2009年12月、Googleを筆頭とする有名企業が中国からと思われるサイバー攻撃の被害に遭った。「オーロラ作戦」と呼ばれるこの攻撃は、当時まだ修正されていなかったInternet Explorer(IE)の脆弱性を狙ったゼロデイ攻撃だった。 オーロラ作戦攻撃で最大の警鐘となったのは、相当のセキュリティリソースを持つ組織でも被害に遭うことがあるという点だ。最先端を行き、ITセキュリティ資金も豊富なはずの組織でさえもハッキングされるのなら、それより規模が小さくリソースが少ない組織がそうした攻撃から身を守るのはさらに難しい。しかし、オーロラ作戦から得られた重要な教訓もあり、本稿ではこの攻撃について、そして今後の同じような攻撃に対して守りを固めるための最善の方法について、企業が知っておくべき事項を解説する。 関連ホワイトペーパー Internet Explorer | ゼロデイ | マルウェア
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、ウェブサイト開発者や運営者が、適切なセキュリティ対策を考慮したウェブサイトの作成が行えるようにすることを目的にまとめた資料です。この資料には、届出件数の多かった脆弱性や攻撃による影響の大きい脆弱性を取り上げており、安全なウェブサイト作成の参考にすることができます。 英語環境下でのウェブサイト開発者が、適切なセキュリティ対策を考慮したウェブアプリケーションの実装が行えるよう「安全なウェブサイトの作り方」の英語版の公開を望む声がIPAに寄せられています。今回の英語版は、2010年1月20日に公開した「安全なウェブサイトの作り方 改訂第4版」を英訳したもので、内容は日本語版と同様です。 第3版から第4版への改訂内容は次のとおりです。 英語版第3版(3rd Edition)で2項目あった失敗例に4項目を追加し、合計
2つの世代のCisco Systems製ワイヤレスLAN装置に複数の脆弱性が存在するという。研究者らがBlack Hatセキュリティカンファレンスで報告した。 ドイツの検査企業ERNWの研究者であるEnno Rey氏とDaniel Mende氏は、異なる2世代のCiscoのWi-Fiキットに進入する方法を説明した。両氏によると、これらの脆弱性はかなり容易に発見し、利用することができるという。 両氏は米国時間4月14日、「Hacking Cisco Enterprise WLANs」(Cisco Enterprise WLANのハッキング)というプレゼンテーションにおいて、Ciscoの第1世代の装置である「Cisco Structured Wireless Aware Network」(Swan)を対象とした攻撃を説明した。 両氏は、Ciscoの「Wireless LAN Context C
printenv at xss-quiz.int21h.jp Your IP address: 133.242.243.6 () NameValue HTTP_ACCEPT*/* HTTP_CACHE_CONTROLno-cache HTTP_CONNECTIONclose HTTP_HOSTxss-quiz.int21h.jp HTTP_USER_AGENTHatenaBookmark/4.0 (Hatena::Bookmark; Analyzer) QUERY_STRING REMOTE_ADDR133.242.243.6 REQUEST_METHODGET REQUEST_SCHEMEhttp REQUEST_URI/
イラストSNS「pixiv」の一部の作品に対し、「ツマンネ」「ヘタクソ」「気持ちわる」といった中傷コメントが意図せずに投稿されてしまう問題が起きた。運営会社が調べたところ、何者かがユーザーに脆弱性を悪用した外部URLをクリックさせ、意図しないコメントを投稿させていたことが分かり、既に脆弱性は修正した。 ピクシブの開発者ブログによると、問題は2月5日~14日に発生。イラストのキャプション欄などに貼られていたあるURLをクリックすると、外部サイトを経由し、中傷コメントが投稿されるようになっていた。 URLをクリックしたユーザーが意図しない機能を実行させられるWebアプリの脆弱性の一種・クロスサイトリクエストフォージェリ(CSRF)を悪用していた。脆弱性は14日に修正した。アカウントが乗っ取られたわけではなく、個人情報の漏えいや改ざんはないとしている。ウイルス感染の被害もないという。 pixiv
種明かしをすると、昨日のような日本語+(拙い)英語の長文エントリをSageの最新版が公開されたその日に書き上げることができるわけもなく、あれは先月24日にバージョン1.4.4がリリースされてから少しずつ書き進めていたものに1.4.5で更新された内容を加筆したものです。実は1.4.4において脆弱性が修正されていないことはリリース直後に把握していましたが、作者によると「Firefox 3.6 compatibility release following shortly」とのことでしたので公開は保留していました。ですが、恐らくバージョン1.4.5になっても脆弱性が修正されない可能性も十分にあり得ると踏んでいました。そして実際その通りになったわけです。 昨日書いた問題点のうち、不正なリンクURIを使った攻撃については発見者によって脆弱性の実証が可能なテストファイルを含む形で公開されていますし、そ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
