2024/09/18 SecurityOnline — Microsoft Windows MSI インストーラーに影響を及ぼす、ゼロデイ脆弱性 CVE-2024-38014 が発見され、パッチ未適用のバージョンが悪用されていると、SEC Consult Vulnerability Lab のセキュリティ研究者 Michael Baer は分析している。この重大な脆弱性の悪用に成功した攻撃者は、SYSTEM 権限への昇格を達成する。また、この脆弱性は、MSI インストーラーの修復機能に関係しており、最近の修正プログラムが Microsoft から公開される以前において、積極的に悪用されていたという。
Continue reading “Windows MSI Installers の脆弱性 CVE-2024-38014 が FIX:以前からの積極的な悪用とは?”Day: September 18, 2024
Next.js の脆弱性 CVE-2024-46982 が FIX:キャッシュ・ポイズニング攻撃の可能性
Next.js Vulnerability CVE-2024-46982: Cache Poisoning Exploit Threatens Deployments
2024/09/18 SecurityOnline — 進化のペースが速い Web 開発の世界では、常にセキュリティが懸念事項となっている。そのような傾向がみられるのは、特に Next.js のような、高トラフィックのアプリケーションを実行するプラットフォームにおいてとなる。前日に Next.js チームが公表したのは、このフレームワークの特定のバージョンに影響し、特定のデプロイメントがキャッシュ・ポイズニング攻撃にさらされる原因となる、新たな脆弱性 CVE-2024-46982 に関する情報である。
Continue reading “Next.js の脆弱性 CVE-2024-46982 が FIX:キャッシュ・ポイズニング攻撃の可能性”Chrome V8 JavaScript のゼロデイ脆弱性 CVE-2024-7965:PoC エクスプロイトが提供
PoC Exploit Released for CVE-2024-7965 Zero-Day Chrome Vulnerability
2024/09/18 SecurityOnline — 先日に発見された Chrome V8 JavaScript エンジンのゼロデイ脆弱性 CVE-2024-7965 に対する、技術的な詳細と PoC エクスプロイトが公開された。BI.ZONE の専門家が分析したところ、この重大な欠陥は、特に Android スマートフォンと macOS ラップトップにとって、深刻な脅威になり得るという。
Continue reading “Chrome V8 JavaScript のゼロデイ脆弱性 CVE-2024-7965:PoC エクスプロイトが提供”Safe C++ Extensions の提案:複雑化する開発エコシステムの強化が目的
The Safe C++ Extensions Proposal: Strengthening Security in a Complex Ecosystem
2024/09/18 SecurityOnline — 長年のメモリ安全性の懸念に対処するための決め手となる動きとして、C++ コミュニティは Safe C++ Extensions 提案を発表し、この言語における重要な瞬間を迎えようとしている。2年間にわたる綿密な議論を経て、C++ を強化することを目的とする、この提案が生まれた。C++ は、そのパワーと柔軟性で支持を得ているが、バッファ・オーバーフローや解放後使用 (UAF) エラーなどの、メモリ関連の問題に対する脆弱性が多発すると批判される言語でもある。
Continue reading “Safe C++ Extensions の提案:複雑化する開発エコシステムの強化が目的”IRTF が RFC 9620 を発行:インターネット・プロトコルにおける人権の擁護と向き合うために
RFC 9620: A Call for Human Rights in Internet Protocols
2024/09/18 SecurityOnline — The Internet Research Task Force (IRTF) は、プロトコルおよびアーキテクチャを開発する人々の注意を、重要である人権問題に向けることを目的とした、新しいドキュメント RFC 9620 をリリースした。このドキュメントは、情報提供を目的としたものであり、必須のスタンダードではない。ただし、その作成者が期待するのは、通信技術の作成と改善において、エンジニアのための貴重なガイドとなることだ。
Continue reading “IRTF が RFC 9620 を発行:インターネット・プロトコルにおける人権の擁護と向き合うために”CISA KEV 警告 24/09/18:Apache/Microsoft/Oracle の脆弱性を登録
CISA Warns of Actively Exploited Apache, Microsoft, and Oracle Vulnerabilities
2024/09/18 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) が、世界中の政府の機関/組織に対して警告を発している。新たに特定された、それらの5つ脆弱性は、悪意の攻撃者により積極的に悪用されているものだ。CISA の KEV カタログに追加された脆弱性は、一般的なソフトウェアに対する悪用が確認されたものであり、パッチが適用されていないシステムに深刻なリスクをもたらす。
Continue reading “CISA KEV 警告 24/09/18:Apache/Microsoft/Oracle の脆弱性を登録”LibreOffice の脆弱性 CVE-2024-7788 が FIX:”Repair Mode” における欠陥を排除
2024/09/18 SecurityOnline — 新たに公開されたセキュリティ・アドバイザリで The Document Foundation は、LibreOffice のドキュメント回復メカニズムに影響を及ぼす、深刻度の高い脆弱性 CVE-2024-7788 (CVSS:7.8) を明らかにした。この脆弱性が浮き彫りにするのは、破損した zip ベースのファイル形式を扱う場合の、ソフトウェアの “Repair Mode” 機能に重大なリスクがあることだ。LibreOffice のユーザーに対して強く推奨されるのは、このソフトウェアをバージョン 24.2.5/24.8.0 へとアップデートして脆弱性を修正し、システムを保護することである。
Continue reading “LibreOffice の脆弱性 CVE-2024-7788 が FIX:”Repair Mode” における欠陥を排除”CISA/FBI の共同アラート:XSS バグの排除へ向けたアドバイスを公開
CISA Issues Advice to Help Eliminate XSS Bugs
2024/09/18 InfoSecurity — 米国の CISA (Cybersecurity and Infrastructure Security Agency) と FBI は、最も一般的なソフトウェア脆弱性の1つを排除するコーディングの、ベスト・プラクティスに関する認識を高めることを目的とした、共同の Secure by Design Alert を公開した。9月18日に公開された、同アラート “Secure by Design Alert: Eliminating Cross-Site Scripting Vulnerabilities” は、ソフトウェアに現れる XSS (cross-site scripting )バグの数を減らすことを目的としている。
Continue reading “CISA/FBI の共同アラート:XSS バグの排除へ向けたアドバイスを公開”macOS カレンダーのゼロクリック RCE 脆弱性:連鎖により iCloud データが流出
Zero-Click RCE Bug in macOS Calendar Exposes iCloud Data
2024/09/18 DarkReading — macOS に存在する、複数のゼロクリック脆弱性を連鎖させることに成功した攻撃者は、 macOS のセキュリティ保護を弱体化させ、被害者の iCloud データへの侵害を可能にすることが判明した。この一連の攻撃は、カレンダーのイベントに添付されたファイルの、サニタイズ処理の欠如から始まる。そこから、攻撃者は標的のシステム上でリモート・コード実行 (RCE) を達成し、機密データにアクセスできることが、研究者の Mikko Kenttala により発見された。
Continue reading “macOS カレンダーのゼロクリック RCE 脆弱性:連鎖により iCloud データが流出”Google Chrome 129 の緊急アップデート:CVE-2024-8904 など9つの脆弱性を FIX
Chrome 129 Patches High-Severity Vulnerability in V8 Engine
2024/09/18 SecurityWeek — Google は 9月17日に Chrome 129 のアップデートを発表し、外部から報告された6件を含む、9件の脆弱性に対するパッチを適用した。外部から報告された脆弱性の中で最も深刻なものは、深刻度 High に分類されている、V8 JavaScript エンジンにおけるタイプ・コンフュージョン脆弱性 CVE-2024-8904 だ。
Continue reading “Google Chrome 129 の緊急アップデート:CVE-2024-8904 など9つの脆弱性を FIX”GitLab CE/EE の SAML 脆弱性 CVE-2024-45409 が FIX:直ちにアップデートを!
GitLab releases fix for critical SAML authentication bypass flaw
2024/09/18 BleepingComputer — GitLab リリースしたセキュリティ・アップデートは、GitLab Community Edition(CE)/Enterprise Edition(EE) のセルフマネージド・インストールに影響を与える、重大な SAML 認証バイパス脆弱性 CVE-2024-45409 に対処するためのものだ。SAML (Security Assertion Markup Language) とは、ユーザーが同じ認証情報を使用して異なるサービスにログインするための、SSO (Single Sign-On) 認証プロトコルである。脆弱性 CVE-2024-45409 は、GitLab が SAML ベースの認証を処理するために使用している、OmniAuth-SAML/Ruby-SAML ライブラリの問題に起因する。
Continue reading “GitLab CE/EE の SAML 脆弱性 CVE-2024-45409 が FIX:直ちにアップデートを!”
IoT OT Security News 