パスワードを忘れた? アカウント作成

みんなの日記はここから一覧を見ることができます。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
2019年10月のセキュリティ人気記事トップ10
14020051 story
政府

総務省が18億円かけて導入したセキュリティシステム、一度も使わることなく廃止 109

ストーリー by hylom
ハコ物 部門より

Anonymous Coward曰く、

総務省が2013年に運用を開始した「政府共通プラットフォーム」では、インターネットから遮断された環境を提供する「セキュアゾーン」という機能があるが、この機能が1度も使われることのないまま廃止されていたことが報じられている(NHKMSN)。

ガチガチにし過ぎて誰も使わないというダメなセキュリティ対策の典型みたいな事例。導入を推進した総務省すら使わなかったというのはちょっと酷い。

報道によると、この機能は2015年度に約18億円の予算を計上して開発がスタート。2017年度に完成した。利用には専用回線でのアクセスが必要で、またデータの入力や修正には担当者が直接設置場所に出向いて作業を行う必要があるといった手間があり敬遠されたようだ。

なお、2016年12月14日の政府官報では、「政府共通プラットフォームにおけるセキュアゾーンの整備に係る作業請負及び機器・ソフトウェア賃貸借の調達」について東京センチュリーリースが20億685万5,294円で落札したとされている。

14016774 story
Windows

Windows 7の2023年1月までの延長サポート、全Professional/Enterprise版ユーザーを対象に有償提供へ 32

ストーリー by hylom
どうなるWindows 7 部門より

2020年1月にWindows 7のサポートが終了し、それ以降はセキュリティアップデートなどが提供されなくなるが、Microsoftが10月1日、Windows 7 Professional/Enterpriseを利用している全ユーザーに対し、有料での延長サポートを2023年1月まで提供することを発表した日経xTECHPublickey)。

ボリュームライセンス契約を行っている企業に対してはすでにWindows 7の有料延長サポートの提供がアナウンスされていたが(過去記事)、この対象を広げた形になる。なお、サポート料金は毎年値上げされていく予定。

14014967 story
Firefox

Firefox Nightly、デフォルトでTLS 1.0/1.1が無効化される 20

ストーリー by hylom
来年には終了ですからねぇ 部門より

headless曰く、

Mozillaは9月27日にリリースしたFirefox Nightlyで、TLS 1.0/1.1をデフォルトで無効化した(Bug 1579270Firefox Site CompatibilityNeowingHacks)。

無効化はFirefoxの設定(about:config)で「security.tls.version.min」の既定値が「1」(TLS 1.0)から「3」(TLS 1.2)に変更されただけで、TLS 1.0/1.1サポートが削除されたわけではない。SSL Pulseの9月分データではSSL 1.2をサポートするサイトが95.8%に上るものの、影響の大きな変更であることから幅広い確認が呼びかけられている。

主要Webブラウザでは昨年10月、2020年にTLS 1.0/1.1を無効化する計画が発表されており、FirefoxのTLS 1.0/1.1無効化は2020年3月に設定されている。Nightlyでは10月に無効化する計画が発表されていたが、少し繰り上げられたようだ。

現在のFirefox Nightlyの製品バージョンは71.0a1。今後はベータチャンネルのFirefox 71以降でフィードバックを確認しつつ徐々にTLS 1.0/1.1を無効化するユーザーの比率を高めていき、来年3月までにすべての切り替えを完了してリリースチャンネルでの無効化に備える計画だ。来年3月にリリースが予定されているのはFirefox 74だが、無効化をどのように、いつ実施するのかという計画については確定していないようだ。

14024668 story
UNIX

sudoでUIDに4294967295を指定すると途中からuid = 0と解釈される特権昇格の脆弱性 42

ストーリー by hylom
チェックしてなかったのか 部門より

sudoコマンドで、任意のユーザー権限でのコマンド実行を許可されているユーザーに対し、ルート権限で指定したコマンドを実行できてしまう脆弱性が確認された(sudo公式サイトでの脆弱性報告サイオスセキュリティブログ)。

この脆弱性は、実行するユーザーを指定するsudoコマンドの「-u」オプションで「-1」もしくは「4294967295」を指定すると、そのユーザーIDではなくルート権限で指定したコマンドを実行できてしまうというもの。

任意のユーザーがルート権限を取得できるわけでは無く、sudoersなどの設定ファイルで「ALL」キーワードを使って任意のユーザー権限でのコマンド実行が許可されたユーザーのみがルート権限を奪取できる。実行できるコマンドが指定されていた場合はそのコマンドのみがルート権限で実行できる対象となる。

また、この際にログにはroot権限ではなく指定したユーザーID(-1もしくは4294967295)で実行されたものとして記録される。こうしたユーザーIDは存在しない為、PAMセッションモジュールも実行されない。

この問題を悪用することで、たとえば「<ユーザー名> = (ALL, !root) <コマンド名>」のようにroot以外のユーザーでsudoコマンドを利用できるように指定されていた場合に、本来は不可能なはずのroot権限でのコマンド実行が可能になってしまう。

14017956 story
Chrome

Google、ChromeでのTLS 1.0/1.1サポート終了に向けた今後の計画を発表 18

ストーリー by headless
計画 部門より
Googleは1日、Google ChromeでのTLS 1.0/1.1サポート終了に向けた今後の計画を発表した(Chromium Blogの記事Neowinの記事gHacksの記事)。

主要Webブラウザーでは昨年10月に2020年のTLS 1.0/1.1無効化計画が発表されている。Mozillaはこれに先立ち、先日Firefox NightlyのデフォルトでTLS 1.0/1.1を無効化した。

GoogleはChrome 72でTLS 1.0/1.1を非推奨とし、開発者ツールのコンソールに警告を表示しているが、2020年1月13日にはChrome 79以降でTLS 1.0またはTLS 1.1接続のページに警告メッセージが表示されるようになる。警告メッセージはページ情報アイコンの右側にHTTP接続ページと同様に「保護されていません」と表示されるほか、ページ情報には接続が完全に安全ではないことが記載されるとのこと。

3月に一般リリース予定のChrome 81では、予定通りTLS 1.0/1.1のブロックが始まる。UI要素による警告メッセージは削除され、ページいっぱいに警告メッセージが表示されるようになる。なお、組織で管理しているChromeではポリシー「SSLVersionMin」の値を「tls1.2」にすることで、無効化後の状態を今すぐ確認できる。逆に無効化後はこのポリシーを使用して2021年1月までTLS 1.0またはTLS 1.1を再び有効化できるとのことだ。
14030248 story
情報漏洩

神奈川県警サイバー犯罪捜査課が個人情報含む捜査資料を紛失、盗難車のトランクから見つかる 61

ストーリー by hylom
おなじみ神奈川県警 部門より

Anonymous Coward曰く、

今年5月、神奈川県警サイバー犯罪捜査課の巡査部長が個人情報を含む捜査資料のコピーを内規に違反して持ち出し、酒を飲んだ後カバンごと紛失していたそうだ。この巡査部長は紛失を報告していなかったが、8月に盗難車からこの資料が見つかって事件が発覚したという(NHK毎日新聞産経新聞)。

これだけなら典型的なセキュリティ事故という感じなのだが、紛失したカバンが遺失物として届けられるも資料が抜き取られており、後日盗難車のトランクから発見されたということで、悪用されてしまった可能性がありそうだ。

この捜査資料には事件の供述調書と容疑者が収集していたというクレジットカード情報が含まれていたそうで、供述調書には氏名および住所、親族の氏名などが、クレジットカード情報にはカード番号、住所、氏名、生年月日、電話番号などが含まれていたという。巡査部長は「捜査資料のコピーを持ち出した覚えがなかった」などと述べているとのこと。

14015140 story
スラッシュバック

Amazon.co.jpで他人の注文履歴や氏名が表示される不具合、解消される。原因は「技術的な不具合」 74

ストーリー by hylom
何が起きた 部門より

9月26日、Amazon.co.jpで他人のアカウントの注文履歴や住所、名前などが表示されるというトラブルが発生したことが報じられていたが(過去記事)、9月28日にこのトラブルは解消されたとのこと(ITmedia)。

原因は「Amazon内での技術的な原因によるもの」とのこと。問い合わせたユーザーには連絡を行っているとのことだが、どの程度の規模で問題が発生したかは依然不明のままだ。

14016692 story
Windows

Microsoft、暗号化機能付きのSSDもBitLockerの対象に 23

ストーリー by hylom
Windowsとハードウェア、どっちを信じるか 部門より

Anonymous Coward曰く、

Windowsには、BitLockerという名称の暗号化ツールが付属している。BitLockerはこれまで、ハードウェアベースの暗号化機能を持つというSSD製品に関しては、信頼して暗号化の対象にはしなかった。しかし、9月24日にリリースされたWindows 10「KB4516071」の更新でこの方針が変更された。すべてのSSDは暗号化していない前提であると仮定、デフォルトでBitLockerの適用対象にするようになった。

これに対し、セキュリティ情報を提供しているSwiftOnSecurityは「MicrosoftはSSDメーカーを信頼しなくなった」と説明、こうした方針変更はSSDの暗号化機能に脆弱性があることが昨年11月に発覚したことが原因としている。この脆弱性では、パスワードや秘密鍵を知らなくても暗号化されたストレージの内容を復号できたという研究が発表されている(TomsHardwareTechRadarSlashdot)。

14028087 story
Windows

Microsoft、Windows 7 Professionalでもサポート終了の通知表示を開始 24

ストーリー by headless
開始 部門より
1月に延長サポートが終了するWindows 7だが、サポート終了に向けた通知表示がWindows 7 Professionalでも始まったようだ(KB4524752BetaNewsの記事gHacksの記事Softpediaの記事)。

MicrosoftはWindows 7サポート終了に向けた通知を表示する更新プログラムKB4493132の提供を3月に開始したが、その後Windows 7の企業向けエディション(Professional/Enterprise)は配信対象から除外されていた。通知を表示するプログラムはタスクスケジューラに登録されるが、プログラムが起動しても通知が表示されるとは限らないようだ。手元のWindows 7 Home Premium環境ではKB4493132が何度かインストールされていたが、実際に通知が表示されたのは10月18日だった。

先日リリースされた更新プログラムKB4524752はWindows 7 Professionalを対象とし、サポート終了の通知を表示するものだ。ただし、この更新プログラムがインストールされたすべての環境で通知が表示されるわけではなく、ドメインに参加しているデバイスやキオスクモードのデバイス、Windows 10無料アップグレードの通知(GWX)を無効化していたデバイスでは表示されないという。

通知の内容はKB4524752とKB4493132で共通だが、3月のものからは変更されている。現在は「Windows 7のサポート終了は来年、2020年1月となります。」「2020年1月14日以降、マイクロソフトからのWindows 7のセキュリティ更新プログラムや技術サポートは提供されなくなります。移行の準備として、各種ファイルのバックアップをとっておくことをお勧めします。」という内容だ。「詳細を見る」をクリックすると、「Windows 7のサポート終了情報」ページが表示される点は以前と同様だ。

通知は「今後、このメッセージを表示しない」にチェックを入れてウィンドウを閉じれば以降は表示されなくなるが、ITプロフェッショナル向けにはGWX無効化のレジストリ設定も紹介されている。なお、KB4524752をアンインストールしても次の更新プログラムチェックで再インストールされるため、推奨されないとのことだ。
14023756 story
Windows

Windows 10 更新アシスタントに脆弱性 78

ストーリー by headless
微弱 部門より
「Windows 10 更新アシスタント」(Windows 10 Update Assistant)にローカルでの特権昇格の脆弱性(CVE-2019-1378)が発見されたそうだ(セキュリティ更新プログラムガイドBleeping Computerの記事Softpediaの記事)。

この脆弱性を悪用すると、ローカルの攻撃者がシステム権限で任意のコードを実行可能になるという。ただし、発見者のJimmy Bayne氏がBleeping Computerに語ったところによると、特権昇格はアップデート実行中にコンポーネントを乗っ取ることで実現されるといい、実際の攻撃に使われる可能性は低いようだ。また、更新アシスタントは実行ファイルごとにアップデート先のWindows 10バージョンが決まっているため、対象バージョンへのアップデート完了後は攻撃不可能になるとみられる。

それでも過去に更新アシスタントの実行ファイルをダウンロードしたことがある場合は削除し、実行済みの場合はアンインストールすることが推奨されている。Bleeping ComputerではKB4023814が適用されたWindows 10にも更新アシスタントがインストールされているとして、こちらも削除することを推奨している。なお、現在「Windows 10のダウンロード」ページでダウンロード可能な更新アシスタントは脆弱性が修正されているとのことだ。
typodupeerror

Stableって古いって意味だっけ? -- Debian初級

読み込み中...