「クリック乗っ取り」の脅威が出現、主要なブラウザに影響か
ユーザーは自分が見ているWebページのコンテンツをクリックしたつもりでも、実際には別のページのコンテンツをクリックさせられている可能性があるという。 Webサイト上でユーザーのクリック操作が乗っ取られる「クリックジャッキング」という新たな脆弱性が報告された。主要なWebブラウザのほとんどが影響を受けるとされ、US-CERTが研究者の報告や報道を引用して注意を呼び掛けている。 それによると、クリックジャッキング攻撃では、ユーザーがWebページ上でほとんど気付かないリンクやボタンなどをクリックさせられる恐れがある。つまり、ユーザーは自分が見ているWebページのコンテンツをクリックしたつもりでも、実際には別のページのコンテンツをクリックさせられている可能性があるという。 この脆弱性は、Internet Explorer(IE)やFirefox、Safari、Operaなどの主要ブラウザとAdob
余計な機能を備えたツールバー
McAfee Avert Labs Blog 「More Than a Toolbar」より August 19,2008 Posted by Di Tian 当社のある顧客がサンプル・ファイルを送ってくれた。ファイル名「ToolbarSetup.exe」から判断すると,ツールバーのインストーラのように思える。このファイルを実行したら,米eBayの提供しているツールバーの使用許諾契約書(EULA:End User License Agreement)が表示され,インストール用画面が現れた。そして,当然eBayのツールバーがインストールされた。 ところが,インストール途中で少々おかしなことに気付いた。このインストーラは「2ebaytoolbarsetup.exe」プロセスだけでなく,「wscript.exe」プロセスを生成し,「.vbs」ファイルを動かしていたのだ。ツールバーのインストール処
IEとFirefoxをインストールしている人は要注意--「非常に重大」なセキュリティリスク:ニュース - CNET Japan
「(Internet ExplorerとFirefoxの)どちらにも非がある」 「Internet Explorer」のゼロデイエクスプロイトについて当初はMicrosoftを非難していたセキュリティ研究者たちが今、このように述べている。この問題はウェブブラウザ「Firefox」のユーザーにも影響するからである。 IEと、Firefoxのバージョン2.0以降をインストールしているユーザーは、「非常に重大」なリスクにさらされている。攻撃者は、悪質なサイトをユーザーにIEで閲覧させることで、「firefoxurl://」というURLハンドラを利用しながら、ブラウザとウェブ上の特定のリソースとの間でやりとりをさせることが可能になる。この結果、ユーザーのシステムが遠隔地から悪用される可能性がある。 IEの問題を発見したセキュリティ研究者のThor Larholm氏とセキュリティ企業大手のSyman
「Windows版Safari 3.0はセキュアでない」:研究家らが早くも指摘
AppleがWindows用「Safari 3.0」のベータ版を一般公開した数時間後、セキュリティ研究家3名がセキュリティホールをそれぞれ発見したことを明らかにした。研究家Aviv Raff氏は自身のブログで、Appleが述べた「使用し始めた最初の日から、Safariがセキュアであるように設計している」という言葉を引用している。Raff氏が発見したのはメモリ破壊エラーの脆弱性で、一般的に入手可能なファジングツールを使い3分程で発見している。このエラーを使えば、悪意あるコードをWindowsマシンに挿入できるという。 セキュリティ研究家David Maynor氏は、自身のセキュリティ関連ブログ「Errata」で、メモリ破壊エラーを「直ちに」発生することができたと述べた。同氏は、1日でバグを6件発見している。これらのバグの内訳は、DoS(クラッシュ)を可能にするバグが4件、リモートからのコード
アニメカーソルの脆弱性はFirefoxの方が深刻?
Microsoftが4月3日に緊急公開したアニメーションカーソルの脆弱性修正パッチは、IEを保護モードで実行しているユーザーよりも、Firefoxユーザーの方が差し迫った必要に迫られている。Firefoxに低権限モードがないことが原因だ。 Determinaの研究者でアニメーションカーソルの脆弱性を最初に発見し、12月にMicrosoftに通報したアレクサンドラ・ソティロフ氏は、VistaデフォルトモードのInternet Explorer 7とFirefox 2.0でアニメーションカーソルの脆弱性を悪用する模様をとらえたビデオを掲載した。 このビデオでソティロフ氏は、保護モードに切り替えるとIEを実行しているVistaは保護されると指摘。脆弱性を突いて攻撃者がシステム上のファイルにアクセスすることはできるが、これらファイルが上書きされるのは保護モードで防止できるという。 Firefoxも
モジラ、Firefoxのセキュリティアップデートを公開
Mozillaは米国時間3月20日、「Firefox 2.0」および「Firefox 1.5」のセキュリティアップデートを公開した。Mozillaによるサポートの終了にあわせて、Firefox 1.5のセキュリティアップデートは配布期間が2007年4月24日までとなっている。MozillaではFirefox 1.5のユーザーに対し、Firefox 2.0に早めにアップグレードするように呼びかけている。Firefox 2.0およびFirefox 1.5のセキュリティアップデートは自動アップデート機能によって配信され、更新を有効にするにはFirefoxを再起動する必要がある。今回のアップデートでは、Firefoxで利用されるFTPにおける脆弱性が修正されている。 攻撃者はこの脆弱性を悪用して、FTPサーバに特殊なコードを実行させることにより、ファイアウォール内に配置されたマシンのポートスキャン
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://headlines.yahoo.co.jp/hl?a=20080602-00000014-imp-sci