ぉぉぉ。。。 マイクロソフト セキュリティ アドバイザリ (911302) Internet Explorer の onLoad イベントを処理する方法の脆弱性のため、リモートでコードが実行される Internet Explorer に関するアドバイザリ & Active X の無効化 小野寺です。 本日、Int…

署名済みActiveXコントロールのダウンロードを「有効」にすることの問題点を知らんのか！＞警察庁 まあ、どこかのIT屋さんが... 「署名済みActiveXコントロールのダウンロード」のデフォルト設定は「ダイアログを表示する」である。このときのダイアログとは…

STRSQL="SELECT hoge FROM FUGA WHERE uID='" + request("uid") + "'" とかやっちゃ駄目！！！ そろそろ目を覚まして！！！ ニュース SQL インジェクション の検索結果 約 18 件 おかげでラックさんの名前が売れましたね。かなり。 株上がるかも。 7月6日、…

勉強しなおしてきてください。 スターツ出版は，同社が運営する女性向けサイトOZmallが不正アクセスを受け，サイトを一時閉鎖した問題について，侵入の手口は「SQLインジェクション」と呼ばれる不正アクセス手法であったことを明らかにした。またウイルス感…

ラックのセキュリティ研究所は5月24日、「ホームページからの情報漏洩に対する脅威の現状」と題するレポートを公開した。同社が2004年に国内企業を対象に実施したWebアプリケーション検査／セキュリティ監査などの結果を元に、Webアプリケーションの脆弱性の…

Webアプリケーションを開発するなら当然でしょ！？ 関係者によると、データベースは「ある範囲の情報を探す」「条件に合ったデータを取り出す」といったコンピューター言語「ＳＱＬ」で操作する。今回の攻撃は「ＳＱＬインジェクション」と呼ばれる手法を応…

メール配信してしまったPCは、なぜ感染したのか。 予防策はなかったのか。 他のPCは大丈夫なのか。 一次報告はメール受信者なのか。 このあたりがきになる。 東京都武蔵野市が発行する「武蔵野市長メールマガジン」の登録者約１５００人に向けて、同市のメー…

2005 年 2 月 8 日 (米国日付)、マイクロソフト セキュリティ レスポンス センターは...

やっとかよ！しかも申し込み郵送かよ！ NTTドコモは、迷惑メール対策の一環として、インターネットからiモードあての電子メールの本文にヘッダー情報を付加する機能を2005年3月24日から提供する。現在、ヘッダー情報の取得はドコモへ郵送で直接申し込まねば…

＠IT > Windows Server Insider > Windows HotFix Briefings > 2004年12月17日版

ソフトバンクBBは12月16日、Yahoo！BB会員の氏名、住所など個人情報ファイル9213件分がインターネット上で一時閲覧可能な状態になっていたと発表した。 同社が12月15日、NHKから連絡を受けて確認。サイト管理者に連絡して即刻削除したという。 NHKは、匿名人…

あちゃー SMBCフレンド証券株式会社は12月1日、同社守口支店の社員が外訪業務中にひったくりの被害に遭い、顧客情報が記載された書類の入った鞄が盗難されたと発表した。

http://www.google.co.jp/search?hl=ja&c2coff=1&q=%E3%81%AF%E3%81%A6%E3%81%AA%E3%82%AB%E3%82%A6%E3%83%B3%E3%82%BFXSS%E8%84%86%E5%BC%B1%E6%80%A7&lr=lang_ja

id:nkmr:20041104 さんより。なるほど。 http://www.objectclub.jp/community/codingstandard/index_html

なんだかなあ。 http://internet.watch.impress.co.jp/cda/news/2004/10/08/4938.html

セキュリティ保護された Web アプリケーションの設計ガイドライン http://www.microsoft.com/japan/msdn/security/guidance/secmod77.mspx

http://support.microsoft.com/?scid=kb;ja;887459 相対パス（ディレクトリトラバーサル）問題？

関連KBIDは887459 報告された Microsoft ASP.NET の脆弱性に関する情報 公開日: 2004 年 10 月 5 日 マイクロソフトは、現在報告された Microsoft ASP.NET の脆弱性に関する調査を行っています。攻撃者は、特別な細工がされたリクエストをサーバーに送信し、…

だんじておれじゃない JPEG処理の脆弱性を悪用するトロイの木馬型ウイルス「Trojan.Moo」 http://news.google.co.jp/news?q=Trojan.Moo&hl=ja&lr=&ie=UTF-8&c2coff=1&sa=N&tab=wn ＊windowsXPMCE2005きたー 実は格安のXP Pro？Windows XP MCE2005が世界先行…

きをつけよーっと。 大容量ファイル転送サービス提供サイトのルートに改竄ファイル挿入

ツールとかになるんだろうなあ。5.1.3102.1355以前は危険らしいのでバージョン番号をメモ。 古いバージョンの「gdiplus.dll」を探し出すツールが公開される

ログも危険なので取り扱いは注意、というか盗難かぁ。災難だなあ。 NTTドコモは、PHSで提供している「いまどこサービス」のシステム保守業務を委託している会社において、ユーザー情報が含まれているパソコンが盗難にあったことを明らかにした。同社では、現…

危うきに近寄らずの巻。 セキュリティ研究者が、ウェブサーバに何者かが侵入し、ウェブサイトをウイルスの感染源に変えてしまうという事例が多発しているとして、警戒を呼びかけている。 from itmedia.co.jp at http://www.itmedia.co.jp/enterprise/article…

BBフォンのこじんじょうほうもテイクアウト。。 ヤフーBBの加入者データを持ち出して恐喝を謀ったグループが、IP電話サービスBBフォンの通話記録・140万件分も持ち出していた事が判明 http://slashdot.jp/article.pl?sid=04/06/17/2158241&topic=57

CR使ってないけどめも。 Crystal Reports Web Viewer の脆弱性により、情報の漏えいおよびサービス拒否が起こる (MS04-017)Business Objects の Crystal Reports および Crystal Enterprise にディレクトリトラバースの脆弱性が存在し、攻撃者にファイルの取…

あるアドウェア業者が、これまで明らかになっていなかったMicrosoftのInternet Explorer（IE）ブラウザにある2つのセキュリティホールを悪用し、ポップアップ広告を表示させるツールバーを被害者のコンピュータにインストールしていたと、研究者らが今週明ら…

Denial of Service Vulnerability in IEEE 802.11 DSSS Wireless Devices http://www.jpcert.or.jp/at/2004/at040007.txt IEEE 802.11 無線プロトコルには、無線 LAN の正常な通信を妨害する攻撃 が可能な脆弱性が存在します。無線 LAN の有効範囲内において…

佐々淳行氏を思い出す。オチはない。 参考： google:Sasser google:佐々淳行

純銀粘土購入者らしい。アクセサリ作るあれ？ google:三菱マテリアル、Webサイトで約1,100件の個人情報を漏洩

Q831167 : 重要な更新 ダウンロード サイズ: 374 KB この修正プログラムによって、 Internet Explorer 6 Service Pack 1 に存在する脆弱性が修正されます。今すぐダウンロードして、このセキュリティ問題を修正してください。この修正プログラムの詳細は、近…