Day: July 26, 2024

Orc コンパイラの脆弱性 CVE-2024-40897:任意のコード実行が生じる恐れ

CVE-2024-40897: Vulnerability in Orc Compiler Opens Door to Code Execution Attacks

2024/07/26 SecurityOnline — Orc Compiler は単純なデータ配列プログラムのためのツールであるが、このコンパイラーに重大な脆弱性 CVE-2024-40897 が存在することが、セキュリティ研究者たちにより公表された。この脆弱性はスタック・ベースのバッファ・オーバーフロー・エラーに起因しており、悪用に成功した攻撃者は、コンパイラと同じ権限で任意のコード実行を可能にする。

Continue reading “Orc コンパイラの脆弱性 CVE-2024-40897:任意のコード実行が生じる恐れ”

Acronis の脆弱性 CVE-2023-45249 が FIX:ユーザー操作を必要としない攻撃が発生

Acronis warns of Cyber Infrastructure default password abused in attacks

2024/07/26 BleepingComputer — Acronis が顧客に発している警告は、インフラストラクチャの重要なセキュリティ上の欠陥に、パッチを適用するよう促すものである。デフォルトの認証情報を用いる攻撃者が、この脆弱性 CVE-2023-45249 の悪用に成功すると、欠陥のあるサーバの認証がバイパスされることになる。Acronis Cyber Protect (ACI) は、マルチテナント型の統合プラットフォームであり、リモート・エンドポイント管理/バックアップ/仮想化機能などを連携させるものだ。さらに、ディザスタ・リカバリのワークロードを実行し、企業のバックアップ・データを安全に保存する。

Continue reading “Acronis の脆弱性 CVE-2023-45249 が FIX:ユーザー操作を必要としない攻撃が発生”

Apache Pinot の脆弱性 CVE-2024-39676 が FIX:情報漏えいとセキュリティ侵害の恐れ

CVE-2024-39676: Apache Pinot Flaw Exposes Sensitive Data, Urgent Upgrade Needed

2024/07/26 SecurityOnline — リアルタイム分析プラットフォーム Apache Pinot に、深刻なセキュリティ脆弱性 CVE-2024-39676 (深刻度:important) が発見された。この脆弱性の悪用に成功した攻撃者は、権限を必要とせずに機密性の高いシステム情報へのアクセスが可能になり、データ漏洩やセキュリティ侵害につながる恐れが生じる。

Continue reading “Apache Pinot の脆弱性 CVE-2024-39676 が FIX:情報漏えいとセキュリティ侵害の恐れ”

CrowdStrike 障害:97%のデバイスが復旧するも、損失額の推定は数十億ドルに

97% of Devices Disrupted by CrowdStrike Restored as Insurer Estimates Billions in Losses

2024/07/26 SecurityWeek — 7月25日に CrowdStrike が発表したのは、同社の欠陥のあるアップデートによりクラッシュした、Windows コンピュータの 97%以上がオンラインに戻ったことだ。このインシデントは、大手企業に数十億の直接的な損失をもたらすと予測される。その前日に、CrowdStrike の CEO である George Kurtz は、「自動復旧技術の開発と顧客支援のために、全リソースを動員したことにより復旧作業は強化された」と LinkedIn に投稿している。同社は、本件に関するインシデント・レビューを公開し、世界的な混乱を引き起こしたアップデートの欠陥が、テスト段階で発見されなかった理由を説明している。

Continue reading “CrowdStrike 障害:97%のデバイスが復旧するも、損失額の推定は数十億ドルに”

NIST NVD に溜まり続ける脆弱性情報バックログ:渋滞解消は 2025年初頭という推測も

NIST may not resolve vulnerability database backlog until early 2025, analysis shows

2024/07/26 NextGov — 米国が管理するサイバー・セキュリティの脆弱性データベースだが、現在の処理スピードで進むなら、2025年初頭になっても処理しきれないほどの、未処理の情報を抱えていることが、新たな分析で明らかになった。NIST (National Institute of Standards and Technology) の NVD (National Vulnerability Database) は、測定ツールなどを用いて脆弱性悪用の危険度を評価する研究者のための、基礎となるコンテンツ・リポジトリであるが、2月以降において明確な説明もないまま、未分析の脆弱性を蓄積し続けている

Continue reading “NIST NVD に溜まり続ける脆弱性情報バックログ:渋滞解消は 2025年初頭という推測も”

Chrome から Password Manager 機能が消えた:7月24日に発生した 18時間の障害とは?

A Bug In Chrome Password Manager Caused User Credentials To Disappear

2024/07/26 SecurityAffairs — Google Chrome の Password Manager で、ユーザー認証情報が一時的に消失するというバグが、同社により対処された。7月24日 (水) に発生した、Google Chrome の 18時間の障害により、パスワードの保存と自動入力を Password Manager に依存するユーザーに影響が及んだ。Chrome ユーザーの多くのが、ユーザー名のみが自動的に入力される状況に気づき、Password Manager のパスワードが利用できなくなったと報告した。その一方で Google は、ユーザー・データが失われたわけではないと述べていた。

Continue reading “Chrome から Password Manager 機能が消えた:7月24日に発生した 18時間の障害とは?”