Cross-Site Scripting Is 2024’s Most Dangerous Software Weakness
2024/11/22 DarkReading — 2024年に最も影響力の大きかったソフトウェア欠陥のリスト”2024 CWE Top 25 Most Dangerous Software Weaknesses” が公開された。この CWE リストは、MITRE と CISA により毎年作成されているが、2024年の評価基準には、深刻度 (Severity) と頻度 (Frequency) が追加された。新しい評価方法により、2024年で最も危険なソフトウェア欠陥のランキングは大きく変動した。その一方では、依然として根強く残る古典的な脅威が、組織にとって最大のリスクであることが証明され、安全なコードへの継続的な注力と投資の必要性が改めて浮き彫りとなった。
Continue reading “MITRE/CISA による CWE Top-25 リスト 2024年版:評価基準の更新と CNA の参加”CVE-2024-8811: WinZip Flaw Allows Malicious Code Execution
2024/11/22 SecurityOnline — 人気のファイル・アーカイブ・ツールである WinZip に、重大な脆弱性 CVE-2024-8811 (CVSS:7.8) が発見された。この脆弱性の悪用に成功した攻撃者は、セキュリティをバイパスし、ユーザーのシステム上で悪意のコード実行の可能性を得る。この WinZip の脆弱性 CVE-2024-8811 は、Mark-of-the-Web を処理する方法に起因するものであり、バージョン 76.8 未満に影響を及ぼす。
Continue reading “WinZip の脆弱性 CVE-2024-8811 が FIX:Windows の MoTW を無効化”Wowza Streaming Engine Vulnerabilities Expose Thousands of Servers to Attack
2024/11/22 SecurityOnline — Wowza Streaming Engine に存在する複数の脆弱性を、Rapid7 の Lead Security Researcher である Ryan Emmons が発見した。この人気のメディア サーバの脆弱性を悪用するリモート攻撃者は、影響を受けるシステムを完全に制御する可能性を手にする。数多くの組織において利用される Wowza Streaming Engine は、ライブ・ストリーム・ブロードキャスト/ビデオ・オン・デマンドなどの、メディア・サービスを担っている。Rapid7 の調査によると、約 18,500 台の Wowza Streaming Engine サーバがパブリック・インターネットに公開されており、攻撃者の標的になる可能性があるという。
Continue reading “Wowza Streaming Engine の5件の脆弱性が FIX:ただちにアップデートを!”CISA Sounds the Alarm on Actively Exploited Apple and Oracle Zero-Days
2024/11/22 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) が発したのは、Apple および Oracle の製品に存在し、活発に悪用されている、3件の脆弱性に対する緊急警告である。これらの脆弱性が、CISA の KEV カタログに追加されたことで、ユーザーによる速やかな更新の必要性が強調される。
Continue reading “CISA KEV 警告 24/11/21:Apple と Oracle のゼロデイ脆弱性3件を登録”
IoT OT Security News 