マイクロソフトがSSL 3.0の脆弱性「POODLE」に対処するFix it |
POODLEはSSL/TLSの設計上の欠陥であるため、このバグを修正するパッチは存在しない。このため、ベンダーはすでに古くなっており、非推奨であったSSL 3.0のサポートを無効化しつつある。SSL 3.0を必要とするサーバシステムの数は少ないと言われているが、これらのサーバの利用者は、クライアントシステムでSSL 3.0がサポートされなくなるにつれて、問題を抱えることになる見込みだ。
Fix itを使用しなくても、「Internet Explorer」でSSL 3.0のサポートを無効化するのはそれほど難しくない。「ツール」の「インターネット オプション」ダイアログボックスにある「詳細設定」タブで、「SSL 3.0を使用する」オプションのチェックを外すだけだ。管理されている環境では、グループポリシーの設定を利用できる(「コンピュータの構成」->「管理テンプレート」->「Windows コンポーネント」->「Internet Explorer」->「インターネット コントロール パネル」->「詳細設定」で、「暗号化サポートを無効にする」をオフにする)。
北上 デリヘル
Googleは、今後数ヶ月間で同社のすべてのクライアント製品でSSL 3.0のサポートを廃止するとしている。Firefoxの次のバージョン(11月25日リリース予定)では、SSL 3.0が完全に無効化される。Mozillaはそれまでの一時的な対応として、「SSL Version Control」というアドオンを作成し、ユーザーがこの機能を無効化できるようにしている。
|
先天性無汗症の原因遺伝子を発見 |
理化学研究所は、先天性無汗症の原因遺伝子が、2型イノシトール三リン酸(IP3)受容体を発現する遺伝子であることを発見した。研究成果は、汗腺の形成不全などのほかは長らく原因が不明であった無汗症の原因を初めて明らかにしたもので、無汗症や多汗症の治療法確立につながることが期待される。
理研脳科学総合研究センター発生神経生物研究チームの御子柴克彦チームリーダー、久恒智博研究員と、スウェーデンのウプサラ大学との共同研究グループの成果によるもの。
無汗症とは、体温が上昇しても皮膚から汗が出ず、体温調節ができなくなる病気のことである。発汗による体温調節ができなければ、熱中症やめまいを起こすリスクが高まり、重症化すれば意識障害やけいれんを起こすこともある。
舞鶴 デリヘル
このような無汗症の原因として、これまでに汗腺の形成不全や交感神経の異常などが報告されているが、その他の原因は明らかになっていなかった。
|
PowerPoint悪用の標的型攻撃も既に発生 |
日本マイクロソフト株式会社は21日、Windowsのアプリケーション間でデータや機能を共有する技術「Microsoft OLE」に関する未修正の脆弱性が発見されたとして、セキュリティアドバイザリ「3010060」を公開した。既にこの脆弱性を悪用した攻撃も確認されており、マイクロソフトでは攻撃の回避策として「Fix it」の適用などを推奨している。
脆弱性は、Windows Server 2003を除くすべてのWindowsに影響があり、ユーザーが特別に細工されたOfficeファイルを開いた際に、悪意のあるプログラムを実行させられる危険がある。現時点では、PowerPointを介して脆弱性を悪用しようとする、限定的な標的型攻撃が確認されている。
デリヘル 新横浜
マイクロソフトでは、脆弱性の詳細の確認および調査が完了次第、セキュリティ更新プログラムの提供など適切な措置を実施すると説明。それまでの間は、攻撃の回避策を適用することを検討してほしいとしている。
|
数千万件規模の情報流出は日常茶飯事 |
今年6月にベネッセグループから大量の顧客情報が流出した事件は、規模の観点からも国内では過去に類を見ないケースとして注目を集めた。だが、米国では同様の規模の情報流出事件が頻繁しており、決して珍しくない状況である。米セキュリティベンダーのImpervaのアンソニー・ベッテンコート社長兼CEOは、「セキュリティ対策の最後の砦はデータだ」と語る。
ベッテンコート氏は8月に同社CEOに就任したばかりだが、以前はソフトウェア解析のCoverity(現Synopsys)やビッグデータ分析のAutonomy(現HP)のCEOなどを務め、データの活用・管理分野でのビジネス経験が長い。
風俗 エステ
最近の米国における大規模な情報流出事件をみると、2013年末に小売大手Targetから約4000万件のクレジットカード情報や約7000万人分の個人情報が流出し、今年9月にはホームセンター大手のHome Depotからも数千万件のクレジットカード情報が流出、10月上旬には金融大手のJPMorgan Chaseでも企業と一般家庭の顧客情報が大量に流出した。
|
セキュリティ各社が分析結果を相次いで発表 |
この脆弱性(CVE-2014-3566)は、14日に発表され、通称「POODLE」(Padding Oracle On Downgraded Legacy Encryption)と呼ばれている。攻撃者は、Webサーバとクライアント間でのやりとりを悪用し、わざとTLSからSSL 3.0にまでバージョンを下げることで、ネットワーク通信を解読可能にできるという。その結果、認証情報(クッキー)を窃取される可能性があるとのこと。
SSL 3.0は、TLSの前身のプロトコルで10年以上前のものだが、このバージョンは現在でも広く使用されており、ほとんどの現行Webブラウザでサポートされている。そのため、非常に多くの個人や組織に影響するおそれがある。
品川デリヘル
チェック・ポイント・ソフトウェア・テクノロジーズでは、「この脆弱性は、ShellshockやHeartbleedと異なり、リモートからは悪用できないため、両脆弱性ほど深刻な欠陥ではありません。
|