Chrome エクステンションに新機能:サイトごとの ON/OFF に取り組み始めた

Google Chrome to let you disable or enable extensions per site

2023/01/14 BleepingComputer — Chrome のエクステンションを、サイト単位で無効/有効化できる新機能を、Google が開発している。Chrome Web ストアでは、数多くのエクステンションが提供されている。しかし、一部のエクステンションには、Web サイトで不具合を引き起こす可能性あり、また、広告ブロッカーのようなエクステンションを許可しないサイトもあるという。

Continue reading “Chrome エクステンションに新機能:サイトごとの ON/OFF に取り組み始めた”

Google Chrome の脆弱性 SymStealer は危険:Ver 107 以前の 25億人に影響の可能性

Google Chrome ‘SymStealer’ Vulnerability Could Affect 2.5 Billion Users

2023/01/12 InfoSecurity — 2022年7月に Imperva のセキュリティ研究者が発見し、9月にパッチを適用された Chromium の脆弱性 CVE-2022-3656 は、パッチを適用していない 25億人のユーザーに影響を与えている可能性がある。2023年1月12日に、Imperva のセキュリティ研究者である Ron Masas が、この脆弱性 (通称 SymStealer) について、ブログ記事を公開した。具体的に言うと、ブラウザが SymLink を処理する方法を悪用する攻撃者に対して、暗号ウォレットやクラウド・プロバイダの認証情報などの、機密ファイルの窃取を許してしまう脆弱性だという。

Continue reading “Google Chrome の脆弱性 SymStealer は危険:Ver 107 以前の 25億人に影響の可能性”

Google Chrome 109 がリリース:全体で 17件の脆弱性に対応

Chrome 109 Patches 17 Vulnerabilities

2023/01/11 SecurityWeek — 2023年1月10日に Google は、Chrome 109 を Stable チャネルでリリースし、外部の研究者から報告された 14件のバグを含む、全体で 17件の脆弱性にパッチを適用したと発表した。外部から報告されたセキュリティ上の欠陥の大半は、深刻度が Medium と Low 脆弱性である。また、High と評価された2件は、Overview Mode における use-after-free の脆弱性 CVE-2023-0128 と、Network Service におけるヒープバッファ・オーバーフローの脆弱性 CVE-2023-0129 である。Google は、これらの脆弱性に対して、それぞれ $4,000 と $2,000 のバグバウンティを支払ったとしている。

Continue reading “Google Chrome 109 がリリース:全体で 17件の脆弱性に対応”

Brave が FrodoPIR を発表:プライバシーに配慮したデータベース・クエリを実現

Brave launches FrodoPIR, a privacy-focused database query system

2022/12/22 BleepingComputer — Brave Software の開発者たちは、ユーザーのクエリの内容を開示することなくサーバーからデータを取得する、プライバシー重視の新しいデータベース・クエリ・システム FrodoPIR を開発した。Brave は、Brave Browser に搭載される予定の漏洩認証情報チェッカーに FrodoPIR を使用し、チェックしたユーザー名とパスワードをサーバに開示することなく、既知のデータ・ダンプに照合することを計画しているという。

Continue reading “Brave が FrodoPIR を発表:プライバシーに配慮したデータベース・クエリを実現”

Chrome での Passkeys サポート開始:Android/iOS デバイスの生体認証を活用

Google Adds Passkey Support to Chrome for Windows, macOS and Android

2022/12/12 TheHackerNews — Google は、次世代パスワードレス・ログイン規格である Passkeys のサポートを、Chrome の Stable バージョンで正式に展開し始めた。同社の Ali Sarraf は、「Passkeys は、フィッシングによる攻撃が可能な、パスワードなどの認証要素に代わる、より安全性の高い技術である。それらの再利用は不可能であり、また、サーバー侵害で漏洩することもないため、フィッシング攻撃からユーザーを保護できる」と述べている。

Continue reading “Chrome での Passkeys サポート開始:Android/iOS デバイスの生体認証を活用”

Java/Rust/Kotlin のメモリセーフ機能:C/C++ と安全性を比較してみる

Shift to Memory-Safe Languages Gains Momentum

2022/12/07 DarkReading — 今週に、ソフトウェア・セキュリティの専門家たち発表したところによると、リモートからの悪用が可能で、野放し状態での攻撃の大部分に関与している、きわめて深刻な脆弱性のグループに対して、ソフトウェア業界は前進しているようだ。この脆弱性グループとは、いわゆるメモリ安全性の問題である。具体的には、バッファオーバーフロー/ユースアフターフリーなどを含むものであり、ソフトウェア会社が公表するアプリケーション・セキュリティ問題の大半を占めるものだ。今回の最新データでは、Java/C#/Rust などの、メモリ安全性の高い言語の使用が増加したことで、このクラスの脆弱性全体が急速に減少していることが示されている。

Continue reading “Java/Rust/Kotlin のメモリセーフ機能:C/C++ と安全性を比較してみる”

CISA KEV 警告 22/12/02:Google Chrome の深刻な脆弱性 CVE-2022-4262

CISA orders agencies to patch exploited Google Chrome bug by Dec 26th

2022/12/05 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、サイバー攻撃での悪用が確認されているバグのリストに、新たな脆弱性を追加した。この脆弱性 CVE-2022-4262 は、Google Chrome for Windows/Mac/Linux に存在するものであり、12月2日にゼロデイバグとしてパッチが適用されたものだ。そのセキュリティ・アドバイザリで Google は、「脆弱性 CVE-2022-4262 が、野放し状態で悪用されているという報告を確認している」と述べている。

Continue reading “CISA KEV 警告 22/12/02:Google Chrome の深刻な脆弱性 CVE-2022-4262”

Google Chrome の深刻なゼロデイ CVE-2022-4262 が FIX:V8 JavaScript に問題

Google Chrome emergency update fixes 9th zero-day of the year

2022/12/02 BleepingComputer — Google は、Chrome for Windows/Max/Linux の 108.0.5359.94/.95をリリースし、深刻なセキュリティ上の欠陥に対処しまた。同社は、「脆弱性 CVE-2022-4262 が、野放し状態で悪用されているという報告を認識している」と、金曜日に公開されたセキュリティ・アドバイザリで述べている。Google によると、Stable Desktop チャネルを介して、この最新バージョンの提供が開始され、数日〜数週間のうちに全ユーザー・ベースに到達するとのことだ。

Continue reading “Google Chrome の深刻なゼロデイ CVE-2022-4262 が FIX:V8 JavaScript に問題”

Variston IT というスパイウェア:Chrome/Firefox/Defender の N-Day 脆弱性を悪用

Spyware Vendor Variston Exploited N-Days in Chrome, Firefox, Windows

2022/12/01 InfoSecurity — スペインの カスタム・セキュリティ・ソリューション・プロバイダーとされる Variston IT は、自社の Heliconia フレームワークで Chrome/Firefox/Microsoft Defender の N-Day 脆弱性を悪用し、ターゲット・デバイスにペイロードを展開するためのツールを配布している。これは、Google Threat Analysis Group (TAG) が、11月30日のアドバイザリで明らかにしたものであり、Google/Microsoft/Mozilla は 2021年と 2022年初旬に、この脆弱性を修正しているという。

Continue reading “Variston IT というスパイウェア:Chrome/Firefox/Defender の N-Day 脆弱性を悪用”

Emotet 2022 を予測する:このマルウェアの歴史から何が見えてくるのか?

All You Need to Know About Emotet in 2022

2022/11/26 TheHackerNews — 直近の6ヶ月間において、ほとんど活動していなかった Emotet ボットネットだが、いまは悪質なスパムを配信し始めている。ここでは、この悪名高いマルウェアに対抗するために、知っておくべきことを詳しく説明していく。Emotet は、これまでに作られたトロイの木馬の中で、最も危険な 1 つであることに間違いはない。このマルウェアは、規模と精巧さを増すにつれて、きわめて破壊的なプログラムとなった。スパムメール・キャンペーンにさらされた企業ユーザーから個人ユーザーまで、誰でもが被害者になり得る。

Continue reading “Emotet 2022 を予測する:このマルウェアの歴史から何が見えてくるのか?”

Google Chrome のゼロデイ CVE-2022-4135 が FIX:野放し状態での悪用を確認

Google pushes emergency Chrome update to fix 8th zero-day in 2022

2022/11/25 BleepingComputer — Google は、Chrome デスクトップ版のセキュリティ・アップデートを緊急リリースし、今年に入ってから攻撃で悪用された、8つ目のゼロデイ脆弱性に対応した。Google Threat Analysis Group の Clement Lecigne が、2022年11月22日に発見した、この深刻度の高い脆弱性 CVE-2022-4135 は、GPU におけるヒープバッファ・オーバーフローに起因するものだ。Google は、「CVE-2022-4135 のエクスプロイトが、野放し状態で悪用されてことを認識している」と、アップデート通知に記している。

Continue reading “Google Chrome のゼロデイ CVE-2022-4135 が FIX:野放し状態での悪用を確認”

Chrome の悪意のエクステンション:Roblox ユーザー 20万人がインストール

Backdoored Chrome extension installed by 200,000 Roblox players

2022/11/23 BleepingComputer — Chromeブラウザ・エクステンションであり、20万人以上のゲーム・ユーザーにインストールされている SearchBlox のバックドアにより、Roblox の認証情報が不正に窃取され、Roblox 取引プラットフォーム Rolimons の資産が盗み出されていることが発見された。BleepingComputer は、このエクステンションのコードを解析し、開発者の意図により侵害後に仕掛けられる、バックドアの存在を示すことができた。

Continue reading “Chrome の悪意のエクステンション:Roblox ユーザー 20万人がインストール”

Chrome の悪意のエクステンション VenomSoftX:Google Sheets を装い暗号通貨を窃取 

Google Chrome extension used to steal cryptocurrency, passwords

2022/11/21 BleepingComputer — VenomSoftX という情報窃取型の Google Chrome エクステンションが、Windows マルウェアにより展開され、ユーザーの暗号通貨やクリップボードの内容を窃取している。 この Chrome エクステンションは、Windows マルウェア ViperSoftX によりインストールされ、JavaScript ベース の RAT (Remote Access Trojan) として、また、暗号通貨ハイジャッカーとして機能する。 ViperSoftX は 2020年から存在しており、CerberusColin Cowie のセキュリティ研究者により、また、Fortinet のレポートにより、以前から公表されている。

Continue reading “Chrome の悪意のエクステンション VenomSoftX:Google Sheets を装い暗号通貨を窃取 “

Cloud9 は Chrome ボットネット:リモート操作+多彩な機能で攻めてくる

Malicious extension lets attackers control Google Chrome remotely

2022/11/08 BleepingComputer — Cloud9 という新しい Chrome ブラウザ・ボットネットが、野放し状態で発見された。このボットネットは、悪意のエクステンションを使用して、オンライン・アカウントの窃盗/キーストロークの記録/広告や悪意の JS コードの注入/被害者のブラウザへの DDoS 攻撃などをしていたという。Cloud9 ブラウザ・ボットネットは、Google Chrome/Microsoft Edge を含む Chromium Web ブラウザ用のリモート・アクセス型トロイの木馬 (RAT:Remote Access Trojan) であり、脅威アクターによるリモート・コマンドの実行を可能にする。

Continue reading “Cloud9 は Chrome ボットネット:リモート操作+多彩な機能で攻めてくる”

Google Chrome 107 の緊急アップデート:新たなゼロデイ CVE-2022-3723 を FIX

Google fixes a new actively exploited Chrome zero-day, it is the seventh one this year

2022/10/28 SecurityAffairs — Google は、積極的に悪用されるゼロデイ脆弱性 CVE-2022-3723 に対処するために、Chrome 107 の緊急アップデートをリリースした。CVE-2022-3723 は、Chrome V8 の Javascript エンジンに存在するタイプ・コンフュージョンの脆弱性であり、2022年10月25日に Avast の Jan Vojtěšek/Milánek/Przemek Gmerek により報告されたものだ。

Continue reading “Google Chrome 107 の緊急アップデート:新たなゼロデイ CVE-2022-3723 を FIX”

SQLite Database Library で 22年前のバグが発覚:Chrome 64 Bit などに生じる影響とは?

22-Year-Old Vulnerability Reported in Widely Used SQLite Database Library

2022/20/25 TheHackerNews — 2000年10月に行われたコード変更がもたらした、SQLite データベース・ライブラリの深刻な脆弱性により、プログラムのクラッシュや乗っ取りが生じる可能性が判明した。この 22 年前の脆弱性 CVE-2022-35737 (CVSS : 7.5) は、SQLite バージョン 1.0.12〜3.39.1 に影響するものであり、2022 年 7 月 21 日にリリースされたバージョン 3.39.2 で対処されている。

Continue reading “SQLite Database Library で 22年前のバグが発覚:Chrome 64 Bit などに生じる影響とは?”

Chrome 106 の深刻な脆弱性6件が FIX:なかなか止まらない use-after-free 欠陥

Chrome 106 Update Patches Several High-Severity Vulnerabilities

2022/10/12 SecurityWeek — 火曜日に Google は、Chrome の最新アップデートを提供し、4つの use-after-free のバグを含む、6つの深刻度の高い脆弱性にパッチを適用したと発表した。新たに解決された脆弱性は、すべて外部の研究者により発見されたものであり、Google は報告者たちに $38,000 のバグバウンティ報奨金を手渡した。

Continue reading “Chrome 106 の深刻な脆弱性6件が FIX:なかなか止まらない use-after-free 欠陥”

Google が展開する Passkey:Android/Chrome でパスワードレス認証をサポート

Google Rolling Out Passkey Passwordless Login Support to Android and Chrome

2022/10/12 TheHackerNews — 水曜日に Google は、次世代認証規格である Passkeys のサポートを、Android と Chrome に対して正式に展開した。Google は、「Passkeys は、フィッシングに狙われやすいパスワードなどの認証要素に代わる、より安全性の高い認証手段である。再利用できず、サーバーの侵入で漏れることもなく、フィッシング攻撃からユーザーを保護する」と述べている。この機能は、共通のパスワードレス・サインイン規格をサポートするための、広範なプッシュ規格の一部として、2022年5月に発表されたものだ。

Continue reading “Google が展開する Passkey:Android/Chrome でパスワードレス認証をサポート”

Emotet の最新分析:進化するモジュールとインフラを VMware が徹底追跡

Experts analyzed the evolution of the Emotet supply chain

2022/10/11 SecurityAffairs — VMware の研究者たちは、Emotet マルウェアの背後に存在するサプライチェーンを分析し、そのオペレータが検出を回避するために取っている TTP が継続的に変更されていることを報告した。Emotet バンキング・トロイの木馬は、2014年ころから活動しており、このボットネットは TA542. として追跡されている脅威アクターにより運営されている。Emotet が利用されるケースは、Trickbot/QBot などのトロイの木馬の配信および Conti/ProLock/Ryuk/Egregor などのランサムウェアなど配信である。

Continue reading “Emotet の最新分析:進化するモジュールとインフラを VMware が徹底追跡”

KFC/McDonald’s @ シンガポール/サウジアラビア/UAE を狙ったフィッシング・キャンペーンが発生

Phishing Campaigns Target KFC, McDonald’s in Saudi Arabia, UAE, Singapore

2022/10/03 InfoSecurity — シンガポール/サウジアラビア/UAE の KFC と McDonald’s の顧客がフィッシング・キャンペーンに狙われ、一部の顧客の支払情報が脅威アクターにより盗み出された。CloudSEK のセキュリティ研究者たちが発見した一連のキャンペーンだが、その当初の手口は、Google Play ストアに成りすましたドメインを経由して、悪質な Chrome ブラウザベースのアプリを表示させるというものだった。

Continue reading “KFC/McDonald’s @ シンガポール/サウジアラビア/UAE を狙ったフィッシング・キャンペーンが発生”

Chromium アプリ・モードの危険性:Chrome/Edge/Brave ユーザーの盲点を突く攻撃手法

Web browser app mode can be abused to make desktop phishing pages

2022/10/03 BleepingComputer — Chrome のアプリケーション・モード機能を利用した、デスクトップ・アプリとして表示されるローカル・ログイン・フォームから、新たなフィッシング手法を実施する脅威アクターが、認証情報を容易に盗み出しているという。このアプリ・モード機能は、Google Chrome/Microsoft Edge/Brave Browser などを含む、すべての Chromium ベースのブラウザで利用できる。この機能により、正規のログイン画面と見分けがつかない、リアルなログイン画面を生成することが可能となる。

Continue reading “Chromium アプリ・モードの危険性:Chrome/Edge/Brave ユーザーの盲点を突く攻撃手法”

Google が Chrome Manifest V3 のテスト開始を発表:2023年6月に V2 は 消滅

Google to test disabling Chrome Manifest V2 extensions in June 2023

2022/09/28 BleepingComputer — Google は、Chrome Manifest V2 エクステンションのサポート終了に関する詳細を発表し、より多くの開発者にManifest V3 への移行を促している。Chrome チームからのアップデートによると、2023年6月に Manifest V2 を段階的に廃止しながら、スムーズなエンドユーザー・エクスペリエンスを確保しながら、慎重かつ実験的なステップで進めていくとのことだ。

Continue reading “Google が Chrome Manifest V3 のテスト開始を発表:2023年6月に V2 は 消滅”

Chrome/Edge のスペルチェック機能の問題:ユーザーの個人情報が G/M に送信されている?

Google, Microsoft can get your passwords via web browser’s spellcheck

2022/09/17 BleepingComputer — Web ブラウザ Google Chrome/Microsoft Edge の拡張スペルチェック機能は、個人情報 (PII:Personally Identifiable Information) や、場合によってはパスワードを含むフォームデータを、Google と Microsoft に送信することが判明した。これは、これらの Web ブラウザの一般的な機能かもしれない。しかし、送信後のデータの取り扱いについては、特にパスワード・フィールドに関しては、どれほどの安全性が担保されるのかという点で懸念が生じる。

Continue reading “Chrome/Edge のスペルチェック機能の問題:ユーザーの個人情報が G/M に送信されている?”

Chrome 105 に 11件の脆弱性:メモリの安全性に対する取り組みが続く

Chrome 105 Update Patches High-Severity Vulnerabilities

2022/09/15 SecurityWeek — 9月2日に Google は、外部の研究者から報告された7つの深刻なバグを含む、全体で 11件の脆弱性を修正する Chrome 105 アップデートのリリースを発表した。このセキュリティ問題のリストで注目されるのは、Chrome の Storage コンポーネントにおける境界外書き込みが挙げられる。続いて、PDF コンポーネントにおける3つの use-after-free の不具合と、Frames における4つ目の use-after-free の不具合が存在する。

Continue reading “Chrome 105 に 11件の脆弱性:メモリの安全性に対する取り組みが続く”

Microsoft Defender の誤検出:Chrome/Edge などを Win32/Hive.ZY と間違える

Microsoft Defender falsely detects Win32/Hive.ZY in Google Chrome, Electron apps

2022/09/04 BleepingComputer — Win32/Hive.ZY 誤検知の修正に必要な、Defender の更新バージョンなどの、記事の追加更新も末尾に追記されている— Microsoft Defender におけるシグネチャー更新の失敗により、Google Chrome/Microsoft Edge/Discord に加えて各種の Electron アプリが、Windows 上でオープンされるたびに、Win32/Hive.ZY として誤検出されている。

Continue reading “Microsoft Defender の誤検出:Chrome/Edge などを Win32/Hive.ZY と間違える”

Google Chrome の緊急アップデート:新たなゼロデイ CVE-2022-3075 を FIX

Google Chrome emergency update fixes new zero-day used in attacks

2022/09/02 BleepingComputer — Google は、Chrome for Windows/Mac/Linux 105.0.5195.102 をリリースし、2022年に入って攻撃に悪用された、6番目のゼロデイ脆弱性にパッチを適用した。同社は、金曜日に公開したセキュリティ・ アドバイザリで、「我々は、脆弱性 CVE-2022-3075 が、野放し状態で悪用されていると認識している」と述べている。Google によると、この新バージョンは Stable Desktop チャンネルで展開されており、数日〜数週間のうちに全ユーザーに行き渡るようだ。

Continue reading “Google Chrome の緊急アップデート:新たなゼロデイ CVE-2022-3075 を FIX”

Google Manifest V3 対応:広告ブロック・エクステンション AdGuard が実験を開始

AdGuard’s new ad blocker struggles with Google’s Manifest v3 rules

2022/08/31 BleepingComputer — Google の Manifest V3 に対応する、初めての Chrome 広告ブロック・エクステンションが利用可能になった。このエクステンション用の Manifest とは、Chrome ブラウザ・エクステンションに、開発者が取り込む権限や能力の概要を示すものだ。Manifest V3 で Google は、webRequest API を変更し、ユーザーに表示される前のデータを、エクステンションが変更することをブロックした。それにより、広告ブロックが無意味になってしまった。

Continue reading “Google Manifest V3 対応:広告ブロック・エクステンション AdGuard が実験を開始”

Chrome の深刻なバク:悪意の Web サイトによるクリップボード上書きが証明された

Google Chrome bug lets sites write to clipboard without asking

2022/08/31 BleepingComputer — Chrome Version 104 で、事故とも言えるバグの混入が発生した。それは、訪問した Web サイトから、クリップボードへの書き込みイベントを承認するための、ユーザー要件が削除されるというものだ。この機能は、Google Chromeに限ったものではない。Safari と Firefox も、Web ページからシステムのクリップボードへの書き込みを許可しているが、ジェスチャーによる保護が施されている。

Continue reading “Chrome の深刻なバク:悪意の Web サイトによるクリップボード上書きが証明された”

Chrome に潜む悪意のエクステンション:140万人のユーザーから情報を盗み出す

Chrome extensions with 1.4 million installs steal browsing data

2022/08/30 BleepingComputer — McAfee の脅威アナリストたちは、ユーザーの閲覧履歴を盗み出す、5つの Google Chrome エクステンションを発見した。これらのエクステンションは、合計で 140万回以上もダウンロードされている。一連のエクステンションの目的は、アフィリエイト料を騙し取ることになる。具体的には、ユーザーが eコマースサイトを訪問した際に監視を行い、訪問者のクッキーを変更して、あたかもリファラー・リンクを経由し訪問したように見せかける。それにより、エクステンションの作者は、eコマースサイトでの購入に際して、アフィリエイト料を不正に得ていく。

Continue reading “Chrome に潜む悪意のエクステンション:140万人のユーザーから情報を盗み出す”

CISA 警告 22/08/25:​​Delta/Apache/Grafana/Apple など 10件が KEV リストに追加

CISA: Vulnerability in ​​Delta Electronics ICS Software Exploited in Attacks

2022/08/26 SecurityWeek — Delta Electronics の産業用オートメーション・ソフトウェアに影響を及ぼす脆弱性が攻撃に悪用されているため、Cybersecurity and Infrastructure Security Agency (CISA) から各組織に対して早急な対処が要求されている。火曜日に CISA は、10件のセキュリティ欠陥を Known Exploited Vulnerabilities Catalog (KEV) に追加し、9月15日までに対処するよう、連邦政府機関に指示した。

Continue reading “CISA 警告 22/08/25:​​Delta/Apache/Grafana/Apple など 10件が KEV リストに追加”

macOS を狙うマルウェア XCSSET:Python 3 に対応してMonterey を執拗に追尾

XCSSET Malware Updates with Python 3 to Target macOS Monterey Users

2022/08/23 TheHackerNews — macOS マルウェア XCSSET のオペレーターは、そのソースコードを Python 3 にアップグレードすることで、macOS Monterey を侵害するための反復的な改良を行い、ステータスをアップさせている。SentinelOne の研究者である Phil Stokes と Dinesh Devadoss は「このマルウェア作者は、2020年の初期バージョンにおいては偽の Xcode.app に主要な実行ファイルを隠していたが、2021年には偽の Mail.app へと、そして、2022年には偽の Notes.app へと変更している」とレポートで述べている。

Continue reading “macOS を狙うマルウェア XCSSET:Python 3 に対応してMonterey を執拗に追尾”

ChromeOS の脆弱性 CVE-2022-2587 が FIX:Chromium の問題を Microsoft が発見

Microsoft publicly discloses details on critical ChromeOS flaw

2022/08/23 SecurityAffairs — Microsoft は、ChromeOS における深刻な脆弱性 CVE-2022-2587 (CVSS:9.8) について、詳細な情報を共有した。この脆弱性は、OS Audio Serverにおける境界外書き込みの問題であり、DoS 状態を引き起こすこともあれば、特定の状況下ではリモートコード実行のために悪用される可能性があるとのことだ。

Continue reading “ChromeOS の脆弱性 CVE-2022-2587 が FIX:Chromium の問題を Microsoft が発見”

CISA 警告 22/08/18:SAP などの7つの深刻な脆弱性を悪用リスト KEV に追加

CISA adds 7 vulnerabilities to list of bugs exploited by hackers

2022/08/19 BleepingComputer — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、ハッカーに活発に悪用されているバグのリストに7つの脆弱性を追加した。その内容は、新たな脆弱性として Apple/Microsoft/SAP/Google の4社が公開したものと、Palo Altos Networks の2017年の脆弱性で構成されている。Known Exploited Vulnerabilities Catalog (KEV) は、CISA が共有するリストであり、サイバー攻撃での活発な悪用が判明している脆弱性に対して、連邦政府民間行政機関 (FCEB) がパッチ適用の義務を負うものである。

Continue reading “CISA 警告 22/08/18:SAP などの7つの深刻な脆弱性を悪用リスト KEV に追加”

PyPI に悪意のパッケージ:Discord を改ざんしてパスワードなどを盗み出す

Malicious PyPi packages turn Discord into password-stealing malware

2022/08/17 BleepingComputer — Discord (VoIP and Instant Messaging) クライアントを、情報に隠し持つバックドアに改変し、Web ブラウザや Roblox からデータを盗むマルウェアをインストールしていく、12個の悪意の PyPI パッケージが発見された。これらの 12個のパッケージは、2022年8月1日に scaredcoder というユーザーが Python Package Index (PyPI) にアップロードしたものであり、Snyk の研究者たちにより発見された。

Continue reading “PyPI に悪意のパッケージ:Discord を改ざんしてパスワードなどを盗み出す”

Chrome/Chromium のブックマーク同期:データ流出の新たな経路になる可能性とは?

Chromium Browsers Allow Data Exfiltration via Bookmark Syncing

2022/08/02 DarkReading — ブックマーク同期機能は、最新のブラウザの標準機能となっている。この機能により、インターネット・ユーザーは、1つのデバイスで行ったブックマークへの変更を、すべてのデバイスで同時に反映させることができる。しかし、この便利なブラウザの機能は、サイバー犯罪者にとっても便利な攻撃経路となることが分かっている。つまり、ブックマークを悪用して、企業環境から大量のデータを吸い上げても、攻撃ツールや悪意のペイロードを忍び込ませても、ほとんど発見される心配がないのだ。

Continue reading “Chrome/Chromium のブックマーク同期:データ流出の新たな経路になる可能性とは?”

Facebook ページ担当者に迫る乗っ取りの脅威:LinkedIn での怪しい勧誘に御用心

LinkedIn phishing target employees managing Facebook Ad Accounts

2022/07/25 BleepingComputer — Ducktail というコードネームで呼ばれる、新しいフィッシング・キャンペーンが進行中だ。そこでは、LinkedIn に登録されている専門家がターゲットにされ、企業の広告を管理する Facebook のビジネス・アカウントが乗っ取られている。Ducktail のオペレーターは、ターゲットの範囲を絞り込み、犠牲者を慎重に選び出し、Facebook ビジネス・アカウントの管理者権限を持っている人を見つけようとする。

Continue reading “Facebook ページ担当者に迫る乗っ取りの脅威:LinkedIn での怪しい勧誘に御用心”

Chrome の使用制限:オランダの教育機関でセキュリティへの懸念が指摘される

Chrome use subject to restrictions in Dutch schools over data security concerns

2022/07/23 BleepingComputer — オランダの教育省は、データ・プライバシーへの懸念から、2023年8月まで Chrome OS/Chrome Web ブラウザの使用停止を決定した。Google サービスが、生徒たちのデータを収集し、大規模な広告ネットワークに提供するなど、教育支援以外の目的で使用することを、同教育省は危惧している。

Continue reading “Chrome の使用制限:オランダの教育機関でセキュリティへの懸念が指摘される”

Google Chrome のゼロデイ脆弱性 CVE-2022-2294 が FIX:野放し状態の攻撃を確認

Google patches new Chrome zero-day flaw exploited in attacks

2022/07/04 BleepingComputer — Google は、Chrome 103.0.5060.114 for Windows をリリースし、攻撃者に悪用される可能性のある、深刻度の高いゼロデイ脆弱性に対処した。それは、2022年にパッチが適用された、4番目の Chrome ゼロデイとなる。月曜日に公開したセキュリティ・アドバイザリで、「Google は、CVE-2022-2294 のエクスプロイトが野放しで存在することを認識している」と述べている。

Continue reading “Google Chrome のゼロデイ脆弱性 CVE-2022-2294 が FIX:野放し状態の攻撃を確認”

Google の 2022年ゼロデイ分析:古い脆弱性の派生系が 50% を占める

Google: Half of 2022’s Zero-Days Are Variants of Previous Vulnerabilities

2022/07/01 SecurityWeek — Google Project Zeroは、2022年前半に悪用された、合計 18件のゼロデイ脆弱性を観測しており、そのうちの少なくとも半分は、以前のバグが適切に対処されていなかったことに起因していると述べている。Google Project Zero の研究者である Maddie Stone によると、今年に入ってから確認された、野放し状態だったゼロデイ脆弱性のうち9件は、組織がより包括的なパッチを適用していれば防ぐことができた可能性があるという。

Continue reading “Google の 2022年ゼロデイ分析:古い脆弱性の派生系が 50% を占める”

ChromeLoader マルウェアが急増:新たな脅威が Chrome/Safari を脅かす

New ChromeLoader malware surge threatens browsers worldwide

2022/05/25 BleepingComputer — マルウェア ChromeLoader は、2022年に入っていからの検出量が平均していたが、5月に入ってからは増加しており、ブラウザ・ハイジャックの脅威を拡大させる原因となっている。ChromeLoader は、被害者の Web ブラウザーの設定を変更し、不要なソフトウェアや、偽の景品やアンケート、アダルトゲーム、出会い系サイトなどを宣伝するための、検索結果を表示するブラウザー・ハイジャッカーである。

Continue reading “ChromeLoader マルウェアが急増:新たな脅威が Chrome/Safari を脅かす”

Google のバグ報奨金プログラム:2021年は $8.7 M で前年比 30% 増の支払い額

Google Paid Record $8.7 Million to Bug Hunters in 2021

2022/02/12 DarkReading — バグバウンティ・プログラムは、外部のセキュリティ研究者と協力して、製品のセキュリティの脆弱性を特定/修正する意欲の表れであり、また、テクノロジーを標的とする潜在的な攻撃への対抗の表れでもある。Google のプラットフォームである Android/Chrome/Play は、悪意の攻撃者が標的とする、脆弱性の多い環境であり続けている。昨年に Google は、自社のテクノロジーに存在する何千もの脆弱性を発見/報告した、62カ国の 696人のバグハンターに対して過去最高額となる $8.7 million の報奨金を支払った。

Continue reading “Google のバグ報奨金プログラム:2021年は $8.7 M で前年比 30% 増の支払い額”

Chaes というバンキング・トロイの木馬が Chrome エクステンションを介して拡散

Chaes banking trojan hijacks Chrome with malicious extensions

2022/01/26 BleepingComputer — 800 以上の侵害された WordPress Web サイトを含む、大規模なキャンペーンにより、ブラジルの電子銀行ユーザーの認証情報を狙うバンキング・トロイの木馬が拡散している。Avast の研究者たちによると、このキャンペーンで使用されているトロイの木馬は Chaes と呼ばれており、2021年後半から活発に拡散しているとのことだ。

Continue reading “Chaes というバンキング・トロイの木馬が Chrome エクステンションを介して拡散”

悪意の Excel XLL アドインが RedLine マルウェアをプッシュしてパスワードを盗み出す

Malicious Excel XLL add-ins push RedLine password-stealing malware

2021/12/05 BleepingComputer — Web サイトの問合せフォームやフォーラムにスパムを送り、パスワードなどの情報を盗むマルウェア RedLine をダウンロード/インストールさせる Excel XLL ファイルが、サイバー犯罪者たちにより配布されている。RedLine は情報窃取型のトロイの木馬であり、Web ブラウザに保存されているクッキー/ユーザー名/パスワード/クレジットカードなどの情報のほか、感染したデバイスから FTP 認証情報やファイルを盗み出す。

Continue reading “悪意の Excel XLL アドインが RedLine マルウェアをプッシュしてパスワードを盗み出す”

イタリアの独占禁止当局:攻撃的なデータ慣行に対して Google と Apple に罰金

Italy’s Antitrust Regulator Fines Google and Apple for “Aggressive” Data Practices

2021/11/26 TheHackerNews — イタリアのアンチ・トラスト当局は、Apple と Google に対して、攻撃的なデータの取り扱いと、個人データの商業利用に関する明確な情報を、アカウント作成時に消費者に明示しなかったことで、それぞれに €10 million の罰金を科した。AGCM (Autorità Garante della Concorrenza e del Mercato) は、「Apple と Google は、ユーザー・データの取得と商業目的での使用について、明確かつ迅速な情報を提供していない。ハイテク企業はデータ収集を、自社サービスの向上とユーザー体験のパーソナライズに必要なものとして強調し、データが他の理由で転送/使用される可能性があることを一切示唆していない」と述べた

Continue reading “イタリアの独占禁止当局:攻撃的なデータ慣行に対して Google と Apple に罰金”

Chrome 95 ゼロデイ脆弱性と中国の Tianfu Cup ハッキング・コンテスト

Chrome 95 Update Patches Exploited Zero-Days, Flaws Disclosed at Tianfu Cup

2021/10/29 SecurityWeek — 木曜日に Google がリリースした Chrome 95 アップデートは、2つの積極的に悪用されているゼロデイ脆弱性と、先日に中国のハッキング・コンテストで公開された欠陥を修正するものだ。積極的に悪用されている脆弱性は、CVE-2021-38000 として追跡されており、Intents への信頼できない入力に対する不十分な検証の問題とされている。また、CVE-2021-38003 は、V8 JavaScript エンジンに影響をおよぼす不適切な実装の問題である。CVE-2021-38000 は9月に発見され、CVE-2021-38003は僅か3日前に確認されたものである。

Continue reading “Chrome 95 ゼロデイ脆弱性と中国の Tianfu Cup ハッキング・コンテスト”

中国の Tianfu ハッキングコンテスト:Windows 10/Linux/iOS などが陥落

Windows 10, Linux, iOS, Chrome and Many Others at Hacked Tianfu Cup 2021

2021/10/17 TheHackerNews — 中国の成都市で開催された、国際的なサイバーセキュリティ・コンテストの第4回大会 Tianfu Cup 2021 において、これまでにないオリジナルのエクスプロイトが使用され、Windows 10/iOS 15/Google Chrome/Apple Safari/Microsoft Exchange Server/Ubuntu 20 などへの侵入に成功した。

Continue reading “中国の Tianfu ハッキングコンテスト:Windows 10/Linux/iOS などが陥落”

Google Chrome のゼロデイ脆弱性が FIX:9月は2回目 94.0.4606.71 へ

Google pushes emergency Chrome update to fix two zero-days

2021/09/30 BleepingComputer — Google は、すでに攻撃者に悪用されている、Chrome の2つのゼロデイ脆弱性を修正するために、Windows/Mac/Linux 用の 94.0.4606.71 をリリースした。Google は、「脆弱性 CVE-2021-37975 と CVE-2021-37976 のエクスプロイトが、ワイルドに悪用されていることを認識している」と、本日にリリースされたセキュリティ FIX リストで述べている。

Continue reading “Google Chrome のゼロデイ脆弱性が FIX:9月は2回目 94.0.4606.71 へ”

Jupyter マルウェアの最新版:MSI インストーラーに隠れて広がり続ける

A New Jupyter Malware Version is Being Distributed via MSI Installers

2021/09/26 TheHackerNews — Jupyter は、医療機関や教育機関を狙うことで知られる .NET マルウェアであり、ほとんどのエンドポイント・スキャンを無効にすることで知られている。イスラエルの Morphisec は、「9月8日にが発見された新たな配信チェーンは、このマルウェアが継続的に活動していることを示すだけではなく、脅威アクターが効率的で回避可能な攻撃を開発し続けていることも示している。現在、攻撃の規模と範囲を調査している」と述べている。

Continue reading “Jupyter マルウェアの最新版:MSI インストーラーに隠れて広がり続ける”