少し前にPythonの画像処理デフォルトモジュールの脆弱性について書きました。「普通はデフォルトのライブラリは使わずにImageMagickとかを使うよね」というツッコミが入っていたので、画像ライブラリは脆弱性が多いことも紹介していたのですが、そのImageMagickに脆弱性です。DoS, Off by One, Integer overflowです。 h…

AdobeはAdobe Readerのブラウザプラグインは止めるべきだと思います。PDFがブラウザから見れてもうれしい事は少なく、反対に迷惑な場合が多いです。Firefoxの人気拡張にPDF Downloadがある事からも私だけでなく、多くの方が迷惑だと思っていると考えられます。せめてプラグインのインストールはデフォルトでオプションにして、欲しい人だけインス…

PHPのモジュールには脆弱なコードが多かったが、PHPのモジュールに限らないはず、と言っていましたがまた別の例がありました。 Full-Disclosure（9/16）に投稿されたメッセージによると The module imageop contains a lots of int overflow, which result in heap overflo…

Second Lifeは使ったことが無いので知らなかったのですが、IEを拡張してsecondlife://プロトコルを追加しているのですね。このプロトコルハンドラが脆弱でユーザIDを盗める脆弱性があるそうです。 Second Life is configured to handle ’secondlife://’ protocol urls. Interne…

Flashも同じような事ができるので、JavaScript（XMLHttpRequest)でもできるようにしてしまおう、という規格... This restriction on "read" access to web resources is very strict and generally appropriate. However, there are…

Firefoxユーザなら必ずインストールして使用する事をお勧めするのがNoScript拡張です。 参考：新しい紹介文を書きました。 簡単にインターネットから内部ネットワークを守る方法 NoScriptはデフォルトでJavaScriptの実行を拒否します。これだけでもかなり安全にWebサイトを参照できるようになります。しかし、NoScriptはプラグインの実行…

VoIPはセキュリティ上の脅威としてトップレベルに位置する機能です。Zone-Hに書いてある内容が幅広いSIPデバイスに適用できるとするとかなりの脅威です。 The research that was published indicates that, for at least one vendor, it is possible to automatica…

BaffaloのWHR-G54S http://buffalo.jp/products/catalog/item/w/whr-g54s/ にCSRF脆弱性とレポートされています。海外製品のレポートは見かけますが、日本製のSOHOルータのレポートは記憶にないです。よくある脆弱性なので日本製のレポートは初めてではないと思いますが、個人的には初物なので書きました。…

元々生体認証は再生攻撃に弱く、通信経路の安全性確保は必須であることは常識だと思うのですが.... 生体認証システムには設計が脆弱な物もあるようです...　どの製品と明記されていませんが、このホワイトペーパーに書いてある製品はダメ過ぎです。

備考：かなり古いブログですが公開し忘れしていた分です。 この話題はどちらかというとWebブラウザとプラグインの問題と言えるので書いていませんでした。Web開発者としては早く直してほしい問題ですがサーバのコードを書く側としては対策をできません。なぜかこの話題の日本語リソースがあまり無いようです。とりあえず私のブログにも書いておくことにします。 Webブラウザと…