H.I.Sなど3サイト改ざん 閲覧者がマルウェア感染の恐れ
旅行代理店H.I.Sのサイトとブログサービス「JUGEM」、動画サイト「pandora.tv」が改ざんされ、閲覧者がマルウェアに感染していた恐れがあることが分かった。 旅行代理店H.I.Sの公式サイトと、GMOペパボが運営するブログサービス「JUGEM」、動画サイト「pandora.tv」が改ざんされ、閲覧者がマルウェアに感染していた恐れがあることが分かった。 シマンテックによると、3サイトは5月30日までにFlash Playerの脆弱性を悪用した攻撃を受け、Flash Playerを最新版に更新していないユーザーが、銀行口座情報を盗み取るマルウェアに感染した恐れがあるという。 H.I.Sは5月24日~26日にかけ、閲覧時にウイルス対策ソフトの警告が表示されていたと発表。原因は、サイトに埋め込んでいたJavaScriptを配信する外部サービス(リクルートマーケティングパートナーズが運営)
StrutsのClassLoader脆弱性はSAStrutsに影響しません - ひがやすを技術ブログ
Struts2に見つかった脆弱性と同様の脆弱性がStruts1系にも見つかりました。 Apache Struts 2の脆弱性が、サポート終了のApache Struts 1にも影響 HTTP(S)のリクエストでJavaのClassLoaderのメソッドが呼び出せてしまうという脆弱性です。 もう少し噛み砕いて言えば、リクエストのパラメータをJavaBeansにセットする時に、リフレクションを使い、パラメータ名にaaa.bbb.cccのようなネストした名前をサポートしているフレームワークは同様の問題が起こる可能性があります。 パラメータ名をclass.classLoader.xxxのような感じにして、ClassLoaderのメソッドを呼び出す訳です。 このような問題を起こすリフレクションフレームワークで最も有名なのは、Apache Commons BeanUtilsです。リクエストのパラメータ
Androidアプリ開発時に脆弱性をチェックする無償ツールが公開
情報処理推進機構(IPA)4月11日、Androidアプリの脆弱性を学習したり、点検したりできるツール「AnCoLe(アンコール)」を公開した。IPAへの届出が多い脆弱性について7つのテーマで、実際に開発したアプリをチェックできる。 AnCoLeは統合開発環境のEclipseに組み込んで利用する。開発中のアプリを読み込ませると脆弱性や問題点を点検し、結果では該当箇所のソースコードを把握できる。該当箇所については対策方法を学習できるようになっている。再点検を行って問題が無い場合は終了する。 学習対象の脆弱性テーマは、「ファイルのアクセス制限不備」「コンポーネントのアクセス制限不備」「暗黙的Intentの不適切な使用」「不適切なログ出力」「WebViewの不適切な使用」「SSL通信の実装不備」「不必要な権限の取得」の7つ。いずれも情報漏えいやアプリの改ざんなどにつながる恐れがある。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
