パスワードを忘れた? アカウント作成
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30
2018年6月3日のIT記事一覧(全2件)
13612740 story
インターネット

CSSの機能を使用してクロスオリジンのiframeから表示内容を読み取るサイドチャネル攻撃 11

ストーリー by headless
攻撃 部門より
CSSの「mix-blend-mode」プロパティを使い、クロスオリジンのiframeに表示されている内容を読み取ることが可能なサイドチャネル攻撃について、発見者の一人が解説している(Evonideの記事Ars Technicaの記事SlashGearの記事)。

Webページがクロスオリジンのiframe内のDOM要素にアクセスすることはデフォルトで禁じられているが、iframeに別の要素をオーバーレイし、mix-blend-modeプロパティを使用すると色のブレンドが可能となる。「multiply」のように単純なブレンドモードでは処理時間に違いはみられないが、カラーチャネルを分離せずに処理する「saturation」のようなブレンドモードでは下のレイヤーの色によって処理時間が変動するのだという。

これを利用してピクセル単位でレンダリングを実行させ、処理時間を測定すれば、iframe上のターゲットピクセルの色を識別できる。PoCではFacebookのソーシャルプラグインを埋め込んだ攻撃用ページから、Facebookユーザーの名前やプロフィール写真を読み取っている。ただし、1回のレンダリングでは処理時間の違いを測定できないため、多数のsaturationレイヤーを重ねている。また、別のブレンドモードを指定したレイヤーをiframeとsaturationレイヤーの間に入れることで、特定のカラーチャネルを抽出するなどの処理を事前に行っている。

この脆弱性はGoogle ChromeとMozilla Firefoxで確認され、昨年12月リリースのChrome 63と今年5月リリースのFirefox 60でぞれぞれ修正されている。脆弱性は昨年3月に別の発見者がChromiumメーリングリストで報告していたが、Mozillaには手違いで11月まで報告されていなかったため、修正が遅れたとのこと。なお、Safariは発見時点で既に対策済みだったようで、Microsoft Edge/Internet Explorerではmix-blend-mode自体が実装されていない。
13612864 story
Android

Android公式サイトから一時「タブレット」セクションが消える 97

ストーリー by headless
復活 部門より
GoogleのAndroid公式サイト「www.android.com」から「タブレット」セクションが一時削除されていた(Android Policeの記事Hiroshi Lockheimer氏のツイート)。

GoogleのHiroshi Lockheimer氏によると、サイト更新の際のバグで削除されてしまったとのことで、現在は復活している。ただし、サイトの内容は削除前とほぼ同じで、米国版の「Tablets」ページにはNvidia Shield Tablet K1/Samsung Galaxy Tab S2 8.0/Sony Xperia Z4 Tabletと古い機種のみがラインアップされている。日本版は米国版よりも多くの機種がラインアップされているが、大半が販売を終了した機種のようだ。

GoogleはPixel C以来Androidタブレットを発売しておらず、Android Pベータプログラム対応機種にもタブレット端末は含まれていない。Android Policeは公式サイトからのタブレットセクション削除について、GoogleがAndroidタブレットへの興味を失ったことを示すものだと述べていた。スラドの皆さんはどう思われるだろうか。
typodupeerror

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

読み込み中...