今週のセキュリティ 一口メモ
今週気になった記事の中からいくつかピックアップ。
UTF-7でXSS
UTF-7でXSSを発生させる10の方法 - 葉っぱ日記
ブラウザによる文字コードの取り扱い方に問題があるため、UTF-7を使うとXSSを発生させることができる場合がある。特に文字コードの自動判別を行うIEは攻撃対象になりやすい。それらの方法についてまとめたUTF-7 XSS Cheat Sheetが公開されている。非常に興味深い。
プライバシー保護が最も優れているのはギリシャ、ルーマニア、カナダ、最も悪いのは、マレーシア、ロシア、中国
http://www.privacyinternational.org/article.shtml?cmd%5B347%5D=x-347-559597
世界47ヶ国におけるプライバシー保護の状況を様々な基準で点数付けしたレポートが公開されている。日本は可もなく不可もなくといったところか。
MBR Rootkit
マスターブートレコードに感染するrootkit攻撃が発生 - ITmedia NEWS
MBR Rootkit: A Web Threat? - TrendLabs Security Intelligence Blog
InfoSec Handlers Diary Blog - Master Boot Record rootkit
http://www.symantec.com/enterprise/security_response/weblog/2008/01/from_bootroot_to_trojanmebroot.html
マスターブートレコード(MBR)に感染するルートキットが出回っているらしい。PCI Rootkitや Blue Pillなど最近はハードウェアを攻撃対象にしたマルウェアが流行になっているかも。
クロスサイト・プリンティング
http://www.computerworld.jp/news/sec/93629.html
http://ha.ckers.org/blog/20080108/cross-site-printing/
Jeremiah Grossman: Cross-Site Printing (Printer Spamming)
javascriptを利用してイントラネットを攻撃するというのは最近のWebアプリケーション攻撃の一つのトレンドだが、今度はプリンタへの攻撃だそうだ。もはやなんでもアリ。