人であるショーン・コモ氏は、「現時点で流通しているOS Xはすべて、このセキュリティ・ホールによって脆弱になっている」と指摘する。 コンファレンス運営者らは、Macにもセキュリティ上の欠陥があることを広く知らしめるために今回のコンテストを開催することにしたとしている。 CanSecWestをはじめ複数のセキュリティ関連コンファレンスで運営主任者を務めてきたドラゴス・ルイウ氏は、「OS
Adaを覚えても職場ではスクリプト言語なんだよね、それにPerl6も出たし まずはこれから。よく聞くんだけど、これは解決可能な問題だ。というか問題設定が間違っている。 最初に根本的に疑問なんだけど、なぜ会社で使っているのと同じ言語をあなたが使わないといけないんだろう。慣れてるから? 仕事を持ち帰るから? 自分のために使うのはAdaでいいと思う。あなたが自分のためにやることってなんだろう。Google検索を使ってピザを注文することかな。そうじゃないだろう。ここを読んでいるほとんどの人にとって重要なのは、メールを読み書きして、Webを見て、Blogを書いて、プログラムを書いて、っていうことだろう。他にも、デジカメで撮った写真を整理するアプリを作ったり、音楽を共有したりっていうのもある。この中には、スクリプト言語じゃなきゃできないことっていうのはたぶんない。特に、会社で使っていスクリプト言語と同
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
