InfoQ ホームページ Security Vulnerabilities に関するすべてのコンテンツ
-
SymantecがFlashゼロデイ攻撃の可能性を指摘
Symantecは,HackDayのリークから発見された(攻撃対象となり得る)ゼロデイ脆弱性を利用した,リモートコード実行の可能について報告している。Adobeは近日中にFlashをアップデートする予定だが,現時点で有効な対策はFlashを無効にする以外にはないようだ。
-
LenovoがSuperfishによる脆弱性問題に対応
Lenovoは,同社のコンピュータにSuperfishソフトウェアをプリロードしていたことへの批判を受けて,問題のツールを除去する方法のアドバイスを発表した。しかし,何が問題なのか,そもそもなぜプリロードされていたのか?InfoQはそれを調査した。一方ではMicrosoftが,Superfishとそのルート証明書を削除するための,Microsoft Defender定義の配布を開始している。
-
GoogleがSSL 3.0のサポートを廃止
Googleはオンラインセキュリティブログでまもなく旧式のSSL 3.0のサポートを廃止すると発表した。SSL 3.0に、クライアントにダウングレードを強制することによって攻撃が可能になるという脆弱性が見つかったからだ。SSL 3.0の排除はHTTP2の仕様策定の停滞を解消する可能性もある。
-
Heartbleedの影響を受けたOpenBSD開発チームがOpenSSLコードのクリーンアップに着手
OpenSSLのHeartbleed脆弱性の問題を受けてOpenBSD開発チームでは,同ライブラリの徹底的な再調査を行うプロジェクトを立ち上げた。コードベースの大規模なクリーンアップと修正に着手したチームが先週,その目覚ましい成果を公開している。
-
リモートからクライアントとサーバのメモリをダンプできてしまう脆弱性Heartbleed
最近明らかになったOpenSSLのHeartbleedバグを突くとリモートクライアントがサーバ側のメモリの中を覗けてしまう。Yahoo! MailやAmazon Web Servicesが影響を受けている。
-
Gauntltによる継続的セキュリティテスト
GauntltコアチームのJames Wickett氏はVelocity Conf Londonで,アプリケーションのセキュリティレベルに関するフィードバックの迅速化を目的とした,継続的インテグレーションサイクルへのセキュリティテスト統合についての解説を行った。氏が強調したのは,継続的デリバリによるリリースデリバリ率の増加に伴う,定期的セキュリティチェックの重要性だ
-
Dockerとコンテナをセキュアにする
dotCloudのシニアエンジニアであるJérôme Petazzoni氏は,Dockerのセキュリティに関する改善状況を調査して他の仮想化あるいはコンテナ系技術と比較し,その結果を最近のブログ記事 "CONTAINERS & DOCKER: HOW SECURE ARE THEY?" で発表した。そこで氏が論証しているのは,高度な設定や専門知識を要す��ことなくDockerをセキュアにするための技術である。
-
-
Javaは、最新のパッチでもまだ脆弱である
最新の修正後数日で、セキュリティ研究者の Adam Gowdiakが別のJavaの脆弱性を見つけた。更にこの数日で、Java 7 Update 21で修正された多くのリモートからコード実行する脆弱性の1つを狙った攻撃コードが世界中で出回り始めている。
-
JSONペイロードのASP.NET Anti-Forgeryトークン
ASP.NET MVCは、ユーザーが明示したトークンを使ってCSRF攻撃の検出とブロックを可能にする has AntiForgeryTokenヘルパーを持っている。しかし、主にajaxリクエストやKnockoutとBackboneのようなJSONペイロードのJavaScriptフレームワークを使っている場合、アプローチを少し変更する必要がある。
-
1週間で、またJavaのセキュリティホールが見つかる
ポーランドのセキュリティ新興企業Security Explorationsは、別のセキュリティホールを見つけた。これによって、ハッカーは、重大なセキュリティ対策をバイパスできる。Java SE 5, 6、7が影響を受ける。この8年間のJavaリリース全てである。
-
Javaのセキュリティ問題に悩むOracleとApple
近頃、明確なセキュリティ問題CVE-2012-4681とブラウザプラグインを狙った複数の脆弱性に対する拙い反応が原因でJavaが話題になっている。
-
GitHub、Mass Assignment利用の脆弱性を突かれる
先日、GitHubはRuby on Railsのmass assignment機能の脆弱性を突かれた。この脆弱性は数多くのRubyベースのサイトだけではなく、ASP.NET MVCや他のORMフレームワークを使用したサイトにも影響を及ぼす可能性がある。
-
ほとんどのWebサーバーに影響するメジャーなサービス拒否脆弱性
セキュリティ研究者のAlexander Klink氏とJulian Wälde氏は、つい先日まで大部分のWebサーバーに影響を与える可能性のあった深刻な脆弱性を明らかにした。攻撃は、ハッシュコードの衝突を作り出すように設計されたPOSTフォームデータを送る、単一のHTTPリクエストだけである。最初にこの攻撃が発見されたとき、Python、Ruby、PHP、Java、ASP.NETが影響を受けたが、ベンダーはパッチの開発を行った。
-
Paul R. Croll氏がIEEEのHans Karlsson Standards Award 2012を受賞
IEEEはKarlsson Standard Award 2012をPaul R. Croll氏に与えることを発表した。IEEEのシステムソフトウエア標準化委員会でリーダーシップを発揮し、協調性と交渉力で高品質な標準の開発を推し進めることに貢献した。