- Linux Kernel “release_one_tty()” Denial of Service (Secunia)
- mod_auth_shadow “wait()” Race Condition Security Bypass (Secunia)
へー、これ使えば Apache の Basic 認証に /etc/passwd, /etc/shadow が使えるようになるみたいですね。セキュリティレベルは下がるかもしれないけど、やっぱり別管理も大変ですし。場所によってはありですよね。
- サイボウズ製品になりすましにつながる脆弱性 (ITmedia)
- 温室効果ガスの排出権管理サイトを狙う攻撃、国家テロの可能性も (ITmedia)
- 自動起動を無効にしても防げない USB 攻撃、ほとんどの OS が該当 (マイコミジャーナル) 一見すると USB メモリのようだが、キーボードとして振る舞うように細工されたデバイスを USB ポートに差し込んだ場合、そこからターミナルやコマンドプロンプトを起動して任意のコマンドを実行するということが実現できるという内容になっている。PC からは人間がキーボードやマウスを操作しているのと、こうしたデバイスからの入力シグナルを区別できない …
- Twitter に出回る「無料 iPad」「IKEA ギフト」の宣伝に注意 (ITmedia)
- Mac 狙いのマルウェアに新たな亜種、iPhoto に見せかけ感染狙う (ITmedia)
- Chrome エクステンション、トロイの木馬登場 (マイコミジャーナル) 正確には Chrome エクステンションのフリをしたトロイの木馬が登場した … メールに掲載されている URL をクリックすると Google Chrome Extensions を模倣した詐欺サイトへ飛ぶ。エクステンションをダウンロードしようとすると、これがエクステンションではなくトロイの木馬になっているというものだ。
- Yahoo! オークションで出品されている Windows XP (プロダクトキー) の正体 (web.ll0k.net)
- Web アプリケーションの脅威トップ 10、OWASP TOP 10 の 2010 年版を公開 (OWASP) (ScanNetSecurity)
- Injection
- Cross-Site Scripting (XSS)
- Broken Authentication and Session Management
- Insecure Direct Object References
- Cross-Site Request Forgery (CSRF)
- Security Misconfiguration
- Insecure Cryptographic Storage
- Failure to Restrict URL Access
- Insufficient Transport Layer Protection
- Unvalidated Redirects and Forwards
- 【SSCP資格ガイド第8回】「リスク、対応、復旧」ドメインで求められる知識/スキル (Computerworld.jp)
- 会社の帯域幅の 10% は YouTube — セキュリティ企業が調査 (ITmedia)
- Twitter で増えたのは “最新・重要な情報” 、減ったのは “睡眠” (INTERNET Watch)
- 「au お客さまサポート」に新たな不具合、顧客情報の変更が可能な状態に (CNET Japan) 4 月 7 日に発表した「au お客さまサポート」の不具合について、情報の照会だけでなく、顧客情報を変更もできてしまっていたと発表した。
- 会社の健康診断で「精神疾患に関する検査」が必須に? (Slashdot) 早期発見早期治療ではなく、早期発見早期リストラになるのではないかと、いまから恐ろしくてたまりません。
- NTT データ、CO2 排出権仲介サイトを試験運用 — 手続き期間を 2 週間に短縮 (CNET Japan)
- 「NHK ハーバード白熱教室」が面白い (Slashdot)
見るのを忘れていました。4 月 24 日 (土) 【 23 日深夜】午前 1 時 15 分から再放送やってくれるみたいです。今度はちゃんと録画しておきます。
自動起動を無効にしていても防げない USB 攻撃
ニュース