Day: April 10, 2024

Intel CPU のメモリ・リーク:Spectre v2 という攻撃手法を研究者たちが公表

Researchers Resurrect Spectre v2 Attack Against Intel CPUs

2024/04/10 SecurityWeek — Intel プロセッサーを標的とする Spectre v2 攻撃の新たなバリエーションについて、オランダの VU アムステルダム大学の VUSec Cybersecurity Group が発表した。2018年に Spectre と Meltdown による CPU 攻撃が公表された際、最も危険と名指しされた亜種は、Spectre v2 または Spectre BTI (Branch Target Injection) だった。複数の CPU メーカーが、ハードウェア/ソフトウェアによる緩和策を開発してきたが、それらの攻撃を行う新たな方法を、研究者たちは発見し続けている。

Continue reading “Intel CPU のメモリ・リーク:Spectre v2 という攻撃手法を研究者たちが公表”

Apache Zeppelin の脆弱性 CVE-2024-31861:コード・インジェクション攻撃が生じる恐れ

CVE-2024-31861: Apache Zeppelin Vulnerability Opens Door to Code Injection Attacks

2024/04/10 SecurityOnline — 人気のデータ分析ノートブック・ツールである Apache Zeppelin に、新たなセキュリティ脆弱性 CVE-2024-31861 (重要度:Important) が発見された。この脆弱性の悪用に成功した攻撃者は、Zeppelin のシェル・インタプリタを通じて悪意のコードを注入し、機密システムの完全性とセキュリティに影響を与える可能性がある。

Continue reading “Apache Zeppelin の脆弱性 CVE-2024-31861:コード・インジェクション攻撃が生じる恐れ”

Node.js の脆弱性 CVE-2024-27980 が FIX:ただちにアップデートを!

CVE-2024-27980: Critical Node.js Update Patches Windows Command Injection Flaw

2024/04/10 SecurityOnline — Node.js プロジェクトがリリースしたのは、Windows システムにおける深刻なコマンド・インジェクションの脆弱性 CVE-2024-27980 に対処する、緊急のセキュリティ・アップデートである。この脆弱性の悪用に成功した攻撃者は、シェル・オプションが無効化されている場合においても、影響を受けるマシン上での悪意のコード実行が可能になる。

Continue reading “Node.js の脆弱性 CVE-2024-27980 が FIX:ただちにアップデートを!”

Fortinet の脆弱性 CVE-2023-45590 などが FIX:ただちにパッチを!

Fortinet Fixed A Critical Remote Code Execution Bug In Forticlientlinux

2024/04/10 SecurityAffairs — Fortinet FortiClient Linux に存在する、12件の脆弱性が修正された。その中には、深刻なリモートコード実行 (RCE) の脆弱性 CVE-2023-45590 (CVSS:9.4) も含まれる。この脆弱性は、FortiClientLinux の不適切なコード生成の制御に起因する、コードインジェクションの問題を生み出す。認証されていない攻撃者が FortiClient Linux ユーザーを騙して、特別に細工された Web サイトにアクセスさせることで、この欠陥がトリガーされ、任意のコード実行へとつながっていく。

Continue reading “Fortinet の脆弱性 CVE-2023-45590 などが FIX:ただちにパッチを!”

GitLab の4件の脆弱性が FIX:XSS および Dos が発生する可能性

GitLab Races to Fix Critical XSS Flaws – Don’t Delay Your Upgrade

2024/04/10 SecurityOnline — コードコラボレーションとプロジェクト管理のための DevOps プラットフォームとして広く利用されている GitLab が、重要なセキュリティ・アップデートとして 16.10.2/16.9.4/16.8.6 をリリースした。このリリースで対処された複数の欠陥のうち、最も深刻なものは、蓄積型クロスサイトスクリプティング (XSS) の脆弱性である。これらの脆弱性の悪用に成功した攻撃者は、ユーザー・セッションの乗っ取りや、機密データの窃取を可能にし、さらには、標的システム内での攻撃のための足場を構築する可能性もあるという。

Continue reading “GitLab の4件の脆弱性が FIX:XSS および Dos が発生する可能性”

WordPress Core に脆弱性:バージョン 6.5.2 への移行を急いでほしい

WordPress Releases Urgent Security Patch – Update Immediately!

2024/04/10 SecurityOnline — 人気の CMS (Content Management System) である WordPress がリリースしたのは、クロス・サイト・スクリプティング (XSS) などの脆弱性に対処する、重要なセキュリティ・アップデートである。あらたにリリースされた WordPress 6.5.2 は、このソフトウェアを利用している、すべてのウェブサイト所有者にとって不可欠なものだ。

Continue reading “WordPress Core に脆弱性:バージョン 6.5.2 への移行を急いでほしい”