Day: November 20, 2024

Kubernetes の脆弱性 CVE-2024-10220 が FIX:任意のコマンド実行が可能に

CVE-2024-10220: Kubernetes Vulnerability Allows Arbitrary Command Execution

2024/11/20 SecurityOnline — Kubernetes に存在する、深刻な脆弱性 CVE-2024-10220 (CVSS:8.1) が明らかにされた。この脆弱性は、特定バージョンの kubelet を実行している、Kubernetes クラスタに影響を与えるものであり、悪用に成功した攻撃者は、コンテナの境界外での任意のコマンド実行の可能性を得る。

Continue reading “Kubernetes の脆弱性 CVE-2024-10220 が FIX:任意のコマンド実行が可能に”

Versa Director の重大な脆弱性 CVE-2024-42450 (CVSS 10.0) が FIX:直ちにアップデートを!

CVE-2024-42450 (CVSS 10): Versa Networks Addresses Critical Vulnerability in Versa Director

2024/11/20 SecurityOnline — Versa Networks が公開したセキュリティ勧告は、Versa Director ソフトウェアに影響を及ぼす深刻な脆弱性 CVE-2024-42450 (CVSS:10.0) に対応するものだ。この脆弱性の悪用に成功した未認証の攻撃者は、機密データへのアクセスや権限を昇格に加えて、脆弱なシステム上での任意のコード実行の可能性を得る。

Continue reading “Versa Director の重大な脆弱性 CVE-2024-42450 (CVSS 10.0) が FIX:直ちにアップデートを!”

MITRE が公開した 2024 CWE Top-25 リスト:注視すべき脆弱性のカテゴリとは?

2024 CWE Top 25: Critical Software Weaknesses Revealed

2024/11/20 SecurityOnline — 2024年の CWE (Common Weakness Enumeration) Top 25 が発表された。このリストは、現代のソフトウェア・システムへの攻撃で悪用されがちであり、最も危険な脆弱性に対処するための、重要なロードマップとなる。このリストは、31,770件の CVE (Common Vulnerabilities and Exposures) レコードの分析に基づき、攻撃者が悪用し得る、最も深刻なソフトウェアの脆弱性を浮き彫りにしている。

Continue reading “MITRE が公開した 2024 CWE Top-25 リスト:注視すべき脆弱性のカテゴリとは?”

Apple macOS – WorkflowKit の脆弱性 CVE-2024-27821 が FIX:PoC も公開

WorkflowKit Race Vulnerability (CVE-2024-27821): Researcher Reveals Exploit that Let Malicious Apps Hijack Shortcuts

2024/11/20 SecurityOnline — WorkflowKit の脆弱性 CVE-2024-27821 に関する、詳細な分析PoC エクスプロイト・コードが、セキュリティ研究者の Snoolie K から公開された。この ”WorkflowKit Race Vulnerability” と命名された脆弱性は、WorkflowKit 内のショートカットの抽出/署名プロセスを標的とする悪意のアプリに対して、ショートカット・ファイルの傍受/改竄を、インポート中に許す可能性があるものだ。

Continue reading “Apple macOS – WorkflowKit の脆弱性 CVE-2024-27821 が FIX:PoC も公開”

Trend Micro Deep Security Agent の RCE 脆弱性 CVE-2024-51503 が FIX:直ちにアップデートを!

CVE-2024-51503: Trend Micro Deep Security Agent RCE Vulnerability Fixed

2024/11/20 SecurityOnline — Trend Micro の Deep Security 20 Agent で発見された 脆弱性 CVE-2024-51503 (CVSS 8.0) は、攻撃者に対して任意のコード実行を許すものだ。なお、この脆弱性は、最新のアップデートで修正されている。

Continue reading “Trend Micro Deep Security Agent の RCE 脆弱性 CVE-2024-51503 が FIX:直ちにアップデートを!”

OSS のセキュリティ神話を検証:解かれるべき誤解とエンタープライズでの採用について

Debunking myths about open-source security

2024/11/20 HelpNetSecurity — Canonical の CISO である Stephanie Domas へのインタビューは、オープンソースのセキュリティに関する一般的な誤解と、それを払拭するためのコミュニティの取り組みについて説明するものだ。彼女の主張は、神話に反してオープンソース・ソリューションが、エンタープライズ・グレードの成熟度/信頼性/透明性を提供しているというものだ。さらに Stephanie Domas は、セキュリティの強化と、革新と安定のバランスを得るために、ユーザー組織がオープンソースを採​​用する際の、優先すべき重要な要素についても説明している。

Continue reading “OSS のセキュリティ神話を検証:解かれるべき誤解とエンタープライズでの採用について”

Ubuntu Linux の needrestart の脆弱性:5つの欠陥が 10年間にわたり未検出だった

Ubuntu Linux impacted by decade-old ‘needrestart’ flaw that gives root

2024/11/20 BleepingComputer — Ubuntu Linux で使用される、needrestart ユーティリティに存在する、5件のローカル権限昇格 (LPE) の脆弱性が発見された。このユーティリティは、10年以上も前の、バージョン 21.04 で導入されたものだ。Qualys により、この5件の脆弱性 CVE-2024-48990/CVE-2024-48991/CVE-2024-48992/CVE-2024-10224/CVE-2024-11003 は発見されている。

Continue reading “Ubuntu Linux の needrestart の脆弱性:5つの欠陥が 10年間にわたり未検出だった”

ANY.RUN の最新 Sandbox:インタラクションを自動化する高度なメカニズムとは?

ANY.RUN Sandbox Now Automates Interactive Analysis of Complex Cyber Attack Chains

2024/11/20 HackRead — ANY.RUN が発表したのは、自動インタラクション機能内の高度なメカニズムである、Smart Content Analysis リリースである。このメカニズムを搭載するサービスにより、複雑なマルウェア/フィッシング攻撃を自動的に実行できるようになり、ユーザーによる調査は迅速化され、悪意の動作に関する詳細な洞察の取得が容易になる。

Continue reading “ANY.RUN の最新 Sandbox:インタラクションを自動化する高度なメカニズムとは?”