2015年12月3日のtwitterセキュリティクラスタ

いろいろ脆弱性があるうえに修正が遅いと不評のSafariです。

なんにも小細工せずに誰でもGenericに発動します。巧妙にやれば見てるFQDNを錯誤させることぐらいは使えるんじゃないかな。 pic.twitter.com/Vi6NLQa6dv

@reinforchu これはどのドメイン上で攻撃コードは実行してますか? 任意のドメイン上で任意のドメインへの偽装が可能なら、普通にアドレスバー偽装の脆弱性だと思いますー

@llamakko_cafe 完全にスーパー任意なので、address spoofing の脆弱性です。
悪い使い方は、code.google. comに偽装したマルウェア配布などに応用利いたりええ感じにアカンやつです。

Safari、修正がとても遅いのはなんとかしてほしい

@llamakko_cafe 新機能とかもOSのバージョンアップと一緒にされるし、進化の早いWebの世界だとオワコン感ある

@emaxser 丁度いまそれを考えていました… 分離したほうが絶対良さそう

@llamakko_cafe でも、Webkitが絡んできて、OSXのUIツール周りも絡むのでなかなか難しい感じなのですよねー、

@kuxuObjectModel @emaxser 自動アップデートなし、報奨金なし、修正が遅い、の3点セットなので、あまり使いたくないブラウザです…(´・ω・`)

前に報告したSafariのバグ、多分次のアップデートで修正されるはず

その他に気になったことはこのあたり。

XSSやフィッシング等ではなく、正規サイトのフォームが改ざんされたような気がします。こちらの件と類似の侵入経路ではないかと jins-jp.com/illegal-access… RT @tsukiy0: XSS?だとすると2500人弱がフィッシングサイトから『購入』したことになるのかな

ブログ更新/ Hack Patch!: CyVDB-998
shhnjk.blogspot.com/2015/12/CyVDB-…
「脆弱性”&'<<>\ Advent Calendar 2015」 3日目
adventar.org/calendars/811

この記事はPHPアドベントカレンダー2015の3日目の記事です / “PHPにおけるHTTPヘッダインジェクションはまだしぶとく生き残る | 徳丸浩の日記” htn.to/38BcZzw7dMj

へー “アルファベットとドットとバッククォートとセミコロンさえあれば大体何でも出来ちゃいます” / Hack Patch!: 今更聞けないXSSの使い方。 shhnjk.blogspot.jp/2015/10/How-to…

Web開発者がおさえておきたい10のセキュリティ技術 ~カギは事前の対策にあり OWASP Proactive Controls (1/3):CodeZine(コードジン) : codezine.jp/article/detail…
第二回の記事がリリースされていますね!

scapy という任意パケット送信可能なツールがあったので、それを使ってテスト中。………ニセの neighbor advertisement を隣の仮想マシンに送信すると……通信を乗っ取れた。こんなに簡単だったのか……。

【悲報】sourceforgeさん、SSL証明書の有効期限が切れる
どこまでネタを供給し続けるのだろうねぇ。

sourceforgeの証明書は一応新しいのに差し替わったみたいだけど、どさくさに紛れて、非ログインアクセスだとhttpsアドレスに直アクセスしてもhttpにリダイレクトされるようになったっぽい。なんだかなぁ。

カザフスタンでは来年以降、政府の発行するMITMルート証明書のインストールが必須に / “Kazakhtelecom JSC notifies on introduction of National security certi…” htn.to/83G2HjY

検証結果:高木浩光氏がご立腹の「WiFiシェア」、暗号化してるはずのWi-Fiパスワードを平文で保存してた geekles.net/gadget/150922-… pic.twitter.com/GHkRHHd8nD
パスワードが平文で保存されていることを実際に検証した人がいたんだ。

現在 EK から散布されてる CryptoWall 4.0 は捕獲調査された段階で勝手に付けられたバージョン名で、作成者による正式なバージョン名ではないのですね

『どれほどの被害が想定できるのか。ITジャーナリストの井上トシユキ氏はこう言う』 / “三菱東京UFJ銀行の情報流出騒動 想定される被害はどのようなものか – ライブドアニュース” htn.to/xXN86Z

IoTデバイスは暗号鍵を再利用しており、数百万のデバイスを危険に晒している(英文記事)
bit.ly/1OAYjBF

音声認識機能やWi-Fiを搭載するバービー人形「Hello Barbie」に対して、ハッカーが乗っ取り、盗聴器として利用する危険性があるという。「ハッカーはHello Barbieを乗っ取り、子供をスパイにできる」(英文記事)bit.ly/1Th40WJ

Burp Suite 1.6.31 released: detection of asynchronous vulnerabilities via deferred Collaborator interactions releases.portswigger.net/2015/12/1631.h…

Web開発者がおさえておきたい10のセキュリティ技術 ~カギは事前の対策にあり OWASP Proactive Controls dlvr.it/CvbJ0m

標的型メール訓練から見る経営層のセキュリティ意識|標的型メール訓練から見る経営層のセキュリティ意識|2015年10月号|金融ITフォーカス|刊行物NRI Financial Solutions fis.nri.co.jp/ja-JP/publicat…

[@IT]管理者以外はほぼ使わないコマンドも多数:攻撃者が多用するコマンドは? JPCERT/CCが公開 bit.ly/1lYMnAr

[@IT]やや知識が必要な脆弱性への対応はこれから:Androidアプリの脆弱性調査結果公表、改善点と課題が浮き彫りに bit.ly/1lYN5hg

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation