どんなサイトのURLをコピーしても、悪質サイトのURLがペーストされてしまう――。テキストなどのコピー&ペーストに使われるメモリ領域「クリップボード」が乗っ取られる被害が続出している。被害報告はWindows、Macユーザーの両方から寄せられているという。セキュリティ企業の英Sophosが8月19日のブログで伝えた。 Sophosによると、ネットの掲示板には被害に遭ったというユ...
クリップボード機能の乗っ取り被害の報告が相次いでいる。Windows、Macユーザーの両方が被害に遭っているもようだ。 2008年08月20日 08時35分 更新 どんなサイトのURLをコピーしても、悪質サイトのURLがペーストされてしまう――。テキストなどのコピー&ペーストに使われるメモリ領域「クリップボード」が乗っ取られる被害が続出している。被害報告はWindows、Macユーザーの両方...
Webアプリケーションは、ブラウザ上で動作するという制約から、想定外のページ遷移が頻繁に発生します。これを「不正遷移」と呼びます。不正遷移とその制御を理解することが、Webアプリ開発者には不可欠です。 本稿では、不正遷移の種類とその対策を紹介します。 おことわり 本稿で使われている用語は、一般的なものとは限りません。また、紹介している対策以外に...
WebサービスにアクセスするAIRアプリを作成していると、ユーザーの利便性を考慮してWebサービスのユーザー名とパスワードを保存しておきたいと思う時があります。 そうした時のために、AIRにはEncryptedLocalStoreクラスが用意されています。このクラスはOS固有のデータ保護APIを使用してデータを保護する仕組みを提供しています。 このクラスを通して保存されたデータは、他のユ...
山下眞一郎/富士通南九州システムエンジニアリング 第一ソリューション事業部 ネットソリューション部 担当部長 「Webページを不正に改ざんされる事件が最近特に増加し,その改ざんされたサイトを閲覧した場合,ウイルスを送り込まれることが多いと聞く。利用者側で行うべき対策をアドバイスしてほしい」――。ある企業のシステム管理者から,こうした相談を受け...
『 複数のバージョンのプラグインがインストールされている場合Firefoxはプラグインのバージョンでは無くプラグインのインストール先によって、どのプラグインを優先して使うのかを判断してしまう。拡張機能は平気 』
本日起こった、ethna.jp や、jp2.php.net のサイトに、ActiveX や Flash の脆弱性をついた攻撃をする html を読み込む iframeを差し込まれるというトラブルが発生しました。 ちょっとかかわったので、流れを記録として残しておこうと思います。 ethna.jpの第一報 10:30ごろ、%Ethna のIRCチャンネルで、mikaponさんから、mlの保存書庫に不正な iframe が差し込まれているという報告がありました。 10:3...
『 McAfeeでは、収集したサンプルについては最新版に影響を与えないようだとしながらも、最新版で犠牲になったという報告もあるとして、引き続き調査を進めるとしている。 』
「Adobe Flash Player」のコンテンツを提供する合法的なウェブサイトが、マルウェアを含む中国のサーバにユーザーをリダイレクトするJavaScriptを埋め込まれる被害に遭った可能性があると、Symantecが報告した。同社によると、この攻撃に対して脆弱なバージョンは、「9.0.124.0」(最新バージョン)と「9.0.115.0」だという。 Symantecによると、特定の状況下で、Flash Playerに埋め込まれた...
『 FlashPlayerにリモートの任意コードを実行するセキュリティホール。Adobeの公式対応はまだなので、悪意あるSWFの読み込みに注意、とな。 』
でかい脆弱性が見つかった模様。 (JPCERT) Adobe Flash Player の未修正の脆弱性に関する注意喚起 (ITPro) Flash Player最新版に不正コードを実行される脆弱性,Symantecが警告:ITpro (IT Media) 既に攻撃多発か? :Flash Playerにゼロデイの脆弱性、大規模被害の恐れも (INTERNET Watch) Flash Playerに新たな脆弱性、サイト改竄と組み合わせた攻撃も発生 (CNET Japan) Adobe Flash Playerに未修整の脆弱性、JPCERT/CC...
Flash Playerの未パッチの脆弱性が発覚した。悪質なSWFファイルも出回り、サイト改ざん攻撃との関連が指摘されている。 2008年05月28日 08時15分 更新 米Adobe Systemsは5月27日、Flash Playerの脆弱性を突いたとみられる「エクスプロイトが出回っているとの報告を受けた」とブログで伝えた。SANS Internet Storm Centerやセキュリティ企業各社もアラートを公開するなどして注意を呼び掛けている...
『 PersistJSはFlash8,gears,localstorage,最終的にはcookieなどのバックエンドから使えるものを選んで、ローカルにデータを保存するためのJavaScriptライブラリです。 』
ログイン制のアプリなんかで、データを取り出すときに @rows = DataModel.find :all, :conditions=>['user_id', session[:loggined_user_id]] って、:conditionsに制約を追加します。でも忘れがちなのがidからデータを取り出すとき、 @items = DataModel.find @id ってやると、他のユーザのデータも取得できちゃって、ちょっとマズいので、 @item = DataModel.find @id, :conditions=>['user_id', session[:loggined_user_id]] のよ...
頭がごちゃごちゃしていたのでまとめてみた。 方法\特徴クロスブラウザ改竄検出パフォーマンスオーバーヘッド備考 XMLHttpRequest+CGIプロキシ○○○小別途CGIが必要 XMLHttpRequest+access-control×○○小今後標準になるかも XDomainRequest×○○小IE8から JSON(P)○×○小 XhrIframeProxy(dojo)○?○△?中?マウスクリック音有り iframe内iframe○?○△?中?マウスクリック音有り Flash+crossdomain.xml...
Flash Player のセキュリティアップデートが来月予定されている旨の情報が US のサイトに公開されました。(Preparing for the Flash Player 9 April 2008 Security Update) このアップデートは純粋にセキュリティ改善を目的としたもので、新機能は一切ありません。しかし、デフォルトポリシーの変更などが行われるため、既存のコンテンツの中には動かなくなるものが出てくることも予想されます...
実際には試してないので勘違いかもしれないけど3/9の夕方まで twitter のアカウントが乗っ取り可能だったかもしれない、という話。 「ついったー足あと帳」(http://hamachiya.com/junk/twlog/)でアクセスした人のidと発言ログを抜き出す(protectedでも!)デモをやっていたり、それがきっかけで過去に settings から id とメールアドレスを抜き出す「(元祖)ついったー足あとちょう」があった(昨日...
ついったー足あと帳 関連でこんなブログ記事を発見した。 今回は twitterのprotectな発言とかsettingからメールアドレスの取得や変更なんかできちゃってたわけで… 2008-03-09 - skubotaの日記 変更?? 間違った情報が広がるとよくないので勝手に補足。 この記事には誤解がある。 確かに取得はできるけど、変更はできない。実際に試した私が言うんだから間違いない。 たぶん、サーバ...
『 protectの発言もとれるみたいだね/ごめんすでに@nitoyonがつくってたんだねhttp://d.hatena.ne.jp/nitoyon/20071113/twitter_tracker/←そっか別にapi経由でなくてもsettingsとかからメールアドレスなんかもとっちゃえばいいんだ 』
Adobe Systemsは米国時間2月25日、「Adobe Integrated Runtime(AIR)」を正式にリリースした。これについて、早くもセキュリティコミュニティーで懸念の声が上がっている。 以前は「Adobe Apollo」と呼ばれてきたAIRはランタイム環境である。このランタイム環境によって、開発者はHTMLやFlash、Ajax、Flexなどのツールを使ってデスクトップアプリケーションを構築できる。Nickelodeon Onlineなど...
