HTMLソースコードから個人情報が筒抜け? Chromeなどのブラウザ拡張機能の多くで脆弱性 米研究者らが発見:Innovative Tech 米ウィスコンシン大学マディソン校に所属する研究者らは、HTMLソースコードからのパスワード、クレジットカード情報などのユーザーデータを抽出可能なブラウザ拡張機能について、多数の人気Webサイトが脆弱であることを明らかにした研究報告を発表した。
AirDropは、Appleデバイス間でデータを簡単に共有できる便利な機能ですが、実はユーザーのメールアドレスと電話番号を流出させていることが、研究者の調査から明らかになりました。 AirDropの脆弱性とは AirDropではファイルの送受信(データの共有)にWi-FiとBluetooth Low Energyを利用します。AirDropには「すべての人」「連絡先のみ」「受信しない」の3つの設定があります。 送信者のデバイスが周辺のデバイスとデータ共有が可能かどうか判別するために、AirDropでは送信者の電話番号とメールアドレスの暗号学的ハッシュの一部を含むBluetoothアドバタイズを行います。つまりハッシュは暗号化されているとはいえ、公開された状態です。 送信者と受信者が「連絡先のみ」に設定していた場合、この短縮ハッシュが受信者の連絡先と一致すれば、2台のデバイスはハンドシェイク
Mars exploration has been always been the exclusive purview of national space agencies, but NASA is trying to change that, awarding a dozen research tasks to private companies as a prelude to commerci
クラウド会計ソフトを提供するfreeeは2月10日、メールアドレスなど2898件の個人情報が外部から閲覧可能な状態になっていたと発表した。問い合わせの管理に使っていたCRM(顧客関係管理)ツール「Salesforce」の権限設定に不備があり、第三者がアクセスできる状態になっていたという。 閲覧可能になっていたのは、2020年1月29日~21年2月9日にfreeeアカウントの再設定や料金の支払い、求人情報に関する問い合わせをした人のメールアドレス(2898件)など。初回の問い合わせ内容(2898件)、氏名(1744件)、電話番号(794件)、住所(7件)、銀行口座番号(3件)、クレジットカード番号(2件)、freee以外のサービスのIDやパスワード(2件)、freeeのIDやパスワード(1件)も含む。 freeeによれば、事態が判明したのは8日22時ごろ。Salesforceの設定は9日に変
Googleは、オープンソースで開発されているソフトウェアの脆弱性がどのバージョンで生じ、どのバージョンで修正されたかなどの詳細をデータベース化する「OSV」(Open Source Vulnerabilities)プロジェクトの開始を発表しました。 オープンソースはクラウド基盤からアプリケーションまで、さまざまな場所で重要な役割を果たすようになってきています。そのため、正確な脆弱性情報の管理もまた重要さを増しています。 OSVにより、オープンソースソフトウェアの開発者やメンテナは手間がかかっていた脆弱性の報告が容易になります。 利用者はオープンソフトウェアの脆弱性がいつ修正されたのかなどの正確な情報を簡単かつ一貫した方法で得られるようになり、利用するソフトウェアの脆弱性の管理と対応を迅速かつ容易にできるようになります。 バグの再現手順を提供すればOSVが自動的にバージョン情報などを探索
ソフトウェアを開発されている方は、オープンソース・ソフトウェア(OSS)を利用して開発することが多いと思います。 OSS の導入時には最新のバージョンのものを利用するため脆弱性が含まれていなかったとしても、時間が経つにつれ脆弱性が新たに公開され、セキュリティリスクが高まることがあります。 自分たちが使っている全てのライブラリとそのバージョンを常に把握して、新たに公開された脆弱性がないかどうかを人手で監視することは非常に労力のかかる作業でしょう。 開発チームの規模が大きく、複数のプロジェクトを管理する場合にはより多くの工数がかかることが予想されます。 脆弱性管理ツール「yamory」 では、これらの作業を自動化し、自分たちに影響がある脆弱性情報だけを通知することができます。 また、脆弱性の対応優先度を自動で分類し、脆弱性への対策を提示することもできるので調査工数を削減することもできます。 本
YouTubeには他のウェブサイトにYouTubeのムービーを再生するプレイヤーを埋め込めるHTMLタグを出力する機能があります。埋め込みプレイヤーはムービーの再生や停止といった操作の他に、再生リストなどにもアクセスできる便利な存在。しかし、そんなYouTubeの埋め込みプレイヤーに「再生履歴や非公開のムービー」が漏えいする脆弱(ぜいじゃく)性があったと、発見者であるDavid Schütz氏が語っています。 bugs.xdavidhu.me - xdavidhu's bug bounty writeups. https://bugs.xdavidhu.me/google/2021/01/18/the-embedded-youtube-player-told-me-what-you-were-watching-and-more/ YouTubeアカウントには「再生履歴」リスト、「後で見る」
はじめにTwitterはBug Bountyプログラム(脆弱性報奨金制度とも呼ばれる)を実施しており、脆弱性の診断行為を行うことが認められています。 本記事は、そのプログラムを通して報告された脆弱性についてを解説したものであり、Twitterが認知していない未修正の脆弱性を公開する事を意図したものではありません。 また、Twitter上で脆弱性を発見した場合はTwitterのBug Bountyプログラムより報告してください。 (This article is written in Japanese. If you’d like to read this article in English, please visit HackerOne report.) TL;DRTwitterが公開したフリート機能が使用しているAPIに脆弱性が存在し、READ権限しか持っていないサードパーティアプリケ
レポート Windows 10の「テーマ」が同期対象から外れる - 阿久津良和のWindows Weekly Report 今後のWindows 10では、設定の同期対象として「テーマ」が取り除かれる予定だ。下図に示したのはWindows 10 Insider Preview ビルド20231(本稿執筆後の最新版はビルド20236)の「設定」だが、パスワード、言語設定、その他のみ個別選択できる。 Windows 10 Insider Preview ビルド20231の「設定の同期」 2020年9月ごろ、テーマファイルに対するPass-the-Hash攻撃によって、Windows 10のアカウントやパスワードのハッシュを盗まれるリスクが報告された。Pass-the-Hashはパスワード文字列ではなくパスワードハッシュをキャプチャーし、ネットワークでつながった別PCへのアクセス認証を回避する攻
GoogleのGmailとG Suiteに、電子メールのなりすましに関する脆弱性があったことを、セキュリティ研究者のアリソン・フセイン氏がブログで報告しています。 The Confused Mailman: Sending SPF and DMARC passing mail as any Gmail or G Suite customer :: Ezhes — tale of the tailed z https://ezh.es/blog/2020/08/the-confused-mailman-sending-spf-and-dmarc-passing-mail-as-any-gmail-or-g-suite-customer/ Google fixed email spoofing flaw 7 hours after public disclosureSecurity Affai
iPhoneやMacのパスワードなどの情報を暗号化して保存し高度なセキュリティを実現しているSecure Enclaveに修正不可能な脆弱性を発見した、と中国のハッカー集団が声明を発表しています。 パスワードや生体認証情報を暗号化して保存 Secure Enclaveは、iPhoneやMacなど、近年のほぼ全てのApple製品に搭載されているハードウェアです。メインのプロセッサからもiCloudからも独立し、データを乱数で高度に暗号化して保存することで、高いセキュリティ性能を確保しています。 Secure Enclaveには、パスワード、Apple Payで使用するクレジットカード情報、Touch IDやFace IDの生体認証情報も暗号化して保管され、悪意あるハッカーが個人情報を盗み出すのを防いでいます。 Secure Enclaveは、搭載されたデバイスのシステムからも独立して動作する
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く