[B! security] yamuchagoldのブックマーク

AMD製CPUにデータを盗み取られる脆弱性「Zenbleed」が存在することが判明、仮想マシンやコンテナも関係なくデータ窃取可能

AMD製CPUに攻撃者がデータを読み取れる脆弱(ぜいじゃく)性「Zenbleed(CVE-2023-20593)」が存在することが明らかになりました。影響を受けるCPUは「Zen2アーキテクチャ」を採用したモデルで、攻撃者は1コア当たり毎秒30kbのデータを取得可能とされています。 Zenbleed https://lock.cmpxchg8b.com/zenbleed.html CVE - CVE-2023-20593 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-20593 Cross-Process Information Leak https://www.amd.com/en/resources/product-security/bulletin/amd-sb-7008.html Zenbleedを発見したのはGoo

yamuchagold 2023/07/25

詳しくはわからないけど、なんかやばそうね。BIOS（UEFI）の更新とかいるやつかな。

リンク

リクナビ運営元に「Pマーク」取り消し措置　“内定辞退予測”を問題視

就職情報サイト「リクナビ」を運営するリクルートキャリアは11月14日、学生の内定辞退率を予測して他社に販売するサービス「リクナビDMPフォロー」（8月4日付で廃止）に個人情報の取り扱い不備があったとして、日本情報経済社会推進協会（JIPDEC）からプライバシーマーク（Pマーク）を取り消す措置を受けたと発表した。リクナビDMPフォローは、リクルートキャリアが2018年3月に始めたサービス。（1）顧客企業から応募者の個人情報（19年2月まではCookie情報、3月以降は氏名など）を提供してもらう、（2）リクナビの持つ情報と照合し、利用ブラウザや個人を特定する、（3）応募者と過去のリクナビユーザーの行動履歴を照合し、内定辞退率のスコアを算出する——という仕組みだった。リクルートキャリアはスコアを34社に納品したが、リクナビのプライバシーポリシーに不備があり、一部の学生から事前に同意を得ていな

yamuchagold 2019/11/14

取り消されること、あるんだ！

リンク

【コーポレート】内閣府とのマイナポータル連携に関する協定締結のお知らせ | ニュース | LINE株式会社

LINE株式会社︵本社‥東京都新宿区、代表取締役社長‥出澤剛︶は、内閣府が運営するマイナポータルとコミュニケーションアプリ﹁LINE﹂を連携させることに関して合意し、協定を締結しましたので、お知らせいたします。マイナポータルとは、マイナンバーカードを用いて自分のアカウントを作成することで、オンライン上で行政機関が持つ自分の情報を確認したり、行政機関などからのお知らせを受け取ったり、全国の行政サービスを検索し、電子申請することが可能となる、内閣府が運営するウェブサービスです。マイナポータル URL: https://myna.go.jp/ 今回の連携により、今後開設を予定しているマイナポータルのLINE公式アカウント﹁マイナちゃん﹂との簡単なメッセージのやり取りを通じて、マイナンバーや氏名などの個人情報を用いることなく、全国の行政サービスが横断的に検索できるようになります。ユーザーの希

yamuchagold 2017/06/15

国民の情報が韓国企業に握られるとは。

リンク

NHK NEWS WEB 広告ソフトが脅かすセキュリティー

購入したばかりのパソコンを使うと、クレジットカードなどの情報がインターネットから盗み見られてしまう。去年販売されたパソコンの一部に、重大なセキュリティー欠陥があるソフトが最初から入っていたことがわかり、大きな批判を招いています。問題から見えてきたのは、ネットユーザーを分析して利益を上げようという技術に潜む危険性です。報道局の三輪誠司解説委員が解説します。パソコンに入っていたソフトの正体は問題のパソコンは、中国のパソコンメーカー﹁レノボ・グループ﹂が去年の9月から12月にかけて世界中で販売した40余りの機種です。レノボが2月20日明らかにしたところによりますと、これらのパソコンには﹁Ｓｕｐｅｒｆｉｓｈ︵スーパーフィッシュ︶﹂と呼ばれるソフトが出荷状態から入れられていました。Ｓｕｐｅｒｆｉｓｈは利用者がショッピングサイトなどで商品を検索したり表示したりすると、その情報を別の企業の

yamuchagold 2015/03/01

欠陥扱い。だけど、本当は欠陥というよりは意図的なので余計たちが悪いよね。

リンク

細かすぎて伝わらないSSL/TLS

ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog﹁細かいと言うより長いよね﹂はじめにこんにちは。ATS の脆弱性を発見した小柴さんや ATS に HTTP/2 の実装を行っている大久保さんと同じチームの一年目、匿名社員Mさんからいじられている新人です。今回ありがたい事に、こういったすごい方々を含めモヒカン諸先輩方より﹁何か書かないの？﹂﹁いつ書くの？﹂という数々のプレッシャーお言葉をいただきました。というわけで、SSL/TLS の Session 再開機能に関して書いていこうかと思います。 SSL/TLS は機密性、完全性そして真正性に対して安全な通信を行うための仕組みです。しかし、この仕組みは暗号技術を多用し特に接続において複雑なプロトコルを用い、Client, Se

yamuchagold 2015/01/20

リンク

mixi脆弱性報告制度：評価対象外になったもの

WEB系の情報セキュリティ関連の学習メモです。メモなので他情報のポインタだけ、とかの卑怯な記事もあります。 ※2020.9 注記:本ブログの解説記事は内容が古くなっております。OWASP ZAPなどのソフトウェアの解説は現行バージョンの仕様から乖離している可能性があります。 mixi脆弱性報告制度で報告した脆弱性のうち、報告したけど評価対象外になったものをまとめます。報告したけど評価対象外だった脆弱性 1.ショッパーズアイコードインジェクション報告日‥2014年3月31日評価結果連絡‥2014年4月8日弊社において既知の脆弱性であると判断、よって脆弱性報告制度の対象外 ※追記‥この脆弱性は現在は対応済みです。mixiさんに問い合わせて脆弱性対応済みであることを確認してから記事を公開しました。 ※2014.4.16 23:00 本記事の反響がやたら大きくなってしまったのでコメントを

yamuchagold 2014/04/15

報告したら報奨金！なのにくれなかった、てことね。酷いな。

リンク

平成26年4月5日（土）読売新聞朝刊掲載記事について重要なお知らせです。｜顔認証万引き防止システム【LYKAON（リカオン）】/防犯対策システム特許出願

平成26年4月5日（土）読売新聞朝刊掲載記事について重要なお知らせです。　顔認証万引き防止システム【LYKAON（リカオン）】/防犯対策システム特許出願 2014年04月06日当社製品リカオンにおける製品運用について、読売新聞社が発表した「客の顔情報　無断共有」に対して当社を指しているのであれば事実ではない誤報であると主張致します。平成26年4月5日（土）読売新聞朝刊「客の顔情報　無断共有」の記事内容が、当社及び当社製品を指しているのであれば読売新聞社某記者の誤報であり事実無根である真実ではない虚偽の内容が掲載されておりました。この度、読売新聞社某記者が編集した誤報記事により、大変多くの皆様に誤解を生みだすような事象となり深くお詫び申し上げます。「データベースを第三者に無断共有」これに対し、当社製品であればリカオンシェアとして他店間で共有するデータベースの対象者は万引き犯常習者とし

yamuchagold 2014/04/07

これも高木浩光案件かなあ。

security

リンク

@PAGESご利用ガイド - 13/08/29 【お詫び】ユーザ情報流出に関するお知らせ【第2報】

いつも@pagesをご利用頂きありがとうございます。昨日8月28日発表いたしましたとおり、ユーザ用の管理情報が流出したことが確認されております。このような事態が発生し、ユーザの皆様に多大なご迷惑をおかけすることになりましたことを、深くお詫び申し上げます。現在、弊社では、ユーザの皆様の情報の流出に関し、情報流出の原因や経路などについて、全力を挙げて全容解明に取り組んでおりますが、現時点までに判明いたしました内容およびこれまでの対応施策などを報告させて頂きます。 ○流出したユーザデータ情報 2013年2月27日午後2時54分時点で@PAGESに登録されているすべてのユーザについての・ユーザ名・パスワード・メールアドレス・登録日時・登録時のホスト名・登録時のIPアドレス・登録時のユーザーエージェント・その他のユーザ管理の情報 ※パスワードは平文のまま流出いたしてお

yamuchagold 2013/08/30

情報流出したら、普通は新規ユーザー登録を止めそうなものだが、止めないのね。

リンク

機密にGmail使うなって言ってんだろ - やまもといちろうBLOG（ブログ）

このスノーデン問題で少しは分かったかと思ってたのに、なんでいまだに重要機密のやり取りにgmail使ってんだよ…。ネット情強﹁無料のグーグルサービスを賢く利用する(キリッ﹂ ⇒ 中央官庁の内部情報が外部にダダ漏れ http://alfalfalfa.com/archives/6658276.html 便利なのは分かるけど、内容が筒抜けに決まってんだろ、アメリカ法人のサービスなんだから。あと、平気でSkype使って連絡取ってきたり、適切な暗号化処置もせずにdropbox使ったり、facebookメッセージでチャットして添付ファイル送んの、ほんとやめてくれよな。今回バレたのgoogle groupみたいだけど、基本的にgoogleに限らずその手のサービスは全部情報漏れると思って使わないと駄目だと思うよ。分かってると思うんだけどなあ…　何だろうな。

yamuchagold 2013/07/10

PGPやGPGがもっと普及すれば良いと思うんだ。

リンク

公衆無線LANのConnectFree、利用するとTwitter IDとFacebookをMACアドレスと紐づけられ、いつどこでどのサイトを閲覧したか収集されるらしい - Togetter

概略サービスを実施するにあたり、以下の利用者情報を取得していた MACアドレス FacebookアカウントID・Twitter ID 端末のユーザエージェント情報アクセス期間閲覧しているＵＲＬこれらについて提携企業様に対して説明していなかった他に以下の実施もしていた Google Analytics amazon アフィリエイトプログラムただしamazonアフィは特定の１店舗のみにて試験的に実施したもので、買い物に関する情報等は一切取得していない Google Analyticsの利用の中止（平成23年12月5日実施） Twitter ID、FACEBOOKアカウントIDの収得の中止（平成23年12月5日実施） Amazon アフィリエイトプログラムのテスト運用の中止（平成23年12月5日実施） -自動的に保存されていたMACアドレス等のログの削除（平成23年12月5日実施）

yamuchagold 2011/12/05

高木浩光氏の分析パネェ。何てことを、新幹線の無線LANで思った。

security

リンク

はてなブックマーク

タグ

関連タグで絞り込む (15)

securityに関するyamuchagoldのブックマーク (10)

お知らせ

今週のはてなブックマーク数ランキング（2024年7月第3週）

今週のはてなブックマーク数ランキング（2024年7月第2週）

はてなブックマーク透明性レポート（2024年 2月-2024年4月）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス