Linux」カテゴリーアーカイブ

MeltdownやSpectre脆弱性を性能低下無しに回避する手法が考案される | スラド セキュリティ

MeltdownやSpectre脆弱性を性能低下無しに回避する手法が考案される | スラド セキュリティ

MeltdownやSpectre脆弱性を性能低下無しに回避する手法が考案される | スラド セキュリティ

今年1月に発見されたCPUの脆弱性「Meltdown」や「Spectre」では、対策を行うとCPUの演算性能が低下することが知られている(過去記事)。これに対し、米マサチューセッツ工科大学が演算性能の低下無しに脆弱性対策を行う手法を開発したという(PC Watch、TechCrunch)。 この手法はプログラムが別のプログラムによって使...

はてなブックマーク - MeltdownやSpectre脆弱性を性能低下無しに回避する手法が考案される | スラド セキュリティ はてなブックマークに追加

Google、オフラインで共有したAndroidアプリを安全にインストールする機能のベータ提供を開始

headless曰く、

Googleは19日、Google Playから入手したAndroidアプリのAPKファイルをオフラインでピアツーピア共有し、安全なインストールを可能にする機能のベータ版提供開始を発表した(Android Developers Blog9to5GoogleVentureBeat)。

Googleは6月からGoogle Playで公開されるアプリのAPKファイルにセキュリティ関連メタデータの追加を開始しており、このデータを使用して正規のAPKファイルであることを確認する。この機能を利用するにはGoogle Playが認めたピアツーピアアプリが必要となり、当初対応するのは「SHAREit」のみとなっているが、今後数週間のうちに「Files Go by Google」や「Xender」でも利用可能になるとのこと。

通信コストの高い地域や通信速度の遅い地域ではAPKファイルを共有してアプリをインストールするといったことがよく行われている。ユーザーはこのサービスを利用することで安全な共有が可能になるだけでなく、アプリがGoogle Playのライブラリーに追加されるため、アップデートを受け取ることも可能だ。

開発者にとってはGoogle Playで認証された新たなアプリ配布手段が追加されることになり、ユーザー数の増加も期待できる。変更はGoogle Play側ですべて行われるため、開発者側での対応は必要ない。

すべて読む | モバイルセクション | セキュリティ | ソフトウェア | デベロッパー | Android | 携帯通信 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Google Playで公開されるアプリのAPKファイル、セキュリティ関連メタデータの追加が始まる 2018年06月23日
検出能力の低いセキュリティアプリが多数のマルウェアを検出できる理由とは? 2018年04月01日
Google Playで新規公開/更新するアプリ、最新APIをターゲットにすることが必須に 2017年12月23日

MeltdownやSpectre脆弱性を性能低下無しに回避する手法が考案される

今年1月に発見されたCPUの脆弱性「Meltdown」や「Spectre」では、対策を行うとCPUの演算性能が低下することが知られている(過去記事)。これに対し、米マサチューセッツ工科大学が演算性能の低下無しに脆弱性対策を行う手法を開発したという(PC WatchTechCrunch)。

この手法はプログラムが別のプログラムによって使用されているキャッシュにアクセスすることを防ぐためにキャッシュメモリの割り当てを制御するもので、OS側の最小限の修正で実現でき、実装が容易で性能の低下もないという。

すべて読む | セキュリティセクション | セキュリティ | Intel | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
デスクトップ版Chrome 67、Spectreなどの対策としてSite Isolationが有効に 2018年07月15日
Spectre/Meltdown脆弱性の新バリアント2件が公表される 2018年05月25日
「Spectre」に似たCPUの脆弱性8つが新たに発見される 2018年05月08日
Intel、古いプロセッサーでのSpectre 2対策をあきらめる 2018年04月07日
Meltdown/Spectre対策パッチを導入した際の性能劣化を示すベンチマークをIntelが公開 2018年01月16日
本来アクセスできないメモリ領域のデータを読み出せる可能性がある脆弱性が見つかる、多くのCPUに影響 2018年01月04日

Facebook、大手セキュリティ企業を買収か──The Information報道 – ITmedia NEWS

Facebook、大手セキュリティ企業を買収か──The Information報道 - ITmedia NEWS

 Facebook、大手セキュリティ企業を買収か──The Information報道 - ITmedia NEWS

Faceookが複数のセキュリティ企業に買収を持ち掛けていると、The Informationが報じた。同社は9月、脆弱性を突かれて約5000万人のアカウント情報に影響があったと発表している。 米Facebookが複数のセキュリティ企業に買収を持ち掛けていると、米The Infromationが10月21日(現地時間)、複数の情報筋の話として報じた。...

はてなブックマーク -  Facebook、大手セキュリティ企業を買収か──The Information報道 - ITmedia NEWS はてなブックマークに追加

金融庁「匿名性が高い仮想通貨の取扱い」「倒産リスク」を補足説明 〜第7回「仮想通貨交換業等に関する研究会」では前回の議題についての意見交換も – 仮想通貨 Watch

金融庁「匿名性が高い仮想通貨の取扱い」「倒産リスク」を補足説明 〜第7回「仮想通貨交換業等に関する研究会」では前回の議題についての意見交換も - 仮想通貨 Watch

金融庁「匿名性が高い仮想通貨の取扱い」「倒産リスク」を補足説明 〜第7回「仮想通貨交換業等に関する研究会」では前回の議題についての意見交換も - 仮想通貨 Watch

はてなブックマーク - 金融庁「匿名性が高い仮想通貨の取扱い」「倒産リスク」を補足説明 〜第7回「仮想通貨交換業等に関する研究会」では前回の議題についての意見交換も - 仮想通貨 Watch はてなブックマークに追加

アルミ缶に洗剤、化学反応で破裂 容器移し替えに注意  :日本経済新聞

アルミ缶に洗剤、化学反応で破裂 容器移し替えに注意  :日本経済新聞

アルミ缶に洗剤、化学反応で破裂 容器移し替えに注意  :日本経済新聞

JR新宿駅(東京都新宿区)のホームでアルミニウム製の缶からアルカリ性の洗剤が噴出し、通行人が負傷する事故が起きた。洗剤と缶が化学反応を起こし、発生した水素ガスの圧力で缶の蓋が外れ、洗剤が飛散したとみられる。洗剤の容器の移し替えには注意が必要だ。 「山手線のホームでアルミ缶が爆発しました!」。8月下旬...

はてなブックマーク - アルミ缶に洗剤、化学反応で破裂 容器移し替えに注意  :日本経済新聞 はてなブックマークに追加

Apple、Macアプリ開発者に対しアプリへの署名と公証を求め、次期macOSのGatekeeperは全てのアプリでAppleの公証が必要に。 | AAPL Ch.

Apple、Macアプリ開発者に対しアプリへの署名と公証を求め、次期macOSのGatekeeperは全てのアプリでAppleの公証が必要に。 | AAPL Ch.

Apple、Macアプリ開発者に対しアプリへの署名と公証を求め、次期macOSのGatekeeperは全てのアプリでAppleの公証が必要に。 | AAPL Ch.

AppleがMacアプリ開発者に対しアプリへの署名と公証を求め、次期macOSのGatekeeperの下アプリを利用するには野良アプリでもこれらが必要になるそうです。詳細は以下から。  Appleは2018年06月に開

はてなブックマーク - Apple、Macアプリ開発者に対しアプリへの署名と公証を求め、次期macOSのGatekeeperは全てのアプリでAppleの公証が必要に。 | AAPL Ch. はてなブックマークに追加

8月12日からTCP 445番ポートへのアクセス増加 – JPCERT/CC | マイナビニュース

8月12日からTCP 445番ポートへのアクセス増加 - JPCERT/CC | マイナビニュース

8月12日からTCP 445番ポートへのアクセス増加 - JPCERT/CC | マイナビニュース

JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center、JPCERT/CC)は10月18日(米国時間)、「インターネット定点観測レポート(2018年 7~9月)」において、2018年第3四半期におけるインターネット定点観測レポートを公開した。2018年8月12日以降、TCPの445番ポート(microsoft...

はてなブックマーク - 8月12日からTCP 445番ポートへのアクセス増加 - JPCERT/CC | マイナビニュース はてなブックマークに追加

プライバシーとセキュリティを念頭に置いたFacebookの新デバイス、データはターゲティング広告に

Facebookは8日に発表したビデオコミュニケーションデバイス「Potral」について、プライバシーとセキュリティを念頭に置いて作ったと主張しているが、それでもユーザーのデータは収集してターゲティング広告に使用するという(Recodeの記事The Vergeの記事Android Policeの記事)。

Portalのマーケティングを率いるDave Kaufman氏はRecodeのKurt Wagner氏に対し、通話ログやアプリ利用状況などPortalが収集する一切のデータをターゲティング広告に使用することはない、と説明していたが、その説明は誤りだったそうだ。

後日Facebookの広報担当者がRecodeに電子メールで伝えたところによると、Portalの通話機能はMessengerのインフラストラクチャー上に構築されているため、通話ログはMessengerを実行する他のデバイスと同様に収集されるのだという。通話ログに加え、アプリ利用状況などPortalで収集されるデータは、Facebookのプラットフォーム上で広告を表示するための情報として使われるとのこと。

これについて製品担当VPでPortalの責任者を務めるRafa Camargo氏は、不正確な情報を提供したことをWagner氏に電話で謝罪。技術的にデータを広告ターゲティングに利用可能であっても、実際に使われることは知らなかったという。Portal自体は広告を表示しないため、Portalチームではデータをターゲティングに使用する計画はなく、それが混乱の原因になったとのことだ。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ | 通信 | YRO | Facebook | 広告 | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Facebook、アクセストークン不正取得問題で被害状況を確認可能なヘルプページを公開 2018年10月16日
WhatsAppの創設者、WhatsAppをFacebookに売ったことを後悔していると発言 2018年10月01日
Facebook、テレビCMに反応してスマホに周囲の音を録音・送信させテレビ視聴状況を分析する特許を出願 2018年07月02日
Facebook、閲覧者のマウス操作や周囲のデバイスなどを含むさまざまな情報収集を認める 2018年06月19日
プライベートな投稿が全員に公開される可能性のあるFacebookのバグ、1,400万人に影響 2018年06月10日
「Facebookはすべてを知っている」のか 2018年04月04日
Facebook、Androidユーザーからの通話/SMS履歴収集はオプトインによるものだと主張 2018年03月29日
Facebook、Brexitキャンペーンや米大統領選の結果に大きな影響を与えたとされる企業のアカウントを停止 2018年03月21日
Facebookの二段階認証でSMSを使用すると、登録した電話番号にスパムが届く? 2018年02月17日

【随時更新】Webセキュリティ診断ツールのまとめ – まったり技術ブログ

【随時更新】Webセキュリティ診断ツールのまとめ - まったり技術ブログ

【随時更新】Webセキュリティ診断ツールのまとめ - まったり技術ブログ

◆ Burp Suite 公式 Burp Suite Scanner | PortSwigger https://portswigger.net/burp 多くの拡張プラグインが公開されている https://github.com/PortSwigger GUIアプリケーション シナリオ型の設定可能 ◆ OWASP ZAP 公式 OWASP Zed Attack Proxy Project - OWASP https://www.owasp.org/index.php/OWASP_Zed_Attack_Pro...

はてなブックマーク - 【随時更新】Webセキュリティ診断ツールのまとめ - まったり技術ブログ はてなブックマークに追加

macOSのセキュリティを最大限に高める7つの方法 | ライフハッカー[日本版]

macOSのセキュリティを最大限に高める7つの方法 | ライフハッカー[日本版]

macOSのセキュリティを最大限に高める7つの方法 | ライフハッカー[日本版]

先日、Ricard Bejarano氏が「macOSを強化する」というブログ記事を投稿し、macOSのセキュリティを最大限に高める設定を列挙していました。 このリストはユーザーがすべきことが網羅されたすばらしい内容ですが、そうした対策を「なぜ」とらなければならないかを理解することも重要です。 今回は、同氏のアドバイスの中からと...

はてなブックマーク - macOSのセキュリティを最大限に高める7つの方法 | ライフハッカー[日本版] はてなブックマークに追加

在英エクアドル大使館がジュリアン・アサンジ氏に出した館内での行動に関する指令書(猫の世話含む)

英国・ロンドンのエクアドル大使館が、長年保護しているジュリアン・アサンジ氏に対し、11日付で出したとされる大使館内での行動に関する指令書がリークしている(Código Vidrioの記事The Gateway Punditの記事The Guardianの記事The Vergeの記事)。

アサンジ氏は2010年にロンドンで逮捕されたが、保釈中の2012年に政治亡命を求めてエクアドル大使館に入り、現在まで滞在を続けている。大使館の外では保釈中に逃亡したアサンジ氏を逮捕しようと英警察が待ち構えているため、アサンジ氏は大使館外に出ることはできないものの、大使館内では比較的自由に行動できていたようだ。しかし大使館は3月、アサンジ氏がエクアドルと他国の間で外交問題を引き起こすような政治的発言をしないという約束を破ったとして、アサンジ氏のインターネットアクセスをブロックする。また、訪問者をアサンジ氏の弁護団に限定し、警備会社の契約も打ち切ったという。

リークした文書は(PDF)はスペイン語で書かれたもので、全9ページ、規定は32項目におよび、守られない場合はアサンジ氏に対する外交的庇護を打ち切ると明記されている。英訳が添付されるとの記載もみられ、英訳の文書(PDF)も公開されているが、(文書自体が本物だとして)アサンジ氏に渡された英訳と同じものなのか、リークしたスペイン語の文書を英訳したものなのか明確ではない。

規定は訪問者・通信・医療の3つに大きく分けられており、訪問者に関しては事前に書面による承認が必要なことや、訪問者を大使館が記録すること、規定を守らない訪問者は英当局に通報することなどが定められている。通信についてはWi-Fiサービス提供やアサンジ氏が使用できる通信機器、3月にブロックの原因となった外交上の問題を引き起こす発言を控えることなどが記載されている。

すべて読む | セキュリティセクション | 検閲 | セキュリティ | 通信 | 政治 | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ジュリアン・アサンジ氏を外交官にして身柄拘束を防ぐというエクアドル政府の試み、英政府に断られる 2018年01月13日
WikiLeaks創設者のジュリアン・アサンジ氏の生存が確認される 2016年12月02日
WikiLeaksの創始者ジュリアン・アサンジ氏、時効成立で解放される可能性高まる 2015年08月18日
WikiLeaks、公式ショップオープン 2011年02月26日
アサンジ氏、最悪の場合は死刑も 2011年01月13日
アサンジ氏の保釈金としてマイケル・ムーア氏が2万ドルを提供 2010年12月16日
WIkileaksの創設者が投獄されるか死亡すると公開される「情報の核爆弾」 2010年12月12日
WikiLeaks問題、支持者がサイバー攻撃 2010年12月09日
Wikileaks創始者、ジュリアン・アサンジ氏が逮捕 2010年12月07日
Wikileaks、Amazonから締め出されDNSサーバーも停止。アサンジュ氏は逮捕間近? 2010年12月03日

dbxfs – Dropboxをファイルシステム化 MOONGIFT

dbxfs - Dropboxをファイルシステム化 MOONGIFT

dbxfs - Dropboxをファイルシステム化 MOONGIFT

Dropboxは各OS向けにクライアントソフトウェアを提供しています。常時Dropboxを使っているならば便利ですが、時々しか使わなかったり、ストレージ容量を使うために躊躇している方もいるでしょう。 そこで使ってみたいのがdbxfsです。FUSEを使ってDropboxをファイルシステム化します。 dbxfsの使い方 利用する際にはDropb...

はてなブックマーク - dbxfs - Dropboxをファイルシステム化 MOONGIFT はてなブックマークに追加

Let’s talk about PAKE – A Few Thoughts on Cryptographic Engineering

Let’s talk about PAKE – A Few Thoughts on Cryptographic Engineering

Let’s talk about PAKE – A Few Thoughts on Cryptographic Engineering

The first rule of PAKE is: nobody ever wants to talk about PAKE. The second rule of PAKE is that this is a shame, because PAKE — which stands for Password Authenticated Key Exchange — is actually one of the most useful technologies that (almost) never gets used. It should be deployed everywhere, ...

はてなブックマーク - Let’s talk about PAKE – A Few Thoughts on Cryptographic Engineering はてなブックマークに追加

ヨーグルトに大腸菌群混入か 森永乳業 1800個余を回収 | NHKニュース

ヨーグルトに大腸菌群混入か 森永乳業 1800個余を回収 | NHKニュース

ヨーグルトに大腸菌群混入か 森永乳業 1800個余を回収 | NHKニュース

大手乳業メーカー「森永乳業」は、ヨーグルトの一部の商品で大腸菌群が混入した可能性があるとして1800個余りを自主回収すると発表しました。 このうち回収の対象となるのは賞味期限が来月4日のもので、関東地方、福島県、山梨県、静岡県の1都9県で販売された1865個です。 会社によりますと、この商品を製造したグル...

はてなブックマーク - ヨーグルトに大腸菌群混入か 森永乳業 1800個余を回収 | NHKニュース はてなブックマークに追加

「はてな匿名ダイアリー」でGoogleかたる不正広告 運営が注意喚起 – ITmedia NEWS

「はてな匿名ダイアリー」でGoogleかたる不正広告 運営が注意喚起 - ITmedia NEWS

 「はてな匿名ダイアリー」でGoogleかたる不正広告 運営が注意喚起 - ITmedia NEWS

はてなが運営するWebサービス「はてな匿名ダイアリー」で、Googleを装う不正広告が表示されているという。原因となる広告事業者を特定するため、同社はユーザーに対して情報提供を呼びかけている。 はてなは10月19日、匿名で日記を書けるWebサービス「はてな匿名ダイアリー」でGoogleを装う不正広告が表示されていること...

はてなブックマーク -  「はてな匿名ダイアリー」でGoogleかたる不正広告 運営が注意喚起 - ITmedia NEWS はてなブックマークに追加

はてな匿名ダイアリーにて発生している不正な広告にご注意ください – Hatelabo Developer Blog

はてな匿名ダイアリーにて発生している不正な広告にご注意ください - Hatelabo Developer Blog

はてな匿名ダイアリーにて発生している不正な広告にご注意ください - Hatelabo Developer Blog

いつもはてなをご利用いただきありがとうございます。 はてな匿名ダイアリーをご利用のユーザー様より、サービスにアクセスした際に以下のようなページへ強制遷移されるとの報告をいただいております。 これはGoogle社を装った広告詐欺ですので、クリックや情報の入力を行わないようご注意ください。なお、Google社を装...

はてなブックマーク - はてな匿名ダイアリーにて発生している不正な広告にご注意ください - Hatelabo Developer Blog はてなブックマークに追加

Java Usage Tracker の脆弱性「CVE-2018-3211」を発見、Windows 環境で検証

トレンドマイクロは、Java の機能「Java Usage Tracker(JUT)」を利用することで、任意のファイル作成、攻撃者が指定したパラメータの注入、および上位権限の利用が可能になる脆弱性「CVE-2018-3211」を発見し、Windows 環境で検証しました。これらの活動を組み合わせることで、通常はその他のアプリケーションやユーザによるアクセスが制限されているリソースへのアクセスが可能になります。影響を受ける Java のバージョンは、「Java SE:8u182 および 11」と「Java SE Embedded: 8u181」です。

Java を提供する Oracle 社は、トレンドマイクロが運営する脆弱性発見・研究コミュニティ「Zero Day Initiative(ZDI)」の協力を受けてこの脆弱性を修正し、2018 年 10 月のクリティカルパッチアップデートにおいて更新プログラムを公開しました。従って、企業および一般ユーザは、Java を最新バージョンに更新することが推奨されます。

本記事では、問題の脆弱性が Windows 環境で利用可能となる条件および脆弱性攻撃の仕組みについて解説します。

■Java Usage Tracker(JUT)とは

JUT は、Java の使用状況を追跡する以下のような Java の機能です。

  • 「Java virtual machine(Java 仮想マシン、JVM)」の起動設定パラメータ情報の記録
  • データをダンプしログファイルに保存または UDP サーバに転送
  • JUT のプロパティファイルに設定したカスタムプロパティの値を記録

JUT は、初期設定では無効になっており、プロパティファイル “usagetracker.properties” を作成することで有効化および構成することが可能です。オペレーティングシステム(OS)ごとに定められた既定のパスにこのプロパティファイルを作成すると、PC で起動しているすべての JVM の使用状況を追跡することが可能になります。例えば、Windows OS ではプロパティファイルのパスは「%ProgramData%\Oracle\Java\」です。

以下は、”usagetracker.properties” の設定例です。

JUT のプロパティファイル usagetracker.properties の設定例
図 1:JUT のプロパティファイル “usagetracker.properties” の設定例

図 1 の 9 行目で指定されているように、JUT はファイル “global_javatracker.log” に情報を記録します。以下、Java アプリケーションの Web コンテナ「Apache Tomcat」がインストールされた PC を例に解説していきます。Tomcat のサービスが再起動されると、”global_javatracker.log” ファイルが作成され、Java 使用状況データが追加されます。Tomcat を起動するたびに、新しい追跡情報がファイル末尾に付け加えられます。

図 2 は追跡データの例です。図 1 のプロパティファイルで設定された区切り文字(この例ではカンマ「,」)によって値が区切られていることが分かります。

global_javatracker.logに追加された Tomcat の使用状況追跡データ
図 2:”global_javatracker.log” に追加された Tomcat の使用状況追跡データ

■ユーザが指定可能な JUT のプロパティ

JUT のプロパティファイル “usagetracker.properties” には、ユーザが指定することのできる以下のプロパティが存在します。

  • oracle.usagetracker.logToFile
  • oracle.usagetracker.additionalProperties

この「logTofile」プロパティには、ログファイルのパスとして PC 内の任意のパスを指定することが可能です。このログファイルは、監視対象の JVM によって作成されます。そのため、対象の JVM が上位の権限を持っている場合、JVM は権限に応じて PC 内の任意のパスにファイルを作成することが可能です。作成するファイルの拡張子には制限がなく、例えば “global_javatracker.bat” のように「.log」以外の拡張子を持ったログファイルの作成も可能です。

「logToFile」プロパティには任意のパスを設定することが可能ですが、JVM はユーザが操作することのできないデータを使用して値を書き込むため、通常はファイルの内容を操作することはできません。しかし、JUT は、ユーザが設定したカスタムプロパティの値を取得する機能を備えており、この機能を利用することでログファイルに任意の値を追加することが可能です。図 3 は、「additionalProperties」プロパティにカスタムプロパティを設定するコードです。

「additionalProperties」に設定することでカスタムプロパティを追加可能
図 3:「additionalProperties」に設定することでカスタムプロパティを追加可能
この例では「com.anotherInterestingProperty」という名称のプロパティを追加

図 4 のログファイルの末尾には、図 3 で追加したカスタムプロパティの値が「com.anotherInterestingProperty=null」のように記録されています。値が「null」ということは、このプロパティが存在していないことを意味します。

Tomcat サービス再起動後、ログファイルに追跡データが追加される
図 4:Tomcat サービス再起動後、ログファイルに追跡データが追加される

以上のように、JUT の挙動に関して、ユーザは、ログファイルのパスおよびカスタムプロパティの 2 つについて、任意の値を設定することが可能です。これだけでは攻撃に利用できるようには思われないかもしれませんが、その他のセキュリティ欠陥と組み合わせて利用することにより脆弱性攻撃が可能になります。

■カスタムプロパティを悪用する仕組み

カスタムプロパティを悪用する方法について解説していきます。図 5 の 9 行目に示したように、ログファイルのパスに「C:/ProgramData/Oracle/Java/global_javatracker.bat」を設定し、JUT が「.bat」という拡張子を持つファイル “global_javatracker.bat” を作成するようにします。次に、19 行目で、カスタムプロパティ「ping 172.0.1.1 >」を追加します。

JUT のプロパティファイルで、ログファイルのパスとカスタムプロパティを設定
図 5:JUT のプロパティファイルで、ログファイルのパスとカスタムプロパティを設定

図 6 のログファイルに「ping 172.0.1.1 >= null」とあることから、このカスタムプロパティの値が「null」であることが分かります。また、バッチファイル “global_javatracker.bat”の実行結果を見ると、「”VM start” is not recognized」というエラーメッセージが表示されています。

global_javatracker.batの実行結果(中)とglobal_javatracker.batの内容(右)
図 6:”global_javatracker.bat” の実行結果(中)
“global_javatracker.bat” の内容(右)

このエラーは、JUT のプロパティファイルで「com.oracle.usagetracker.separator = ,」のように区切り文字としてカンマ「,」が指定されており、生成されるログデータが 1 行になっていることに起因します。

そこで、図 7 のように、区切り文字として改行「\n」を指定してみます。

区切り文字として改行を指定した JUT のプロパティファイル
図 7:区切り文字として改行を指定した JUT のプロパティファイル

すると、図 8 のように複数行の追跡ログが生成されます。最終行にはカスタムプロパティの値「ping 172.0.1.1 >= null」を確認することができます。

区切り文字に改行「\n」を指定した際の追跡ログ
図 8:区切り文字に改行「\n」を指定した際の追跡ログ

ここで、”global_javatracker.bat” を実行すると、最終行の「ping 172.0.1.1 >= null」も実行されますが、ダブルクォーテーション「"」で囲まれているためコマンドとして認識されません。追跡ログを囲う記号は、プロパティファイル内で「com.oracle.usagetracker.quote = “」のように指定されています。そこで、図 9 のように、「com.oracle.usagetracker.quote」プロパティに空文字列を指定してみましょう。

囲い文字を表す「com.oracle.usagetracker.quote」プロパティに空文字列を指定
図 9:囲い文字を表す「com.oracle.usagetracker.quote」プロパティに空文字列を指定

今度は、”global_javatracker.bat ” 内の「ping 172.0.1.1 >= null」がコマンドとして認識され、図 10 のようにファイル “null” が作成されました。

囲い文字を表すプロパティ「com.oracle.usagetracker.quote」に空白文字列を指定した際のglobal_javatracker.batの実行結果
図 10:囲い文字を表すプロパティ「com.oracle.usagetracker.quote」に空白文字列を指定した際の “global_javatracker.bat” の実行結果

この段階で、JUT を利用することにより以下のような活動が可能になっています。

  • ファイルシステム内の任意のパスにファイルを作成
  • スクリプトとして実行可能な文字列を含むファイルの作成(例:バッチファイル)
  • 任意のコマンドや、スクリプトとして実行可能なテキストの注入

■脆弱性攻撃が可能となる条件

前述のような活動を実行するためには、以下の条件を満たしている必要があります。

  • 「ProgramData」配下のようなシステムの重要フォルダに不正ファイルを作成することが可能
  • 重要フォルダへのアクセス権限を持ったプロセスの利用が可能

これらの条件はどちらも実現可能です。例えば、JUT のプロパティファイル “usagetracker.properties” は、上位の権限を持たないユーザでも作成することが可能で、不正なログファイルは上位の権限を持った Tomcat のようなプロセスによって作成可能です。

■JUT のログファイルの作成

すべての JVM に適用されるパス(例:Windows では「%ProgramData%\Oracle\Java」)にプロパティファイルを作成すると、JVM は起動時に JUT のログファイルを読み込むようになります。ここでも Tomcat を例に解説していきます。JUT のプロパティファイル”usagetracker.properties” が既定のパスに存在する場合、Tomcat のインストールおよび再起動後に図 11 のようなログファイルが作成されます。

Tomcat インストール後に作成されたログファイル
図 11:Tomcat インストール後に作成されたログファイル

図 12 のように、Tomcat サービスは「System」権限で実行されているため、任意のパスに不正ファイル “global_javatracker.bat” を作成することが可能です。ただし、この脆弱性攻撃を成功させるためには、上位の権限を持たないユーザであっても、JUT のプロパティファイル “usagetracker.properties ” を作成することが可能である必要があります。

Tomcat が作成した追跡ログファイル
図 12:Tomcat が作成した追跡ログファイル

■パーミッション設定の甘さを利用し、上位の権限を悪用

すべての JVM に適用される JUT のプロパティファイルのパスは、Windows PC では「%ProgramData%\Oracle\Java\」です。このパスとプロパティファイルのひな形は Java のインストール時に作成されます。他にも、例えば「java -c」のような Java コマンドを実行した結果として作成することも可能です。

「%ProgramData%」のパーミッション設定は、初期設定で「Users」グループのユーザに書き込み権限が与えられています。図 13 のように、配下に作成されるフォルダ「Oracle/Java」にも初期設定のパーミッションが引き継がれます。

「%ProgramData%\Oracle\Java\」のパーミッション設定、「Users」グループに書き込み権限が付与されている
図 13:「%ProgramData%\Oracle\Java\」のパーミッション設定
「Users」グループに書き込み権限が付与されている

つまり、下位の権限しか持たないユーザであっても、不正な設定を追加した JUT のプロパティファイル ” usagetracker.properties” を「%ProgramData%\Oracle\Java\」に作成することが可能です。また、Tomcat のようなアプリケーションは「System」権限で実行されているため、PC 内の任意のパスにバッチファイルを作成することが可能です。このバッチファイルを通して、スタートアップフォルダのようなパスに不正なファイルを作成するコマンドを実行することも可能です。

■結論

攻撃者にこのJUTの脆弱性が悪用されるシナリオとしては、侵入した環境で上位の権限を必要とする操作を実行する攻撃が考えられます。今回、トレンドマイクロは、Windows 環境でのみ調査を実施しましたが、その他の OS でも同様の脆弱性が存在する可能性はあります。侵入した攻撃者に悪用されないよう、使用しているJavaのバージョンを確認し、アップデートすることを忘れないようにしてください。

本記事で解説した攻撃手法は、以下のような一連の脆弱性を組み合わせたものです。

  • 任意の拡張子を持つファイルの作成
    「oracle.usagetracker.logToFile」プロパティに、「.bat」のような拡張子を持つファイルのパスを指定
  • パラメータの注入
    「oracle.usagetracker.additionalProperties」プロパティに任意のパラメータを設定
  • 上位の権限の悪用
    「%ProgramData%/Oracle/Java」のパーミッション設定の甘さを足がかりとして、上位の権限を持つプロセスを悪用

■トレンドマイクロの対策

トレンドマイクロの法人向けエンドポイント製品「ウイルスバスター™ コーポレートエディション XG」や中小企業向けのクラウド型エンドポイントセキュリティサービス「ウイルスバスター™ ビジネスセキュリティ」は、脆弱性「CVE-2018- 3211」を利用している恐れのある不正なファイル、関連する不正な URL およびマルウェアを検知し、ブロックすることによって、強固な保護を提供します。

参考記事:

翻訳: 澤山 高士(Core Technology Marketing, TrendLabs)

GitHubのセキュリティ脆弱性アラートがJavaと.NETにも対応 – ZDNet Japan

GitHubのセキュリティ脆弱性アラートがJavaと.NETにも対応 - ZDNet Japan

GitHubのセキュリティ脆弱性アラートがJavaと.NETにも対応 - ZDNet Japan

コードホスティングサービスのGitHubは米国時間10月17日、同社のプラットフォーム製品をアップデートしたと発表した。変更内容の多くは開発者向けのものだが、プロジェクトオーナー向けにも新しく3つのセキュリティ機能が導入された。 中でももっとも重要なのは、セキュリティ脆弱性アラートの対象拡大だろう。これまで...

はてなブックマーク - GitHubのセキュリティ脆弱性アラートがJavaと.NETにも対応 - ZDNet Japan はてなブックマークに追加

迫られる常時SSL/TLS、広がる「トラスト」支配 | 日経 xTECH(クロステック)

迫られる常時SSL/TLS、広がる「トラスト」支配 | 日経 xTECH(クロステック)

迫られる常時SSL/TLS、広がる「トラスト」支配 | 日経 xTECH(クロステック)

登録会員限定記事 現在はどなたでも閲覧可能です Webサイトの運営者が気づかないうちに、アクセスが急減したりユーザーの離反が広がったりするサイトが2018年10月に続出するかもしれない。 米グーグル(Google)は2018年10月16日にWebブラウザーの最新版「Chrome 70」をリリースした。「常時SSL/TLS」という暗号化技術...

はてなブックマーク - 迫られる常時SSL/TLS、広がる「トラスト」支配 | 日経 xTECH(クロステック) はてなブックマークに追加

Node.jsにおけるプロトタイプ汚染攻撃とは何か – ぼちぼち日記

Node.jsにおけるプロトタイプ汚染攻撃とは何か - ぼちぼち日記

Node.jsにおけるプロトタイプ汚染攻撃とは何か - ぼちぼち日記

1. はじめに 最近わけあってNodeのセキュリティ調査をしているのですが、今年の5月に開催された North Sec 2018 でセキュリティ研究者の Olivier Arteau 氏による 「Prototype pollution attacks in NodeJS applications」という面白い発表を見つけました。 この発表の論文や発表資料、デモ動画などもgithubで公開されて...

はてなブックマーク - Node.jsにおけるプロトタイプ汚染攻撃とは何か - ぼちぼち日記 はてなブックマークに追加

APIセキュリティ入門(3):キャッシュの活用と過度なリクエスト制御 – ZDNet Japan

APIセキュリティ入門(3):キャッシュの活用と過度なリクエスト制御 - ZDNet Japan

APIセキュリティ入門(3):キャッシュの活用と過度なリクエスト制御 - ZDNet Japan

前回は、APIの認証と認可をスケールする手法について説明した。第3回の本稿では、APIのキャッシュの活用と過度なリクエストを制御する手法について解説しよう。 エッジでAPIのアクセスを制御するモチベーションの1つがキャッシュであり、特に検索系APIでは有効だ。エッジでAPIキーやJWT(JSON Web Token)を検証し、認可...

はてなブックマーク - APIセキュリティ入門(3):キャッシュの活用と過度なリクエスト制御 - ZDNet Japan はてなブックマークに追加

Windows Update の利用手順 – Windows 10 の場合 – 日本のセキュリティチーム

Windows Update の利用手順 – Windows 10 の場合 – 日本のセキュリティチーム

Windows Update の利用手順 – Windows 10 の場合 – 日本のセキュリティチーム

本ブログ記事は初級レベルから中級レベルのコンピューター ユーザーを対象にしています。 Windows 8.1 をお使いのお客様は「Windows Update の利用手順 - Windows 8.1 の場合」を、Windows 7 をお使いのお客様は「Windows Update の利用手順 - Windows 7 の場合」をご覧ください。 Windows Update / Microsoft Update を...

はてなブックマーク - Windows Update の利用手順 – Windows 10 の場合 – 日本のセキュリティチーム はてなブックマークに追加

Ruby 2.5.3 リリース

Ruby 2.5.3 がリリースされました。

バージョン 2.5.2 のパッケージファイルにはパッケージングのミスによりビルドに必要ないくつかのファイルが含まれていませんでした。 2.5.2 のパッケージの問題についての詳細は [Bug #15232] を参照してください。

パッケージファイルの作りなおしのため 2.5.3 をリリースしました。今回のリリースでは 2.5.2 以降追加のバグ修正等は含まれていません。

ダウンロード

  • https://cache.ruby-lang.org/pub/ruby/2.5/ruby-2.5.3.tar.bz2

    SIZE:   14159874 bytes
    SHA1:   d47ede7dab79de25fcc274dfcad0f92f389a4313
    SHA256: 228a787ba68a7b20ac6e1d5af3d176d36e8ed600eb754d6325da341c3088ed76
    SHA512: 6fe89fe9d406bb454457442f908774577369ab2501da4fd15725ccbab77675b88faad739a6c8ad1c7b6690b439a27de5e08035b7546406cdeca65c7b295e2c77
    
  • https://cache.ruby-lang.org/pub/ruby/2.5/ruby-2.5.3.tar.gz

    SIZE:   15972577 bytes
    SHA1:   f919a9fbcdb7abecd887157b49833663c5c15fda
    SHA256: 9828d03852c37c20fa333a0264f2490f07338576734d910ee3fd538c9520846c
    SHA512: d13dc55655076f7d983481155cccc06eb51c51c8eabfc3edcc22e1dabad931eb28c0b2a23d9589b5132faf18c3c0077f8719cf33a91d71bb72213d306edde1a0
    
  • https://cache.ruby-lang.org/pub/ruby/2.5/ruby-2.5.3.tar.xz

    SIZE:   11453336 bytes
    SHA1:   5acbdea1ced1e36684268e1cb6f8a4e7669bce77
    SHA256: 1cc9d0359a8ea35fc6111ec830d12e60168f3b9b305a3c2578357d360fcf306f
    SHA512: 6dcae0e8d0bacdb2cbde636e2030596308b5af53f2eb85d3adccb67b02e6f8f9751e8117d12f8484829fdd9d995f6e327f701d9b433bcf94f1f59d13a1fd7518
    
  • https://cache.ruby-lang.org/pub/ruby/2.5/ruby-2.5.3.zip

    SIZE:   19170700 bytes
    SHA1:   c34a5a47d5ac64ef25368b5dffc3df2854531d7a
    SHA256: 622ffa051470e967f3e51cc6347783e93d9b09a4557d4f5a78efb87b959f87a3
    SHA512: 7807641e65516670dc10426364a3d45ecfb65555827e551b4a595bad373e1292797414abf0f67bed5d66815090afe6a6a3e3e29f8b7dbc4da462c43a3e8791b6
    

リリースコメント

このリリースにあたり、多くのコミッター、開発者、バグ報告をしてくれたユーザーの皆様に感謝を申し上げます。 特に 2.5.2 のパッケージの問題を報告して頂いた wanabe さんに感謝致します。

Posted by nagachika on 18 Oct 2018

Electronの画面にHTML落とすと、画面が切り替わっちゃうよね – サイト更新停滞ちうっ

Electronの画面にHTML落とすと、画面が切り替わっちゃうよね - サイト更新停滞ちうっ

 Electronの画面にHTML落とすと、画面が切り替わっちゃうよね - サイト更新停滞ちうっ

Electronで立ち上げたBrowserWindowの画面に、 HTMLファイルを落とすと、 そのHTMLがウィンドウ内に表示されてしまう。 格好悪い!!! これをふせぐには ドロップした時に、画面が差し替わる問題を防ぐには、次のようなコードを入れておくと良い。 <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <script type=...

はてなブックマーク -  Electronの画面にHTML落とすと、画面が切り替わっちゃうよね - サイト更新停滞ちうっ はてなブックマークに追加

Windows Update の利用手順 – Windows 10 の場合

本ブログ記事は初級レベルから中級レベルのコンピューター ユーザーを対象にしています。

Windows 8.1 をお使いのお客様は「Windows Update の利用手順 - Windows 8.1 の場合」を、Windows 7 をお使いのお客様は「Windows Update の利用手順 - Windows 7 の場合」をご覧ください。


Windows Update / Microsoft Update を使用することで、お使いのコンピューターに利用可能な Windows Office などの更新プログラムをインストールすることができます。更新プログラムには、セキュリティ対策に必要なセキュリティ更新プログラムやコンピューターの信頼性の向上のための更新プログラムがあります。

Windows 10 は、既定で自動更新が有効になっているため、更新を忘れることなく常にコンピューターを最新の状態にしておくことができます。また、Windows Update から Microsoft Update に切り替えることで、Windows に加え Office などすべてのマイクロソフト製品の更新プログラムをインストールできるようになります。

Windows Update の利用手順をビデオで確認する

Microsoft Update に切り替える方法をビデオで確認する

 

Windows Update の利用手順

  1. [スタート] ボタンをクリックし、[設定] ボタンをクリックします。
     
  2. [更新とセキュリティ] をクリックします。
     
  3. [Windows Update] を選択し、[更新プログラムのチェック] をクリックします。
     
  4. コンピューターの状態に応じてメッセージが表示されます。
    新しい更新プログラムがある場合は、[更新プログラムを確認しています...] に続き、[更新プログラムをインストールする準備をしています][更新プログラムをダウンロードしています] などのメッセージが表示され、ダウンロードおよびインストールが実行されます。しばらくお待ちください。
     
    [お使いのデバイスは最新の状態です] と表示されたら完了です。画面右上の [X] ボタンをクリックして Windows Update 画面を閉じてください。
    新しい更新プログラムをインストール後に再起動を求められる場合は、[今すぐ再起動する] ボタンをクリックし、コンピューターを再起動してください。再起動中にコンピューターの電源を切らないようご注意ください。
     

 

Microsoft Update に切り替える方法

  1. [スタート] ボタンをクリックし、[設定] ボタンをクリックします。
     
  2. [更新とセキュリティ] をクリックします。
     
  3. [Windows Update] を選択し、[詳細オプション] をクリックします。
     
  4. [Windows の更新時に他の Microsoft 製品の更新プログラムも入手します] にチェックを入れます。これで、Microsoft Update に切り替わりました。
     
  5. 引き続き新しい更新プログラムを確認する場合は、左上の [] (戻る) ボタンをクリックして表示された Windows Update の画面で [更新プログラムのチェック] ボタンをクリックします。更新プログラムの確認方法は、Windows Update の利用手順を参照してください。
     

 

 

関連リンク

Windows のバージョン確認方法

Windows Update の利用手順

自動更新が有効かを確認する方法

更新プログラムが正しくインストールされたかを確認する方法

Windows Update の利用手順 – Windows 8.1 の場合

本ブログ記事は初級レベルから中級レベルのコンピューター ユーザーを対象にしています。

Windows 10 をお使いのお客様は「Windows Update の利用手順 - Windows 10 の場合」を、Windows 7 をお使いのお客様は「Windows Update の利用手順 - Windows 7 の場合」をご覧ください。


Windows Update / Microsoft Update を使用することで、お使いのコンピューターに利用可能な Windows Office などの更新プログラムをインストールすることができます。更新プログラムには、セキュリティ対策に必要なセキュリティ更新プログラムやコンピューターの信頼性の向上のための更新プログラムがあります。

Windows 8.1 は、既定で自動更新が有効になっているため、更新を忘れることなく常にコンピューターを最新の状態にしておくことができます。また、Windows Update から Microsoft Update に切り替えることで、Windows に加え Office などすべてのマイクロソフト製品の更新プログラムをインストールできるようになります。

Windows Update の利用手順をビデオで確認する

Windows Update の利用手順

  1. Windows キーを押しながら、W キーを押します。または、画面の右端からスワイプして [検索] をタップし (マウスを使っている場合は、画面の右上隅をポイントし、マウスポインターを下へ移動して [検索] をクリックし)[設定] をタップまたはクリックします。
  2. 検索ボックスに「Windows Update」と入力します。 
  3. [更新プログラムのチェック] をタップまたはクリックします。 

更新プログラムのチェックが行われます。

 

  1. [インストール] をタップまたはクリックします。 

[詳細の表示] (Windows 8 では [詳細を見る]) をタップまたはクリックするとインストールする更新プログラムにチェックが入っているかを確認できます。

 

  1. [今すぐ再起動] ボタンが表示されたら、[今すぐ再起動] ボタンをクリックします。コンピューターが自動的に再起動します。 [今すぐ再起動] ボタンが表示されなければ、Windows Update の画面を閉じて終了してください。終了するには、マウスを使用している場合、アプリの上部をクリックし、画面の下部にドラッグします。タッチスクリーンを使用している場合は、アプリを画面の下までドラッグします。

 

Microsoft Update に切り替える方法

  1. Windows キーを押しながら、S キーを押します。または、画面の右端からスワイプして [検索] をタップします。
  2. 検索ボックスに「Windows Update」と入力して、[Windows の更新プログラムを自動的にインストールするかどうかを選ぶ] をタップまたはクリックします。 
  3. Microsoft Update [Windows の更新時に他の Microsoft 製品の更新プログラムを入手する] にチェックを入れて [適用] ボタンをタップまたはクリックします。 
  4. 終了するには、マウスを使用している場合、アプリの上部をクリックし、画面の下部にドラッグします。タッチスクリーンを使用している場合は、アプリを画面の下までドラッグします。

 

 

関連リンク

Windows のバージョン確認方法

Windows Update の利用手順

自動更新が有効かを確認する方法

更新プログラムが正しくインストールされたかを確認する方法

Windows Update の利用手順 – Windows 7 の場合

本ブログ記事は初級レベルから中級レベルのコンピューター ユーザーを対象にしています。

Windows 10 をお使いのお客様は「Windows Update の利用手順 - Windows 10 の場合」を、Windows 8.1 をお使いのお客様は「Windows Update の利用手順 - Windows 8.1 の場合」をご覧ください。


Windows Update / Microsoft Update を使用することで、お使いのコンピューターに利用可能な Windows Office などの更新プログラムをインストールすることができます。更新プログラムには、セキュリティ対策に必要なセキュリティ更新プログラムやコンピューターの信頼性の向上のための更新プログラムがあります。

Windows 7 は、既定で自動更新が有効になっているため、更新を忘れることなく常にコンピューターを最新の状態にしておくことができます。また、Windows Update から Microsoft Update に切り替えることで、Windows に加え Office などすべてのマイクロソフト製品の更新プログラムをインストールできるようになります。

Windows Update の利用手順をビデオで確認する

 

Windows Update の利用手順

  1. [スタート] から [すべてのプログラム] - [Windows Update] をクリックします。

 

  1. 重要な更新プログラムを自動的に入手するには [更新プログラムの確認] ボタンをクリックします。

手順 2. で以下のように [その他のマイクロソフト製品の更新プログラムを入手します。] と表示されている方は、下記の「Microsoft Update に切り替える方法」を参照してください。

 

  1. 利用可能な更新プログラムが検出されたら、[更新プログラムのインストール] ボタンをクリックします。

  2. [更新プログラムをインストールしています] と表示されている間にダウンロード、インストールを実行します。しばらくお待ちください。

※ インストールがうまくいかない場合は、「Windows Update エラーを修正する」に記載の Windows Update トラブルシューティング ツールによる解決策をご確認ください。

  1. [今すぐ再起動] ボタンが表示されたら、[今すぐ再起動] ボタンをクリックします。コンピューターが自動的に再起動します。[今すぐ再起動] ボタンが表示されなければ、画面右上の [X] ボタンをクリックして Windows Update の画面を閉じて終了してください。

 

Microsoft Update に切り替える方法

  1. [スタート] から [すべてのプログラム] - [Windows Update] をクリックします。
     
  2. [詳細情報の表示] をクリックします。
     
  3. Internet Explorer が開きますので、表示された画面の[Microsoft Update の使用条件に同意します] にチェックを入れ、[次へ] ボタンをクリックします。
     
  4. [Windows による更新プログラムのインストール方法を選択] 画面では、重要な更新プログラムおよび推奨される更新プログラムを自動的にインストールするには [推奨設定を使用] を選択し、[インストール] ボタンをクリックします。重要な更新プログラムのみをインストールする場合は [現在の設定を使用] を選択して[インストール] ボタンをクリックします。
     
  5. 「Microsoft Update は正しくインストールされました」と表示された後、更新プログラムの確認の画面へ自動的に切り替わります。
     
  6. 利用可能な更新プログラムが検出されたら、[更新プログラムのインストール] ボタンをクリックします。
     
  7. [更新プログラムをインストールしています] と表示されている間にダウンロード、インストールを実行します。しばらくお待ちください。
     

※ インストールがうまくいかない場合は、「Windows Update エラーを修正する」に記載のWindows Update トラブルシューティング ツールによる解決策をご確認ください。

 

  1. [今すぐ再起動] ボタンが表示されたら、[今すぐ再起動] ボタンをクリックします。コンピューターが自動的に再起動します。 [今すぐ再起動] ボタンが表示されなければ、画面右上の [X] ボタンをクリックして Windows Update の画面を閉じて終了してください。

 

関連リンク

Windows のバージョン確認方法

Windows Update の利用手順

自動更新が有効かを確認する方法

更新プログラムが正しくインストールされたかを確認する方法

 

主要ブラウザーは2020年にTLS 1.0/1.1を無効化する計画

headless曰く、

10月15日、メジャーブラウザーのTLS 1.0/1.1無効化計画が一斉に発表された(Google Security BlogMicrosoft Edge Dev BlogWebKit公式ブログVentureBeat)。

GoogleはChrome 72(2019年1月に安定版リリース見込み)でTLS 1.0/1.1を非推奨とし、これらのバージョンを使用するサイトで警告が表示されるようになる。さらにChrome 81(2020年1月に早期リリース見込み)ではTLS 1.0/1.1が無効化される。

Microsoftは2020年前半にその時点でサポートされているバージョンのMicrosoft EdgeとInternet Explorer 11のデフォルトでTLS 1.0/1.1を無効にする。Appleは2020年3月以降、iOSとmacOSのアップデートでSafariからTLS 1.0/1.1のサポートを完全に削除する計画だという。

MozillaはFirefoxでのTLS 1.0/1.1サポートを2020年3月に無効化する計画だ(Mozilla Security Blogの記事)。プリリリース版のFirefoxで無効化されるのは2020年3月よりも前になる。具体的な日程については後日発表するとのことだ。

すべて読む | セキュリティセクション | Chrome | セキュリティ | Firefox | インターネットエクスプローラ | Safari | インターネット | 暗号 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
OpenSSL 1.1.1 リリース 2018年09月16日
TLS 1.3正式リリース 2018年08月15日
AvastやAVGを利用している環境でFirefoxがTLS 1.3を利用できなくなるトラブル 2018年06月29日
TLS 1.3ではハンドシェイクが高速化されている 2018年05月15日
Yahoo! JAPAN、2018年6月1日以降TLS1.0/1.1のサポートを順次終了へ 2018年04月26日

Ruby 2.5.2/2.4.5/2.3.8リリース(脆弱性修正)

Ruby 2.5.2/2.4.5/2.3.8リリース(脆弱性修正)

Ruby 2.5.2/2.4.5/2.3.8リリース(脆弱性修正)

こんにちは、hachi8833です。既に対応済みの方も多いかと思いますが、Rubyのセキュリティ対応のためのマイナーバージョン更新が昨晩リリースされました。 Ruby 2.5.2/2.4.5/2.3.8リリース(脆弱性修正) お知らせ: Ruby 2.5.2 リリース ruby-lang.orgより 修正: CVE-2018-16396: Array#pack および String#unpack の一部...

はてなブックマーク - Ruby 2.5.2/2.4.5/2.3.8リリース(脆弱性修正) はてなブックマークに追加

関西サイバーセキュリティ・ネットワークを発足(近畿経済産業局)

関西サイバーセキュリティ・ネットワークを発足(近畿経済産業局)

関西サイバーセキュリティ・ネットワークを発足(近畿経済産業局)

関西サイバーセキュリティ・ネットワークを発足 ~関西の産学官が連携し、サイバーセキュリティ対策に取り組みます!~ 最終更新日:平成30年10月17日 近畿経済産業局は、関西のサイバーセキュリティ分野に関心の高い産学官等と連携し、「関西サイバーセキュリティ・ネットワーク」(事務局:近畿経済産業局、近畿総合通...

はてなブックマーク - 関西サイバーセキュリティ・ネットワークを発足(近畿経済産業局) はてなブックマークに追加

「libssh」に認証手順を迂回する脆弱性–パッチがリリース – ZDNet Japan

「libssh」に認証手順を迂回する脆弱性--パッチがリリース - ZDNet Japan

「libssh」に認証手順を迂回する脆弱性--パッチがリリース - ZDNet Japan

Secure Shell(SSH)の認証プロトコルをサポートする、知名度の高いライブラリ「libssh」に脆弱性が存在していることが明らかになり、米国時間10月16日にパッチがリリースされた。この脆弱性は、何千台という規模の企業サーバを危険にさらすものだ。 攻撃者はこの脆弱性を悪用することで、認証手順を迂回(うかい)し、...

はてなブックマーク - 「libssh」に認証手順を迂回する脆弱性--パッチがリリース - ZDNet Japan はてなブックマークに追加

「libssh」に認証手順を迂回する脆弱性–パッチがリリース – ZDNet Japan

「libssh」に認証手順を迂回する脆弱性--パッチがリリース - ZDNet Japan

「libssh」に認証手順を迂回する脆弱性--パッチがリリース - ZDNet Japan

Secure Shell(SSH)の認証プロトコルをサポートする、知名度の高いライブラリ「libssh」に脆弱性が存在していることが明らかになり、米国時間10月16日にパッチがリリースされた。この脆弱性は、何千台という規模の企業サーバを危険にさらすものだ。 攻撃者はこの脆弱性を悪用することで、認証手順を迂回(うかい)し、...

はてなブックマーク - 「libssh」に認証手順を迂回する脆弱性--パッチがリリース - ZDNet Japan はてなブックマークに追加

CVE-2018-16395: OpenSSL::X509::Name の同一性判定が機能していない脆弱性について

CVE-2018-16395: OpenSSL::X509::Name の同一性判定が機能していない脆弱性について

CVE-2018-16395: OpenSSL::X509::Name の同一性判定が機能していない脆弱性について

Ruby の標準添付ライブラリ openssl では OpenSSL::X509::Name クラスによって X.509 証明書で用いられる形式の名前データを扱うことができます。 ところが、このクラスのインスタンス同士を比較した場合、データの内容によっては、本来一致とみなされるべきではないものが一致しているとみなされてしまうという脆弱性が...

はてなブックマーク - CVE-2018-16395: OpenSSL::X509::Name の同一性判定が機能していない脆弱性について はてなブックマークに追加

CVE-2018-16395: OpenSSL::X509::Name の同一性判定が機能していない脆弱性について

CVE-2018-16395: OpenSSL::X509::Name の同一性判定が機能していない脆弱性について

CVE-2018-16395: OpenSSL::X509::Name の同一性判定が機能していない脆弱性について

Ruby の標準添付ライブラリ openssl では OpenSSL::X509::Name クラスによって X.509 証明書で用いられる形式の名前データを扱うことができます。 ところが、このクラスのインスタンス同士を比較した場合、データの内容によっては、本来一致とみなされるべきではないものが一致しているとみなされてしまうという脆弱性が...

はてなブックマーク - CVE-2018-16395: OpenSSL::X509::Name の同一性判定が機能していない脆弱性について はてなブックマークに追加

C言語のセキュリティや、組み込みからクラウド利用まで「Linux Security Summit 2018」レポート | Think IT(シンクイット)

C言語のセキュリティや、組み込みからクラウド利用まで「Linux Security Summit 2018」レポート | Think IT(シンクイット)

C言語のセキュリティや、組み込みからクラウド利用まで「Linux Security Summit 2018」レポート | Think IT(シンクイット)

C言語のセキュリティや、組み込みからクラウド利用まで「Linux Security Summit 2018」レポート 2018年8月29~31日、カナダのバンクーバーで「Open Source Summit North America 2018」が開催されました。また、その開催に先立ち、8月27~28日に同会場で「Linux Security Summit 2018」が開催されました。 Linux Securit...

はてなブックマーク - C言語のセキュリティや、組み込みからクラウド利用まで「Linux Security Summit 2018」レポート | Think IT(シンクイット) はてなブックマークに追加

Ruby 2.5.2 リリース

Ruby 2.5.2 リリース

Ruby 2.5.2 リリース

Ruby 2.5.2 がリリースされました。 このリリースには以下の脆弱性修正が含まれています。 CVE-2018-16396: Array#pack および String#unpack の一部のフォーマット指定においてtaintフラグが伝播しない脆弱性について CVE-2018-16395: OpenSSL::X509::Name の同一性判定が機能していない脆弱性について その他いくつか...

はてなブックマーク - Ruby 2.5.2 リリース はてなブックマークに追加

CVE-2018-16396: Array#pack および String#unpack の一部のフォーマット指定においてtaintフラグが伝播しない脆弱性について

CVE-2018-16396: Array#pack および String#unpack の一部のフォーマット指定においてtaintフラグが伝播しない脆弱性について

CVE-2018-16396: Array#pack および String#unpack の一部のフォーマット指定においてtaintフラグが伝播しない脆弱性について

Array#pack および String#unpack の一部のフォーマット指定において、元データの taint フラグが適切に出力文字列・配列に対して伝播しないという脆弱性が発見されました。 この脆弱性は、CVE-2018-16396 として登録されています。 詳細 Array#pack メソッドでは、引数で指定されたフォーマット文字列に従い、レシーバ...

はてなブックマーク - CVE-2018-16396: Array#pack および String#unpack の一部のフォーマット指定においてtaintフラグが伝播しない脆弱性について はてなブックマークに追加

韓国海軍駆逐艦のコンピュータシステムは0.8日に1回クラッシュする?

朝鮮日報日本語版によると、2000年代に建造された韓国海軍の「KDX-Ⅱ」駆逐艦に搭載されているコンピュータ指揮システムは最悪の場合0.8日に1回の頻度で作動停止しているという。

この「0.8日に1回」というのは駆逐艦「王建」のケースだが、このシステムの2013年の作動停止頻度は21.7日に一回のペースだったとのことで、年々作動停止の間隔が短くなっているようだ。他の駆逐艦についても、平均停止件数は2013年時点で5.3日に1回、今年は1.4日に1回とのことで、全体的にシステム停止が増加している模様。また、KDX-Ⅱの前身となるKDX-Ⅰについても同様にシステム停止が頻繁に発生しているという。

なお、システム停止後の再起動には10〜30分ほどが必要になるそうだ。そのため、韓国海軍は2〜3日1回手動でシステムを再起動しているとのこと。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
米海軍、潜望鏡の操作にXbox 360コントローラーを使用する計画 2017年09月23日
DARPAの小型艦搭載無人航空機計画、試作機の開発段階へ 2016年01月09日
中国のハッカーによって米国の兵器システム情報が盗まれていた 2013年05月31日
英海軍、原潜へのWindowsベース管制システムの配備を完了 2008年12月18日

エボラウイルスの構造解明=治療法開発に貢献期待―沖縄科技大など(時事通信) – Yahoo!ニュース

エボラウイルスの構造解明=治療法開発に貢献期待―沖縄科技大など(時事通信) - Yahoo!ニュース

エボラウイルスの構造解明=治療法開発に貢献期待―沖縄科技大など(時事通信) - Yahoo!ニュース

沖縄科学技術大学院大などの研究チームは、致死性の高い感染症エボラ出血熱を引き起こすエボラウイルスの構造を原子レベルで解明し、17日付の英科学誌ネイチャー電子版に発表した。有効な治療法がないエボラ出血熱の治療薬開発へ貢献が期待される。 エボラウイルスは細長い形のウイルスで、感染した細胞内では、多数の核...

はてなブックマーク - エボラウイルスの構造解明=治療法開発に貢献期待―沖縄科技大など(時事通信) - Yahoo!ニュース はてなブックマークに追加

Ruby 2.3.8 リリース

Ruby 2.3.8 がリリースされました。 今回のリリースでは、以下のセキュリティ上の問題への対応が行われています。

また、加えて、保守作業上の都合により、セキュリティ上の問題ではありませんが、Visual Studio 2015とWindows10 October 2018 Updateとの組み合わせでRubyが動作しなくなる問題への対応が行われています。

Ruby 2.3 系列は、現在、セキュリティメンテナンスフェーズにあります。 このフェーズ中は、重大なセキュリティ上の問題への対応のみが行われます。 現在の予定では、2019 年 3 月末頃を目処に、2.3 系列のセキュリティメンテナンスならびに公式サポートは終了する見込みです。 現在、2.3 系列を利用しているユーザーの皆さんは、なるべく早く、2.5 系列等のより新しいバージョン系列の Ruby への移行を検討されるよう、お勧めします。

ダウンロード

  • https://cache.ruby-lang.org/pub/ruby/2.3/ruby-2.3.8.tar.bz2

    SIZE:   14418609 bytes
    SHA1:   91b31abdba00a346c155fd32bd32d3cec3b73bc4
    SHA256: 4d1a3a88e8cf9aea624eb73843fbfc60a9a281582660f86d5e4e00870397407c
    SHA512: 6d79e0d25757fd37188a8db3e630a52539bce7927fcb779a2ce9a97b9e5f330753035c16843552f1a1fb6c9a1e5c0f916b3cc8b5c0bfe81e20f35f8442e40ae8
    
  • https://cache.ruby-lang.org/pub/ruby/2.3/ruby-2.3.8.tar.gz

    SIZE:   17858806 bytes
    SHA1:   69311991a9cd2c8e3c86a0dbbaaf915ae91f0bec
    SHA256: b5016d61440e939045d4e22979e04708ed6c8e1c52e7edb2553cf40b73c59abf
    SHA512: 43b02f2f9de6baf281f09a49fd07367127b4de1fb14473380d06bfa7667990d8f722ae2d33cf7d15b02f7e799515f21aebd308897c4c2a5461ebab4049d6c7ef
    
  • https://cache.ruby-lang.org/pub/ruby/2.3/ruby-2.3.8.tar.xz

    SIZE:   11465792 bytes
    SHA1:   9771acdad851bbf0ef349bb7da5d0ffc91a860ed
    SHA256: 910f635d84fd0d81ac9bdee0731279e6026cb4cd1315bbbb5dfb22e09c5c1dfe
    SHA512: 06373050e6c1af9cb6a5863aef878b21c8a45fd0e68414e3d546cb73ec3028207d3acc0a9326428f172b9347a30bbe69a16f9dc0bdb739161d677adb2d888095
    
  • https://cache.ruby-lang.org/pub/ruby/2.3/ruby-2.3.8.zip

    SIZE:   19911652 bytes
    SHA1:   ad9e0ec7c874701832c9e224eb5b9e2258f3a041
    SHA256: ec9792d0473a22954ad25cd0c531fc672679c1a5eaeefa08caf9e1288852796f
    SHA512: 732d69cd55f1c273a02005306720fd8fc9d77398177db9509452be31820976b54b30319d9e6bc36fb6bcd7af656f807ef6c26d8955012c8b20424912a2f51bf8
    

リリースコメント

リリースに協力してくれた皆様、また、脆弱性情報を報告してくれた皆様に感謝します。

Posted by usa on 17 Oct 2018

Ruby 2.4.5 リリース

Ruby 2.4.5 がリリースされました。 これは安定版 2.4 系列の TEENY リリースです。

今回のリリースでは、前回リリースから 40 件ほどのバグ修正が行われ、安定性のさらなる向上が図られています。 また、以下のセキュリティ上の問題に対する対応が含まれています。

詳しくは、対応する commit log を参照してください。

ダウンロード

  • https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.5.tar.bz2

    SIZE:   12667524 bytes
    SHA1:   0e1f184556507c22bc59054496c0af7cf28fb188
    SHA256: 276c8e73e51e4ba6a0fe81fb92669734e741ccea86f01c45e99f2c7ef7bcd1e3
    SHA512: 7034fcaeaee41f14bc0ecce0d3d93bd1abe95310e1a0b95fac66eaba867adfb2bf7ba4d0d70d67a15ce8df16052dee405c38cdb18987602e64a2f701d37d3df0
    
  • https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.5.tar.gz

    SIZE:   14232887 bytes
    SHA1:   4d650f302f1ec00256450b112bb023644b6ab6dd
    SHA256: 6737741ae6ffa61174c8a3dcdd8ba92bc38827827ab1d7ea1ec78bc3cefc5198
    SHA512: 39863b404b02bb3d2430fd19fb057bdded5e816842a1a1f00092de69cc360db836225b2186e18b6ee099ec5e8c60f89178a4297b2d221234b4962c70594c2b8e
    
  • https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.5.tar.xz

    SIZE:   10064712 bytes
    SHA1:   b5be590b37487248da3a85541a62fb81f7f7e29a
    SHA256: 2f0cdcce9989f63ef7c2939bdb17b1ef244c4f384d85b8531d60e73d8cc31eeb
    SHA512: 658f676c623109f4c7499615e191c98c3dd72cfcaeeaf121337d0b8a33c5243145edd50ec5e2775f988e3cd19788984f105fa165e3049779066566f67172c1b4
    
  • https://cache.ruby-lang.org/pub/ruby/2.4/ruby-2.4.5.zip

    SIZE:   15694028 bytes
    SHA1:   0bded7dfabfce5615162a1acd1341966a63e40f4
    SHA256: 33694b03ac178cf96aa728b74de7b0bc5d848fcfabc64a7c74ea093198142601
    SHA512: 9baec2b33604d5b2180b83bef9b39349d3f73b2eb5a7d44410572d893f76e6a0e1c39c572e6084a4e2466ca148ff2f377b5458144fe9b859a80cdf7b41fd5d72
    

リリースコメント

リリースに協力してくれた皆様に感謝します。

このリリースを含む Ruby 2.4 系列の保守は、一般財団法人 Ruby アソシエーションの Ruby 安定版保守委託事業に基いています。

Posted by usa on 17 Oct 2018

【ウイルス】おめでとうございます!Googleをお使いのあなた!本日の無料iPhoneX、iPadAir2、SamsungGalaxyS6いずれかの当選者に選ばれました。って件。 – おっさんのblogというブログ。

【ウイルス】おめでとうございます!Googleをお使いのあなた!本日の無料iPhoneX、iPadAir2、SamsungGalaxyS6いずれかの当選者に選ばれました。って件。 - おっさんのblogというブログ。

【ウイルス】おめでとうございます!Googleをお使いのあなた!本日の無料iPhoneX、iPadAir2、SamsungGalaxyS6いずれかの当選者に選ばれました。って件。 - おっさんのblogというブログ。

如何お過ごしですか? 3回連続10cmです。 当ブログにお越しいただきありがとうございます。 いつも本当にありがとうございます。 10月16日(火)23時25分。再びウイルスキタ━(゚∀゚)━! 先日10月13日(土)20時頃にもウイルスが来ました。その画面はこの記事を参照ください。 www.sankairenzoku10cm.blue ウイルスを画面で覚...

はてなブックマーク - 【ウイルス】おめでとうございます!Googleをお使いのあなた!本日の無料iPhoneX、iPadAir2、SamsungGalaxyS6いずれかの当選者に選ばれました。って件。 - おっさんのblogというブログ。 はてなブックマークに追加

Ruby 2.5.2 リリース

Ruby 2.5.2 がリリースされました。 このリリースには以下の脆弱性修正が含まれています。

その他いくつかの不具合修正も含まれます。詳細は commit log を参照してください。

ダウンロード

  • https://cache.ruby-lang.org/pub/ruby/2.5/ruby-2.5.2.tar.bz2

    SIZE:   13592827 bytes
    SHA1:   562d6b8be5a0804ed7617bb0465b288d44b2defc
    SHA256: ea3bcecc3b30cee271b4decde5e9ff3e17369d5fd1ed828d321c198307c9f0df
    SHA512: 9f9388a162a3ae9c14ec8999fa3b12ff5397de14f55996cc8761d21c757113db37ace4d326b9606de7ad3a5875aa94fec900dd9b81b2fb0dff558c39422f4aa1
    
  • https://cache.ruby-lang.org/pub/ruby/2.5/ruby-2.5.2.tar.gz

    SIZE:   15600481 bytes
    SHA1:   7e503e75621b69cedb1d8b3fa2bee5aef2f1a714
    SHA256: b32340e64a0c7ecbf31486c41fe429a55c7984d980eca7a78138367d9209f471
    SHA512: 9aee69d2ac6aefe2d81649055ba7b99e4e58cf203ac75083ba1b35b3a4fd7f72ee257e26ca80460da5c2a7817fd507aecec9c143f170e16980625e95eeb31686
    
  • https://cache.ruby-lang.org/pub/ruby/2.5/ruby-2.5.2.tar.xz

    SIZE:   11071052 bytes
    SHA1:   ea352c9bcaa47ab094cdec0f4946c62b1a1769d7
    SHA256: 8be6b6afdf09957a6e2c2a6ada4b1982a391a828b34e49072c4beb60febb678d
    SHA512: b6b805b18ba6da7b28c7e2bdf3da7eaf1dcc15ae22744228d032e8ddec2fbba4cc4fb822b9ef7f6b561052113a4f28dc50ccfa4f00e3728a35ce27137f4a70e6
    
  • https://cache.ruby-lang.org/pub/ruby/2.5/ruby-2.5.2.zip

    SIZE:   18786735 bytes
    SHA1:   98fdbae195bbbc3f131d49d9e60bf3fbb8b56111
    SHA256: f148947fee070f30826ef0bda77228b9c374b388050db81ad07f5cd8608e3624
    SHA512: 1b804337099ecfa045eecf1a4e3f35fa786bd6e835dc50267d6a3792a782b193ec9708564e3ac5169a95ef4afc2c131782af937dafd8122117e8cff577736c0f
    

リリースコメント

このリリースにあたり、多くのコミッター、開発者、バグ報告をしてくれたユーザーの皆様に感謝を申し上げます。

Posted by nagachika on 17 Oct 2018

CVE-2018-16395: OpenSSL::X509::Name の同一性判定が機能していない脆弱性について

Ruby の標準添付ライブラリ openssl では OpenSSL::X509::Name クラスによって X.509 証明書で用いられる形式の名前データを扱うことができます。 ところが、このクラスのインスタンス同士を比較した場合、データの内容によっては、本来一致とみなされるべきではないものが一致しているとみなされてしまうという脆弱性が発見されました。 この脆弱性は、CVE-2018-16395 として登録されています。

詳細

OpenSSL::X509::Name クラスでは、インスタンス内に、CN や C といった X.509 証明書内で用いられる形式の名前データの各要素を保持しています。 インスタンス同士の比較の際には、同じキーを持つ要素の値同士の比較が行われ、同じキーセットを保持し、かつ、全ての要素の値が一致した場合にのみ、インスタンス同士が一致していることになります。 ところが、要素の値の判定時に、レシーバ側(左辺)の要素の値に対して引数側(右辺)の要素の値が前方一致している場合にも、要素の値同士の比較が一致とみなされるという不具合が存在していました。 このため、意図的にそのように作成された X.509 証明書を既存のものと比較した場合、誤って一致していると判定されてしまう可能性があります。

この問題の影響を受けるバージョンの Ruby のユーザーは、速やかに問題の修正されたバージョンに更新するか、または、Ruby 2.4 系列以降であれば下記の回避策を適用してください。

影響を受けるバージョン

  • Ruby 2.3.7 以前の全ての Ruby 2.3 系列
  • Ruby 2.4.4 以前の全ての Ruby 2.4 系列
  • Ruby 2.5.1 以前の全ての Ruby 2.5 系列
  • Ruby 2.6.0-preview2 以前の全ての Ruby 2.6 プレビュー
  • 本項公開時点およびそれ以前の開発版(trunk)

回避策

Ruby 2.4 以降の系列を使用している場合は、openssl gem バージョン 2.1.2 以降をインストールすることによっても、この脆弱性を修正した openssl 拡張ライブラリを使用することができます。

gem install openssl -v ">= 2.1.2"

なお、Ruby 2.3 系列においては、openssl gem をインストールしても、Ruby 本体に添付されている版の openssl 拡張ライブラリが使用されてしまうため、この脆弱性を解決することができません。 Ruby 本体ごと更新を行ってください。

クレジット

この脆弱性情報は、Tyler Eckstein 氏によって報告されました。

更新履歴

  • 2018-10-17 23:00:00 (JST) 初版

Posted by usa on 17 Oct 2018

CVE-2018-16396: Array#pack および String#unpack の一部のフォーマット指定においてtaintフラグが伝播しない脆弱性について

Array#pack および String#unpack の一部のフォーマット指定において、元データの taint フラグが適切に出力文字列・配列に対して伝播しないという脆弱性が発見されました。 この脆弱性は、CVE-2018-16396 として登録されています。

詳細

Array#pack メソッドでは、引数で指定されたフォーマット文字列に従い、レシーバである配列の内容を文字列に変換したものを返します。 本来であれば、配列の要素の中に taint フラグが立っているものが含まれていれば、返す文字列にもそれが伝播して taint フラグが立つべきです。 また、その逆を行う String#unpack メソッドにおいても、レシーバである文字列に taint フラグが立っている場合、返される配列とその各要素にそれが伝播して taint フラグが立たなければなりません。 ところが、 B b H h というフォーマットに関しては、taint フラグが伝播していませんでした。 このため、外部の信頼できない入力をこれらのフォーマットを指定して文字列化していて、かつ、その生成された文字列が信頼できるかどうかの判断に taint フラグを使用していた場合、および、外部の信頼できない入力文字列をこれらのフォーマットを指定して unpack し、かつ、その生成された各要素が信頼できるかどうかの判断に taint フラグを使用していた場合、誤った判断となってしまう可能性があります。

この問題の影響を受けるバージョンの Ruby のユーザーは、速やかに問題の修正されたバージョンに更新してください。

影響を受けるバージョン

  • Ruby 2.3.7 以前の全ての Ruby 2.3 系列
  • Ruby 2.4.4 以前の全ての Ruby 2.4 系列
  • Ruby 2.5.1 以前の全ての Ruby 2.5 系列
  • Ruby 2.6.0-preview2 以前の全ての Ruby 2.6 プレビュー
  • revision 65125 より前の開発版

クレジット

この脆弱性は、Chris Seaton 氏が報告してくださいました。

更新履歴

  • 2018-10-17 23:00:00 (JST) 初版

Posted by usa on 17 Oct 2018

指紋、顔の次は「声」認証?Apple、声でユーザーを識別する技術の特許を取得 – iPhone Mania

指紋、顔の次は「声」認証?Apple、声でユーザーを識別する技術の特許を取得 - iPhone Mania

指紋、顔の次は「声」認証?Apple、声でユーザーを識別する技術の特許を取得 - iPhone Mania

Appleは、ユーザーの声をSiriが識別し、iPhoneなどを操作できる技術の特許を取得しました。声によるユーザー認証として活用されれば、セキュリティや使い勝手の向上が期待できそうです。 Siriが声を認識、持ち主にだけ反応 Appleが特許を取得したのは、話しかけられた声をSiriが認識し、持ち主の声だけに反応する技術で...

はてなブックマーク - 指紋、顔の次は「声」認証?Apple、声でユーザーを識別する技術の特許を取得 - iPhone Mania はてなブックマークに追加

聖教新聞社のECサイトが改ざんされる。カード情報を盗む偽の決済画面が設置される | スラド セキュリティ

聖教新聞社のECサイトが改ざんされる。カード情報を盗む偽の決済画面が設置される | スラド セキュリティ

聖教新聞社のECサイトが改ざんされる。カード情報を盗む偽の決済画面が設置される | スラド セキュリティ

聖教新聞社のECサイト「SOKAオンラインストア」が不正アクセスを受けて改ざんされ、利用者のクレジットカード番号が不正に窃取される事件が発生した(日経xTECH)。セキュリティ研究者の徳丸浩氏によると、ここで使われたのは「新しい手口」だという。 今回の攻撃手法については、サイトの運営を委託されていたトランス...

はてなブックマーク - 聖教新聞社のECサイトが改ざんされる。カード情報を盗む偽の決済画面が設置される | スラド セキュリティ はてなブックマークに追加

聖教新聞社のECサイトが改ざんされる。カード情報を盗む偽の決済画面が設置される

聖教新聞社のECサイト「SOKAオンラインストア」が不正アクセスを受けて改ざんされ、利用者のクレジットカード番号が不正に窃取される事件が発生した(日経xTECH)。セキュリティ研究者の徳丸浩氏によると、ここで使われたのは「新しい手口」だという。

今回の攻撃手法については、サイトの運営を委託されていたトランスコスモスが調査結果を発表している(発表PDF)。これによると、偽のカード決済画面の設置とECサイトのシステムの改ざんが行われており、決済時に偽の決済画面に遷移するようになっていたという。偽の決済画面ではカード情報を入力するとその情報を記録、もしくは攻撃者に送信した上で決済エラーが発生した旨を表示して正規の決済画面に遷移させていたようだ。

昨今ではセキュリティ対策としてカード情報を保持しないことが一部で推奨されているが、こういった「偽の決済画面」を使った手法ではカード情報を保持しなくとも攻撃によって情報漏洩が発生してしまうとし、徳丸氏は『クレジットカード情報「非保持化」では対策できないものであり、今後のクレジットカード情報漏洩事件の主流となる可能性があります。』と述べている。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
NHKの受信料クレジットカード払い申込み書類、段ボール一箱分が行方不明に 2017年10月26日
信用情報会社Equifaxが個人情報漏洩、インサイダー疑惑もあり米政府が調査に乗り出す 2017年09月15日
JINSのオンラインショップ、Strutsの脆弱性を付かれた不正アクセスで個人情報漏洩の可能性 2017年03月27日
作業用品店の会員情報、金庫を盗まれて漏洩 2017年03月16日

カンニング竹山、宅配便会社からの突然LINEに違和感「本物だとしてもこのやり方は企業としておかしくないか?」 : スポーツ報知

カンニング竹山、宅配便会社からの突然LINEに違和感「本物だとしてもこのやり方は企業としておかしくないか?」 : スポーツ報知

カンニング竹山、宅配便会社からの突然LINEに違和感「本物だとしてもこのやり方は企業としておかしくないか?」 : スポーツ報知

カンニング竹山、宅配便会社からの突然LINEに違和感「本物だとしてもこのやり方は企業としておかしくないか?」 2018年10月17日11時27分  スポーツ報知 カンニング竹山 お笑いタレントのカンニング竹山(47)が17日、自身のツイッターを更新。「ヤマト便から急にラインが来た」と宅配予定の通知が来たことを明か...

はてなブックマーク - カンニング竹山、宅配便会社からの突然LINEに違和感「本物だとしてもこのやり方は企業としておかしくないか?」 : スポーツ報知 はてなブックマークに追加

カンニング竹山、宅配便会社からの突然LINEに違和感「本物だとしてもこのやり方は企業としておかしくないか?」 : スポーツ報知

カンニング竹山、宅配便会社からの突然LINEに違和感「本物だとしてもこのやり方は企業としておかしくないか?」 : スポーツ報知

カンニング竹山、宅配便会社からの突然LINEに違和感「本物だとしてもこのやり方は企業としておかしくないか?」 : スポーツ報知

カンニング竹山、宅配便会社からの突然LINEに違和感「本物だとしてもこのやり方は企業としておかしくないか?」 2018年10月17日11時27分  スポーツ報知 カンニング竹山 お笑いタレントのカンニング竹山(47)が17日、自身のツイッターを更新。「ヤマト便から急にラインが来た」と宅配予定の通知が来たことを明か...

はてなブックマーク - カンニング竹山、宅配便会社からの突然LINEに違和感「本物だとしてもこのやり方は企業としておかしくないか?」 : スポーツ報知 はてなブックマークに追加

Google、HTTPサイトでデータ入力を行うとアドレスバーに赤く「保護されていない通信」という警告を表示する「Google Chrome v70」をリリース。 | AAPL Ch.

Google、HTTPサイトでデータ入力を行うとアドレスバーに赤く「保護されていない通信」という警告を表示する「Google Chrome v70」をリリース。 | AAPL Ch.

Google、HTTPサイトでデータ入力を行うとアドレスバーに赤く「保護されていない通信」という警告を表示する「Google Chrome v70」をリリース。 | AAPL Ch.

GoogleがHTTPサイトでデータ入力を行うとアドレスバーに赤く「保護されていない通信」という警告を表示する「Google Chrome v70」をリリースしています。詳細は以下から。  Googleは現地時間201

はてなブックマーク - Google、HTTPサイトでデータ入力を行うとアドレスバーに赤く「保護されていない通信」という警告を表示する「Google Chrome v70」をリリース。 | AAPL Ch. はてなブックマークに追加

Google、HTTPサイトでデータ入力を行うとアドレスバーに赤く「保護されていない通信」という警告を表示する「Google Chrome v70」をリリース。 | AAPL Ch.

Google、HTTPサイトでデータ入力を行うとアドレスバーに赤く「保護されていない通信」という警告を表示する「Google Chrome v70」をリリース。 | AAPL Ch.

Google、HTTPサイトでデータ入力を行うとアドレスバーに赤く「保護されていない通信」という警告を表示する「Google Chrome v70」をリリース。 | AAPL Ch.

GoogleがHTTPサイトでデータ入力を行うとアドレスバーに赤く「保護されていない通信」という警告を表示する「Google Chrome v70」をリリースしています。詳細は以下から。  Googleは現地時間201

はてなブックマーク - Google、HTTPサイトでデータ入力を行うとアドレスバーに赤く「保護されていない通信」という警告を表示する「Google Chrome v70」をリリース。 | AAPL Ch. はてなブックマークに追加

生きたまま体切断、サウジ記者不明でショッキング情報 | 47NEWS – This kiji is

生きたまま体切断、サウジ記者不明でショッキング情報 | 47NEWS - This kiji is

生きたまま体切断、サウジ記者不明でショッキング情報 | 47NEWS - This kiji is

サウジアラビア政府を批判してきた米国在住のサウジ人著名記者ジャマル・カショギ氏がトルコで行方不明になった事件が世界のメディアの注目を集め、米国とサウジの外交関係にも影を落とす状況となっているが、中東地域を専門とするニュースサイト「ミドル・イースト・アイ」が16日、カショギ氏の動静についてショッキ...

はてなブックマーク - 生きたまま体切断、サウジ記者不明でショッキング情報 | 47NEWS - This kiji is はてなブックマークに追加

Oracle Java の脆弱性対策について(CVE-2018-3183等):IPA 独立行政法人 情報処理推進機構

Oracle Java の脆弱性対策について(CVE-2018-3183等):IPA 独立行政法人 情報処理推進機構

Oracle Java の脆弱性対策について(CVE-2018-3183等):IPA 独立行政法人 情報処理推進機構

※追記すべき情報がある場合には、その都度このページを更新する予定です。 MyJVNバージョンチェッカによる最新バージョンのチェックが行えます。こちらからご利用ください。 動作環境にJREを使用しない「MyJVNバージョンチェッカ for .NET」も利用可能です。 概要 Oracle 社が提供する JRE (Java Runtime Environment) ...

はてなブックマーク - Oracle Java の脆弱性対策について(CVE-2018-3183等):IPA 独立行政法人 情報処理推進機構 はてなブックマークに追加