Day: April 4, 2024

YubiKey Manager の脆弱性 CVE-2024-31498 が FIX:管理者権限がブラウザに継承される危険性

YubiKey Manager Flaw (CVE-2024-31498): Patch Now To Prevent Admin Privilege Escalation on Windows

2024/04/04 SecurityOnline — Yubico が公開したのは、GUI ソフトウェア YubiKey Manager に存在する脆弱性に対する、セキュリティ・アドバイザリおよびパッチ (バージョン 1.2.6) である。この脆弱性 CVE-2024-31498 (CVSS:7.7) を、特定の条件下で悪用する攻撃者は、Windowsシステム上で昇格した特権を悪用する可能性を持つ。

Continue reading “YubiKey Manager の脆弱性 CVE-2024-31498 が FIX:管理者権限がブラウザに継承される危険性”

Apache CloudStack の脆弱性 CVE-2024-29008 などが FIX:ただちにパッチを!

Apache CloudStack Releases Critical Security Patches – Update Immediately

2024/04/04 SecurityOnline — Apache Software Foundation が発表したのは、人気のクラウド管理プラットフォーム CloudStack 4.18.1.1/4.19.0.1 によりセキュリティ・リリースである。これらのリリースで対処される、3件の脆弱性を悪用する攻撃者は認証を回避し、トラフィックをリダイレクトし、基盤となるインフラの制御を奪う可能性があるという。

Continue reading “Apache CloudStack の脆弱性 CVE-2024-29008 などが FIX:ただちにパッチを!”

サイバー侵害と一般消費者:自分は安全だと信じる 76% の回答者 – Bitdefender 調査

76% of consumers don’t see themselves as cybercrime targets

2024/04/04 HelpNetSecurity — Bitdefender の調査によると、世界中の消費者の 67% が、AI に起因するセキュリティとプライバシーの問題に懸念を抱いている。AI の機械学習アルゴリズムにおいて個人データが使用され、その量が増加しているため、データの保存/使用/アクセスに関する深刻な懸念が提起されている。最も懸念を抱いているのは、スペインの回答者の 80% であり、イタリアが 49% に留まったのとは対照的である。

Continue reading “サイバー侵害と一般消費者:自分は安全だと信じる 76% の回答者 – Bitdefender 調査”

HTTP/2 で発見された新たな脆弱性:CONTINUATION Flood の仕組みについて解説する

New HTTP/2 Vulnerability Exposes Web Servers to DoS Attacks

2024/04/04 TheHackerNews — HTTP/2 プロトコルの CONTINUATION フレームを悪用することで、サービス拒否 (DoS) 攻撃が可能なことが、新たな研究で判明した。セキュリティ研究者の Bartek Nowotarski により、このテクニックは “HTTP/2 CONTINUATION Flood” というコードネームで呼ばれている。2024年1月25日に彼は、この問題を CERT Coordination Center (CERT/CC) に報告している。

Continue reading “HTTP/2 で発見された新たな脆弱性:CONTINUATION Flood の仕組みについて解説する”

HOYA で発生したサイバー侵害:一部の生産工場と事業部門のサーバがオフラインに

Hoya’s optics production and orders disrupted by cyberattack

2024/04/04 BleepingComputer — 世界最大級の光学製品メーカーである HOYA が発表したのは、3月29日 (土) に発生したシステム障害により、一部の生産工場と事業部門のサーバがオフラインになったことである。同社は、30カ国以上に展開される 160ヶ所の事業所と子会社で 37,000人以上の従業員を擁し、また、世界中に偏在する 43ヶ所の研究所ネットワークを運営している。

Continue reading “HOYA で発生したサイバー侵害:一部の生産工場と事業部門のサーバがオフラインに”

Microsoft Outlook のバグが FIX:2023年12月の Patch Tuesday で取り込まれた問題とは?

Microsoft fixes Outlook security alerts bug caused by December updates

2024/04/04 BleepingComputer — Microsoft が修正した問題は、2023年12月の Outlook Desktop のセキュリティ更新プログラムをインストールした後に、.ICS (Internet Calendaring and Scheduling) カレンダー・ファイルを開くと、Outlook のセキュリティ警告が誤って表示されるというものである。これらの誤った警告の背後にあるのは、2023年12月の Patch Tuesday のセキュリティ更新プログラムである。そのときに修正された、Microsoft Outlook の情報漏洩の脆弱性 CVE-2023-35636 は、悪意を持って細工されたファイルを介して、NTLM ハッシュの窃取に悪用されるというものだ。

Continue reading “Microsoft Outlook のバグが FIX:2023年12月の Patch Tuesday で取り込まれた問題とは?”

Apache HTTP サーバの3つの脆弱性が FIX:ただちにパッチを!

Apache HTTP Server Hit by Triple Vulnerabilities – Users Urged to Update

2024/04/04 SecurityOnline — 広く使用されている Apache HTTP Server に、3つの脆弱性が存在することを、セキュリティ研究者たちが発見した。それらの脆弱性 CVE-2023-38709/CVE-2024-27316/CVE-2024-24795 が開く攻撃のドアから、脅威アクターたちが入り込み、Web サイトのコンテンツ改ざんから、サービス拒否 (DoS) シナリオにいたるまでの、攻撃が仕掛けられる恐れがある。

Continue reading “Apache HTTP サーバの3つの脆弱性が FIX:ただちにパッチを!”