Google pushes emergency Chrome update to fix 8th zero-day in 2022
2022/11/25 BleepingComputer — Google は、Chrome デスクトップ版のセキュリティ・アップデートを緊急リリースし、今年に入ってから攻撃で悪用された、8つ目のゼロデイ脆弱性に対応した。Google Threat Analysis Group の Clement Lecigne が、2022年11月22日に発見した、この深刻度の高い脆弱性 CVE-2022-4135 は、GPU におけるヒープバッファ・オーバーフローに起因するものだ。Google は、「CVE-2022-4135 のエクスプロイトが、野放し状態で悪用されてことを認識している」と、アップデート通知に記している。
Continue reading “Google Chrome のゼロデイ CVE-2022-4135 が FIX:野放し状態での悪用を確認”Remote Code Execution Vulnerability Found in Windows Internet Key Exchange
2022/11/25 InfoSecurity — Windows Internet Key Exchange (IKE) Protocol Extensions を標的とした一連のエクスプロイトが、野放し状態で悪用されていることが発見された。セキュリティ企業の Cyfirma が InfoSecurity と共有した最新のアドバイザリによると、発見された脆弱性は、およそ 1000 のシステムをターゲットに悪用されている可能性があるようだ。また、同社が観測した攻撃は、中国語話者の脅威アクターによる、“bleed you” と訳されるキャンペーンの一部である可能性があるという。
Continue reading “Windows Server IKE の深刻な RCE 脆弱性 CVE-2022-34721:中国からの攻撃を観測”Dell, HP, and Lenovo Devices Found Using Outdated OpenSSL Versions
2022/11/25 TheHackerNews — Dell/HP/Lenovo のデバイスのファームウェア・イメージを分析した結果、古いバージョンの OpenSSL 暗号ライブラリの存在が明らかになり、サプライチェーン・リスクが浮き彫りになっている。EFI Development Kit (EDK) は、OS とデバイスのハードウェアに組み込まれたファームウェア間のインターフェースとして機能する、UEFI (Unified Extensible Firmware Interface) のオープンソース実装である。EDK II のファームウェア開発環境には、CryptoPkg という独自の暗号パッケージがあり、OpenSSL プロジェクトのサービスを利用できる。
Continue reading “Dell/HP/Lenovo デバイスの問題:UEFI 実装における古い OpenSSL の使用が判明”
IoT OT Security News 