2012-08-19

アンリ・シャルパンティエのゼリーセット

甘味

テリーヌ・ドゥ・フリュイというなのフルーツゼリーを頂きました。濃厚なお菓子も好きですが、盛夏にはさっぱりしたゼリーがとても合いますね。

BlackHat、DEFCON、セキュリティキャンプと連続出張が終わったので、ようやく腰を落ち着けて日本で甘味が食べられそうです。

2012-08-09

Beans Nuts の豆詰め合わせ

甘味

久々の日本橋三越。夏はケーキよりも、和菓子とかつまみとかに惹かれます。試食して美味しかったので購入。日本橋三越では、今ならオリジナル風呂敷に包んでくれるというキャンペーンもやってます。お持たせにいいね。

ボルチーニとかわさびがおすすめ。わさびは結構なわさび辛さです。

Beans Nuts

BlackHat・DEFCONでラスベガス行ったり、何だかんだで甘味の更新をサボり気味でした。ちゃんとしっかり食べてますよ！

2012-07-15

JavaScriptによるIntel Core2Duo脆弱性を利用したリモートExploit

security

Intel Core2DuoのCPUキャッシュコントローラーの脆弱性を利用したリモートコード実行のPoCが公開されています。Core2Duo以外にもAtomでも動くそうです。

Intel Core2Duo cpu cache controller bug PoC | Inj3ct0r - exploit database : vulnerability : 0day : shellcode（テキストなのでコードは実行されません。）

JavaScriptで動作するので、ブラウザで観ただけで死ねます。NoScriptなどによる防御が必須ですね。

※fakeかも。HITB2008って書いてるし。

2012-07-15

中国は世界中の通信の80%にアクセス可能なバックドアを持っている

security

元ペンタゴンのアナリストによると、中国政府または人民解放軍が世界の通信の約80％にアクセスできるバックドアを持っていると伝えています。
中国企業のHuawei社とZTE社製品のネットワーク機器にバックドアがあるので、それらを使っているネットワークにはアクセスが可能だとか。世界145カ国トップ50のテレコムセンターのうち45にアクセスできるそうです。

Former Pentagon analyst: China has backdoors to 80% of telecoms | ZDNet

どこまで本当かわかりませんが、ありそうな話ですね。

2012-07-12

マルチプラットフォーム対応のバックドア

security

F-Secureの研究者がコロンビア交通のWebサイトで、Windows、MacOS、Linuxなどマルチプラットフォームで動作するバックドアを発見しました。
バックドアは署名されたJavaのJARファイルを使って、ユーザーの端末がどのOSかを判定して、プラットフォームに適した追加ファイルをダウンロードしてくるとのことです。

なお、すでにF-SecureではC&Cサーバーなどについては当局に届出済みだそうです。
当局ってどこだろう？

Multi-platform Backdoor Lurks in Colombian Transport Site - F-Secure Weblog : News from the Lab

2012-06-26

プロトコル内での"X-"接頭辞の廃止 - RFC6648

security

RFC6648として、アプリケーションプロトコル内での"X-"接頭辞と同様の構造の廃止というのが上がっていました。
HTTPなど多くのプロトコルでは、非標準パラメーターに”X-”接頭辞を付けることで、標準パラメーターと区別していましたが、メリットがないというより問題が多いので、既存のはさておき新たなプロトコルを作るときには、それは止めましょうとのこと。

RFC 6648 - Deprecating the "X-" Prefix and Similar Constructs in Application Protocols

2012-06-22

PayPal がバグ報奨金プログラムを開始

security

PayPal もバグ報奨金プログラムを開始しました。GoogleやFirefoxなどがやっているあれです。
対象となる脆弱性は、XSS、CSRF、SQLインジェクション、認証のバイパスとのこと。報告したらいくらぐらいもらえるんでしょうね？

For Security Researchers - PayPal