HTMLソースコードから個人情報が筒抜け? Chromeなどのブラウザ拡張機能の多くで脆弱性 米研究者らが発見:Innovative Tech 米ウィスコンシン大学マディソン校に所属する研究者らは、HTMLソースコードからのパスワード、クレジットカード情報などのユーザーデータを抽出可能なブラウザ拡張機能について、多数の人気Webサイトが脆弱であることを明らかにした研究報告を発表した。
AirDropは、Appleデバイス間でデータを簡単に共有できる便利な機能ですが、実はユーザーのメールアドレスと電話番号を流出させていることが、研究者の調査から明らかになりました。 AirDropの脆弱性とは AirDropではファイルの送受信(データの共有)にWi-FiとBluetooth Low Energyを利用します。AirDropには「すべての人」「連絡先のみ」「受信しない」の3つの設定があります。 送信者のデバイスが周辺のデバイスとデータ共有が可能かどうか判別するために、AirDropでは送信者の電話番号とメールアドレスの暗号学的ハッシュの一部を含むBluetoothアドバタイズを行います。つまりハッシュは暗号化されているとはいえ、公開された状態です。 送信者と受信者が「連絡先のみ」に設定していた場合、この短縮ハッシュが受信者の連絡先と一致すれば、2台のデバイスはハンドシェイク
Mars exploration has been always been the exclusive purview of national space agencies, but NASA is trying to change that, awarding a dozen research tasks to private companies as a prelude to commerci
クラウド会計ソフトを提供するfreeeは2月10日、メールアドレスなど2898件の個人情報が外部から閲覧可能な状態になっていたと発表した。問い合わせの管理に使っていたCRM(顧客関係管理)ツール「Salesforce」の権限設定に不備があり、第三者がアクセスできる状態になっていたという。 閲覧可能になっていたのは、2020年1月29日~21年2月9日にfreeeアカウントの再設定や料金の支払い、求人情報に関する問い合わせをした人のメールアドレス(2898件)など。初回の問い合わせ内容(2898件)、氏名(1744件)、電話番号(794件)、住所(7件)、銀行口座番号(3件)、クレジットカード番号(2件)、freee以外のサービスのIDやパスワード(2件)、freeeのIDやパスワード(1件)も含む。 freeeによれば、事態が判明したのは8日22時ごろ。Salesforceの設定は9日に変
Googleは、オープンソースで開発されているソフトウェアの脆弱性がどのバージョンで生じ、どのバージョンで修正されたかなどの詳細をデータベース化する「OSV」(Open Source Vulnerabilities)プロジェクトの開始を発表しました。 オープンソースはクラウド基盤からアプリケーションまで、さまざまな場所で重要な役割を果たすようになってきています。そのため、正確な脆弱性情報の管理もまた重要さを増しています。 OSVにより、オープンソースソフトウェアの開発者やメンテナは手間がかかっていた脆弱性の報告が容易になります。 利用者はオープンソフトウェアの脆弱性がいつ修正されたのかなどの正確な情報を簡単かつ一貫した方法で得られるようになり、利用するソフトウェアの脆弱性の管理と対応を迅速かつ容易にできるようになります。 バグの再現手順を提供すればOSVが自動的にバージョン情報などを探索
レポート Windows 10の「テーマ」が同期対象から外れる - 阿久津良和のWindows Weekly Report 今後のWindows 10では、設定の同期対象として「テーマ」が取り除かれる予定だ。下図に示したのはWindows 10 Insider Preview ビルド20231(本稿執筆後の最新版はビルド20236)の「設定」だが、パスワード、言語設定、その他のみ個別選択できる。 Windows 10 Insider Preview ビルド20231の「設定の同期」 2020年9月ごろ、テーマファイルに対するPass-the-Hash攻撃によって、Windows 10のアカウントやパスワードのハッシュを盗まれるリスクが報告された。Pass-the-Hashはパスワード文字列ではなくパスワードハッシュをキャプチャーし、ネットワークでつながった別PCへのアクセス認証を回避する攻
主にLinuxで常用されるブートローダー「GRUB2」に、OSが起動する前の段階における不正なプログラム実行を防ぐ「セキュアブート」を回避できる脆弱性が報告されました。「BootHole」と名付けられたこの脆弱性により、攻撃者は対象のデバイスを無制限にコントロールすることができるとされています。 There’s a Hole in the Boot - Eclypsium https://eclypsium.com/2020/07/29/theres-a-hole-in-the-boot/ ADV200011 | Microsoft Guidance for Addressing Security Feature Bypass in GRUB https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV2000
2020年3月末から、日本では一気にテレワークが浸透し始めました。そんな中、ものすごい勢いでビジネスパーソンに利用されているツールが「Zoom」です。私自身も複数の打ち合わせをWeb会議で実施しましたが、いまのところその全てでZoomを指定されました。大学のオンライン授業にも利用可能ということもあり、職種や規模に関係なくZoomが注目されています。 なぜここまでZoomが注目されたのか、直接の要因は正直よく分からないのですが、ここまで多くのユーザーに広がるアプリの特徴は「誰かが使い始めると、そこから芋づる式にいつの間にか広まっている」という点かもしれません。ユーザーが急増する様子に、私は初期のLINEを思い出しました。 さて、急速に広まったZoomですが、現在セキュリティの問題で厳しい視線を向けられています。それでもZoomを使い続けたい読者や、使い続けて問題ないかどうか迷っている読者に今
ネットでは時々、CSSにおけるセキュリティの脆弱性について驚かせるような記事が出回ります。最近話題になったCSSのセキュリティの脆弱性、CSSでできることの可能性、ブラウザの対応状況について紹介します。 CSS Security Vulnerabilities 下記は各ポイントを意訳したものです。 ※当ブログでの翻訳記事は、元サイト様にライセンスを得て翻訳しています。 はじめに 訪問済みリンクの懸念 CSSによるキーロガー CSSによるデータシーフ インラインスタイルブロックのうん○ もっとたくさんあると思います はじめに 記事のタイトルを見て、心配しないでください。CSSにはセキュリティ上の危険な問題はなく、ほとんどの場合、心配する必要はありません。 しかし、時々驚かせるような記事が出回り、CSSでできることの可能性について注意を払う必要があります。最近、話題になった記事をまとめました。
by Msporch イスラエルのセキュリティ会社Checkmarxが「GoogleとサムスンのAndroidスマートフォンに、ユーザーに無許可でカメラとマイクを使用できる脆弱(ぜいじゃく)性を発見しました」と発表しました。「CVE-2019-2234」と名付けられたこの脆弱性は、記事作成時点ではGoogleとサムスンにより修正されているとのことですが、両社以外のメーカーのAndroidスマートフォンにも同様の脆弱性が潜んでいる可能性があるとのことです。 Android_Camera_Vulnerability_Report_FINAL_v2_(002).pdf (PDFファイル)https://info.checkmarx.com/hubfs/Reports/Android_Camera_Vulnerability_Report_FINAL_v2_(002).pdf How Attack
米GoogleのAndroidアプリ「Googleカメラ」に、ユーザーが気づかぬうちに動画や写真を撮影し、サーバにアップロードできてしまう不正アプリに悪用できる脆弱性があったと、イスラエルのセキュリティ企業Checkmarxが11月19日(現地時間)、調査結果を添えて発表した。Googleカメラだけでなく、韓国Samsung Electronicsのスマートフォンのカメラや、その他のOEM製Android端末のカメラにも影響するという。 Androidアプリは、アプリが端末のカメラやマイクにアクセスする際はユーザーに明示的に許可を求めるように設計されているが、Checkmarxの調査によると、この制限を簡単に回避できる脆弱性があった。この脆弱性を悪用すれば、ユーザーの許可なくカメラで写真や動画を撮影したり、端末に保存されている写真や動画をサーバにアップロードできる。 また、画像や動画にGP
ドイツにあるルール大学ボーフム校とヴェストファーレン・ヴィルヘルム大学のセキュリティ研究者らが「暗号化されたPDFの内容を、パスワードなしで盗み出すことができる攻撃手法を発見した」と発表しました。「PDFex」と名付けられたこの攻撃手法はPDFの仕組みそのものを悪用しているため、Adobe Acrobat Reader DCやPDF-XChange Viewerといった特定のPDFビューワーソフトだけでなく、ChromeやFirefoxなどのブラウザで閲覧した場合でもPDFの暗号化を突破されてしまうとのことです。 PDF Insecurity Website https://pdf-insecurity.org/encryption/encryption.html Researchers Find New Hack to Read Content Of Password Protected
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く