「Google Chrome」でパスワードがダダ漏れに　そのカラクリとは？

2023/09/13 6 users ダダ漏れ からくり パスワード Amazon.com 一方

Webブラウザと拡張機能の組み合わせは便利だが、セキュリティホールを生み出してしまうこともある。Amazon.comやGmailのパスワードを第三者が盗む方法を研究チームが発見した。 Webブラウザと拡張機能を組み合わせることで利便性が増す一方で、セキュリティホールを生む原因にもなり得る。 あまりにも簡単にパスワードが... 続きを読む

スラッシュの有無だけでセキュリティにとんでもない大穴が空いてしまうNginxのありがちな設定ミスについて実例を踏まえて専門家が解説

2023/07/08 168 users nginx ウェブサーバー スラッシュ 実例 有無

多機能なウェブサーバーとして2004年に登場したNginxは、2023年6月時点では業界トップシェアとなるほど人気を集めるサーバーです。そんなNginxの設定において、スラッシュを一つ付けるか付けないかの差で大きなセキュリティホールができてしまう問題について、大手パスワードマネージャーやGoogle製のツールの例をとりあ... 続きを読む

洒落にならないセキュリティホールはなぜ生まれるか｜shi3z｜note

2023/03/01 5 users Note shi3z

「このシステム作ってくれ」と言われて、まともな神経のプログラマーなら断固断るようなものであっても、組織が多層化していると妙ちくりんなものが出来上がってしまうことがある。 実際のところ、銀行のシステムは一人か、せいぜい4,5人で作った方が安くて高品質にできると思う。でも銀行のシステム開発はSIerにとって... 続きを読む

Windows 10 20H2のサービス終了が近づく　Microsoftが21H2へのアップデートを告知

2022/02/15 10 users Microsoft 告知 アップデート サービス終了 ユーザー

Windows 10の各バージョンには、登場から18カ月のサポート期間が設けられている。この期間が過ぎると、Microsoftはセキュリティ更新プログラムも提供しない。セキュリティホールが見つかったとしても、更新プログラムは手に入らないということだ。バージョン 20H2を使用しているユーザーは早めに「バージョン21H2」にア... 続きを読む

従業員が作ったセキュリティホールの責任を会社が取るなんてナンセンスです：「訴えてやる！」の前に読む IT訴訟 徹底解説（89）（1/3 ページ） - ＠IT

2021/06/20 6 users SQLインジェクション 要件 連載目次 IT訴訟 従業員

従業員が作ったセキュリティホールの責任を会社が取るなんてナンセンスです：「訴えてやる！」の前に読む IT訴訟 徹底解説（89）（1/3 ページ） 連載目次 納品したシステムにSQLインジェクションなどの既によく知られた脆弱（ぜいじゃく）性がある場合、たとえその対応策が要件として定義されていなくても、ITの専門家で... 続きを読む

Xbox Series S、さっそく各種ゲーム機のエミュレータが動作可能に - Engadget 日本版

2020/11/25 13 users エミュレータ マイクロソフト 動作 昨今 自作ソフトウェア

昨今のゲーム専用機はセキュリティが厳重に固められて自作ソフトウェアのインストールは不可能という印象がありますが、発売されたばかりのXbox Series Sにさっそく過去のゲーム機エミュレータをインストールして動作が確認できたと報告されています。 その方法はマイクロソフトも予期しなかったセキュリティホールを使... 続きを読む

超天才プログラマーが見つけた「法律のセキュリティホール」を超天才法科大学院生が超デバッグしてみた - ゴミログ

2020/06/16 32 users ゴミログ 法律

みんなおはエコ！超天才法科大学院生ことゴミクルーン(@DustCroon)です。 どうして超天才かというと、入試前日にブログを書きながら早稲田に一発合格したり、大学の1年前期をGPA0.38からスタートして4年で卒業したり、借りてたアパートの大家とバトって敷金全額取り返したり、専門外の分野で懸賞論文書いて賞を受賞した... 続きを読む

電凸招いた「表現の不自由展」 美術家・黒瀬陽平さんが指摘するセキュリティホール - 弁護士ドットコム

2019/11/03 199 users いちトリエンナーレ 会期 波紋 従軍慰安婦 アイドリ

愛知県内で開催されていた国際芸術祭「あいちトリエンナーレ」（あいトリ）が10月14日、会期を終えた。過去最高の67万人（速報値）の来場者を記録したが、一方で会期中は絶えず問題が起きた。中でも最も波紋を広げたのが、企画展「表現の不自由展・その後」の中止だ。 従軍慰安婦を象徴する「平和の少女像」や昭和天皇の... 続きを読む

Linuxの「systemd」に新たなセキュリティホール - ZDNet Japan

2019/01/11 53 users systemd Qualys Linux 悪評 デフォルト

「systemd」は、ほとんどのLinuxディストリビューションでデフォルトのシステム／サービス管理デーモンとして採用されている。このため、Qualysが最近systemd内で発見した3件の批判の多いこのデーモンの悪評をさらに高めるものとなっている。 これらの脆弱性はいずれも、ローカルユーザーがルート権限を取得するために悪... 続きを読む

侍エンジニア塾の記事が炎上しているので追撃してみる

2018/10/29 22 users 侍エンジニア塾 items qiita.com 精度 作者

この記事話題になってますね。セキュリティホールの宝石箱や！って感じ。 https://qiita.com/hamichamp/items/7b7a7ee091a6856ac900 同じ作者の記事で、問題あるのがまだまだ掘れそうだなぁと思ったので、キャストの記事について突っ込んでみます。 https://www.sejuku.net/blog/25737 数値型の精度 まず数値の精度につ... 続きを読む

「サマータイム」はセキュリティホールなのか？ (1/3)：セキュリティクラスタ まとめのまとめ 2018年8月版 - ＠IT

2018/09/11 16 users DEFCON カンファレンス セキュリティクラスタ 話題 3つ

セキュリティクラスタ まとめのまとめ 2018年8月版：「サマータイム」はセキュリティホールなのか？ (1/3) 8月のセキュリティクラスタをにぎわせた大きな話題は3つありました。「東京オリンピック開催時のサマータイム」「DEFCONやBlack Hat USAなどのサイバーセキュリティ関連のカンファレンス」「Apache Struts 2で見... 続きを読む

3万円で自作できる画期的な「人工すい臓」は医療機器のセキュリティホールを突くことで誕生した - GIGAZINE

2018/08/09 228 users インスリン 投与 注射 小型コンピューター 既存

血糖抑制ホルモン「インスリン」の分泌組織が死滅してしまう「1型糖尿病」の患者は、定期的にインスリンを注射で的確な量だけ投与しなければなりません。このインスリンの投与をすべて自動で行ってくれる「人工すい臓」を、既存の医療機器と250ドル(約2万7000円)の小型コンピューターを使って自作するプロジェクトが進め... 続きを読む

某弁護士が千人以上に懲戒請求された問題のセキュリティホール

2018/05/03 55 users 懲戒 某弁護士 問題 千人以上

例の弁護士（以下、Bとする）への懲戒請求。 親族12人の名前を無断で使って請求した人（以下、Aとする）がいた。 http://hikoland.com/2018/05/02/%E3%80%8C%E8%AA%B0%E3%81%8B%E6%95%99%E3%81%88%E3%81%A6%E3%81%8F%E3%81%A0%E3%81%95%E3%81%84%E3%80%81%E4%BD%95%E3%8... 続きを読む

【4月4日（水）】「スマートフォンアプリケーション脆弱性診断」提供開始 | EGセキュアソリューションズ株式会社

2018/04/04 9 users EGセキュアソリューションズ株式会社 提供開始 API 弱点

EGセキュアソリューションズ株式会社は、スマートフォンアプリケーションのセキュリティホール（セキュリティ上の弱点、脆弱性）を発見・検出する新サービス「スマートフォンアプリケーション脆弱性診断」の提供を2018年4月4日（水）より開始いたします。 【「スマートフォンアプリケーション脆弱性診断」概要】 専用の解析用PCを用いて、スマートフォンアプリケーション並びに連携しているサーバのAPIに対して、イ... 続きを読む

CPUの脆弱性「Meltdown」対策の2018年1月と2月のWindows用パッチは別の事態悪化を招く可能性 - GIGAZINE

2018/03/28 34 users meltdown GIGAZINE SPECTRE AMD

By laboratorio linux 2018年1月初頭に明らかにされた Intel、AMDおよびARM製のCPUに関連する脆弱性「Spectre」と「Meltdown」 は、CPUを高速化するための技術「投機的実行」の仕組みがそのまま情報流出を招くセキュリティホールとなっている問題で、この件が衝撃とともに伝えられた以降は 各社が対応に追われる事態 となりました。Microsoftからも1月以... 続きを読む

LTEの新たなセキュリティホールが発見？電話の盗聴や緊急速報を偽装できる脆弱性を報告する論文が公開 | TechCrunch Japan

2018/03/05 19 users ニセ LTE回線 アイオワ大学 米パデュー大学 主要プロトコル

米パデュー大学とアイオワ大学の研究者は論文上で、LTE回線の新たな脆弱性を発見したことを明らかにしました。 この脆弱性により10種類の攻撃が可能となり、侵入者は電話やテキストメッセージを盗聴したり、ニセの緊急速報を発して、LTEネットワークユーザーに大混乱を招く恐れがあるとのこと。 本論文によると、LTEネットワークに用いられた3つの主要プロトコルに弱点が存在。研究者の一人であるSyed Rafi... 続きを読む

2: Nintendo Switchのエミュレータの開発、CPUの投機的実行のセキュリティホール、CMUとスタンフォード (るくす)

2018/01/22 38 users CMU エミュレータ スタンフォード CPU 実行

2: Nintendo Switchのエミュレータの開発、CPUの投機的実行のセキュリティホール、CMUとスタンフォード 続きを読む

macOS High SierraのApp Store設定、どんなパスワードでもアンロック可能と判明 | ギズモード・ジャパン

2018/01/11 13 users アンロック ギズモード macOS High Sierra

Image: 塚本直樹 macOS High SierraのApp Store設定、どんなパスワードでもアンロック可能と判明 2018.01.11 14:50 あれ、似たような話を聞いたような…。 昨年は macOS High Sierra に パスワード入力なしでログイン できてしまう特大のセキュリティホールが発見されましたが、今回も少しだけ似たような問題の発覚です。同OSにて、 システム設定の... 続きを読む

インテルを突如襲った｢致命的なバグ｣の実態 | IT･電機･半導体･部品 | 東洋経済オンライン | 経済ニュースの新基準

2018/01/04 65 users インテル 電機 半導体 パク 実態

米国時間の1月3日、コンピュータ系情報サイト 「The Register」が「インテル製プロセッサのバグを原因とする深刻なセキュリティホールが発見された」と報道 。その対策にはハードウェアそのものの変更が必要であり、ソフトウエアで対策を行った場合には大幅な性能低下を引き起こすとの内容を含む記事を発表した。 バグはインテル製プロセッサのみで発生し、パスワード、ログインキー、キャッシュファイルなどを、... 続きを読む

NSA、Windowsのクラッシュレポートも傍受していた？ | スラド セキュリティ

2017/08/10 11 users クラッシュレポート スラド NSA 足がかり スパイウェア

NSAがWindowsのクラッシュレポートを傍受しているという噂があるようだ。元記事によれば、NSAのコンピュータ・システム「 XKeyscore 」にこの機能が含まれているという。 クラッシュレポートを利用すれば、諜報対象となる人物のコンピュータに関する問題を把握することができ、NSAがマルウェアやスパイウェアを仕掛けるセキュリティホールを見つける足がかりになるとしている（ Schneier o... 続きを読む

ニュース - 「機密情報が流出」報道にスカイが反論：ITpro

2017/04/12 36 users ITpro 反論 スカイ 弱点 流出

スカイは同社のIT資産管理ツール「SKYSEA Client View」のセキュリティホールを悪用した攻撃が続いているという一部報道に反論した。同社によると、すでに対策済みの弱点で、ユーザーからは実際に情報が漏洩したという被害報告は受けていないという。 今回のセキュリティホールは、スカイの端末でIT資産管理ツール「SKYSEA Client View」に見つかったもの。グローバルIPアドレスが割り... 続きを読む

CIAが悪用していたセキュリティホールを埋めた「Notepad++」v7.3.3が公開 - 窓の杜

2017/03/09 229 users 樽井 CIA テキストエディター WikiLeaks 機密資料

ニュース CIAが悪用していたセキュリティホールを埋めた「Notepad++」v7.3.3が公開 “Wikileaks”によって暴露されたCIAの機密資料“Vault 7”で判明 樽井 秀人 2017年3月9日 12:45 「Notepad++」v7.3.3 　テキストエディター「Notepad++」の最新版v7.3.3が、8日に公開された。今回のアップデートは、不具合の修正がメインのメンテナンス... 続きを読む

Androidの最新セキュリティアップデート、Linuxカーネルの脆弱性「Dirty Cow」も修正 - CNET Japan

2016/12/07 20 users Linuxカーネル パッチレベル Android 脆弱性 修正

Googleが米国時間12月5日に公開したAndroidの月例セキュリティアップデートでは、11件の「重大」な脆弱性が修正された。これには「Dirty Cow」と名付けられたセキュリティホールが含まれている。 今回のセキュリティ情報 では、全部で50件以上のセキュリティホールが修正されており、そのうち11件で重大度が「重大」に設定されている。このほかに、12月1日付けのパッチレベルでも、重大度「高... 続きを読む

主要Linuxディストリビューションに深刻な脆弱性--Enterキーを押し続けるだけで悪用可能 - ZDNet Japan

2016/11/16 383 users 主要Linuxディストリビューション Enterキー 多く

主要なLinuxディストリビューションの「 Linux Unified Key Setup-on-disk-format 」（LUKS）に、セキュリティホールが存在することが明らかになった。LUKSはLinuxで使われているハードディスク暗号化のための標準的な仕組みだ。LUKSは多くの場合、「 cryptsetup 」というユーティリティを使用してセットアップされている。この脆弱性はcryptse... 続きを読む

OpenSSHにプライベートキー窃取につながる深刻な脆弱性 - ZDNet Japan

2016/01/15 25 users OpenSSH クライ メーリングリスト バッチ サーバ

Secure Shellプロトコルを使ってリモート接続を行う際に使われるOpenSSHに、 深刻な脆弱性 が発見され、パッチが公開された。このセキュリティホールは、ユーザーが接続を復旧できるようにするための「実験的」な機能に含まれていた。 このセキュリティホールに関する情報が開示された メーリングリスト によれば、これを悪用することで、悪意のあるサーバが脆弱性のあるクライアントのメモリ内容（クライ... 続きを読む