BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ Security Vulnerabilities に関するすべてのコンテンツ

  • デシリアライズを利用したリモート実行可能な Java ゼロデイエクスプロイット

    Foxglove Securityの最近の分析によると、デシリアライズするアプリケーションにはゼロデイエクスプロイットの脆弱性があるという。OpenJDK, Apache Commons, Spring や Groovyといったライブラリが該当しており、InfoQ が調査を進める。

  • ケンブリッジ大学がAndroidのセキュリティ状況を調査

    ケンブリッジ大学の研究者たちが,Androidのセキュリティをデバイス別,バージョン別,年代別に評価する大規模な調査を実施している。その結果,過去4年間の平均として,87%のAndroidデバイスに脆弱性のあることが明らかになった。研究のリーダであるDaniel Thomas氏に話を聞いた。

  • QARK: Androidアプリのセキュリティホールを発見する

    LinkedInがQARKをオープンソース化した。これはJavaで書かれたAndroidアプリに存在する、潜在的セキュリティ脆弱性を発見するための静的解析ツールだ。

  • SymantecがFlashゼロデイ攻撃の可能性を指摘

    Symantecは,HackDay��リークから発見された(攻撃対象となり得る)ゼロデイ脆弱性を利用した,リモートコード実行の可能について報告している。Adobeは近日中にFlashをアップデートする予定だが,現時点で有効な対策はFlashを無効にする以外にはないようだ。

  • LenovoがSuperfishによる脆弱性問題に対応

    Lenovoは,同社のコンピュータにSuperfishソフトウェアをプリロードしていたことへの批判を受けて,問題のツールを除去する方法のアドバイスを発表した。しかし,何が問題なのか,そもそもなぜプリロードされていたのか?InfoQはそれを調査した。一方ではMicrosoftが,Superfishとそのルート証明書を削除するための,Microsoft Defender定義の配布を開始している。

  • GoogleがSSL 3.0のサポートを廃止

    Googleはオンラインセキュリティブログでまもなく旧式のSSL 3.0のサポートを廃止すると発表した。SSL 3.0に、クライアントにダウングレードを強制することによって攻撃が可能になるという脆弱性が見つかったからだ。SSL 3.0の排除はHTTP2の仕様策定の停滞を解消する可能性もある。

  • Heartbleedの影響を受けたOpenBSD開発チームがOpenSSLコードのクリーンアップに着手

    OpenSSLのHeartbleed脆弱性の問題を受けてOpenBSD開発チームでは,同ライブラリの徹底的な再調査を行うプロジェクトを立ち上げた。コードベースの大規模なクリーンアップと修正に着手したチームが先週,その目覚ましい成果を公開している。

  • リモートからクライアントとサーバのメモリをダンプできてしまう脆弱性Heartbleed

    最近明らかになったOpenSSLのHeartbleedバグを突くとリモートクライアントがサーバ側のメモリの中を覗けてしまう。Yahoo! MailやAmazon Web Servicesが影響を受けている。

  • Gauntltによる継続的セキュリティテスト

    GauntltコアチームのJames Wickett氏はVelocity Conf Londonで,アプリケーションのセキュリティレベルに関するフィードバックの迅速化を目的とした,継続的インテグレーションサイクルへのセキュリティテスト統合についての解説を行った。氏が強調したのは,継続的デリバリによるリリースデリバリ率の増加に伴う,定期的セキュリティチェックの重要性だ

  • Dockerとコンテナをセキュアにする

    dotCloudのシニアエンジニアであるJérôme Petazzoni氏は,Dockerのセキュリティに関する改善状況を調査して他の仮想化あるいはコンテナ系技術と比較し,その結果を最近のブログ記事 "CONTAINERS & DOCKER: HOW SECURE ARE THEY?" で発表した。そこで氏が論証しているのは,高度な設定や専門知識を要することなくDockerをセキュアにするための技術である。

  • 脱線:ハッカーが数ヶ月前のRailsの欠陥を攻撃

    数ヶ月前のRuby on Railsの欠陥が、今攻撃されている。パッチを当てなかったシステムは、悪意のある攻撃者に脆弱なままだったのである。

  • Javaは、最新のパッチでもまだ脆弱である

    最新の修正後数日で、セキュリティ研究者の Adam Gowdiakが別のJavaの脆弱性を見つけた。更にこの数日で、Java 7 Update 21で修正された多くのリモートからコード実行する脆弱性の1つを狙った攻撃コードが世界中で出回り始めている。

  • JSONペイロードのASP.NET Anti-Forgeryトークン

    ASP.NET MVCは、ユーザーが明示したトークンを使ってCSRF攻撃の検出とブロックを可能にする has AntiForgeryTokenヘルパーを持っている。しかし、主にajaxリクエストやKnockoutとBackboneのようなJSONペイロードのJavaScriptフレームワークを使っている場合、アプローチを少し変更する必要がある。

  • 1週間で、またJavaのセキュリティホールが見つかる

    ポーランドのセキュリティ新興企業Security Explorationsは、別のセキュリティホールを見つけた。これによって、ハッカーは、重大なセキュリティ対策をバイパスできる。Java SE 5, 6、7が影響を受ける。この8年間のJavaリリース全てである。

  • Javaのセキュリティ問題に悩むOracleとApple

    近頃、明確なセキュリティ問題CVE-2012-4681とブラウザプラグインを狙った複数の脆弱性に対する拙い反応が原因でJavaが話題になっている。

BT