一報を聞いたときは、そんなことできたんかと思ったけど、そういうツールがあるのね。JPEGとかのコメント欄に、ツールを入れたらコマンドを実行できます、みたいなもんか。ただのバイナリファイルを画像に変化するツールとかもあるし、そういうのホイホイ信用してたら、そうなるわなぁ。 https://misskey.cloud/notes/95bjkftdyl
実際には、GIFに埋め込まれたコマンドを実行する「Stager」と呼ばれる実行ファイルをインストールしなければ、この攻撃を回避できるとされている。しかしながら、ソーシャルエンジニアリングや他のアプリケーションを利用することなく、説得力のある添付ファイルを介してMicrosoft Teamsからインストールされてしまう、と同氏の研究で述べられている。
👉GIF画像にPython仕込む新たな攻撃「GIFShell」に注意、Microsoft Teamsが標的 | TECH+(テックプラス) https://news.mynavi.jp/techplus/article/20220914-2453757/結構アレゲなドメインばかり向いているわね👉ns1.abuse-value-domain.com - DNS Coffee https://dns.coffee/nameservers/NS1.ABUSE-VALUE-DOMAIN.COM
notestockのグループ設定してあるアカウントで、指定したものだけ一覧表示できるページを作りました。表示するものを選べるので、隠しアカウントがある人も安心(?)引っ越し先証明みたいなのにどうぞ。一つも設定していなければ、ページ自体が無効になっています。
https://notestock.osa-p.net/@osapon@mstdn.nere9.help/profile
は表示できるけど
https://notestock.osa-p.net/@osapon@mstdn.jp/profile
は表示されない、みたいな感じです。
#鎌倉殿の13人 L字ではなかった。
どうやって引っかけてあるんだろ。 https://social.mikutter.hachune.net/@akkiesoft/109019019708487481
ActivityPub対応ログ記録サービスを始めました。→https://notestock.osa-p.net/ ぶろるっく https://mastodon.blolook.osa-p.net/ フォローリンク http://followlink.osa-p.net/ ふぁぼるっくなどを作っていました。おすすめユーザーは分散SNSを始める上で、色々な方面への足がかりになりそうな方です。