NIST’s vulnerability database logjam is still growing despite attempts to clear it
2025/03/19 NextGov — NIST (National Institute of Standards and Technology) は、昨年から続いている NVD (National Vulnerability Database) におけるセキュリティ脆弱性の分析遅延について、2025年の春頃にはバックログを解消する目標を掲げていた。しかし、先日の NIST の発表は、「当面は改善する見込みがない」というものだった。
Continue reading “NIST NVD がバックログの解消に苦戦:今後も停滞が続く見通し”NIST may not resolve vulnerability database backlog until early 2025, analysis shows
2024/07/26 NextGov — 米国が管理するサイバー・セキュリティの脆弱性データベースだが、現在の処理スピードで進むなら、2025年初頭になっても処理しきれないほどの、未処理の情報を抱えていることが、新たな分析で明らかになった。NIST (National Institute of Standards and Technology) の NVD (National Vulnerability Database) は、測定ツールなどを用いて脆弱性悪用の危険度を評価する研究者のための、基礎となるコンテンツ・リポジトリであるが、2月以降において明確な説明もないまま、未分析の脆弱性を蓄積し続けている。
Continue reading “NIST NVD に溜まり続ける脆弱性情報バックログ:渋滞解消は 2025年初頭という推測も”NIST says NVD will be back on track by September 2024
2024/05/31 HelpNetSecurity — 5月29日に NIST が発表したのは、NVD への CVE の登録を支援する契約を、同機関が 無名の企業/団体に依頼したことである。さらに NIST (National Institute of Standards and Technology) は、年度末である 9月30日までに、NVD (National Vulnerability Database) で未解析の状態にある CVE (Common Vulnerabilities and Exposures) の、エンリッチメント化も進める予定であるという。
Continue reading “NIST NVD の障害:2024年9月までには軌道に乗ると発表”Exploit released for actively abused ProxyNotShell Exchange bug
2022/11/18 BleepingComputer — Microsoft Exchange に存在し、ProxyNotShellと総称される2つの深刻な脆弱性に対して、PoC エクスプロイト・コードが公開された。この2つの脆弱性 CVE-2022-41082/CVE-2022-41040 は、Microsoft Exchange Server 2013/2016/2019 に影響を及ぼし、権限を昇格した攻撃者がシステムのコンテキストで PowerShell を実行することで、侵害したサーバー上で任意のコード実行またはリモート・コード実行が可能なるというものだ。
Continue reading “Exchange Server の深刻な脆弱性 ProxyNotShell:PoC エクスプロイトが公表”Actively exploited Windows MoTW zero-day gets unofficial patch
2022/10/30 BleepingComputer — Windows 10/11 の積極的に悪用されているゼロデイに対して、無料の非公式パッチがリリースされた。この脆弱性は、不正に署名されたファイルが、Mark-of-the-Web セキュリティ警告を回避するというものだ。先週末に BleepingComputer は、スタンドアロンの JavaScript ファイルを悪用する脅威アクターが、被害者のデバイスに Magniber ランサムウェアをインストールしていることを報告した。
Continue reading “Windows の MoTW ゼロデイ脆弱性:Magniber ランサムウェアを 0Patch が阻止する?”
IoT OT Security News 