情報セキュリティの分野における今週の重要な技術ニュースは、Google Project ZeroプロジェクトのセキュリティスペシャリストであるTavis Ormandiによる、Chromeブラウザ用のCisco Webexプラグインの脆弱性に関する研究( ニュース )でした。 Tavisは並外れた脆弱性に特化しています(ところで、Lab製品のいくつかのパッチがリリースされました)が、人気のあるビデオ会議サービスのプラグインの問題は完全に非標準です。
Webex会議は、基本的に、ブラウザーで参加が開始された後にコンピューターで実行される別個のプログラムです。 したがって、ネイティブコードを実行するために、Cisco Webexプラグインはネイティブメッセージングインターフェイスを使用します。 バグの本質は、プラグインに特定の「マジックストリング」を含むURLを渡すと、チェックなしで任意のコードを実行することです。 おそらく、これは機能と呼ばれるべきです。それは明らかに、式を必要とせずに目的のアプリケーションを起動するプロセスを簡素化するために行われました。 その結果、ユーザーは準備済みのWebページ(任意)にアクセスし、オファーの[OK]をクリックしてWeb会議を開始することにより、トロイの木馬を捕まえることができます。
脆弱性はすぐに修正されましたが、いくつかの研究者(Tavis自身を含む)によると、完全ではありません。 Chromeのプラグインの新しいバージョンでは、奇跡的なラインがある場合、URLがhttps://*.webex.com/で始まる場合にのみ、コードを実行する機能が制限されます。 明らかに、これは悪用の可能性を大幅に制限しますが、webex.comのXSS脆弱性はすべて、攻撃用のマジックストリングと組み合わせて使用できます。
一言で言えば、「ああ、ホラー、ホラー」のスタイルでニュースにコメントすることは可能だろう。そして、一般的にはそうだが、興味深い点は、私にとってはシスコの反応時間だ。 考えは、脆弱性に迅速に対応する必要があるということであり、シスコがわずか数日で穴を塞いだという事実は、肯定的に評価することができます。 はい、完全には閉じませんでしたが、修正後にさらに2つのプラグインアップデートがリリースされたという事実から判断して、作業は進行中です。 この場合、研究者は、問題の最終的な解決までデータの公開を待つことができます-野生の問題の操作に関する情報がないため、なおさらです。 しかし、同意しませんでした。 より良い交渉のために、ベンダーと研究者は彼らが決してライバルではないことを理解する必要があります;むしろ、彼らは共通の目的のために働きます。 Twitterには大量の苛性コメントがありますが。
AppleはiOSおよびMac OS Xの脆弱性にパッチを当てています
ニュース
今週初め、AppleはOSおよびプロプライエタリソフトウェアのアップデートパッケージをリリースしました。これには、カーネルの2つの重大な脆弱性(それぞれiOSおよびMac OS X)のパッチが含まれます。 モバイルOSとコンピューターの両方にデータはほとんどありません。無料で提供される特権の昇格のような脆弱性です。 別の脆弱性が発見され、libarchiveモジュールで閉じられました;また、準備されたアーカイブを開くときに任意のコードが実行されることを許可しました。 WebKitコンポーネントのいくつかの重大な脆弱性もクローズされたため、一緒に考えて、できるだけ早く更新するのが理にかなっています。
研究者はTwitterで350,000個のボットを見つけた
ニュース
ダイジェストに「From Life」または「Curiosities」という見出しを追加するときが来たようですが、このニュースは将来のある時点で突然おかしくなくなるかもしれません。 University College Londonの2人の研究者がボットネットを発見しました... OK、ボットネットではなく、Twitter上のボットのコレクションで、数は35万を超えています。 彼らは、これが共通の機能によって結合できるボットの最大のグループであると主張しています。
この研究自体はまだ公開されていませんが、いくつかの興味深い詳細があります。 ボットは力を尽くして本物の人間のふりをします:プロファイルが作成され、ある時点でスターウォーズからの引用を公開し、ジオタグを使用しました。世界地図に配置すると、正方形になります。 すべてのツイートは、Windows Phoneを使用して公開済みとしてマークされますが、これはもちろん疑わしいようです。
すべてのボットは2013年から2か月以内に作成され、それぞれが11個以下のツイートを公開しました。それ以降、どのアカウントもアクティブになりませんでした。 誰かが技術をテストしたか、将来のために軍隊を準備したかは不明です。 興味深いことに、機械学習はボットを識別するのに役立ちました.1400万のアカウントの分析に基づいて、ボットネットは最も頻繁に使用される単語を使用して簡単に計算されました。これは、生きている人や他のボットのものとは非常に異なっていました(上の写真、 Mashableの記事から)。
力が私たちと共にありますように。
他に何が起こった:
先週のWhatsappのバックドア( 以前のダイジェスト )についてのGuardianの記事の議論に続いて、暗号コミュニティは 、パブリケーションの削除、謝罪
暗号作成者の興味深いイニシアチブ:彼らは、あなたが理解していないことについて話す価値がないことを合理的にほのめかし、人気のあるメディアで公開することはほとんどありません。 情報安全な談話を研究者に返すという良い試みはできませんが、不可能です。 複雑なことを簡単な言葉で説明する必要があるように思えます(私は、私自身がこれを常に行っているためです)。 事実から離れるのではなく、事実に固執するか、美しい物語のためにそれらを歪めることをお勧めします-これはプロセスに関与する全員の個人的な決定であることがわかります。
古物
「賢者-1205」
デフォルトで.EXEファイルに感染する非常に危険な非常駐ウイルス。 ファイルの感染中にエラーが発生した場合(たとえば、EXEファイルへの書き込み時の常駐アンチウイルスモニターの反応)、ファイルは破棄されます。 「#Prudents virus。Barcelona 20/8/89#」というテキストが含まれています。
Eugene Kaspersky著の本「MS-DOSのコンピューターウイルス」からの引用。 1992年。 80ページ
免責事項:このコラムは、著者の個人的な意見のみを反映しています。 カスペルスキーの位置と一致する場合もあれば、一致しない場合もあります。 ここは幸運です。