Acer fixes UEFI bugs that can be used to disable Secure Boot
2022/11/28 BleepingComputer — Acer が修正した深刻度の高い脆弱性は、ローカルの攻撃者が標的とするシステム上で、UEFI Secure Boot が無効にされる可能性を生じ、複数のラップトップ・モデルに影響を与えるものである。Secure Boot 機能とは、TPM (Trusted Platform Module) チップと、UEFI (Unified Extensible Firmware Interface) ファームウェアを搭載したコンピュータにおいて、信頼できない OS ブートローダをブロックし、ルートキットやブートキットといった悪質なコードが、起動プロセス中にロードされないようにするものだ。
Continue reading “Acer Laptop の深刻な脆弱性が FIX: UEFI Secure Boot が回避される可能性”Meta fined €265M for not protecting Facebook users’ data from scrapers
2022/11/28 BleepingComputer — 世界中の数億人のユーザー情報が流出した、2021年の Facebook データ大量流出事件を追求する、アイルランドの DPC (data protection commission) は Meta に対して、€265 million ($275.5 million) の罰金を科した。5億3300万人の Facebook ユーザーのデータが、2021年4月14日にハッカーフォーラムで公開されたことを受けて開始された、Meta による GDPR 違反に関する DPC の調査は、これにより終了した。
Continue reading “Facebook 対 GDPR:$275M の罰金とデータ・スクレイピングへの圧力”Cisco ISE Vulnerabilities Can Be Chained in One-Click Exploit
2022/11/28 SecurityWeek — Cisco の Identity Services Engine (ISE) に存在する、複数の脆弱性の悪用に成功したリモートの攻撃者が、任意のコマンドの注入/既存のセキュリティ保護の迂回/クロスサイト・スクリプティング (XSS) 攻撃などを実行するかもしれない。Cisco ISEは、ID ベース の NAC (network access control) および policy enforcement system であり、管理者に対してエンドポイント・アクセス制御やネットワーク・デバイス管理の機能を提供する。
Continue reading “Cisco ISE の脆弱性 CVE-2022-20964:ワンクリックで悪用の可能性”Researchers Detail AppSync Cross-Tenant Vulnerability in Amazon Web Services
2022/11/28 TheHackerNews — Amazon Web Services (AWS) は、攻撃者にリソースへの不正アクセスを許す可能性のある、AWS AppSync を悪用したクロステナントの脆弱性に対処した。この脆弱性は、権限昇格の一種である Confused Deputy Problem (混乱した代理の問題) に関連するもので、あるアクションを実行する権限を持たないプログラムが、より権限のあるエンティティに、そのアクションを実行するよう強要するものだ。
Continue reading “AWS AppSync の脆弱性が FIX:クロステナントでのリソース・アクセスの問題”
IoT OT Security News 