CISA が SSVC を公開:パッチの優先順位とディシジョン・ツリー・モデル

CISA Releases Decision Tree Model to Help Companies Prioritize Vulnerability Patching

2022/11/11 SecurityWeek — 11月10日に米国の CISA (Cybersecurity and Infrastructure Security Agency) は、脆弱性パッチの優先順位を付ける組織が、ディシジョン・ツリー・モデルを用いる際に役立つ SSVC (Stakeholder-Specific Vulnerability Categorization) ガイドを公開した。SSVC システムは、CISA とカーネギーメロン大学の Software Engineering Institute (SEI) が 2019年に作成したものだ。翌年である 2022年に CISA は、政府機関や重要インフラ組織に関連するセキュリティ欠陥に対して、独自にカスタマイズした SSVC デジション・ツリーを作成している。

Continue reading “CISA が SSVC を公開:パッチの優先順位とディシジョン・ツリー・モデル”

Microsoft がブロックした UEFI ブートローダー:Secure Boot バイパスの脆弱性を発見

Microsoft blocks UEFI bootloaders enabling Windows Secure Boot bypass

2022/08/12 BleepingComputer — Unified Extensible Firmware Interface (UEFI) 用の一部の署名付きサードパーティ・ブートローダには、OS がロードされる前のブート・プロセスの初期段階で、攻撃者による不正なコード実行の可能性が存在する。Windows で使用されているベンダー固有のブートローダに脆弱性があることが判明しており、その他にも約 10件のブートローダの状態については、現在のところ確認が取れていない。

Continue reading “Microsoft がブロックした UEFI ブートローダー:Secure Boot バイパスの脆弱性を発見”