Day: April 29, 2024

Google Play から排除された 228万件のアプリ:プライバシー侵害との 2023年の戦い

Google Says it Blocked 2.28 Million Apps from Google Play Store

2024/04/29 SecurityWeek — 4月29日 (月) に Google が発表したのは、セキュリティのプロセスを改善したことで、2023年の Google Play アプリ・ストアでは、プライバシーを侵害する 228万件のアプリの公開が阻止されたというトピックだ。悪質な Android アプリや脅威アクターたちとの戦いにおいて、優れたセキュリティ機能/更新されたポリシー/高度な機械学習/アプリケーション審査プロセス/開発者のオンボーディング強化への投資などが効果的だったと、同社は述べている。

Continue reading “Google Play から排除された 228万件のアプリ:プライバシー侵害との 2023年の戦い”

MailCleaner の CVE-2024-3191 などの脆弱性が FIX:RCE 攻撃などにつながる恐れ

MailCleaner Vulnerabilities Allow Remote Code Execution

2024/04/29 SecurityOnline — MailCleaner で発見された複数の深刻な脆弱性に関する情報が、2024年4月29日に Modzero のサイバー・セキュリティ研究チームが公開した、セキュリティ・レポートにより明らかにされている。MailCleaner とは、スパム/ウイルスなどの悪意のコンテンツから保護するために設計された、広範に使用されているEメール・フィルタリング・アプライアンスのことだ。新たに発見された脆弱性は、認証されていない攻撃者が任意のコマンドを実行することで、MailCleaner により処理されるEメールの、機密性/完全性が侵害される可能性を生じるものだ。

Continue reading “MailCleaner の CVE-2024-3191 などの脆弱性が FIX:RCE 攻撃などにつながる恐れ”

Ant Media Server の脆弱性 CVE-2024-32656 が FIX:直ちにアップデートを!

Ant Media Server Flaw Grants Local Users Root Access (CVE-2024-32656)

2024/04/29 SecurityOnline — 何千もの組織で使用されている一般的なストリーミング・ソリューションである、Ant Media Server に存在する深刻な脆弱性 CVE-2024-32656 が、Praetorian red team により発見された。この脆弱性はミスコンフィグに起因し、対象システム上で権限を持たない任意のユーザーに悪用されると、最高レベルのアクセスである root への権限昇格にいたる可能性が生じる。

Continue reading “Ant Media Server の脆弱性 CVE-2024-32656 が FIX:直ちにアップデートを!”

Telegram Web 版の脆弱性 CVE-2024-33905 が FIX:直ちにアップデートを!

Telegram Patches Flaw in Web Version, Vulnerability Exposed User Accounts to Hackers

2024/04/29 SecurityOnline — Telegram Web アプリケーションに、深刻な脆弱性 CVE-2024-33905 が存在することが、セキュリティ研究者の Pedro Batista により発見された。この脆弱性は、Telegram WebK 2.0.0 (486) 以下のバージョンに存在し、深刻な XSS (Cross-Site Scripting) 攻撃を可能にし、セッション・ハイジャックへといたる可能性を生じる。ただし Telegram は、発見の報告から僅か2日後に、この問題を速やかに修正している。

Continue reading “Telegram Web 版の脆弱性 CVE-2024-33905 が FIX:直ちにアップデートを!”

R プログラミング言語の脆弱性 CVE-2024-27322:サプライチェーン攻撃につながる恐れ

New R Programming Vulnerability Exposes Projects to Supply Chain Attacks

2024/04/29 TheHackerNews — プログラミング言語 R に新たに発見されたセキュリティ脆弱性 CVE-2024-27322 は、攻撃者が作成した悪意のRDS (R Data Serialization) ファイルを、読み込んで参照するとコードが実行され、侵害にいたるというものだ。この脆弱性について、AI アプリケーション・セキュリティ企業 Hidden Layer は、「R-lang における Promise オブジェクトの使用と遅延評価に起因する」と、The Hacker News に共有したレポートで述べている。

Continue reading “R プログラミング言語の脆弱性 CVE-2024-27322:サプライチェーン攻撃につながる恐れ”