ほとんどの消費者が様々なオンライン口座にもオンラインバンキングのパスワードを再利用しているという事実 ← この脆弱性、たぶん、いつまで経っても直らないと思う  

Apache TomcatのAJPコネクタに認証回避と情報漏えいの脆弱性 (CVE-2011-3190) // AJP から転送されてきたリクエストの本体を Tomcat が誤って新しいリクエストとして受理することがある(認証の回避に利用され得る)  

問題となっているのは「Range header DoS」と呼ばれる脆弱性 / 多数のRange指定を含むリクエストを送ることで、ターゲットシステムのメモリとCPUを消費させる / 該当するApacheは1.3系および2系の全バージョン  

crypt 関数の脆弱性を修正した 5.3.8 バージョンがリリースされた / ユーザーにとっての教訓は、リスクを回避したいなら、できれば新バージョンのリリースから1日(あるいは2日)は待ったほうがいいということだ  

CVE-2011-2505脆弱性でセッション変数を汚染して、CVE-2011-2506脆弱性を悪用してPHPスクリプトを書き出すというのが攻撃の流れ / phpMyAdminの設計がそもそも危なっかしい  

17の脆弱性のうち、6つがセキュリティ ソフトウェアの脆弱性 / 政府のセキュリティを確保するためのソフトウェアに脆弱性があり、いまだパッチが適用されていない  

SAP アプリケーションのセキュリティ脆弱性の根本原因は『Java』の使用にある / 「クロスサイト スクリプティング (XSS) の脆弱性は数え切れないほど存在  

「ユーザーが正規の銀行用アプリケーションを使用しているときに、害がないように見えて実は偽のログインページを表示するといったアプリケーションを開発できるという」  

携帯電話やタブレットの時計を手動で進めると、ゲームが実際よりも先に進む / 携帯電話のWi-Fi接続を切断すると、こうした操作を阻止するのが難しくなり、時計を少しずつ進めて調整した場合も同様だった → 某F?  

X10 Black Out / X10 Sniffer / こうした脆弱性は、X10プロトコルが暗号化されていないことから生じている  

phpMyAdmin上の$_SESSION配列にPHPコードを埋め込むことが可能 / phpMyAdmin バージョン3.3.10.2未満, バージョン3.4.3.1未満 を使っている場合はアップデートすること  

「必ずミスはある、パーフェクトはあり得ないと考え、事故を前提に、仮に脆弱性があってもそれ以上の悪用は困難になるような準備を整えるべき」  

「一太郎」の未知の脆弱性を使用した標的型攻撃 / すでに修正プログラムが配布されている → 修正プログラムがすでにあるのなら「未知の脆弱性」ではないのでは?  

大量メッシュ化インジェクション / 攻撃者はコードを仕掛けるために SQL が持つある種の脆弱性を悪用 / 攻撃者は Web サイトの制御を完全に握る / 感染サイト同士をJavaScript で結ぶ  

HP による買収後、Fortify がどうなるのか、ずっと気になってた // HP Fortify 360 Security Scope: Fortify (静的解析) と Web Inspect (動的解析) を連携させるコンポーネント  

WebGLの仕様にかかる問題 / 「おそらく最適解は、これらを考慮に入れた上で、3Dグラフィックスの仕様をゼロから作り上げることでしょう」 / DoS、クロスドメイン画像  

脆弱性発見者を呼んで○○○するメソッド  

Microsoftは、他社製ソフトウェアに影響するセキュリティ問題を自社従業員が発見したり、外部の研究者がMicrosoft Security Response Centerに問題を報告した場合に、同社が脆弱性を調整する役割を担うと発表  

Android向けのSkypeに、ユーザー情報の流出につながる脆弱性 / この問題を突くコンセプト実証アプリケーションを作成、実際に情報が取れることを実証済み