2010年11月15日

DLL 読み込みに関する脆弱性

IPAからWindowsプログラマ向けに注意喚起が発表されています。

WindowsソフトウェアのDLL/実行ファイル読み込み順番に関する仕様により意図しないプログラムが実行される可能性があるようです。


任意のDLL/実行ファイル読み込みに関する脆弱性は、ソフトウェアがDLLや実行ファイルを読み込む際の実装方法に原因があります。ソフトウェアがパス名を指定せずにDLLや実行ファイルを読み込む場合、ソフトウェアはWindowsシステムで指定された検索順序にしたがって、DLL/実行ファイルを検索します。この検索処理において、目的とするDLL/実行ファイルを見つける前に、攻撃者が用意したDLL/実行ファイルを見つけた場合、そのDLL/実行ファイルを読み込んでしまい、利用者のPC上で任意のコードが実行されてしまいます。

■IPAプレスリリース:任意のDLL/実行ファイル読み込みに関する脆弱性の注意喚起
 http://www.ipa.go.jp/about/press/20101111.html



結構な数のソフトウェアでパスが未指定だったりしそうですね。
Windowsでは便利な事に未指定でも動いてしまいますから。

とくに、まだ現役なVB6あたりのプログラムでは、多そう、、、

posted by haga_ji at 18:24| Comment(0) | TrackBack(0) | セキュリティ備忘録

2010年05月18日

第4回東北情報セキュリティ勉強会の申込み開始!

つきにきました!
福島県にて東北情報セキュリティ勉強会の開催が決まりました!

場所は、会津!たぶん、今回のおやつは、馬刺し?

ネタがスマートフォンなので、iPadを持っている人は、大歓迎だそうです!
逆にスマートフォンを持っていない人は参加できないの!?

諸事の予定をずらして、参加しようかな!!

以下詳細です。
----------------------------------------------------------------------
■第4回東北情報セキュリティ勉強会
 http://tohoku-security.techtalk.jp/workshop/4thworkshop


第4回東北情報セキュリティ勉強会は、会津大学で開催!
(仙台→盛岡→会津キャラバン中)

今回の講師は、以前会津大学でスマートフォン勉強会in 会津が開催されたことを思い出し、今話題の、Window Phone 7に関するお話をMicrosoftのエバンジェリスト高橋忍さんにお聞きしようと思います。
(もしかすると、Android、WinodowsPhone、iPhone等のスマートフォンが勢ぞろい?かも!)

【急募】iPad持ってきてくれる人!(笑)


■勉強会
テーマ : 全ての方のための勉強会
講師  : Windows Phone 7に関する説明やセキュリティに関する話
  マイクロソフト株式会社 デベロッパー&プラットフォーム統括本部
   エバンジェリスト 高橋 忍様

日時  : 2010年06月12日 (土曜日) 13:30 〜 17:30(13時受付開始)
場所  : 会津大学
地図  : http://www.u-aizu.ac.jp/access.html
参加費用: 一般1000円、学生・未成年:無料
参加申請: http://bit.ly/4th-tohoku-security-atnd
参加一覧: http://bit.ly/4th-tohoku-security-list
ハッシュタグ : #AIZU_SEC

 ※懇親会もあります。(参加費:4000円)
----------------------------------------------------------------------
posted by haga_ji at 08:27| Comment(0) | TrackBack(0) | セキュリティ備忘録

2010年04月05日

Windowsユーザにアドミン権限が付いてますか?

Windowsで日常作業をする時に管理者権限(administrators)付きのユーザでログインしていますか?

かなりの人が管理者権限付きのユーザで仕事の業務操作をしていると思います。

これは非常に便利なんですけど、深刻なセキュリティリスクと隣り合わせなんですよね。


UNIX系だと、rootで日常業務するなんて事はないんですけど、
Windows系だと、ついついアドミン権限で作業しちゃいますよね。。。


なんとか、このあたりの慣習を変えていきたいですね。
まずは自社内から。。。


■ライフハッカー:管理者権限を無効にすれば5割程度のWindowsセキュリティリスクから逃れられる?
posted by haga_ji at 15:58| Comment(0) | TrackBack(0) | セキュリティ備忘録

2010年02月02日

2月はセキュリティ月間です

毎年2月2日の本日はセキュリティの日でしたが、今年度から2月を情報セキュリティ月間とすることになったようです。
セキュリティ関連のイベントが2月へ集まってきていたので、より拍車がかかりそうです。

■内閣官房情報セキュリティセンター
 http://www.nisc.go.jp/

 ●「情報セキュリティ月間」について
 コンピュータウイルスによる被害や個人情報の流出など、生活に影響を及ぼす情報セキュリティ問題が多数報じられています。
 誰もが安心してITの恩恵を享受するためには、国民一人ひとりが情報セキュリティについての関心を高め、これらの問題に対応していく必要があります。
 このため、政府では、情報セキュリティに関する普及啓発強化のため、新たに、2月を「情報セキュリティ月間」とすることとしました。


でも、年度末はシステム屋にとって“火の車”的な状況なので出来れば5月とか6月にして欲しかったなぁ。。。
行きたいイベントが目白押しなのだが、、、
posted by haga_ji at 09:07| Comment(0) | TrackBack(0) | セキュリティ備忘録

2009年11月24日

ケータイWebの安全神話

先日、お話を伺った徳丸さんの携帯電話のWebセキュリティに関する連載が始まりました。
携帯電話向けのWebアプリを作っている人、これから作る人は必見です。

いまだに信じられている「ケータイWebの神話」に対する現在のリスクが表にまとめられています。

ケータイWebの安全神話は、以下の2点を根拠として支えられてきたものです。

  ・ケータイWebが閉鎖的なサービスであった
  ・ケータイブラウザの機能が低かった

そして、これらが将来にわたって、いまのままであるとはいえないのです。

■@IT:ケータイWebのセキュリティ
posted by haga_ji at 22:14| Comment(0) | TrackBack(0) | セキュリティ備忘録