CrowdStrike’s Legal Pressures Mount, Could Blaze Path to Liability
2024/08/09 DarkReading — CrowdStrike のアップデートの失敗により、さまざまなビジネスが妨げられ、人々の旅行の計画が混乱し、フランスとイギリスでは放送局がオフラインになった。したがって、このインシデントには、ソフトウェアの責任という、別の目的地へとつながる可能性もある。
Continue reading “CrowdStrike への法的圧力の高まり:賠償責任への道が開かれる可能性は?”Researchers Uncover 10 Flaws in Google’s File Transfer Tool Quick Share
2024/08/09 TheHackerNews — Google の Android/Windows 向けデータ転送ユーティリティである Quick Share に、10件ものセキュリティ上の欠陥が発見された。SafeBreach Labs の研究者である Or Yair と ShmuelCohen は、「Quick Share は、近距離にある互換性のあるデバイス間でのファイル転送をサポートするために、独自のアプリケーション層通信プロトコルを実装している。このプロトコルの動作を調査することで、Windows 用の Quick Share 内のロジックをファジングし、不正な操作やバイパスが可能なものを特定できた」と、The Hacker News と共有した技術レポートの中で説明している。
Continue reading “Google Quick Share の脆弱性 CVE-2024-38271/38272:連鎖させると RCE 攻撃が可能に”Experts Uncover Severe AWS Flaws Leading to RCE, Data Theft, and Full-Service Takeovers
2024/08/09 TheHackerNews — Amazon Web Services (AWS) 製品群に複数の重大な脆弱性が存在することが、サイバー・セキュリティ研究者たちにより発見された。クラウド・セキュリティ企業の Aqua は、「2024年2月の時点で、6つの AWS サービスに深刻な脆弱性が発見された。これらの脆弱性が悪用されると、リモート・コード実行/フルサービス・ユーザーの乗っ取り (攻撃者が管理アクセスを獲得する可能性)/AI モジュールの操作/機密データの漏えい/データ流出/DoS 攻撃などにつながる可能性がある」と、The Hacker Newsと共有した詳細なレポートで述べている。
Continue reading “AWS 製品の脆弱性 Bucket Monopoly:Shadow Resource という攻撃ベクターを許してしまう”#BHUSA: CISA Encourages Organizations to Adopt a ‘Secure by Demand’ Strategy
2024/08/09 InfoSecurity — 米国 CISA の主要イニシアチブのひとつに、2023年に開始された “Secure by Design” がある。その一方で同庁は、ソフトウェア・ユーザーに対して、Secure by Demand のアプローチを取るよう働きかけ始めた。これは、CISA の局長である Jen Easterly が、Black Hat USA の主要ステージで語ったメッセージである。
Continue reading “CISA が Secure by Demand Guide を発表:組織の調達戦略での採用を促す”Django Releases Security Updates to Address Critical Flaw (CVE-2024-42005, CVSS 9.8)
2024/08/09 SecurityOnline — Django 5.0.8/4.2.15 としてセキュリティ・アップデートが発行され、サービス拒否 (DoS) 攻撃や SQL インジェクションなどの、複数の脆弱性が対処された。すべてのユーザーに対して Django チームが強く求めているのは、パッチを適用したバージョンへと、可能な限り早急にアップグレードすることだ。Django は、高水準の Python フレームワークであり、迅速な開発とクリーンで実用的な設計を奨励するものだ。そのため、安全でスケーラブルな Web アプリケーションの構築に広く利用されている。
Continue reading “Django の脆弱性 CVE-2024-42005 (CVSS 9.8) などが FIX:直ちにアップデートを!”Malware force-installs Chrome extensions on 300,000 browsers, patches DLLs
2024/08/09 BleepingComputer — 現時点において進行中の広範なマルウェア・キャンペーンにより、30万以上の Web ブラウザに悪意の Chrome/Edge エクステンションが強制インストールされ、ブラウザの実行ファイルが変更され、ホームページがハイジャックされ、閲覧履歴が盗まれるという被害が発生している。問題のインストーラーとエクステンションは、通常ウイルス対策ツールでは検出されないものであり、感染したデバイス上でのデータ窃取やりコマンド実行を試行するよう設計されているという。このキャンペーンを発見した ReasonLabs の研究者たちが警告するのは、初期感染を達成するために、その背後にいる脅威アクターが多様な不正広告テーマを採用している点である。
Continue reading “Chrome/Edge を狙うキャンペーン:エクステンションの弱点を突いて 30万台の DLL を侵害”SSHamble: runZero’s Open Source Tool to Secure Your SSH Implementations
2024/08/09 SecurityOnline — 2024年3月に検出された XZ Utils データ圧縮ユーティリティのバックドアに関する調査中に、セキュリティが不十分/不適切に実装された SSH サービスに関連する数多くの脆弱性が、runZero の専門家たちにより発見された。
Continue reading “SSHamble という SSH 実装のための検査ツール:BlackHat で公表され GitHub で提供”Microsoft Reveals Four OpenVPN Flaws Leading to Potential RCE and LPE
2024/08/09 TheHackerNews — オープンソースの OpenVPN に、リモートコード実行 (RCE) とローカル権限昇格 (LPE) を連鎖的に引き起こす可能性のある、4件の Medium レベルの脆弱性が存在することを、Microsoft が公表した。Microsoft の Threat Intelligence Community に所属する Vladimir Tokarev は、「この攻撃チェーンの悪用に成功した攻撃者は、標的のエンドポイントを完全に制御を達成し、データ侵害/システム侵害/機密情報への不正アクセスを引き起こす可能性を手にする」と述べている。
Continue reading “OpenVPN の脆弱性4件が判明:連鎖による RCE/LPE の可能性が生じる – Microsoft”Critical 1Password flaws may allow hackers to snatch your passwords (CVE-2024-42219, CVE-2024-42218)
2024/08/09 HelpNetSecurity — 人気の 1Password パスワード・マネージャを提供する、AgileBits が発表したのは、macOS バージョンに影響を及ぼす2つの脆弱性 CVE-2024-42219/CVE-2024-42218 に関する情報である。これらの脆弱性の悪用に成功した攻撃者は、マルウェアを用いることで、ソフトウェアの保管庫に保存されたシークレットを盗み出し、アカウントのロック解除キーを取得する可能性を手にするという。
Continue reading “1Password の深刻な脆弱性 CVE-2024-42219/42218 が FIX:アップデートの確認が重要”
IoT OT Security News 