印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 広く普及している「SQLite」データベースエンジンにセキュリティ上の脆弱性が発見された。この脆弱性により、膨大な数のデスクトップアプリやモバイルアプリがリスクにさらされているという。 TencentのBladeセキュリティチームによって発見されたこの脆弱性が悪用された場合、被害者のコンピュータ上において悪意のあるコードの実行が可能になるとともに、それほど深刻ではないケースでもプログラムメモリのリークやプログラムのクラッシュが引き起こされる可能性がある。 SQLiteは膨大な数のアプリに組み込まれているため、この脆弱性はIoTデバイスからデスクトップソフトウェア、ウェブブラウザ、「Android」アプリ、「iOS」アプリに至るまでの広範
不正が相次ぐ事態に対応して、ユーザーによるコントロールの強化や、難読化されたコードのある拡張機能の締め出しを目指す。 米Googleは10月1日、WebブラウザChromeの拡張機能について、不正防止のための新たな対策を講じると発表した。悪質なコードを仕込んだ拡張機能が相次いで見つかっている事態を受け、摘発の強化を図る。 Googleの発表によると、次バージョンの「Chrome 70」からは、拡張機能によるWebサイト上のデータの読み取りや変更を許可する「ホストパーミッション」について、ユーザーがコントロールできるようにする。ユーザーは、拡張機能がホストアクセスできるサイトをカスタム版のリストに記載されたサイトに限定したり、現在閲覧中のページに対してクリックしなければアクセスできない設定を選択したりできるようになる。今後は強力な権限を持つ拡張機能に対する審査を強化する方針だ。 Chrome
a.md Chrome ExtensionのLive HTTP Headersを調査した。Firefox用のものではない。Firefox用のものではない。 https://chrome.google.com/webstore/detail/live-http-headers/iaiioopjkcekapmldfgbebdclcnpgnlo 11/7追記 類似 or 同様の方法で難読化scriptを埋め込んでいる拡張機能が大量にあったため、Googleに報告済み。 https://twitter.com/bulkneets/status/795260268221636608 English version: https://translate.google.com/translate?sl=ja&tl=en&js=y&prev=_t&hl=ja&ie=UTF-8&u=https%3A%2F%
疑惑どころか 99.99% くらい黒な話。 (後記:セッション盗まれたと思ってたけど、よくよく考え直してみると生パスワードごと盗まれてる可能性もあるしやばい) 追記:続報 11月3日 今回指摘した HTTP Headers 以外にも、「Tab Manager」「Give Me CRX」「Live HTTP Headers」等で同様(?)の問題が報告されています。第三者が元の作者からソフトウェア権利を買い取って悪用する、というケースが割とある模様(?)。皆さま情報ありがとうございます。 11月4日 Zaif については、「不正な Chrome 拡張」と「スクリプトから保護されていなかったクッキー」のコンボによりセッションが盗まれていた可能性あり。 Zaif のセッション情報が盗まれた原因のひとつについて。JavaScript からクッキー値を取得させない方法。 - clock-up-blog
Microsoftは米国時間9月24日、「Internet Explorer(IE)」のレンダリングエンジンをGoogle製のものに置き換えるIEプラグイン「Google Chrome Frame」を激しく非難した。 Microsoftは声明で、最新技術を欲するユーザーはChrome Frameを使うよりも、新しいバージョンのIEに移行した方が良いと述べた。 「われわれはInternet Explorer 8で、重要な機能強化や更新を追加し、顧客がブラウザをより安全に使用できるようにした」とMicrosoftは述べた。「プラグイン全般、そして『Google Chrome』が抱えるセキュリティ上の問題を考えると、Google Chrome Frameをプラグインとして実行することにより、マルウェアや悪意あるスクリプトの攻撃対象となる領域は2倍になる。われわれは、こうしたリスクがあるものを友人
早いなあ。 ZDNetによると、Google Chrome公開から数時間のうちに、警告無しにユーザにJavaアプリケーションを実施させる脆弱性を見つけた人がいたようだ。 ブラウザウィンドウの最下部にダウンロードされたjarファイル(Javaアプリケーション)が任意の文字(jarファイルのファイル名)で表示され、そこをクリックするとJavaアプリケーションが実行される。デモも用意されていて、デモではノートパッド風のアプリケーションが起動するが(Jarファイルは警告無くダウンロードされてしまうので注意のこと)、これをユーザが誤認するようなウィンドウとして開けば、そこからまずい操作をさせてしまえる、というもの。 まあ、Chromeのダウンロード結果表示がどんなインタフェースなのか慣れてない今だからこそ引っ掛けられるのかもしれないけど。 同じエンジンを使っているAppleのSafariブラウザでは
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
