CVE-2024-10327: Okta Verify for iOS Vulnerability Could Allow Unauthorized Access
2024/10/25 securityonline — Okta Verify for iOS で発見された脆弱性 CVE-2024-10327 (CVSS:8.1) は、ユーザーが認証リクエストを拒否した場合であっても、ユーザー・アカウントへの不正アクセスを、攻撃者に許す可能性があるものだ。この脆弱性は、iOS の ContextExtension 機能の特性に依存するものであり、特定のバージョンのアプリに影響を与えるという。
Continue reading “Okta Verify for iOS の脆弱性 CVE-2024-10327 が FIX:不正アクセスが生じる恐れ”Unclear pricing for GRC tools creates market confusion
2024/10/25 HelpNetSecurity — 昨今の GRC (government, risk, and compliance) ツールには、多様な価格設定が並存している。そのため、ERM (Enterprise Risk Management) のリーダーたちは、GRC ソリューションの4種類の価格カテゴリーを理解し、スコープ・フレームワークを適用した上でベンダーを選定し、コストを見積もる必要があると、Gartner は指摘している。
Continue reading “GRC ツールの価格設定は不明瞭? 4つのカテゴリーへの理解が重要 – Gartner”AWS Seizes Domains Used by Russia’s APT29
2024/10/25 SecurityWeek — 10月24日に Amazon Web Services (AWS) が発表したのは、ロシアの脅威グループである APT29 が、フィッシング攻撃に用いたドメインの凍結に関する情報である。同社によると、APT29 が使用していたドメインの一部は、AWS のドメインであるかのような名称であったという。しかし、その攻撃の標的は、Amazon や顧客ではなく政府機関/軍事組織/企業であり、Microsoft Remote Desktop を介した Windows 認証情報の収集が目的だった。
Continue reading “AWS がロシアの APT29 ドメインを凍結:政府/軍事などにフィッシング攻撃”
IoT OT Security News 