Day: October 15, 2024

Amazon Passkeys:導入から1年で利用者が 1億7500万人に到達

Amazon says 175 million customer now use passkeys to log in

2024/10/15 BleepingComputer — Amazon が発表したのは、2023年にPasskeys を導入して以来、その利用者が大幅に増加し、2024年10月には 1億7500万人以上に達したことである。同社は、「Amazon アカウントで Passkeys を有効化した顧客が 1億7500万人を超え、従来よりも6倍も素早くログインしている状況を、とても嬉しく思う。パスワードが不要なサインインの利便性を、実感するユーザーが増えるにつれ、その利用者は日々増加している」とコメントしている

Continue reading “Amazon Passkeys:導入から1年で利用者が 1億7500万人に到達”

Secure-by-Design のトレーニングを実施するソフトウェア開発者は 4%未満 – Secure Code Warrior

Few software developers employ secure by design training, research finds

2024/10/15 NextGov — 10月15日 (月) に公開されたレポートによると、世界中のソフトウェア開発者のうち、製品の設計と開発に基本的なサイバー・セキュリティ基準を組み込むことに焦点を当てるトレーニングを実施しているのは、わずか 4%未満であるという。この数値の低さは、基本的なソフトウェアのバグが、依然としてハッカーたちに頻繁に悪用されている理由を裏付けるものかもしれない。このレポートは、産業界にセキュアなソフトウェア・ツール/サービスを提供する、オーストラリアの Secure Code Warrior によるものだ。

Continue reading “Secure-by-Design のトレーニングを実施するソフトウェア開発者は 4%未満 – Secure Code Warrior”

CISA KEV 警告 24/10/15:Windows/Firefox/SolarWinds の脆弱性を登録

CISA Warns Actively Exploited Vulnerabilities, Including Windows Kernel Flaw and Firefox Zero-Day

2024/10/15 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) が発したのは、Microsoft Windows/Mozilla Firefox/SolarWinds Web Help Desk などに影響を及ぼし、現在も悪用されている3件の脆弱性についての緊急警告である。これらの脆弱性について、CISA は Known Exploited Vulnerabilities (KEV) に登録したことで、直ちにパッチを適用することの重要性が強調されることになった。

Continue reading “CISA KEV 警告 24/10/15:Windows/Firefox/SolarWinds の脆弱性を登録”

EDRSilencer の武器化:脅威アクターが変容させたレッドチーム・ツールに要注意

EDRSilencer: The Red Team Tool Turned Cybercriminal Weapon

2024/10/15 SecurityOnline — EDR (Endpoint Detection and Response) ソリューションを妨害するように設計された、レッドチーム・ツール EDRSilencer に関連する問題が、Trend Micro の Threat Hunting Team により発見された。もともとは、EDR システムの脆弱性を特定/解決する、セキュリティ専門家たちを支援するために設計されたツールであるが、現在ではサイバー犯罪者が検出を回避するために、また、秘密裏に攻撃を実行するために再利用されている。

Continue reading “EDRSilencer の武器化:脅威アクターが変容させたレッドチーム・ツールに要注意”

Kubernetes Image Builder の脆弱性 CVE-2024-9486/9594 が FIX:VM へのルート・アクセスの恐れ

CVE-2024-9486 (CVSS 9.8): Kubernetes Image Builder Flaw Exposes VMs to Root Access

2024/10/15 SecurityOnline — Kubernetes Security Response Committee が公表したのは、仮想マシン (VM) へのルート・アクセスを攻撃者に許す可能性のある、Kubernetes Image Builder の脆弱性 CVE-2024-9486/CVE-2024-9594 に関するアドバイザリである。この脆弱性は、イメージのビルドプロセス中に、デフォルトの認証情報が使用されることで生じるという。

Continue reading “Kubernetes Image Builder の脆弱性 CVE-2024-9486/9594 が FIX:VM へのルート・アクセスの恐れ”

WordPress GiveWP の RCE 脆弱性 CVE-2024-9634 が FIX:CVSS 値は 9.8

CVE-2024-9634 (CVSS 9.8): Critical GiveWP Flaw Exposes 100,000+ WordPress Sites to RCE

2024/10/15 SecurityOnline — 100,000 万以上のアクティブなインストールを誇る、WordPress 用ドネーション・プラグインで GiveWP に、深刻な脆弱性 CVE-2024-9634 が発見された。この、PHP オブジェクト・インジェクションの脆弱性 CVE-2024-9634 の悪用に成功した未認証の攻撃者は、標的 Web サイト上での任意のコード実行を達成し、寄付者の機密データを危険にさらし、サイトを完全に制御する可能性を手にする。この脆弱性は、セキュリティ研究者の lefab により発見された。

Continue reading “WordPress GiveWP の RCE 脆弱性 CVE-2024-9634 が FIX:CVSS 値は 9.8”

FIDO Alliance が提案する新仕様:Passkeys をプラットフォーム間で安全に移動可能に

New FIDO proposal lets you securely move passkeys across platforms

2024/10/15 BleepingComputer — Fast IDentity Online (FIDO) アライアンスは、異なるプロバイダー間で Passkeys を安全に転送することを目的とした、新しい仕様の作業草案を発表した。Passkeys とは、公開鍵暗号方式を活用することで、従来からのパスワードに依存しない認証方法のことである。それによりユーザーは、長い文字列を記憶したり管理したりする必要がなくなる。

Continue reading “FIDO Alliance が提案する新仕様:Passkeys をプラットフォーム間で安全に移動可能に”