Day: January 6, 2025

Redis の脆弱性 CVE-2024-51741/46981 が FIX:DoS と RCE の可能性

CVE-2024-51741 and CVE-2024-46981: Redis Flaws Expose Millions to DoS and RCE Risks

2025/01/06 SecurityOnline — 人気のインメモリ・データベース Redis で発見された、2件の脆弱性により数百万のユーザーが危険にさらされている。脆弱性 CVE-2024-51741 は、サービス拒否 (DoS) 攻撃をトリガーし、脆弱性 CVE-2024-46981 は、リモート コード実行 (RCE) を可能にするものである。

Continue reading “Redis の脆弱性 CVE-2024-51741/46981 が FIX:DoS と RCE の可能性”

MediaTek チップセットの脆弱性 CVE-2024-20154 などが FIX:Mobile/IoT デバイスに影響

CVE-2024-20154: Critical RCE Flaw in MediaTek Chipsets Impacts Millions

2025/01/06 SecurityOnline — MediaTek が公開した January 2025 Product Security Bulletin は、同社の各種チップセットに影響を及ぼす、各種のセキュリティ脆弱性に対応するものだ。この勧告には、スマートフォン/タブレット/IoT デバイス/スマート TV などの製品に発見された、脆弱性の詳細が記載されている。

Continue reading “MediaTek チップセットの脆弱性 CVE-2024-20154 などが FIX:Mobile/IoT デバイスに影響”

SonicWall の脆弱性 CVE-2024-40766:Akira と Fog による悪用と侵害

Thousands of SonicWall Devices Remain Vulnerable to CVE-2024-40766

2025/01/06 SecurityOnline — SonicWall NSA デバイスの深刻な脆弱性 CVE-2024-40766 が公表されたのは、2024年9月のことである。それ以降において、脅威アクター Akira と Fog が、この欠陥を悪用することで、世界中の組織に侵入したと報告されている。Macnica の脅威研究者である Yutaka Sejiyama によると、この脆弱性を悪用された 100社を超える企業が、ランサムウェア・グループの被害に遭った可能性があるが、2024年12月下旬の時点において、少なくとも 48,933台のデバイスが危険な状態にあるという。

Continue reading “SonicWall の脆弱性 CVE-2024-40766:Akira と Fog による悪用と侵害”

OpenVPN Connect の脆弱性 CVE-2024-8474:プライベート・キー漏洩の恐れ

CVE-2024-8474: OpenVPN Connect Vulnerability Leaks Private Keys

2025/01/06 SecurityOnline — 人気の VPN クライアント・アプリ OpenVPN Connect に存在する、深刻なセキュリティ脆弱性が修正された。この脆弱性が悪用されると、ユーザーの秘密鍵の公開や、VPN トラフィックの復号化などにいたる恐れがあるという。

Continue reading “OpenVPN Connect の脆弱性 CVE-2024-8474:プライベート・キー漏洩の恐れ”

2024年の CVE データを総括:40,000件以上の脆弱性が公開された

Vulnerability Overload: 40,000+ CVEs in 2024

2025/01/06 SecurityOnline — 毎年恒例の CVE Data Review 2024年版を、セキュリティ研究者である Jerry Gamblin が公開した。この年の CVE 件数は、前例のない急増を見せ、過去最多の 40,009件に達した。この数字は、2023年の 28,902件と比べて 38% の増加であり、CVE の記録更新は7年連続となった。

Continue reading “2024年の CVE データを総括:40,000件以上の脆弱性が公開された”

ヨーロッパの Top-100 社:レジリエンス評価 A の企業は僅か 26% – SecurityScorecard

Only 26% of Europe’s top companies earn a high rating for cybersecurity

2025/01/06 HelpNetSecurity — 2025年1月17日に設定された EU の Digital Operational Resilience Act (DORA) の期限が迫っているが、ヨーロッパの Top-100 企業はというと、緊急のサイバー・セキュリティの課題に直面していると、SecurityScorecard が報じている。

Continue reading “ヨーロッパの Top-100 社:レジリエンス評価 A の企業は僅か 26% – SecurityScorecard”

脅威リサーチを構成するプロプラと OSS:組織が備えるべきセキュリティ対策とは

Balancing proprietary and open-source tools in cyber threat research

2025/01/06 HelpNetSecurity — Microsoft の Senior Security Researcher である Thomas Roccia へのインタビューは、サイバーセキュリティ運用における迅速かつ適切な意思決定を、脅威リサーチが促進する状況について説明するものだ。彼の示すのは、脅威リサーチの内部と外部のバランスおよび、AI と地政学的イベントの影響、そして、組織におけるセキュリティ対策の強化に関する洞察である。

Continue reading “脅威リサーチを構成するプロプラと OSS:組織が備えるべきセキュリティ対策とは”