2007年03月27日

ウェブアプリ用脆弱性検出ツール…公開は見送り

 ワシントンD.C.発--ハッカーやセキュリティ関係者のカンファレンスShmooCon 2007で米国時間3月24日、あるセキュリティ研究者が、ウェブ閲覧者らを彼らが気付かぬ間に攻撃者の手先に変えてしまうツールのデモを行った。ただ、同ツールの公開は見送った。

 ウェブセキュリティ会社SPI Dynamicsの研究者であるBilly Hoffman氏は、「Jikto」と呼ばれるJavaScriptで記述されたウェブアプリケーション用の脆弱性検出ソフトウェアのデモを行った。 Hoffman氏によると、このJiktoを利用することにより、何も知らないウェブ閲覧者のPCに、ウェブサイトを密かに巡回、監視させ、その結果を第三者に送信させることが可能だという。

 しかし、Hoffman氏は、当初の予定を変更し、Jiktoを公開しなかった。Hoffman氏はデモの後、「当初、上司らはJiktoを公開できるとしていたが、その後彼らの気が変わった」と述べ、さらに「われわれは、啓蒙的なメッセージを発することを重視し、人々に危険を示すことにした」と語った。(後略)


http://japan.cnet.com/news/sec/story/0,2000056024,20345817,00.htm?ref=rss

脆弱性などとざっくり一括りにして危険だからというのは実は簡単なことで、ではどのように対処していけばいいのかを考えるのはソフトを販売している会社やセキュリティベンダーの仕事。あなたはそんなふうに考えていませんか?

わたくしはウェブ構築の仕事も請け負っていて、HTMLやCSS・JavaScriptにもある程度精通しているのですが、特にJavaScriptでは様々なことが実現できる…というより必要以上のことができることに多少の脅威を覚えていました。

OSの用にアラートを表示したりするのも数行のスプリクトで実行が可能ですし、演算機能や変数の発生(プログラミングに触れたことがあればこれでどんなことができるかおわかりいただけるかと)、インターネット回線のスピードまでわかります。

俗に「ウェブサイトを閲覧しただけで感染する」なんて言われているのはこのクロスサイトスクリプティングなんですが、悪意のある第三者が任意のページにJavaScriptコードを仕込める状態はとても危険です。脆弱性を有したままウェブアプリの使用が以前と比べて活発となってきたいまの状態が続くのであれば、ユーザレベルでの防御は必須です。オープンソースのFirefoxに乗り換えましょう。JavaScript自体をシャットアウトしちゃうような便利なアドオンがたくさん揃っていますよ。

【参考ページ】
クロスサイトスクリプティングとは


posted by media_aidem at 09:22 | Comment(0) | TrackBack(0) | セキュリティ

OEの名前を捨ててもつきまとう脆弱性

 「Windows Mail」にセキュリティ脆弱性が存在する可能性があり、これが悪用されると、攻撃者が「Windows Vista」を実行しているPC上で任意のアプリケーションを実行できてしまう恐れがある。

 購読者の多いセキュリティメーリングリストFull Disclosureで米国時間3月23日に公開された説明によると、攻撃者が電子メールに挿入した悪質なリンクを、メール受信者がクリックすると、警告なしにプログラムが実行される可能性があるという。Windows Mailは、Microsoftの無料電子メールクライアント「Outlook Express」の後継ソフトとしてVistaにバンドルされている。

 Microsoftの担当者は電子メールによる声明で、この問題について調査中であると説明した。同氏は「知っている送信者からのものであれ知らない送信者からのものであれ、一方的に送られてきた電子メールのリンクをクリックするときは、ユーザーの側で常に細心の注意を払うことが望ましい」とした。

 セキュリティ研究者でソフトウェアメーカーMcAfeeのコミュニケーションマネージャーでもあるDave Marcus氏によると、悪質なリンクがWindows Mailにどのような動きをさせるかによって、Vistaユーザーへの脅威がかなり大きくなる可能性があるという。同氏は「理論上、攻撃者はいろいろなことができる。あらゆるコマンドを、攻撃者に実行される危険性がある」と述べた。

 ただし、Marcus氏によると、Vistaがあまり普及していない分、危険性は小さくなるという。同氏は「稼動しているVistaの数が少ないという単純な理由から、攻撃者が多くの悪用法を探し出すとは思えない。Microsoftはこの問題を重く受け止め、次回のパッチで修正すると思う」と述べた。(後略)


http://japan.cnet.com/news/sec/story/0,2000056024,20345763,00.htm?ref=rss

Windows Vistaのコンシューマ向けの発売が始まってもうすぐ2ヶ月が経過しようとしています。
いくら売れていなくても、そろそろ綻びが出てくるころだなという時期ですね。なんて考えていたらニュースになりました。問題となっているのはWindows Mail。

上記でも引用しておりますが、「理論上、攻撃者はいろいろなことができる。あらゆるコマンドを、攻撃者に実行される危険性がある」なんて専門家から聞かされるとリンクをクリックすることすらためらわれてしまいますね。Firefoxにはリンク先の安全性をあらかじめ知ることができるアドオンが用意されていますが・・・。

提供されるアプリケーションに脆弱性なんてないのが本当は当り前なのですが、XPでもVistaになってもついてまわるようです。それならは必要なのは知識武装です。以前から言われていることですが、信憑性のないリンクはクリックしないこと。これだけにとどまらず、Windows Mailなんて起動させずいきなりThunderbirdを使うなど武装の方法はいくらでもあります。

ちょっとの工夫だけでより良い”パソコンライフ”を送ることができるんです。
posted by media_aidem at 08:10 | Comment(0) | TrackBack(0) | セキュリティ

2007年03月24日

Firefox update.

 Firefox 2と1.5のセキュリティ問題を修正するアップデートが公開された。リスクは低レベルだが、Mozilla Foundationではアップデート適用を強く勧告している。

 更新版のFirefox 2.0.0.3と1.5.0.11は、Windows、Mac、Linux版がそれぞれ提供されている。Mozillaのアドバイザリーによると、脆弱性はFirefoxが使っているFTPプロトコルに関連したもので、細工を施したFTPサーバでホスティングされた悪質なWebページを使い、ファイアウォール内部のマシンの初歩的なポートスキャンを実行することが可能になる。

 このポートスキャン自体は被害を及ぼすものではないが、もしもネットワークにほかの脆弱性があった場合、社内ネットワークについての情報は攻撃者に悪用される恐れがある。

 なお、セキュリティアップデートを含むFirefox 1.5.0.xのメンテナンス期間は2007年4月24日までとなる。Mozilla全ユーザーに対し、Firefox 2へのアップグレードを呼び掛けている。


http://www.itmedia.co.jp/enterprise/articles/0703/22/news022.html

リスクは低くともここはしっかり対応しておきたいところです。
ファイアウォールの内側のポートスキャンが外部からできるなんてちょっと恐い話。もっともローカルネットワークのそれぞれの端末に個別にIPアドレスをふっていなければ問題ないのかな?

実生活で考えてみると、外出時はビシッとスーツで決めてるけれど家の中でTシャツにブリーフでいる姿を見られてしまったイメージ(-_-;)でしょうか。

何はともあれアップデートをお急ぎください。
タグ:Firefox
posted by media_aidem at 10:39 | Comment(0) | TrackBack(0) | セキュリティ
セブンネットショッピング(旧セブンアンドワイ)
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。