Paypalを名乗る誰かからメールが来た。 Dear PayPal ® customer,We recently reviewed your account, and we suspect an unauthorized transaction on your account. Protecting your account is our primary concern. As a preventive measure we have temp…

重すぎて一次資料が読めない。 http://www.gnucitizen.org/blog/0day-pdf-pwns-windows なかなか肝の冷えるデモンストレーションビデオだ。PDFを開くだけでアプリケーションが起動されている。 勘のいいエンジニアならこのビデオから脆弱性をあぶり出せそう…

いろいろ考えるものだなぁ。 Would you consider helping us with your opinion of our new program Personal Budget ManagerYour help will get us ready for our market release. A free copy of the program plus free updates will be yours for helping…

URLハンドラ - Google 検索 あいたたた、なんで2番目ですか。Googleでチラ読みできる分でもわかるように、iPhotoだのDictionary.appだのとOS X用の楽しい話しか書いてないんで、MSIEとFirefoxで発生する派手な問題とは全く関係ないですから、わざわざ見に来…

みずほ銀行のATMでは暗証番号のショルダーハックを回避するために、LCDに表示するキーボードをランダムに90度回転して表示するようになっている。 上下反転したnumericキーは電卓か電話のいずれかのレイアウトなのでそれほど戸惑わないが、横に回転したキー…

AV-Test.org ? Tests of Anti-Virus- and Security-Softwareによる、セキュリティソフトウェアベンダーごとに呼称の異なるマルウェアの名称対照表。これだけで独立したページがあってもいいぐらいだ。 cross-reference list of all virus names (349 KB) Wil…

Apple QuickTime Java Handling Unspecified Code Execution - Advisories - Secunia 対処、Javaを使わん。 Safari＞環境設定＞セキュリティタブ＞Java を有効にするチェックボックスをオフ。 または、信頼できないサイトに訪問しない。 というworkaroundな…

Apple - Support - Small Number of Fifth Generation iPods May Be Carrying Windows Virus Slashdot | iPods Come Complete With Windows Virus[slashdot.org] ウイルスチェックやってなかったのだろうか？ "As you might imagine, we are upset at Window…

Windows Vista RC2でUACを簡単に無効化するオプションが追加された。残念だ。 セキュリティのためなら，多少使いにくくてもいいじゃないか：ITpro Mac OSは過去、大きな脆弱性を抱え込んでいた。ファイルをダブルクリックなどで実行すると、関連づけられたア…

Apple Safari "KHTMLParser::popOneBlock()" Client-Side Memory Corruption Vulnerability DemonstrationをDLして試してみたが、<div>を二度ネストした中でJavaScriptからDOMを操作するとIntelプロセッサ／G5／G4関係なくSafariがクラッシュする。popOnoeBlock()</div>…

Secuniaの報告 Adobeのオフィシャルドキュメント Adobe Reader 7.0.8ダウンロード Mac OS X版はAdobeの評価によると「致命的」な脆弱性の修正も含む、とのことだが詳細不明。 あぶな……くないなぁ。もうMac OS XでAdobe Reader使わなくなっちゃったからなぁ。…

DayDreamerさんとこで話題にあがっていたITmediaの「Mac OS X標的の攻撃が急増」ですが、どっかに元記事でもあるんだろうと探してみました。 このへんかな？ Mac OS X vulnerabilities jump 228 percent in three years ITmediaの「Mac OS X標的の攻撃が急増…

昨日のエントリ「CSSXSS」で言及したCSSXSSなんですが、一次ソースの示す危険性って、過小評価されてないか？ 私は今回の実証コードがGoogle Desktop経由であったことはどうでもいいと思っているが、CSSXSSという攻撃手法が可能なブラウザの仕様そのものには…

来年ものすごく流行りそうな手法が公開された。 これは痛い。 Google Desktop Exposed: Exploiting an Internet Explorer Vulnerability to Phish User Information 関連： eWeek記事 ITmediaの記事 I call this attack CSSXSS or Cascading Style Sheets Cr…

適用しました。 かなり重要なセキュリティアップデートとなっています。ぜひとも、すぐに適用することを勧めます。 今回のセキュリティアップデートに貢献したサードパーティの方々、Secunia ResearchのJakob Balle氏、Suresec LTDのNeil Archibald氏、Marco…

/.の収束気味なスレにも久しぶりに投稿してみたりしましたが、具体的にこの方法を用いたフィッシングが行われているという話も聞きませんね。ありがたいことに、来月のセキュリティパッチで修正されるまでの、寿命の短いネタとなることでしょう。 はじめっか…

Windows版のInternet Explorerで、ステータスバーの画像リンク先を偽装できる問題への限定的対処を示してみます。 Internet Explorer Image Control Status Bar Spoofing Weakness Safari Image Control Status Bar Spoofing Weakness IEやOperaにステータス…

Solving "Status Bar Spoofing Weakness" for Internet Explorer. Internet Explorer Image Control Status Bar Spoofing Weakness I reccomend to hide <a href="[URL]"><input type="image"></a> with using user stylesheet. In usual way of HTML, <a href="[URL]"><input></a> is strange. I think it is OK that you …

Solving "Status Bar Spoofing Weakness" for Safari, Opera and some web browser. Internet Explorer Image Control Status Bar Spoofing Weakness Safari Image Control Status Bar Spoofing Weakness I suggest to hide <a href="[URL]"><input type="image"></a> with using user stylesheet. In…

English version IEやOperaにステータス・バーを偽装できる問題 にて上げられていた問題が、Mac OS Xでも有効になるパターンをSecuniaが報告。 【11月18日追記】Secuniaは現地時間11月17日，Webブラウザ「Safari」にも同様の問題があることを，明らかにした…

まさか私の日記を受けての発表ではないだろうが、タイムリーに意見を表明していただいている。 Upcoming Advisoriesに記載されているのは，影響を受ける製品と影響度だけ。「Upcoming Advisoriesに書かれている情報を基に脆弱性を見つけられるような人なら，…

いつのまにかリンクもと記事も情報ソースも内容がが変わってる。 アップルの「iTunes」に深刻な脆弱性--マシン乗っ取りのおそれ EEYEB-20051117b Acanthopanaxさんの/.日記からも言及されたみたいだ。 当日記の意味のない勧告で言及したeEyeとCNetのソースが…

アップルの「iTunes」に深刻な脆弱性--マシン乗っ取りのおそれ こんな危険な勧告を行うのは、やっぱりeEyeか。 QuickTimeにまた深刻な脆弱性--修正パッチは未公開 クラッカーの知力と努力を舐めてないか？でも書いたが、このセキュリティ企業はデスクトップO…

はじめてrootkitの存在を知ったのは、7年前だった。 当時rootkitなんて言葉は一般的でなかったし、私も古マカだったので（OS Xも出てなかったしね）サーバ用のOSがどういう仕組みで動いているのかよくわかっていなかったんだが、lsやps（Windows風に言うとEx…

QuickTimeにまた深刻な脆弱性--修正パッチは未公開 eEyeが発見した脆弱性を10月31日にAppleに勧告したが、11月3日のセキュリティパッチで修正がなされていなかった。んで7日にぼんやりと脆弱性が存在することを公開したとのこと。 私の個人的な経験ではある…

ＣＤ―ＲＯＭ入れたら勝手に預金移動 千葉銀かたる 騒がせているCD-ROMについての連絡があった。 りそなダイレクトをご利用のお客さまに対して、当社よりこのようなＣＤ−ＲＯＭを送付する事は原則ございません。 不審なＣＤ−ＲＯＭが届いた場合は、安易にソフ…

Mac OS X 10.4.3 Updateについて 個人的に注目する項目 SafariのAcid2テスト通過 ディスクユーティリティで起動ボリュームの検証可能 計算機機能強化 Tigerの計算機を初めて起動してみたのですが、すごいことになってる。 PreviewのマルチページTIFF対応 キ…

otsuneさんが既にコメント [www] 「フルブラウザには需要がない」--Scope開発者が激白 - CNET Japan_ プロプライエイトなソフトウエアを取り扱っている企業人として、肝に銘じておくべき内容だ。 ここんとこセミナーなどでお客様に直接会う機会が増えている…

Little Snitch

FireFoxでは動作するパターンが見つからなかった。 Safari対応らしい。以下のパターンが該当。 <HTML> <BODY> <A href="javas&#09;cript:alert('test')">test</A> </BODY> </HTML>Webアプリを使うユーザ的には「ステータスバーを確認」、Webアプリ管理者的には、クリッカブルリンクを作成するWebアプリのテキストサニタイザに実体参…