Browse by Tags

All Tags » SQL Injection   (RSS)
2009年7月のセキュリティ情報
小野寺です 2009年7月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 6 件 (緊急 3件, 重要 3件)となります。 合わせて、セキュリティ アドバイザリを 2件を更新しています。 セキュリティ情報 (新規): 概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。 http://www.microsoft.com/japan/technet/security/bulletin/ms09-jul.mspx 毎月のリリースに合わせて提供している、ワンポイントセキュリティ情報は、以下のサイトと、このBlogでの公開を予定しています。 Read More...
Posted 15 July 09 01:56 by JSECTEAM | 0 Comments   
Filed under , , , , , , , , , , , , , , , ,
2009年6月のセキュリティ情報
小野寺です 2009年6月のセキュリティ情報は、事前通知からの変更はなく予定通り、計 10 件 (緊急 6件, 重要 3件, 警告 1件)となります。 また、合わせて、MS09-017の更新、セキュリティ アドバイザリを 2件公開し、2件を更新しています。 セキュリティ情報 (新規): 概要情報、展開に関する情報、および脆弱性悪用指標(Exploitability Index)を、以下のサイトにまとめています。 http://www.microsoft.com/japan/technet/security/bulletin/ms09-jun.mspx Read More...
Posted 09 June 09 10:09 by JSECTEAM | 3 Comments   
Filed under , , , , , , , , , , , , , , , ,
Internet Explorerのセキュリティ更新プログラム提供開始
小野寺です。 先日お伝えしたとおり、本日 Internet Explorer の脆弱性に対処するセキュリティ更新プログラムの提供を開始しました。 Microsoft Update または 自動更新を通じて、提供中のセキュリティ更新を全て適用する事を強く推奨します。 http://update.microsoft.com/microsoftupdate/ 今回の脆弱性と、セキュリティ更新プログラムに関する詳細は、以下のセキュリティ情報を見てください。 MS08-078: Internet Explorer Read More...
Posted 18 December 08 06:10 by JSECTEAM | 2 Comments   
Filed under , , , , , , ,
Internet Explorerの更新の事前通知
小野寺です。 先日から、 セキュリティ アドバイザリ 961051 や、 ブログ でもお伝えしているとおり、Internet Explorerの脆弱性の悪用が確認されています。 これに対応するために、12/18に本脆弱性に対応するセキュリティ更新プログラムを公開します。12月の月例の公開では、今年最後と言いましたが、本セキュリティ情報の公開は定例外で行います。 通常の事前通知では、3営業日前のお知らせになりますが、今回の定例外となるため直前の連絡となっております。 マイクロソフト セキュリティ情報の事前通知 Read More...
Posted 17 December 08 09:25 by JSECTEAM | 0 Comments   
Filed under , , , , , , ,
IIS & ASP 向け検査・対策ツールを公開
小野寺です。 ニュースとしては、比較的下火になっているかもしれない、SQL インジェクションの対策が済んでいないサイトが、まだまだ、残っています。 しかし、実際に対策を進めてみると「検査方法が分からない」「開発元がもうすでに・・・」「色々有ってコードが変更できない」といった様々なフィードバックというか悩みがでてきます。 現在のSQL インジェクションの問題の怖いところは、侵害されたサイトが、そのサイトの利用者にも被害を伝播させるところです。そして利用者側で自衛するのは大変難しいと言えます。現在発見されている多くのパターンは、セキュリティ更新を適用しておけば被害を受ける可能性は低くなりますが、ゼロではありません。 Read More...
Posted 25 June 08 11:43 by JSECTEAM | 1 Comments   
Filed under , , ,
セキュリティ デベロップメント “ライフサイクル”:裏側と表側
小野寺です。 セキュリティ デベロップメント (SDL: Security Development Lifecycle) って本当にやってるの? ということを、聞かれることがあるが、実は結構真面目にやっていたりします。 この辺りの現場の声を Web Application Security Forum の2日目 ( 7/5 ) で話すことになりました。 といっても、話すのは私ではなく、ソニーの松並氏 とマイクロソフト最高技術責任者の加治佐が、開発の現場経験から話していきます。きっと、生々しい話になるのだろうと思っています。 Read More...
Posted 19 June 08 01:41 by JSECTEAM | 1 Comments   
Filed under , , , , , ,
最近のWeb改ざんとかSQLインジェクションとか
小野寺です。 3月頃からSQLインジェクションが原因となるWebサイトの改ざんが報告されているのは皆さまご存じの通りです。 4月に入って被害がさらに広がっているように感じています。まず、SQLインジェクションに対して殆ど認知されていないですし、その対策方法も知られていないのではないでしょうか。各方面ですでに啓発告知がなされてはいますが、その様な告知を受けている人は、ある程度セキュリティに興味があるか詳しい人である可能性が高く既に対策済みという場合が多いのではないかと思っています。 この点は、マイクロソフトも例外ではなく、前々から悩ましく思っています。とはいえ、届くところには伝えなければなりませんので、マイクロソフトからも管理者・開発者を含め我々から直接連絡の取れるお客様に広く注意喚起することにしました。 Read More...
Posted 30 April 08 01:56 by JSECTEAM | 0 Comments   
Filed under , , ,

Search

This Blog

Syndication

Page view tracker