Decoding the CVE-2023-39296 Vulnerability: A Technical and PoC Analysis
2024/01/06 SecurityOnline — QNAP QTS/QuTS hero における深刻な脆弱性 CVE-2023-39296 について、先日にパッチが適用されたが、それに関する技術的詳細と、PoC (Proof-of-concept) エクスプロイト・コードも公開されている。この脆弱性 CVE-2023-39296 (CVSS:7.5) は、プロトタイプ汚染の脆弱性と分類されており、QNAP OS の特定のバージョンに影響をおよぼすものだ。
Continue reading “QNAP QTS/QuTS hero の脆弱性 CVE-2023-39296:PoC エクスプロイトが公開”Google: Malware abusing API is standard token theft, not an API issue
2024/01/06 BleepingComputer — Google は、先日に発見されたマルウェアの報告を軽視している。このマルウェアは、Google Chrome の文書化されていない API を悪用して、以前に盗まれた認証クッキーの有効期限が切れた際に新しい認証クッキーを生成するものだ。2023年11月下旬に、BleepingComputer は、攻撃で盗まれた期限切れの Google 認証クッキーを復元する2つの情報窃盗マルウェア・オペレーション Lumma/Rhadamanthys について報告をしている。これらのクッキーは、感染したユーザーの Google アカウントへの不正アクセスのために、脅威アクターに悪用される可能性がある。
Continue reading “Google API を介したトークン窃取:OAuth MultiLogin 問題は軽視されている?”X users fed up with constant stream of malicious crypto ads
2024/01/06 bleepingComputer — X の広告を悪用するサイバー犯罪者たちが、暗号ドレイナーや偽エアドロップなどの詐欺につながる Web サイトを宣伝している。X (旧 Twitter) は、他の広告プラットフォームと同様に、ユーザーのアクティビティに基づき、ユーザーの関心に一致した広告を表示させると謳っている。
Continue reading “急増する暗号通貨の詐欺広告:X 広告が悪用されている”
IoT OT Security News 