ITmedia】ハッカー集団、米国土安全保障省やシャープへの不正アクセスを公言

英セキュリティ企業Sophosのブログによれば、DHSに対する攻撃では留学希望者向けの「studyinthestates.dhs.gov」に存在する、ディレクトリトラバーサルの脆弱性を悪用された可能性があるという。
NullCrewは、DHS以外にシャープの英国法人や航空管制システム関連メーカーFlight Calibration Servicesのサイトにも不正アクセスし、これらサイトのデータベース情報と称する内容をネットに公開した。

http://www.itmedia.co.jp/enterprise/articles/1301/07/news111.html

ITmedia】グリー、未成年に上限超え課金 733人で計2811万円

GREEは昨年4月26日から、未成年ユーザーの利用金額制限を導入。15歳以下は月間5000円、16～19歳は月間1万円までしか利用できないようにしたが、フィーチャーフォン向け「GREE」で、未成年ユーザーがクレジットカード決済を選んだ場合、利用金額の上限を超えて決済できる障害が、4月26日～9月7日まで起きていたという。

http://www.itmedia.co.jp/news/articles/1301/07/news078.html

Microsoft】2013 年1 月9 日のセキュリティリリース予定(月例)

2013 年 1 月の月例セキュリティ リリースの事前通知を公 開しました。2013 年 1 月 9 日に公開を予定している新規 月例セキュリティ情報は、合計 7 件 (緊急 2 件、重要 5 件 ) です。また、毎月リリース同日に公開している最新のセ キュリティ情報の概要を動画と音声でお伝えするストリー ミングビデオ (Web キャスト) の今月のマイクロソフト ワ ンポイント セキュリティも、当日午後に公開予定です。

http://blogs.technet.com/b/jpsecurity/archive/2013/01/04/3543990.aspx

読売新聞】農水機密、サイバー流出か…ＴＰＰなど２０点

公用パソコンが遠隔操作され、海外のサー バーと通信している痕跡が見つかった。２０１２年４月の日米首脳会談と１１年１１月のアジア太平洋経済協力会議（ＡＰＥＣ）首脳会議の直前に作成された文書が狙われたとみられる。日本の外交方針が筒抜けになっていた可能性が高い。
関係者によると、流出の疑いが生じているのは、１１年１０月から１２年４月に作成された内部文書。

http://www.yomiuri.co.jp/net/news/20130102-OYT8T00219.htm

CNET】トルコの認証局、中間CA証明書を誤発行--グーグルやMS、対応を明らかに

グーグルとマイクロソフトが米国時間1月3日にそ れぞれ明らかにしたところによると、トルコに拠 点を置くある認証局がセキュリティ証明書を 「誤って」発行したことで、さまざまなGoogleサ イトへのなりすましが可能な偽の証明書が作成さ れてしまったという。

http://japan.cnet.com/news/service/35026500/

@IT】Cでポピュラーな脆弱性とバッファオーバーフロー（前編）

これまでに多くのアプリケーションにおいて、攻撃されたり発見されたりしている、しかもいまだになくならないバッファオーバーフロー問題ですが、その仕組みや原理を理解していなければ、具体的な対策も難しいと思います。そこで、この連載では、あらためてこの問題について掘り下げます。
今回のバッファオーバーフロー前編では、バッファオーバーフローの基礎知識と対策の考え方を復習します。次回、バッファオーバーフロー後編では、過去に発見され、修正された脆弱性の実例を紹介します。

http://www.atmarkit.co.jp/ait/articles/1212/26/news006.html

ITpro】KDDIで連日障害発生、年末から年明けにかけLTE通信などが不能に

まず2012年12月31日午前0時から同4時23分 まで、4G LTE対応端末でパケット通信を利用しづらい事態が発生、最大約180万人の利用者に影響が出た。
続いて翌日の2013年1月1日午前0時12分から 同2時29分までの間と、同日午前9時30分ごろから午後8時7分までの間、auスマートパスなど auIDを使った全サービス（au IDの新規登録、設定変更、サービス利用）をはじめ、auかんたん決済、iPadの電子メール設定、SNSサイトにおける年齢確認サービスを利用しづらい状況が続いた。
さらに翌日の1月2日午前0時5分から同1時53分までの間、再び4G LTE対応端末でパケット通信障害が発生、Web閲覧やメール送受信ができなくなった。

http://itpro.nikkeibp.co.jp/article/NEWS/20130103/447501/

IPA】Internet Explorer の脆弱性の回避策について (KB2794220)(CVE-2012-4792)

この脆弱性は、Internet Explorer のメモリ管理の処理に存 在します。攻撃者は、この脆弱性を悪用した攻撃コードを 埋め込んだウェブサイトを作成し、利用者を誘導します。 利用者がInternet Explorer でそのウェブサイトを閲覧し た場合、コンピュータを攻撃者により制御される恐れがあ ります。 現在、修正プログラムは公開されていませんが、回避策が 提供されています。この脆弱性を悪用した攻撃が確認さ れたとの情報があるため、対象となる利用者は、修正プロ グラムの公開までの回避措置として回避策を実施してくだ さい。

http://www.ipa.go.jp/security/ciadr/vul/20130104-ms.html

ITmedia】Microsoft、IE 6～8の脆弱性に対処する「Fixit」ツールをリリース

セキュリティアドバイザリによると、この脆弱性はIEが削除されたり適切に割り当てられていないメモリに存在するオブジェクトにアクセスすることで、任意のリモートコードを実行してしまうというものだ。この問題を攻撃者に悪用されると、細工を施したWebサイトをユーザーが閲覧した場合に、攻撃者が任意のコードを実行できてしまう可能性がある。標的型攻撃の発生も確認されているが、発生状況は「ごくわずか」だという。

http://www.itmedia.co.jp/news/articles/1301/02/news005.html