Day: December 23, 2022

Microsoft Azure のクロステナント・アクセスの脆弱性:サイレント・パッチで対応

Microsoft Patches Azure Cross-Tenant Data Access Flaw

2022/12/23 SecurityWeek — Azure Cognitive Search (ACS) のバグによる、クロステナントのネットワーク・バイパス攻撃の可能性について、外部研究者の警告を受けた Microsoft は、重要かつ深刻なセキュリティ欠陥をサイレント修正した。Mnemonic の研究者が報告した脆弱性とは、インターネットから隔離された Azure Cognitive Search インスタンスの、ネットワークと ID の境界全体を効果的に取り除いてしまうものである。その結果として、ネットワーク露出が明示されていないインスタンスを含む、あらゆる場所から ACS インスタンスのデータプレーンに対して、クロステナントでのアクセスが可能になるものだ。

Continue reading “Microsoft Azure のクロステナント・アクセスの脆弱性:サイレント・パッチで対応”

Ghost CMS の深刻な脆弱性 CVE-2022-41654 が FIX:認証バイパスの問題に対応

Ghost CMS vulnerable to critical authentication bypass flaw

2022/12/23 BleepingComputer — Ghost CMS のニュースレター・サブスクリプション・システムに存在する致命的な脆弱性により、外部ユーザーによるニュースレターの作成や、既存のニュースレターへの悪意の JavaScript の注入などが可能になる。このような行為により、通常は無害なサイトから、大規模なフィッシング攻撃が行われる可能性が生じる。さらに、JavaScript を注入することで、XSS 脆弱性を発生させ、標的サイトへの脅威アクターによるフルアクセスを引き起こす可能性がある。

Continue reading “Ghost CMS の深刻な脆弱性 CVE-2022-41654 が FIX:認証バイパスの問題に対応”

2023年の脅威を予測:サイバー戦争から Alexa に指示する Bitcoin 採掘まで

Threat predictions for 2023: From hacktivism to cyberwar

2022/12/23 HelpNetSecurity — 2023年の脅威予測について Trellix は、アジア/ヨーロッパにおける地政学的な動機による攻撃の急増、および、対立する政治的な緊張に起因するハクティビズム、コアとなるソフトウェアのサプライチェーン脆弱性などを予測している。

Continue reading “2023年の脅威を予測:サイバー戦争から Alexa に指示する Bitcoin 採掘まで”

LastPass が認めたデータ侵害:暗号化されたパスワードなどが盗み出されている

LastPass Admits to Severe Data Breach, Encrypted Password Vaults Stolen

2022/12/23 TheHackerNews — 2022年8月に発生した LastPass におけるセキュリティ侵害は、以前に同社が公表したよりも深刻なものだった可能性があるという。木曜日に、人気のパスワード管理サービスである LastPass は、前回の侵入で吸い上げたデータを悪意の行為者が利用し、暗号化されたパスワード保管庫を含む、同社の顧客に属する個人情報の山を入手したことを明らかにした。

Continue reading “LastPass が認めたデータ侵害:暗号化されたパスワードなどが盗み出されている”

Twitter ユーザー情報の大量流出:EU のデータ保護委員会が調査を開始

Massive Twitter data leak investigated by EU privacy watchdog

2022/12/23 BleepingComputer — アイルランド・データ保護委員会 (DPC : Data Protection Commission) は、Twitter における先月の大規模データ流出に関する報道を受け、調査を開始した。このインシデントは、Twitter ユーザー 540万人以上に影響を与えるだけではなく、サイトから収集された公開情報が流出させただけではなく、個人の電話番号/電子メール・アドレスなども流出させている。一連の流出したデータは、Twitter が 2022年1月に修正した API の、脆弱性を悪用して不正に取得されている。

Continue reading “Twitter ユーザー情報の大量流出:EU のデータ保護委員会が調査を開始”

TikTok と ByteDance:ユーザー・データを悪用してジャーナリストを追跡

TikTok’s Parent Company Admits Using the Platform’s Data to Track Journalists

2022/12/23 InfoSecurity — 噂に過ぎなかったことが、事実として確認された。TikTok と ByteDance (中国版 Douyin を所有) の中国の従業員たちが、メディアへのリーク元を特定するために TikTok のデータにアクセスし、Financial Times の記者と、BuzzFeed の元記者を追跡していたことが判明した。それについて、ByteDance の顧問弁護士である Erich Andersen が Agence France Presse (AFP) の取材に対して、2022年12月23日のEメールで認めている。

Continue reading “TikTok と ByteDance:ユーザー・データを悪用してジャーナリストを追跡”