スポンサードリンク

    .

    管理人のコメント Hahahahaha! 〜カテゴリーだぜ〜

    タグ:Heartbleed

    IT情報つめこみ速報|appleitem
     米国 Apple は4月22日、モバイル OS「iOS」、デスクトップ OS「OS X」向けのパッチと、ワイヤレスベースステーション「AirMac」のファームウェアアップデートをリリースした。

    AirMac 向けファームウェアは、Heartbleed 脆弱性に対応している。
    パッチの中には、iOS と OS X の両方に影響するものがある。

    その1つは「トリプルハンドシェイク」と呼ばれる攻撃に対応したパッチだ。Apple のセキュリティアドバイザリには次のようにある。

    「ネットワーク上で特権的なポジションにある攻撃者が、SSL によって保護されたセッション内で、データを取得したり、オペレーションを改ざんする可能性がある」

    iOS と OS X に共通した脆弱性としては、CFNetwork HTTP Protocol 実装に関するものも含まれている。Apple はこの脆弱性について、次のように警告している。

    「ネットワーク上で特権的なポジションにある攻撃者が、Web サイト認証情報を取得可能になる」

    iOS 7.1.1


    iOS 7.1.1 アップデートでは、Apple は Safari Web ブラウザのエンジンである WebKit に関するセキュリティパッチを提供している。そのいくつかは、Apple が4月1日にリリースしたデスクトップ版 Safari 向けパッチと同じ内容のものだ。

    今回修正された WebKit 脆弱性の中には、3月に開催されたブラウザハッキングコンテスト Pwn2own で指摘された脆弱性も含まれている。


    Heartbleed
    Apple はワイヤレスベースステーション「AirMac」向けのパッチもリリースした。
    これには、Heartbleed 関連のセキュリティアップデートも含まれている。
    Apple のアドバイザリには次のようにある。


    「ネットワーク上で特権的なポジションにある攻撃者が、プロセスメモリーから情報を取得する可能性があった。
    この問題は、バウンドチェック機能を改善することで対応されている」


    Apple は、影響を受けるシステムは 802.11ac を有効にした
    「AirMac Express」と、「AirMac Time Capsule」だとしている。

    IT情報つめこみ速報|heartbleedsites
    OpenSSLの脆弱性Heartbleed
    Heartbleedがスマートフォンにインストールしているアプリに影響しているか(影響のあるOpennSSLを使用しているアプリがあるか)をチェックできるツールをトレンドマイクロが公開。
     インストールされているAndroid OSや各アプリに、OpenSSLライブラリの脆弱性のあるバージョンが使われていないかチェックする。
    Heartbleed Detector(Androidアプリ版)
    https://play.google.com/store/apps/details?id=com.trendmicro.tool.heartbleeddetector

     Trend Microでは、Heartbleed DetectorのウェブページおよびGoogle Chromeアプリも公開している。URLを入力することで、そのサイトのHeartbleed脆弱性の有無をチェックできる。

    Heartbleed Detector(ウェブ版)
    https://www.directpass.com/heartbleeddetector

    トレンドマイクロ公式ブログの記事
    http://blog.trendmicro.co.jp/archives/8945
    トレンドマイクロ公式ブログの記事
    http://blog.trendmicro.co.jp/archives/8961 

    IT情報つめこみ速報|google-bot

    Googleは、暗号化を採用しているサイトの検索順位を上げることを検討しているという。

     GoogleのDistinguished Engineerで、検索結果からスパムを取り除く
    ウェブスパムプログラムを統括するMatt Cutts氏の発言をもとに、
    WSJは同氏が最近のカンファレンスでその可能性を「ほのめかした」と報じている。


    Googleの広報担当者は、現時点で発表することはないと述べた。


    Googleの検索順位のアルゴリズムは、サイトの表示順位を上げ下げする変数が多く、複雑なことで知られる。

    上記のような変更があった場合、少なくとも短期的には、Googleの検索順位を操作しようとするサイトに有利になる可能性がある。
     

     もっとも、ウェブページへのSSL/TLS暗号化の導入拡大は多くの専門家が推進していることであり、Googleは以前から推進派の先頭に立っている。

    続きはコチラ

    IT情報つめこみ速報|do_heartbleed

    オープンソースのSSL/TLS実装「OpenSSL」の脆弱性発覚で
    秘密鍵やパスワードなどの情報流出が危惧される中
    パスワード変更の呼び掛けを装った詐欺メールや偽の脆弱性チェックサイトなど、
    騒ぎに便乗した攻撃の危険性も浮上している。

     米SANS Internet Storm Centerは4月10日、正規の業者を装って、エンドユーザーにパスワードの変更を促すリンク付きの詐欺メールが出回っていると伝えた。

     こうしたメールのリンクを不用意にクリックすると、マルウェアに感染したり、だまされて入力したパスワードなどの情報を盗まれたりする恐れがある。

     厄介なことに、正規の業者もこの問題に関して注意を促すメールを送信している。
    SANSの研究者は、自身に届いた正規メールにリンクが掲載されていたことを問題視して、「これは大きな間違いだ」と指摘。
    「助けになりそうなリンク付きのメールの大部分は助けにならない。リンクをクリックしてはいけない」とエンドユーザーに呼び掛けている。

    続きはコチラ

    IT情報つめこみ速報|heartbleedsites

    「Heartbleed」脆弱性を狙う攻撃パケットの増加が国内でも観測された。
    あらためてWebサーバー側とエンドユーザー側、それぞれの対策を整理する。
     

    オープンソースのSSL/TLS実装「OpenSSL」に、リモートからメモリ上のデータを読み取られてしまう可能性があるという「Heartbleed」脆弱性を狙う攻撃パケットの増加が観測された。
    一方でベンダーによる対策も進んでいる。

     繰り返しになるが、この脆弱性はOpenSSLのバージョン1.0.1/1.0.2系に存在する。

    Heartbeat拡張の実装に問題があり、通信相手によって、プロセスのメモリ上のデータが読み出されてしまう恐れがある。

    つまり、タイミングによってはサーバー上の秘密鍵や、同じサービスを利用している他人のパスワード、セッション情報などが盗み見られる恐れがある

    via.@IT
    続きはコチラ

    特選記事はコチラ!

    このページのトップヘ