ANI ゼロデイ: eEye パッチは完璧ではないらしい (´(･)｀)ｸﾏｯﾀ･･

あっきー「よくわかんないんだけど、テストらしいよ」

ANI ゼロデイ: eEye パッチは完璧ではないらしい (´(･)｀)ｸﾏｯﾀ･･

ゼロデイワームやスパムも出現、悪用サイトはさらに増加 — アニメカーソル脆弱性 (ITmedia)

セキュリティ企業 Beyond Security 傘下の SecuriTeam によれば、eEye のパッチはかわされてしまう可能性があり、ZERT のパッチは安全なようだという。

明日なんでいまさら eEye パッチから ZERT パッチに乗り換える気にもならんすけどね。どっちにしても明日のアップデート後にサードパーティパッチを削除するのを忘れないようにしないとね。 ( ﾟДﾟ)ﾏﾝﾄﾞｸｾｰ

セキュリティコンサルティング企業 SPI Dynamics のセキュリティ研究者ビリー・ホフマン氏は4月2日、クロスサイトスクリプティングの脆弱性をスキャンするツール「Jikto」のソースコードが出回っているようだと公式ブログで報告した。

Fortify によると、「JavaScript 乗っ取り」（JavaScript Hijacking）と呼ばれるこの問題では、Web 2.0 アプリケーションにアクセスするユーザーを装った攻撃者が、JavaScript を使ってアプリケーションとブラウザの間でやり取りされる重要情報を読むことができてしまう。

チャット荒らしを体験できる情報モラル学習ソフトウェア (ﾟзﾟ)ｲｲﾝﾃﾞﾈｰﾉ?

ジャストシステムから「自動荒らし機能」搭載のチャット体験ソフト (Slashdot)

一見ふつうの学習支援ソフトなんだが、「モラル学習機能」が追加され、とてもアレゲな仕様らしい。元記事から引用すると「チャットの途中、電話番号やメールアドレスを問われたり、汚い言葉などが挿入される“荒らし”機能を搭載」となっており、他にもウイルスや架空請求もどきの画面などが装備されている。

中高の学生向けと位置づけられているが、社内のセキュリティ教育の一環としても十分使えそうな感じですな。荒らしとは、架空請求とはとか説明するのにも使えそう。 (ﾟзﾟ)ｲｲﾝﾃﾞﾈｰﾉ?

国内金融機関を装ったフィッシングサイトに関する注意喚起 (JPCERT/CC Alert)

JPCERT/CC では、最近 1ヶ月間に国内金融機関 (銀行や消費者金融など) のフィッシングサイトが公開されているという報告を複数受理しております。これらのフィッシングサイトは、海外に設置されたサーバで公開されているなどの要因から、サイトの閉鎖までに時間がかかることがあります。金融機関から送られてきたと思われるメールなどに記載された URL にアクセスする際には注意してください。

安全なアダルトサイトを探したつもりが……ワンクリック詐欺相談件数が過去最悪に — コンピュータウイルス／不正アクセスの届出状況(IPA) (ITmedia)

なぜ暗号化は役に立たなかったのか — 米最大規模の情報流出事件を検証 (ITmedia)

Process Monitor v1.11 (Microsoft)

脅威の手法がメール配信型から Web ページリンク型へ、ソフォス調査 (impress)

ビデオ閲覧ソフト装うマルウェア、DNS サーバ設定を変更 (ITmedia)

「スパイの国」の恋人たちメール盗み見、電話も盗聴 (CNN.co.jp)