理想ちゃんねる

当ブログは2ちゃんねるから「ライフハック術」「雑学」「ITニュース」「ガジェットネタ」などをまとめています。

スポンサードリンク

バグ

    このエントリーをはてなブックマークに追加
1: オリンピック予選スラム(庭)@\(^o^)/ 2015/01/03(土) 17:28:16.82 ID:z8a+oJ2F0●.net
microsoft_google_large

Googleが2014年12月30日に、Windows 8.1で一般ユーザが特権ユーザになれる「Elevation of Privilege」に関わるコードを公開しています。

修正は今のところナシ

今のところ、これらの脆弱性に関わる修正はWindows 8.1に対して施されていないため、このプログラムを悪用した場合Windows 8.1は攻撃者にPCを乗っ取らせてしまう可能性があるとのこと。

Microsoftはなにもしなかった

Googleはこの件について「公開するにあたっては、事前に90日間の予告期間を設けてMicrosoftに修正を加える余裕を与えたがMicrosoftはなにもしなかった」とのこと。

これについては批判も

そもそも早急に対応していないMicrosoftもどうかと思いますが、悪用される可能性が高いコードを公開しているGoogleも批判されているようです。どちらにせよ早急に脆弱性に対策を施してほしいものですね。
http://m-style.mydns.jp/m-create/software/1858/

続きを読む
スポンサードリンク

    このエントリーをはてなブックマークに追加
1: マスク剥ぎ(大阪府)@\(^o^)/ 2014/12/26(金) 16:03:00.77 ID:QDMfGUac0.net
top_m

 Check Point Software Technologiesは、一般家庭や小規模企業で広く使用されているルーター製品に深刻な脆弱性「CVE-2014-9222」を発見したと発表した。

 Check Pointが「Misfortune Cookie」と呼ぶこの脆弱性を悪用すると、外部からルーター製品などのゲートウェイを乗っ取り、そのゲートウェイに接続されたデバイスを攻撃することが可能となる。

 Check Pointでは、Misfortune Cookieは最近見つかった中では最も広範囲に影響する脆弱性の1つで、現時点でインターネットに接続された世界中の端末1200万台以上が容易に攻撃可能な状態だとしている。

 脆弱性が見つかったのは、AllegroSoftが提供する組み込みのウェブサーバープログラム「RomPager」で、多くの場合、このプログラムはデバイス内蔵のファームウェアに組み込まれている。 脆弱性は、Allegro RomPager 4.34より前のバージョンを実装したファームウェアに影響がある。

 脆弱性については、AllegroSoftが2005年に修正しているが、複数のルーターのファームウェアには、いまだに脆弱性が存在する古いバージョンのAllegro RomPagerが使用されているという。

 Check Pointでは、脆弱性が存在する製品のリストを公表している。ASUS、D-Link、Edimax、Huawei、TP-Link、ZTE、ZyXELといったメーカーの多数の製品が対象となっており、リストに多く挙がっているのはADSLモデム製品だ。また、かなり古い製品も多い。
例えば、日本のメーカーの製品としては、アイ・オー・データ機器の「NP-BBRsx」と、バッファローの「BLR-TX4L」がリストにあるが、NP-BBRsxは2002年発売、BLR-TX4Lは2001年発売の製品だ。
http://internet.watch.impress.co.jp/docs/news/20141226_682100.html

Check Point機器リスト(PDF)

続きを読む

    このエントリーをはてなブックマークに追加
1: ゆでたてのたまご ★@\(^o^)/ 2014/12/23(火) 19:19:01.88 ID:???0.net
20140210-crono

時刻同期サービス「ntpd」に重大脆弱性、細工パケット一撃でサーバー乗っ取りも

情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)が共同で運営する脆弱性関連情報ポータルサイト「JVN(Japan Valnerability Notes)」は2014年12月22日、IT機器の時刻合わせに広く使われているサーバーソフト(デーモン)の「Network Time Protocol daemon(ntpd)」に複数の脆弱性が見つかったことを伝えた。
発見された脆弱性の中には、不正に細工されたNTPパケットを一つ受け取るだけで、サーバーがいきなり乗っ取られる危険性があるものも含まれている。

見つかった脆弱性は四つ。
(1)設定ファイルntp.conf中でauth keyを設定していない場合に、暗号強度が低いデフォルト鍵が生成される問題、(2)古いバージョンのntp-keygenが、弱いシード値を使って乱数を発生し、これを基に暗号強度の低い対称鍵を生成する問題、(3)crypto_recv()など三つの関数に、パケット処理に関するバッファオーバーフローの脆弱性が存在する問題(autokey認証利用時)、(4)特定のエラー処理を行うコードに不備があり、エラー発生時に処理が停止しない問題である。

NTPサーバーの管理者が特に注意すべきは(3)のバッファオーバーフローの脆弱性だろう。同脆弱性を突かれると、ntpdを動作させているユーザーの権限で任意のコマンドを実行される危険がある。もしntpdをroot権限で動作させていればシステム上で任意のコマンドを実行される。制限されたユーザー権限(ntpユーザーなど)で動かしている場合でも、Linuxカーネルでつい最近も見つかった権限昇格の脆弱性などを狙われることで、サーバーを乗っ取られる危険性がある。

他の多くの脆弱性と異なり、NTPが「UDP(User Datagram Protocol)」を利用するタイプのサービスであるという点にも注目したい。Webアクセス(HTTP)やメール(SMTP/POPなど)といった一般的なサービスが利用しているTCP(Transmission Control Protocol)と異なり、UDPでは通信に先立ってサーバーとクライアント間での接続(コネクション)を確立する手順が必要ない。

このため、攻撃者は脆弱性を持つntpdが稼働するNTPサーバーに対して、細工したパケットをただ送り付けるだけで攻撃を行える。しかも、攻撃側は接続手順が必要ないことに加えてNTPサーバーからの「戻りのパケット」を受け取る必要もない。このため、攻撃者は送信元IPアドレスを偽装したUDPパケットを用いることで、身元を隠しつつサーバーに対して一方的に攻撃を行える。サーバー側は、送信元IPアドレスを基にアクセスを制限することが難しく、どこから攻撃されたかも正しくログに記録されない。

今回見つかった四つの脆弱性に対処するには最新バージョン(18日にリリースされた最新安定版のバージョン4.2.8など)にアップデートすることが必要となる。

ソース: http://itpro.nikkeibp.co.jp/atcl/news/14/122202355/

プレスリリース: Network Time Protocol daemon (ntpd) に複数の脆弱性
http://jvn.jp/vu/JVNVU96605606/

関連スレッド:
【IT】時刻同期のntpdに危険度の高い脆弱性、不正パケット受信でコード実行の可能性
http://daily.2ch.net/test/read.cgi/newsplus/1419224943/

続きを読む

    このエントリーをはてなブックマークに追加
1: ジャーマンスープレックス(大阪府)@\(^o^)/ 2014/12/20(土) 11:57:51.76 ID:JJHndEP+0.net
16499012

 ソフトウェアのバグや脆弱性は、軽微な不具合からセキュリティ上の深刻な問題を引き起こすものまで、様々なものがある。開発者が幾ら注意しても脆弱性をなくすことは非常に難しいが、外部の立場から脆弱性を見つけてセキュリティ対策に貢献する「バグハンター」という存在をご存じだろうか。

 GoogleやMicrosoft、サイボウズなど一部のベンダーは、脆弱性を報告したバグハンターに報奨金などを支払う制度を運営。その報奨金で生計を立てるプロの一人が「キヌガワ マサト」さんだ。12月18、19日に行われたセキュリティカンファレンス「CODE BLUE」では、キヌガワさんがプロのバグハンターとしての“愉しみ”などを紹介してくれた。

 キヌガワさんによると、趣味は音楽鑑賞とクロスサイトスクリプティング(XSS)。特にWebアプリケーションのバグ探しが楽しいという。活動の場は自宅で、活動時間は“やる気のある時”とのこと。主に夕方から深夜にやる気が高まるそうだ。生計のほとんどがベンダーから支払われる報奨金であり、2013年の収入は2713万5346円だった(ちなみにこの数字は8進数)。2014年は収入がアップしそうだという。

 キヌガワさんの成果が特に目立つのはGoogleだ。2010年の制度開始以降、報奨金の対象になったものだけで127件の脆弱性を同社に報告しており、報告件数は世界で2番目に多い。
報告内容ではXSSが73%を占め、キヌガワさんの強みが目立っている。

 バグハンターとしてのモチベーションはどこにあるのか。キヌガワさんによれば、ベンダー側がすばやく対応してくれることや、発見したバグの“おもしろさ”を評価してくれること、問題を正しく理解してくれることなどだという。バグの“おもしろさ”とは、バグを見つける経緯やその複雑さなどの点だという。

 こうしたことから、Googleの制度はバグハンターのモチベーションを引き出す内容だと、キヌガワさんは評価する。同社は2013年に報奨金の額を大幅にアップするなど制度の改善にも積極的だ。年ごとのキヌガワさんの報告件数も2013年が最も多い。

 しかしバグや脆弱性を報告しても、返信も対応もしないベンダーは多いとのこと。報奨金制度を運営するベンダーは米国系企業に多いが、国内ではサイボウズのみ。
日本のセキュリティ人材の不足が叫ばれているだけに、セキュリティ技術者が評価される仕組み作りが不可欠といえそうだ。

全文ソース
http://www.itmedia.co.jp/enterprise/articles/1412/20/news003.html

続きを読む

    このエントリーをはてなブックマークに追加
wiiusumabura

1: 名無しさん必死だな@\(^o^)/ 2014/12/06(土) 22:49:43.34 ID:shkepnv20.net
@coward_inukoro 10時間前
またフリーズした!!どうしたスマブラ!!

@magical_uJyu 10時間前
スマブラわりとフリーズするんだけど大丈夫か?

@Funnygusya 9時間前
おいーーー買ってまだ3時間なのに2回もフリーズバグとかスマブラどうなってんのやーーーー!!!

@ziennmorann1 9時間前
スマブラやってたら画面真っ黒でフリーズしたんだけど

@TwitGessy 9時間前
スマブラWiiUフリーズ率かなり高い疑惑

@pepepepepe727 9時間前
スマブラWiiuがフリーズするんだが・・・

@wafwafwafuu 9時間前
スマブラめっちゃフリーズするんやけど

@yukkuri63 8時間前
今スマブラWii U版フリーズしてて草

https://twitter.com/search?f=realtime&q=%E3%82%B9%E3%83%9E%E3%83%96%E3%83%A9+%E6%9A%97%E8%BB%A2+OR+%E3%83%95%E3%83%AA%E3%83%BC%E3%82%BA

続きを読む

    このエントリーをはてなブックマークに追加
1: 名無しさん必死だな@\(^o^)/ 2014/12/04(木) 17:32:26.24 ID:rkbX6uXY0.net
25 名無し曰く、[sage] 2014/12/02(火) 17:56:32.37 ID:9IfaM/nh
1.02アップデートが来たのでもう一度子供作ってみたけどやっぱり角は生えるみたい

no title

no title


875 名前:名無し曰く、[sage] 投稿日:2014/12/03(水) 07:30:42.72 ID:KK8hMJbu
no title

no title

no title


パッチでバグ減るどころか新しいバグ報告が来るってどういうことだオラ

続きを読む

    このエントリーをはてなブックマークに追加
1: 名無しさん必死だな@\(^o^)/ 2014/11/28(金) 02:23:18.40 ID:Q5xDg7Tu0.net
SnapCrab_NoName_2014-11-28_10-1-6_No-00

木下洋介・
@yosuke0604
コーエーテクモゲームス所属の音屋です。埼玉在住。■代表作:真・三國無双シリーズ、DEAD OR ALIVE5 Ultimate Arcadeなど。

本日発売「真・三國無双7 Empires」にてサウンドディレクター・作曲を担当しました。今年1年の私の血と汗と涙とその他色んなモノが凝縮された作品です。よろしくどうぞ!2014年11月20日 - 9:58pm

俺のこの1年は一体なんだったのか。2014年11月27日 - 11:10pm
https://twitter.com/yosuke0604

バグだらけ
no title

no title

org22912
続きを読む

    このエントリーをはてなブックマークに追加
no title
コーエーテクモゲームスから11月20日発売された PS3・PS4・XBOX Oneの「三國無双7 Empires」ですが、バグがかなり多くネットで炎上しているようです。Amazonの評価は星1つ半と低評価になっています。
公式Twitterは11月20日の発売日以降つぶやかれていませんw


続きを読む

    このエントリーをはてなブックマークに追加
windows-8-laptop-12

0: 管理人 2014/11/20(木) 
Microsoftは11月のWindows Update「MS14-066」(KB2992611)で一部に深刻な不具合が見つかり、それを修正したパッチを「MS14-068」を11月19日に配信しました。
しかし、「MS14-068」のオプション「KB3000850」をインストールすることで「シャットダウン・再起動ができなくなった」と声が一部ユーザーから上がっています。

また、Windows 8.1でAvast!を使用しているユーザーも注意してください。今回のアップデートで「シャットダウン・再起動」ができなくなると Avast Forumで報告されています。

続きを読む

    このエントリーをはてなブックマークに追加
firefox-add-ons

841: 名無しさん@お腹いっぱい。 2014/11/18(火) 02:15:46.68 .net
なんかAvastにFireFoxのアドオン削除する嫌疑がかかってるわ



845: 名無しさん@お腹いっぱい。 2014/11/18(火) 07:09:03.51 .net
PC再起動するたんびに
Firefoxのアドオンが全て消えるんだが
こいつか?



846: 名無しさん@お腹いっぱい。 2014/11/18(火) 07:28:59.33 .net
消えないし
カスタムインストールで余計なものインストールしないっていう
基本的な作業怠った結果だろ



847: 名無しさん@お腹いっぱい。 2014/11/18(火) 10:39:35.99 .net
へえー。海外フォーラムでも話題になってるのに
違うと断定ですか。へえー


続きを読む

このページのトップヘ