|
RSS配信用のメモです。
本家はこちら →http://nyankonyanko.x0.com
× [PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。
複数のDNSサーバー製品にキャッシュ・ポイズニングのぜい弱性―パッチ適用を:ITpro
DNS(URLとコンピューターのIPアドレス(番号)を対応させる仕組み)に穴があって、正しくURLを入力しても別のサイトに飛ばされる可能性があったという話。Windowsに関しては、今日公開のセキュリティパッチで対応されてますので、ちゃんとあてましょう。他のOSはどうなんだろ、UNIX使いの人はBINDのパッチが要るのかな(この辺ちゃんとヲチしてないので自分で調べてください)。 ところでDNSポイズニングって別に今にはじまった話じゃないんですけどね。同様の攻撃の可能性は1980年代から指摘されてましたし、3年前にはこんなニュースもありましたし。 →「悪質サイトへ勝手にリダイレクト」---DNSキャッシュ・ポイズニング攻撃の現状と対策(上):ITpro 他に自分でできそうな自衛策としては、PG2等のIPフィルタの導入ぐらいでしょうか。とはいってもリネージュ資料室さんのリストに入っていないIPアドレスのサーバーにマルウェアを置かれたら素通しになってしまうわけで、これも万全ではないです。 結局今回のこれは「自衛しててもヤバいところに知らないうちに飛ばされることがあったんだよ」ってことで、ユーザーにできることは「踏んでも大丈夫なように環境をちゃんとしておきましょう」「LSコミュニティのような危ない仕組みは使わないようにしましょう」この2つだけ。今までに言われてきたような対策(OS・ブラウザ・プラグインのアップデートと適切な設定、ウィルス対策ソフト導入、IPフィルタ&ファイヤウォール、ルーターの導入)以外にユーザーができることなんてありません。 他にできることがないんだから、怖がってても何もいいことないですよ。 PR
出会い系サイトの誘導に新たな手口、シマンテックが報告(INTENET Watch)
本文中にある「Webメールアカウントをのっとる手口」と組み合わせると ・FF内の知り合いのWebメールアドレスからメールが届く ・「パンデモニウムの動画が上がってる」とか「ナイズル武器、アレキ50000個ってやっぱりガセだったらしいよ」とかいう内容でリンクがはられている ・罠サイトに誘導 ・終了 とかできちゃうわけですね。 ……ご注意ください。 ※例文がはいぢんくさいのは仕様ですすいまえん;;
システム乗っ取りの恐れ:無料ウイルス対策ソフトのPanda ActiveScanに深刻な脆弱性(ITmedia)
最新バージョンで対応されているそうです。利用者の方は至急アップデートを。
Access用「Snapshot Viewer」のActiveXに遠隔コード実行の恐れ:ITpro
Access関連のActiveXコントロールに脆弱性、MSがアドバイザリ公開(INTERNET Watch) いまどきこんなの入れてる人はあまりいなさそうな気もしますが……仕事用PCに入れててLSコミュとかフレンドリストPlusを使ってるとヤバい可能性もあるかも。 16:00追記 と思ってたらAccess2003まではアプリケーションにも同梱されてたんですね。古いAccessが入ってたマシンとかだとふつーに危ないのか。ご注意ください。 →関連情報: Microsoft Accessなどに新しい脆弱性、悪用した攻撃が既に出現:ITpro マイクロソフト セキュリティ アドバイザリ (955179): Snapshot Viewer for Microsoft Access の ActiveX コントロールの脆弱性により、リモートでコードが実行される
Thunderbirdに未パッチの脆弱性、修正までJavaScript無効を推奨(INTERNET Watch)
Firefox2.0.0.14で見つかっていた脆弱性の他にもいくつかあるようです。対策パッチが出るまではメッセージ表示時のJavaScript Offを推奨。 |