Day: September 11, 2023

Socomec UPS デバイスに脆弱性:CISA がハイジャックの可能性を指摘

Vulnerabilities Allow Hackers to Hijack, Disrupt Socomec UPS Devices

2023/09/11 SecurityWeek — Socomec 製の無停電電源装置 (UPS:uninterruptible power supply) の一部に、デバイスの乗っ取りや破壊に悪用される可能性のある、複数の脆弱性が存在している。Socomec はフランスに拠点を置き、低電圧エネルギー性能に特化した製品を提供する製造会社である。同社が提供するモジュール式 UPS 装置は、世界中の様々な分野の企業で使用されている。

Continue reading “Socomec UPS デバイスに脆弱性:CISA がハイジャックの可能性を指摘”

Windows のプリンタ機能:2025 年からサードパーティ製のプリンタ・ドライバを非公開に

Microsoft will block 3rd-party printer drivers in Windows Update

2023/09/11 BleepingComputer — Microsoft が発表したのは、今後の4年間にわたる、プリンタ・ドライバ戦略の実質的かつ段階的な方向性の転換である。その一環として、Windows Update でのサードパーティ製プリンタ・ドライバの配信停止が決定された。同社は、「Windows 10 21H2 のリリースから、Windows は Microsoft IPP (Internet Printing Protocol) クラス・ドライバを介して、ネットワークと USB インターフェイス上で Mopria 準拠のプリンタ・デバイスのインボックス・サポートを提供するようになる。これにより、印刷機器メーカーは、独自のインストーラー/ドライバ/ユーティリティーなどを提供する必要がなくなる」と述べている。

Continue reading “Windows のプリンタ機能:2025 年からサードパーティ製のプリンタ・ドライバを非公開に”

HijackLoader というマルウェア・ローダー:アンチ回避とインジェクション機能に優れる

New HijackLoader Modular Malware Loader Making Waves in the Cybercrime World

2023/09/11 TheHackerNews — DanaBot/SystemBC/RedLine Stealer などの各種ペイロードを配信する、HijackLoaderと呼ばれる新たなマルウェア・ローダーが、サイバー犯罪者コミュニティで人気を集めている。Zscaler ThreatLabz の研究者である Nikolaos Pantazopoulos は、「HijackLoaderは高度な機能を備えていないが、大半のローダーが備えていないモジュラー・アーキテクチャを用いることで、コード・インジェクションを容易にする」と述べている。

Continue reading “HijackLoader というマルウェア・ローダー:アンチ回避とインジェクション機能に優れる”

Google Chrome のゼロデイ CVE-2023-4863 が FIX:エクスプロイトの存在を確認

Google fixes another Chrome zero-day bug exploited in attacks

2023/09/11 BleepingComputer — Google Chrome 緊急セキュリティ・アップデートを公開された。それにより、今年に入ってから攻撃で悪用された、4番目のゼロデイ脆弱性が修正されている。Google は、CVE-2023-4863 のエクスプロイトが存在することを認識しているという。現時点において、この新バージョンは Stable/Extended stable チャンネルのユーザーに配布されており、今後の数日から数週間かけて、すべてのユーザーに配布されるようだ。

Continue reading “Google Chrome のゼロデイ CVE-2023-4863 が FIX:エクスプロイトの存在を確認”

CISA KEV 警告 23/09/11:Apple のゼロデイ CVE-2023-41064 など

CISA Adds Recently Discovered Apple Zero-Days To Known Exploited Vulnerabilities Catalog

2023/09/11 SecurityAffairs −−− 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、iMessage ゼロクリック攻撃で悪用される脆弱性 BLASTPASS を、KEV (Known Exploited Vulnerabilities Catalog) カタログに追加した。これらのゼロデイ脆弱性 CVE-2023-41064/CVE-2023-41061 は、Image I/O および Wallet フレームワークに存在し、iPhone に NSO Group の Pegasus スパイウェアをインストールするために悪用されていた。

Continue reading “CISA KEV 警告 23/09/11:Apple のゼロデイ CVE-2023-41064 など”

Chrome の Privacy Sandbox がスタート:クッキーの弊害を排除できるのか?

Google Chrome Rolls Out Support for ‘Privacy Sandbox’ to Bid Farewell to Tracking Cookies

2023/09/11 TheHackerNews — Google Chrome における Privacy Sandbox の計画を発表されてから、4カ月が経過し、多数のユーザーへの展開が正式に開始された。Google の VP Privacy Sandbox Initiatives である Anthony Chavez は、「我々は、プライバシーの改善と、情報へのアクセス維持が重要だと考えている。その対象が、ニュースであろうと、ハウツーガイドであろうと、楽しいビデオであろうと、同じことだと信じている。Privacy Sandbox のような、サードパーティ・クッキーに代わるプライバシー保護手段がなければ、ユーザーによる情報へのアクセスを低減し、また、フィンガープリンティングのような侵略が高じる危険性がある」と述べている。

Continue reading “Chrome の Privacy Sandbox がスタート:クッキーの弊害を排除できるのか?”