LHA形式アーカイブの圧縮・展開機能を提供するライブラリ「UNLHA32.DLL」が約7年ぶりにアップデートされた。5月15日にリリースされたバージョン3.00では任意のDLL読み込みに関する脆弱性と、「UNLHA32.DLL」で作成された自己解凍書庫における任意のDLL読み込みに関する脆弱性が修正されている(窓の杜、作者のMicco氏Webサイト)。 UNLHA32.DLLについては、2010年に開発停止が宣言されLHA書庫の使用中止が呼びかけられていた(過去記事)。 脆弱性の詳細情報ページによると、この問題は約7年前に判明していたものの、修正によってWin32s環境で動作しなくなる可能性がある点や、この問題の発端がWindowsの仕様の問題にあることからスルーしていたという。
Twitterクライアント「Janetter」がアップデートされ、「NGワード登録時にXSSの脆弱性があった不具合」が修正されました。このアップデートの背景には、とあるネタツイートの拡散があったと思われます。 シュール 拡散されたのはツイートには「んほぉぉ!イッぐぅぅ!!」という文言を表示させるJavaScriptが含まれていました。これはクロスサイトスクリプティング(XSS)という手段で、ブラウザ上で任意の操作を実行できる脆弱性を利用し表示させているものでした(関連記事)。 通常のTwitterクライアントであれば、このXSSが動作することはありませんが、なぜかアップデート前のJanetterでコード部分をミュートすると無限に「んほぉぉ!イッぐぅぅ!!」が表示される状態になっていました。投稿者もまさかこんなことになるとは思ってもみなかったでしょう……。 この脆弱性について、発端となったユ
Janetterはテーマのカスタマイズやマルチアカウント、リアルタイム更新に対応した国産のTwitterクライアント。WindowsとMacの他、iOS/Androidスマートフォン向けにもアプリを提供している。なお、Twitter社の定めた認証上限により現在ユーザーの新規登録ができないことがあるとしている。 関連記事 Androidの月例セキュリティ情報を公開 MediaserverやGIFLIBに重大な脆弱性 Androidの5月の月例パッチは「2017-05-01」「2017-05-05」の2本で構成され、2017年5月5日以降のセキュリティパッチレベルで全ての問題が修正される。 無線LANただ乗りは「電波法違反に当たらず」 地裁が初判断 他人の無線LAN機器の暗号鍵を解読し、無断でネット接続する「ただ乗り」は「電波法違反に当たらない」と地裁が初判断。 Google Chrome、H
多くのワイヤレスマウス/キーボードに存在し、キーストロークなどを攻撃者が送信可能な脆弱性「Mousejack」の詳細が公表された(プレスリリース: PDF、 CERT - VU#981271、 MIT Technology Reviewの記事、 Consumeristの記事)。 Mousejackは非Bluetooth接続の2.4GHz帯ワイヤレスマウス/キーボードで使用するUSBドングルに存在する脆弱性。攻撃者は15ドル程度のUSB無線ドングルと数行のコードで最大100mの距離からキーストロークの送信などが可能となり、PCを乗っ取ることができるという。キーボードレベルの脆弱性であることから、Windows、OS X、LinuxなどOSにかかわらず影響を受ける。 発見者のBastilleはLogitechやDell、Lenovo、Microsoft、HPなどの製品で脆弱性を確認しているが、
Linuxカーネルに2012年から存在していた脆弱性をセキュリティ企業が発見。Linux搭載のPCやサーバ数千万台と、Androidデバイスの66%が影響を受けるという。 イスラエルのセキュリティ企業Perception Pointは、Linuxカーネルに2012年から存在していた深刻な脆弱性を発見したと発表した。Linux搭載のPCやサーバ数千万台と、Androidデバイスの66%が影響を受けるとしている。 Perception Pointのブログによると、脆弱性はセキュリティデータや認証鍵、暗号鍵といったデータの保持やキャッシュに使われる「キーリング」において、現行セッションのキーリングを置き換えるプロセスに存在する。 悪用された場合、ローカルユーザーにroot特権を取得されたり、コードを実行されたりする恐れがある。 この脆弱性はLinuxカーネル3.8以降のバージョンに存在していると
米DellのノートPCに不審なルート証明書がプリインストールされているのを見付けたというユーザーの報告が、11月22日ごろにかけて相次いだ。Lenovoのコンピュータで発覚した「Superfish」と同様に、偽の証明書発行に利用され、HTTPS通信に割り込む攻撃に悪用される恐れも指摘されている。 問題になっているのは、Dellのマシンにプリインストールされている自己署名ルート証明書の「eDellRoot」。同社の「Inspiron 5000」を購入したというジョエル・ナード氏は、セットアップの過程でこの証明書を発見。不審に思って調べたところ、eDellRootは信頼できるルート証明書とされ、使用期限は2039年、用途は「All」と記載されていたという。 さらに、「あなたはこの証明書に対応した秘密鍵を持っています」という記載を発見し、ナード氏の疑念は一層深まった。 Redditでこの問題を報
中国の検索エンジン「百度(Baidu)」のソフトウェア開発キット(Software Develoment Kit、SDK)「Moplus」に「Wormhole」と呼ばれる脆弱性が確認され、この脆弱性が利用された場合の影響の深刻さゆえに波紋を呼んでいます。この脆弱性は、中国の脆弱性報告プラットホーム「WooYun.og」により確認されました。 しかしながら、トレンドマイクロがこの脆弱性について調査を進めたところ、Moplus SDK 自体にバックドア機能が備わっており、必ずしもそれが脆弱性に由来または関連しているわけではないことが明らかになりました。現時点で、この問題は Moplus SDK のアクセス許可制御とアクセスの制限方法にあると見られています。そのため、脆弱性が関係していると考えられているのですが、実際には、この SDK のバックドア機能により、ユーザ権限なしに以下を実行する恐れが
The best of CES 2025Presenting our 12 finalists, plus the winner of our best in show award.
After growing 500% year-over-year in the past year, Understory is now launching a product focused on the renewable energy sector.
「Adobe SystemsはFlashの終了日を宣言し、Webブラウザ企業にその日にFlashを無効化するよう依頼すべきだ」──。米FacebookのCSO(最高セキュリティ責任者)に就任したばかりのアレックス・スタモス氏は7月11日(現地時間)、自身のTwitterアカウントでこうツイートした。 これは、ここ最近相次いだFlashの脆弱性発覚を受けたもの。7日に伊Hacking Teamが発表した顧客データ流出で発覚した脆弱性に対処するパッチが提供されたのは発覚から1日後だった。 この後さらに2件の深刻な脆弱性が報告され、Adobeは12日の週に臨時セキュリティアップデートを実施すると発表した。 スタモス氏は別のツイートで「開発者の多くがFlashは永遠に提供され続けると思っているから、わざわざFlashからHTML5に移行するために時間を使おうとしないのだ。(終了の)期日を決める必要
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
