パスワードを忘れた? アカウント作成
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
2018年5月22日のセキュリティ記事一覧(全2件)
13603104 story
マイクロソフト

WindowsアプリのインストーラのDLL読込み脆弱性、Microsoftは自社製品を修正せず 61

ストーリー by hylom
いつものやつ 部門より

複数のMicrosoft製品およびそのインストーラにおいて、DLL読み込みに関する脆弱性が発見された(JVN#91151862)。

この脆弱性は、アプリケーションやインストーラの実行時に、それと同一のディレクトリ内に存在する特定のDLLファイルを読み込んでしまうと言うもの。Microsoftはこの問題を認識しているものの、攻撃の実現性は限定的であるため対処は行わないという(Microsoftによる「DLL の植え付けの脆弱性のトリアージ」ドキュメント)。

13603733 story
Windows

Windows 10 Insider Previewがsame-site cookieをサポート 1

ストーリー by hylom
普及なるか 部門より
headless曰く、

Windows 10 Insider Previewビルド17672で、「same-site」cookieのサポートが追加された(Microsoft Edge Dev BlogWindows Experience BlogNeowinSoftpedia)。

same-site cookieは、「SameSite」属性をcookieに追加することで他サイトに対するリクエストでのcookie送信を制御するもので、IETFが策定を進めている。現在は他サイトにリクエストを送る場合、送信先サイトのcookieがリクエストの一部として送信される。この仕組みはCSRF攻撃で悪用されることもあるが、SameSite属性を使用すれば攻撃を防ぐことが可能となる。

SameSite属性で有効な値は「strict」と「lax」の2種類。strictではナビゲーションを含むすべてのクロスサイトリクエストでcookieをブロックするため、強力なCSRF攻撃防御が可能になる一方、既存のセッション管理システムとの互換性が失われる可能性もある。この問題を回避するため、laxではクロスサイトリクエストでトップレベルのナビゲーションが発生した場合のみcookieを送信する。ただし、攻撃者はポップアップウインドウなどを使用してsame-siteリクエストを作り出すことが可能だ。

今後、Windows 10 Creators Update以降のMicrosoft EdgeとInternet Explorer 11(IE)にサポートを追加していく計画だという。ただし、same-site cookieをサポートしないWebブラウザーではこの属性を無視するため、動作に問題が発生することはない。なお、ビルド17672のsame-site cookieサポートについて、Microsoft EdgeチームはEdgeのみと説明しているが、Windows InsiderチームではEdgeおよびIEでサポートされると説明している。

typodupeerror

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

読み込み中...