Despite Pen Testing Efforts, Stubborn Vulnerabilities Persist
2021/07/14 SecurityBoulevard — エンタープライズ・ソフトウェアの脆弱性対策に携わるセキュリティ専門家にとって、同じ種類の脆弱性に対してパッチや緩和策を繰り返すのは、まるで「聖濁節」のように思えることがある。クラウドソースのペネトレーション・テストを提供する、Cobalt が発表したレポートによると、この既視感は決して気のせいではないようだ。Cobalt のデータベースによると、ソフトウェアの脆弱性の中で最も一般的な5つのカテゴリーは、この3年間に渡ってほぼ同じであることが分かった。
Continue reading “ペンテストを頑張っても同じ脆弱性が再発するのは何故だろう?”Amazon starts rolling out Ring end-to-end encryption globally
2021/07/14 BleepingComputer — Amazon 傘下の Ring は、ビデオの End-to-End Encryption (E2EE) のグローバルを、限定したデバイスを持つ顧客に向けて開始すると発表した。それに先立ち、2021年1月13日に Ring は、米国の顧客向けに E2EE テクニカル・プレビューをリリースすると発表している。Ring の説明によると「本日、テクニカル・プレビューから移行し、この機能の提供をグローバルに拡大できることを、喜んで発表する。Ring はデフォルトで、顧客の動画がクラウドにアップロードされた時(転送時)と、Ring のサーバーに保存された時(静止時)に、動画を暗号化している。
Continue reading “Amazon の Ring がビデオの End-to-End 暗号化を開始”China-linked hacking group DEV-0322 behind Solarwinds Serv-U zero-day attacks
2021/07/14 SecurityAffairs — Microsoft によると、最近の SolarWinds ファイル転送サーバーに対する攻撃は、DEV-0322 として追跡されている、中国のハッキング・グループにより行われているようだ。今週、SolarWinds は、Serv-U 製品に存在する、ゼロデイのリモートコード実行の脆弱性 CVE-2021-35211 に対処した。この問題は、Serv-U Managed File Transfer Server および Serv-U Secured FTP が対象となる。
Continue reading “SolarWinds Serv-U ゼロデイ攻撃には中国の DEV-0322 ハッキング・グループが関与?”Google: Russian SVR hackers targeted LinkedIn users with Safari zero-day
2021.07/14 BleepingComputer — Google Threat Analysis Group (TAG) と Google Project Zero の研究者たちは、Google Chrome / Internet Explorer / Apple Safari で使用されている WebKit の、4つのゼロデイ脆弱性を明らかにした。今年の初めに Google の研究者により発見された4つのゼロデイ・エクスプロイトは、悪用の実例があるものになった。
・ Chrome の CVE-2021-21166 / CVE-2021-30551
・ Internet Explorer の CVE-2021-33742
・ WebKit (Safari) の CVE-2021-1879
IoT OT Security News 