InfoQ ホームページ Security Vulnerabilities に関するすべてのコンテンツ

ニュース

RSSフィード

最新前の記事

デシリアライズを利用したリモート実行可能な Java ゼロデイエクスプロイット

Foxglove Securityの最近の分析によると、デシリアライズするアプリケーションにはゼロデイエクスプロイットの脆弱性があるという。OpenJDK, Apache Commons, Spring や Groovyといったライブラリが該当しており、InfoQ が調査を進める。

Alex Blewitt 翻訳者西村美沙
投稿日 2015年11月29日午前11時58分
ケンブリッジ大学がAndroidのセキュリティ状況を調査

ケンブリッジ大学の研究者たちが，Androidのセキュリティをデバイス別，バージョン別，年代別に評価する大規模な調査を実施している。その結果，過去4年間の平均として，87%のAndroidデバイスに脆弱性のあることが明らかになった。研究のリーダであるDaniel Thomas氏に話を聞いた。

Sergio De Simone 翻訳者吉田英人
投稿日 2015年11月23日午後6時50分
QARK: Androidアプリのセキュリティホールを発見する

LinkedInがQARKをオープンソース化した。これはJavaで書かれたAndroidアプリに存在する、潜在的セキュリティ脆弱性を発見するための静的解析ツールだ。

Abel Avram 翻訳者笹井崇司
投稿日 2015年9月9日午前3時28分
SymantecがFlashゼロデイ攻撃の可能性を指摘

Symantecは，HackDay��リークから発見された(攻撃対象となり得る)ゼロデイ脆弱性を利用した，リモートコード実行の可能について報告している。Adobeは近日中にFlashをアップデートする予定だが，現時点で有効な対策はFlashを無効にする以外にはないようだ。

Alex Blewitt 翻訳者吉田英人
投稿日 2015年8月3日午後10時28分
LenovoがSuperfishによる脆弱性問題に対応

Lenovoは，同社のコンピュータにSuperfishソフトウェアをプリロードしていたことへの批判を受けて，問題のツールを除去する方法のアドバイスを発表した。しかし，何が問題なのか，そもそもなぜプリロードされていたのか？InfoQはそれを調査した。一方ではMicrosoftが，Superfishとそのルート証明書を削除するための，Microsoft Defender定義の配布を開始している。

Alex Blewitt 翻訳者吉田英人
投稿日 2015年3月8日午後7時50分
GoogleがSSL 3.0のサポートを廃止

Googleはオンラインセキュリティブログでまもなく旧式のSSL 3.0のサポートを廃止すると発表した。SSL 3.0に、クライアントにダウングレードを強制することによって攻撃が可能になるという脆弱性が見つかったからだ。SSL 3.0の排除はHTTP2の仕様策定の停滞を解消する可能性もある。

Alex Blewitt 翻訳者徳武聡
投稿日 2014年10月27日午後3時50分
Heartbleedの影響を受けたOpenBSD開発チームがOpenSSLコードのクリーンアップに着手

OpenSSLのHeartbleed脆弱性の問題を受けてOpenBSD開発チームでは，同ライブラリの徹底的な再調査を行うプロジェクトを立ち上げた。コードベースの大規模なクリーンアップと修正に着手したチームが先週，その目覚ましい成果を公開している。

Jeff Martin 翻訳者吉田英人
投稿日 2014年4月27日午後11時55分
リモートからクライアントとサーバのメモリをダンプできてしまう脆弱性Heartbleed

最近明らかになったOpenSSLのHeartbleedバグを突くとリモートクライアントがサーバ側のメモリの中を覗けてしまう。Yahoo! MailやAmazon Web Servicesが影響を受けている。

Alex Blewitt 翻訳者徳武聡
投稿日 2014年4月16日午後8時0分
Gauntltによる継続的セキュリティテスト

GauntltコアチームのJames Wickett氏はVelocity Conf Londonで，アプリケーションのセキュリティレベルに関するフィードバックの迅速化を目的とした，継続的インテグレーションサイクルへのセキュリティテスト統合についての解説を行った。氏が強調したのは，継続的デリバリによるリリースデリバリ率の増加に伴う，定期的セキュリティチェックの重要性だ

Manuel Pais 翻訳者吉田英人
投稿日 2013年12月19日午後7時39分
Dockerとコンテナをセキュアにする

dotCloudのシニアエンジニアであるJérôme Petazzoni氏は，Dockerのセキュリティに関する改善状況を調査して他の仮想化あるいはコンテナ系技術と比較し，その結果を最近のブログ記事 "CONTAINERS & DOCKER: HOW SECURE ARE THEY?" で発表した。そこで氏が論証しているのは，高度な設定や専門知識を要することなくDockerをセキュアにするための技術である。

Aslan Brooke 翻訳者吉田英人
投稿日 2013年10月14日午後11時23分
脱線：ハッカーが数ヶ月前のRailsの欠陥を攻撃

数ヶ月前のRuby on Railsの欠陥が、今攻撃されている。パッチを当てなかったシステムは、悪意のある攻撃者に脆弱なままだったのである。

Jeff Martin 翻訳者編集部Ｎ
投稿日 2013年6月5日午前12時55分
Javaは、最新のパッチでもまだ脆弱である

最新の修正後数日で、セキュリティ研究者の Adam Gowdiakが別のJavaの脆弱性を見つけた。更にこの数日で、Java 7 Update 21で修正された多くのリモートからコード実行する脆弱性の１つを狙った攻撃コードが世界中で出回り始めている。

Charles Humble 翻訳者編集部Ｎ
投稿日 2013年5月7日午前4時33分
JSONペイロードのASP.NET Anti-Forgeryトークン

ASP.NET MVCは、ユーザーが明示したトークンを使ってCSRF攻撃の検出とブロックを可能にする has AntiForgeryTokenヘルパーを持っている。しかし、主にajaxリクエストやKnockoutとBackboneのようなJSONペイロードのJavaScriptフレームワークを使っている場合、アプローチを少し変更する必要がある。

Roopesh Shenoy 翻訳者尾崎義尚
投稿日 2012年10月18日午後10時6分
1週間で、またJavaのセキュリティホールが見つかる

ポーランドのセキュリティ新興企業Security Explorationsは、別のセキュリティホールを見つけた。これによって、ハッカーは、重大なセキュリティ対策をバイパスできる。Java SE 5, 6、7が影響を受ける。この8年間のJavaリリース全てである。

Charles Humble 翻訳者編集部Ｎ
投稿日 2012年10月9日午後11時50分
Javaのセキュリティ問題に悩むOracleとApple

近頃、明確なセキュリティ問題CVE-2012-4681とブラウザプラグインを狙った複数の脆弱性に対する拙い反応が原因でJavaが話題になっている。

Charles Humble 翻訳者徳武聡
投稿日 2012年9月17日午後10時6分

Login with:

アカウントをお持ちでない方

ニュース