MS365のMFAが効かない基本認証。基本認証を無効化していないMS365が狙われている。(大元隆志) - エキスパート - Yahoo!ニュース
MS365でMFAの効かないIMAP等がパスワードスプレー攻撃で狙われている(写真:Panther Media/アフロイメージマート) 三菱電機が契約しているMS365に不正アクセスが発生した。このニュースを見て「我社のMS365はMFA(多要素認証)を利用しているから大丈夫」と思った人も少なくないだろう。しかしMS365に対する不正アクセスの多くはMFAをバイパスするIMAP等が狙われている。 ■基本認証と先進認証 MS365には大きく分けて二種類の認証方式が存在し、先進認証と基本認証と呼ばれている。主にMS365にアクセスするクライアントによって使い分けられる。 ・先進認証 IE/Chrome/Safariなどのウェブブラウザから、MS365にアクセスする場合や、先進認証対応のMS365アプリからアクセスする場合に利用される認証方法。MFA等が利用出来る。 ・基本認証(レガシー認証)
Skypeの通信はすべてリアルタイムで盗聴可能だったことが明らかに
by Hypnosis Photography MicrosoftがSkypeのユーザー間で交わされるメッセージを閲覧していると2013年に判明し、その後、SkypeはMicrosoftに買収される以前から政府にユーザー間の通話を提供する「Project Chess(プロジェクト・チェス)」を計画していたと報じられていました。ドイツのニュースサイトSPIEGEL ONLINEによると、上記に引き続き、NSAが特定のSkypeユーザーの音声・ビデオ・テキスト・ファイル交換といったやりとりにリアルタイムで自由にアクセスできたことが明らかになりました。 Inside the NSA's War on Internet Security - SPIEGEL ONLINE http://www.spiegel.de/international/germany/inside-the-nsa-s-war
XPのゼロデイ脆弱性、PDF経由で攻撃を確認 - FireEye
米FireEyeは11月27日(現地時間)、Windows XPに脆弱性が見つかり、PDF経由での攻撃を確認したと発表した。リモートコード実行はできないものの、ローカル環境で権限が昇格するという。米Microsoftは同日、セキュリティアドバイザリを公開した。 FireEyeのブログによると、この脆弱性を利用した攻撃は、Windows XP SP3上のAdobe Reader 9.5.4、10.1.6、11.0.02以前で発生する。Adobeが今年5月に公開したパッチを適用していれば防ぐことができる。 FireEyeでは、緩和策として、Adobe Readerを最新版にすること、Windowsを7以上にアップデートすることをすすめている。 一方、Microsoftが公開したセキュリティアドバイザリ「2914486」によると、この脆弱性は、WIndowsカーネルのテレフォニー通信などに用いる
脆弱性関連情報の非開示依頼の取下げ申請の結果が返ってきた - 葉っぱ日記
2008年8月5日に届け出た脆弱性というか仕様というか問題ある挙動について、いつまで経っても修正されず、むしろ問題を公にしてユーザーが自衛するほうが社会的公益性が高いと思い、2012年10月21日に脆弱性関連情報の非開示依頼の取下げ申請をIPAに送ってみたら以下のような返事が返ってきた。 ドキュメント検査だけでは不十分なので、とりあえず、自分の名前や所属、使用しているコンピュータ名等が公に知られたくないという人は、Microsoft Officeで作成されたファイル(PDFに変換したのを含む)を他人に配布するのを避けるとよいと思います。 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 - ----------------------------------------------------------------- このメールは、取扱い番号 I
MS-CHAPv2プロトコルの破綻 | セキュリティ対策のラック
2012年8月31日 改訂 本件につきましては、7月29日ごろに問題が公表されてから8月20日前後まで、メーカーや公的機関等からの詳細な情報提供がありませんでした。弊社としては、早期の告知を優先し、まずは明らかになっている情報を報告させていただいたため、初版のリリース時には脆弱性の影響範囲について過大な評価となる記述となっておりました。 一部のお客様、および関係者の方々よりご指摘をいただき、ご迷惑をおかけしたことをお詫び申し上げます。メーカーからのアドバイザリや追加情報をもとに記載内容を見直しましたため、以下の通り改訂させていただきます。 暗号化通信(VPN)や無線LAN(WPA2)の認証として、一般企業で広く使われているMS-CHAPv2(Microsoft CHAP version 2)というプロトコルに、パスワードが完全に解読されてしまうという脆弱性が発見され、公表されました。 その
マイクロソフトのsupercookieの批判が、RTされまくって矛先が変わっているという話 - Web Analytics Latte
via. cookie削除後も行動追跡を続ける「supercookie」に研究者が警鐘 『スタンフォード大学の研究者は、Microsoftが運営する「live.com」サイトでsupercookieの手法を使って削除したはずのcookieが再生されているのが見つかったと報告した。』 研究者のジョナサン・メイヤー氏によれば、supercookieとは通常のcookieを使わずにユーザーの行動を追跡する技術のことで、中にはsupercookieを使ってcookieを「再生」し、「ゾンビcookie」を作り出しているWebサイトもあるという。 メイヤー氏はこうした実態を受けて、インターネット上のプライバシー保護について「オンライン広告業界は自主規制が可能だと主張するが、われわれの分析では重大なプライバシー問題が見つかっており、業界の主張はうのみにし難い」と総括している。 ツイッターの流れを眺めた
X-Content-Type-Options: nosniff つかわないやつは死ねばいいのに! - 葉っぱ日記
2011-01-06: IE8ということを追記 & ちょっと間違いを修正。あけましておめでとうございます。 年明け早々ですが、Internet Explorerの話題です。IEはご存じの通り、Content-Type だけでなくコンテンツの内容なども sniff することでファイルタイプを決定しているため、画像ファイルやテキストファイルをHTMLと判定してしまい、クロスサイトスクリプティングが発生することが昔からたびたび報告されていました*1。現在は幾分マシになったとはいえ、IEのファイルタイプの判定アルゴリズムは非常に難解であり、現在でも状況によってはWebサイト運営者のまったく意図していないかたちでのXSSが発生する可能性があったりします。そういうわけで、IEがコンテンツを sniff してHTML以外のものをHTML扱いしてしまうことを防ぐために、動的にコンテンツを生成している場合に
[無視できない]IEのContent-Type無視
[無視できない]IEのContent-Type無視:教科書に載らないWebアプリケーションセキュリティ(2)(1/2 ページ) XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます(編集部) 無視できないIEの「Content-Type無視」問題 皆さんこんにちは、はせがわようすけです。 第2回では、Internet Explorer(以下、IE)の仕様でも特に悪名高い「Content-Type無視」について説明します。 IEのContent-Type無視問題は非常に複雑で、私自身も完全に説明できる自信はないのですが、それでもセキュアなWebアプリケーションを開発するうえで避けては通れない問題ですので、取り上げることにしました。
![[無視できない]IEのContent-Type無視](https://cdn-ak-scissors.b.st-hatena.com/image/square/f8699f6fec76c2d2b8f650af7a420b6f67f0ebfe/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fait%2Farticles%2F0903%2F30%2Fwebapp0201.jpg)
モジラ、「.NET」向けFirefoxアドオンを一時的にブロック
Mozillaは米国時間10月16日、Microsoftの「Firefox」向けプラグインである「.NET Framework Assistant」を、セキュリティ上の問題により無効にしたが、パッチの当たったブラウザを使用するユーザーにはこれを強制ブロックするというオプションを与えるために奔走することとなった。 (編集部注:その後、Mozillaのエンジニアリング担当バイスプレジデントを務めるMike Shaver氏は18日Twitterで、.NET Framework Assistantは攻撃に利用できるものではないという確認をMicrosoftから得たとして、ブロックリストから同アドオンを削除したと述べている。以下はこれまでの経緯などをまとめたものとなっている) Shaver氏が自身のブログで最初の取り組みを発表したのは、16日夜遅くのこと。同氏は、「同アドオンは深刻なセキュリティ脆弱
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IE不具合、米マイクロソフトがXPにも修正版提供