Chrome/Edge のスペルチェック機能の問題:ユーザーの個人情報が G/M に送信されている?

Google, Microsoft can get your passwords via web browser’s spellcheck

2022/09/17 BleepingComputer — Web ブラウザ Google Chrome/Microsoft Edge の拡張スペルチェック機能は、個人情報 (PII:Personally Identifiable Information) や、場合によってはパスワードを含むフォームデータを、Google と Microsoft に送信することが判明した。これは、これらの Web ブラウザの一般的な機能かもしれない。しかし、送信後のデータの取り扱いについては、特にパスワード・フィールドに関しては、どれほどの安全性が担保されるのかという点で懸念が生じる。

Continue reading “Chrome/Edge のスペルチェック機能の問題:ユーザーの個人情報が G/M に送信されている?”

Chrome 105 に 11件の脆弱性:メモリの安全性に対する取り組みが続く

Chrome 105 Update Patches High-Severity Vulnerabilities

2022/09/15 SecurityWeek — 9月2日に Google は、外部の研究者から報告された7つの深刻なバグを含む、全体で 11件の脆弱性を修正する Chrome 105 アップデートのリリースを発表した。このセキュリティ問題のリストで注目されるのは、Chrome の Storage コンポーネントにおける境界外書き込みが挙げられる。続いて、PDF コンポーネントにおける3つの use-after-free の不具合と、Frames における4つ目の use-after-free の不具合が存在する。

Continue reading “Chrome 105 に 11件の脆弱性:メモリの安全性に対する取り組みが続く”

Microsoft Defender の誤検出:Chrome/Edge などを Win32/Hive.ZY と間違える

Microsoft Defender falsely detects Win32/Hive.ZY in Google Chrome, Electron apps

2022/09/04 BleepingComputer — Win32/Hive.ZY 誤検知の修正に必要な、Defender の更新バージョンなどの、記事の追加更新も末尾に追記されている— Microsoft Defender におけるシグネチャー更新の失敗により、Google Chrome/Microsoft Edge/Discord に加えて各種の Electron アプリが、Windows 上でオープンされるたびに、Win32/Hive.ZY として誤検出されている。

Continue reading “Microsoft Defender の誤検出:Chrome/Edge などを Win32/Hive.ZY と間違える”

Google Chrome の緊急アップデート:新たなゼロデイ CVE-2022-3075 を FIX

Google Chrome emergency update fixes new zero-day used in attacks

2022/09/02 BleepingComputer — Google は、Chrome for Windows/Mac/Linux 105.0.5195.102 をリリースし、2022年に入って攻撃に悪用された、6番目のゼロデイ脆弱性にパッチを適用した。同社は、金曜日に公開したセキュリティ・ アドバイザリで、「我々は、脆弱性 CVE-2022-3075 が、野放し状態で悪用されていると認識している」と述べている。Google によると、この新バージョンは Stable Desktop チャンネルで展開されており、数日〜数週間のうちに全ユーザーに行き渡るようだ。

Continue reading “Google Chrome の緊急アップデート:新たなゼロデイ CVE-2022-3075 を FIX”

Google Manifest V3 対応:広告ブロック・エクステンション AdGuard が実験を開始

AdGuard’s new ad blocker struggles with Google’s Manifest v3 rules

2022/08/31 BleepingComputer — Google の Manifest V3 に対応する、初めての Chrome 広告ブロック・エクステンションが利用可能になった。このエクステンション用の Manifest とは、Chrome ブラウザ・エクステンションに、開発者が取り込む権限や能力の概要を示すものだ。Manifest V3 で Google は、webRequest API を変更し、ユーザーに表示される前のデータを、エクステンションが変更することをブロックした。それにより、広告ブロックが無意味になってしまった。

Continue reading “Google Manifest V3 対応:広告ブロック・エクステンション AdGuard が実験を開始”

Chrome の深刻なバク:悪意の Web サイトによるクリップボード上書きが証明された

Google Chrome bug lets sites write to clipboard without asking

2022/08/31 BleepingComputer — Chrome Version 104 で、事故とも言えるバグの混入が発生した。それは、訪問した Web サイトから、クリップボードへの書き込みイベントを承認するための、ユーザー要件が削除されるというものだ。この機能は、Google Chromeに限ったものではない。Safari と Firefox も、Web ページからシステムのクリップボードへの書き込みを許可しているが、ジェスチャーによる保護が施されている。

Continue reading “Chrome の深刻なバク:悪意の Web サイトによるクリップボード上書きが証明された”

Chrome に潜む悪意のエクステンション:140万人のユーザーから情報を盗み出す

Chrome extensions with 1.4 million installs steal browsing data

2022/08/30 BleepingComputer — McAfee の脅威アナリストたちは、ユーザーの閲覧履歴を盗み出す、5つの Google Chrome エクステンションを発見した。これらのエクステンションは、合計で 140万回以上もダウンロードされている。一連のエクステンションの目的は、アフィリエイト料を騙し取ることになる。具体的には、ユーザーが eコマースサイトを訪問した際に監視を行い、訪問者のクッキーを変更して、あたかもリファラー・リンクを経由し訪問したように見せかける。それにより、エクステンションの作者は、eコマースサイトでの購入に際して、アフィリエイト料を不正に得ていく。

Continue reading “Chrome に潜む悪意のエクステンション:140万人のユーザーから情報を盗み出す”

CISA 警告 22/08/25:​​Delta/Apache/Grafana/Apple など 10件が KEV リストに追加

CISA: Vulnerability in ​​Delta Electronics ICS Software Exploited in Attacks

2022/08/26 SecurityWeek — Delta Electronics の産業用オートメーション・ソフトウェアに影響を及ぼす脆弱性が攻撃に悪用されているため、Cybersecurity and Infrastructure Security Agency (CISA) から各組織に対して早急な対処が要求されている。火曜日に CISA は、10件のセキュリティ欠陥を Known Exploited Vulnerabilities Catalog (KEV) に追加し、9月15日までに対処するよう、連邦政府機関に指示した。

Continue reading “CISA 警告 22/08/25:​​Delta/Apache/Grafana/Apple など 10件が KEV リストに追加”

macOS を狙うマルウェア XCSSET:Python 3 に対応してMonterey を執拗に追尾

XCSSET Malware Updates with Python 3 to Target macOS Monterey Users

2022/08/23 TheHackerNews — macOS マルウェア XCSSET のオペレーターは、そのソースコードを Python 3 にアップグレードすることで、macOS Monterey を侵害するための反復的な改良を行い、ステータスをアップさせている。SentinelOne の研究者である Phil Stokes と Dinesh Devadoss は「このマルウェア作者は、2020年の初期バージョンにおいては偽の Xcode.app に主要な実行ファイルを隠していたが、2021年には偽の Mail.app へと、そして、2022年には偽の Notes.app へと変更している」とレポートで述べている。

Continue reading “macOS を狙うマルウェア XCSSET:Python 3 に対応してMonterey を執拗に追尾”

ChromeOS の脆弱性 CVE-2022-2587 が FIX:Chromium の問題を Microsoft が発見

Microsoft publicly discloses details on critical ChromeOS flaw

2022/08/23 SecurityAffairs — Microsoft は、ChromeOS における深刻な脆弱性 CVE-2022-2587 (CVSS:9.8) について、詳細な情報を共有した。この脆弱性は、OS Audio Serverにおける境界外書き込みの問題であり、DoS 状態を引き起こすこともあれば、特定の状況下ではリモートコード実行のために悪用される可能性があるとのことだ。

Continue reading “ChromeOS の脆弱性 CVE-2022-2587 が FIX:Chromium の問題を Microsoft が発見”

CISA 警告 22/08/18:SAP などの7つの深刻な脆弱性を悪用リスト KEV に追加

CISA adds 7 vulnerabilities to list of bugs exploited by hackers

2022/08/19 BleepingComputer — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、ハッカーに活発に悪用されているバグのリストに7つの脆弱性を追加した。その内容は、新たな脆弱性として Apple/Microsoft/SAP/Google の4社が公開したものと、Palo Altos Networks の2017年の脆弱性で構成されている。Known Exploited Vulnerabilities Catalog (KEV) は、CISA が共有するリストであり、サイバー攻撃での活発な悪用が判明している脆弱性に対して、連邦政府民間行政機関 (FCEB) がパッチ適用の義務を負うものである。

Continue reading “CISA 警告 22/08/18:SAP などの7つの深刻な脆弱性を悪用リスト KEV に追加”

PyPI に悪意のパッケージ:Discord を改ざんしてパスワードなどを盗み出す

Malicious PyPi packages turn Discord into password-stealing malware

2022/08/17 BleepingComputer — Discord (VoIP and Instant Messaging) クライアントを、情報に隠し持つバックドアに改変し、Web ブラウザや Roblox からデータを盗むマルウェアをインストールしていく、12個の悪意の PyPI パッケージが発見された。これらの 12個のパッケージは、2022年8月1日に scaredcoder というユーザーが Python Package Index (PyPI) にアップロードしたものであり、Snyk の研究者たちにより発見された。

Continue reading “PyPI に悪意のパッケージ:Discord を改ざんしてパスワードなどを盗み出す”

Chrome/Chromium のブックマーク同期:データ流出の新たな経路になる可能性とは?

Chromium Browsers Allow Data Exfiltration via Bookmark Syncing

2022/08/02 DarkReading — ブックマーク同期機能は、最新のブラウザの標準機能となっている。この機能により、インターネット・ユーザーは、1つのデバイスで行ったブックマークへの変更を、すべてのデバイスで同時に反映させることができる。しかし、この便利なブラウザの機能は、サイバー犯罪者にとっても便利な攻撃経路となることが分かっている。つまり、ブックマークを悪用して、企業環境から大量のデータを吸い上げても、攻撃ツールや悪意のペイロードを忍び込ませても、ほとんど発見される心配がないのだ。

Continue reading “Chrome/Chromium のブックマーク同期:データ流出の新たな経路になる可能性とは?”

Facebook ページ担当者に迫る乗っ取りの脅威:LinkedIn での怪しい勧誘に御用心

LinkedIn phishing target employees managing Facebook Ad Accounts

2022/07/25 BleepingComputer — Ducktail というコードネームで呼ばれる、新しいフィッシング・キャンペーンが進行中だ。そこでは、LinkedIn に登録されている専門家がターゲットにされ、企業の広告を管理する Facebook のビジネス・アカウントが乗っ取られている。Ducktail のオペレーターは、ターゲットの範囲を絞り込み、犠牲者を慎重に選び出し、Facebook ビジネス・アカウントの管理者権限を持っている人を見つけようとする。

Continue reading “Facebook ページ担当者に迫る乗っ取りの脅威:LinkedIn での怪しい勧誘に御用心”

Chrome の使用制限:オランダの教育機関でセキュリティへの懸念が指摘される

Chrome use subject to restrictions in Dutch schools over data security concerns

2022/07/23 BleepingComputer — オランダの教育省は、データ・プライバシーへの懸念から、2023年8月まで Chrome OS/Chrome Web ブラウザの使用停止を決定した。Google サービスが、生徒たちのデータを収集し、大規模な広告ネットワークに提供するなど、教育支援以外の目的で使用することを、同教育省は危惧している。

Continue reading “Chrome の使用制限:オランダの教育機関でセキュリティへの懸念が指摘される”

Google Chrome のゼロデイ脆弱性 CVE-2022-2294 が FIX:野放し状態の攻撃を確認

Google patches new Chrome zero-day flaw exploited in attacks

2022/07/04 BleepingComputer — Google は、Chrome 103.0.5060.114 for Windows をリリースし、攻撃者に悪用される可能性のある、深刻度の高いゼロデイ脆弱性に対処した。それは、2022年にパッチが適用された、4番目の Chrome ゼロデイとなる。月曜日に公開したセキュリティ・アドバイザリで、「Google は、CVE-2022-2294 のエクスプロイトが野放しで存在することを認識している」と述べている。

Continue reading “Google Chrome のゼロデイ脆弱性 CVE-2022-2294 が FIX:野放し状態の攻撃を確認”

Google の 2022年ゼロデイ分析:古い脆弱性の派生系が 50% を占める

Google: Half of 2022’s Zero-Days Are Variants of Previous Vulnerabilities

2022/07/01 SecurityWeek — Google Project Zeroは、2022年前半に悪用された、合計 18件のゼロデイ脆弱性を観測しており、そのうちの少なくとも半分は、以前のバグが適切に対処されていなかったことに起因していると述べている。Google Project Zero の研究者である Maddie Stone によると、今年に入ってから確認された、野放し状態だったゼロデイ脆弱性のうち9件は、組織がより包括的なパッチを適用していれば防ぐことができた可能性があるという。

Continue reading “Google の 2022年ゼロデイ分析:古い脆弱性の派生系が 50% を占める”

ChromeLoader マルウェアが急増:新たな脅威が Chrome/Safari を脅かす

New ChromeLoader malware surge threatens browsers worldwide

2022/05/25 BleepingComputer — マルウェア ChromeLoader は、2022年に入っていからの検出量が平均していたが、5月に入ってからは増加しており、ブラウザ・ハイジャックの脅威を拡大させる原因となっている。ChromeLoader は、被害者の Web ブラウザーの設定を変更し、不要なソフトウェアや、偽の景品やアンケート、アダルトゲーム、出会い系サイトなどを宣伝するための、検索結果を表示するブラウザー・ハイジャッカーである。

Continue reading “ChromeLoader マルウェアが急増:新たな脅威が Chrome/Safari を脅かす”

Google のバグ報奨金プログラム:2021年は $8.7 M で前年比 30% 増の支払い額

Google Paid Record $8.7 Million to Bug Hunters in 2021

2022/02/12 DarkReading — バグバウンティ・プログラムは、外部のセキュリティ研究者と協力して、製品のセキュリティの脆弱性を特定/修正する意欲の表れであり、また、テクノロジーを標的とする潜在的な攻撃への対抗の表れでもある。Google のプラットフォームである Android/Chrome/Play は、悪意の攻撃者が標的とする、脆弱性の多い環境であり続けている。昨年に Google は、自社のテクノロジーに存在する何千もの脆弱性を発見/報告した、62カ国の 696人のバグハンターに対して過去最高額となる $8.7 million の報奨金を支払った。

Continue reading “Google のバグ報奨金プログラム:2021年は $8.7 M で前年比 30% 増の支払い額”

Chaes というバンキング・トロイの木馬が Chrome エクステンションを介して拡散

Chaes banking trojan hijacks Chrome with malicious extensions

2022/01/26 BleepingComputer — 800 以上の侵害された WordPress Web サイトを含む、大規模なキャンペーンにより、ブラジルの電子銀行ユーザーの認証情報を狙うバンキング・トロイの木馬が拡散している。Avast の研究者たちによると、このキャンペーンで使用されているトロイの木馬は Chaes と呼ばれており、2021年後半から活発に拡散しているとのことだ。

Continue reading “Chaes というバンキング・トロイの木馬が Chrome エクステンションを介して拡散”

悪意の Excel XLL アドインが RedLine マルウェアをプッシュしてパスワードを盗み出す

Malicious Excel XLL add-ins push RedLine password-stealing malware

2021/12/05 BleepingComputer — Web サイトの問合せフォームやフォーラムにスパムを送り、パスワードなどの情報を盗むマルウェア RedLine をダウンロード/インストールさせる Excel XLL ファイルが、サイバー犯罪者たちにより配布されている。RedLine は情報窃取型のトロイの木馬であり、Web ブラウザに保存されているクッキー/ユーザー名/パスワード/クレジットカードなどの情報のほか、感染したデバイスから FTP 認証情報やファイルを盗み出す。

Continue reading “悪意の Excel XLL アドインが RedLine マルウェアをプッシュしてパスワードを盗み出す”

イタリアの独占禁止当局:攻撃的なデータ慣行に対して Google と Apple に罰金

Italy’s Antitrust Regulator Fines Google and Apple for “Aggressive” Data Practices

2021/11/26 TheHackerNews — イタリアのアンチ・トラスト当局は、Apple と Google に対して、攻撃的なデータの取り扱いと、個人データの商業利用に関する明確な情報を、アカウント作成時に消費者に明示しなかったことで、それぞれに €10 million の罰金を科した。AGCM (Autorità Garante della Concorrenza e del Mercato) は、「Apple と Google は、ユーザー・データの取得と商業目的での使用について、明確かつ迅速な情報を提供していない。ハイテク企業はデータ収集を、自社サービスの向上とユーザー体験のパーソナライズに必要なものとして強調し、データが他の理由で転送/使用される可能性があることを一切示唆していない」と述べた

Continue reading “イタリアの独占禁止当局:攻撃的なデータ慣行に対して Google と Apple に罰金”

Chrome 95 ゼロデイ脆弱性と中国の Tianfu Cup ハッキング・コンテスト

Chrome 95 Update Patches Exploited Zero-Days, Flaws Disclosed at Tianfu Cup

2021/10/29 SecurityWeek — 木曜日に Google がリリースした Chrome 95 アップデートは、2つの積極的に悪用されているゼロデイ脆弱性と、先日に中国のハッキング・コンテストで公開された欠陥を修正するものだ。積極的に悪用されている脆弱性は、CVE-2021-38000 として追跡されており、Intents への信頼できない入力に対する不十分な検証の問題とされている。また、CVE-2021-38003 は、V8 JavaScript エンジンに影響をおよぼす不適切な実装の問題である。CVE-2021-38000 は9月に発見され、CVE-2021-38003は僅か3日前に確認されたものである。

Continue reading “Chrome 95 ゼロデイ脆弱性と中国の Tianfu Cup ハッキング・コンテスト”

中国の Tianfu ハッキングコンテスト:Windows 10/Linux/iOS などが陥落

Windows 10, Linux, iOS, Chrome and Many Others at Hacked Tianfu Cup 2021

2021/10/17 TheHackerNews — 中国の成都市で開催された、国際的なサイバーセキュリティ・コンテストの第4回大会 Tianfu Cup 2021 において、これまでにないオリジナルのエクスプロイトが使用され、Windows 10/iOS 15/Google Chrome/Apple Safari/Microsoft Exchange Server/Ubuntu 20 などへの侵入に成功した。

Continue reading “中国の Tianfu ハッキングコンテスト:Windows 10/Linux/iOS などが陥落”

Google Chrome のゼロデイ脆弱性が FIX:9月は2回目 94.0.4606.71 へ

Google pushes emergency Chrome update to fix two zero-days

2021/09/30 BleepingComputer — Google は、すでに攻撃者に悪用されている、Chrome の2つのゼロデイ脆弱性を修正するために、Windows/Mac/Linux 用の 94.0.4606.71 をリリースした。Google は、「脆弱性 CVE-2021-37975 と CVE-2021-37976 のエクスプロイトが、ワイルドに悪用されていることを認識している」と、本日にリリースされたセキュリティ FIX リストで述べている。

Continue reading “Google Chrome のゼロデイ脆弱性が FIX:9月は2回目 94.0.4606.71 へ”

Jupyter マルウェアの最新版:MSI インストーラーに隠れて広がり続ける

A New Jupyter Malware Version is Being Distributed via MSI Installers

2021/09/26 TheHackerNews — Jupyter は、医療機関や教育機関を狙うことで知られる .NET マルウェアであり、ほとんどのエンドポイント・スキャンを無効にすることで知られている。イスラエルの Morphisec は、「9月8日にが発見された新たな配信チェーンは、このマルウェアが継続的に活動していることを示すだけではなく、脅威アクターが効率的で回避可能な攻撃を開発し続けていることも示している。現在、攻撃の規模と範囲を調査している」と述べている。

Continue reading “Jupyter マルウェアの最新版:MSI インストーラーに隠れて広がり続ける”

Google Chrome/Chromium で発見された Spook.js サイドチャネル攻撃とは?

Spook.js – New side-channel attack can bypass Google Chrome’s protections against Spectre-style exploits

2021/09/10 DailySwig — Google Chrome を標的とする、サイドチャネル攻撃が新たに発見された。攻撃者は、この Web ブラウザのセキュリティ保護機能を回避し、Spectre 型攻撃を用いて機密情報を取得できる。この、Spook.js と名付けられたサイドチャネル攻撃は、投機的実行 (Spectre) 攻撃に対するChromeの防御機能を回避し、認証情報や個人情報などを盗み出すことができます。

Continue reading “Google Chrome/Chromium で発見された Spook.js サイドチャネル攻撃とは?”

Google Chrome のゼロデイ・エクスプロイトが FIX

Google patches 8th Chrome zero-day exploited in the wild this year

2021/07/16 BleepingComputer — Google は、Chrome 91.0.4472.164 を Windows / Mac / Linux 向けにリリースし、7つの 脆弱性を修正した。そのうちの1つは、すでに悪用されている、深刻度の高いゼロデイ脆弱性である。Google は、「脆弱性 CVE-2021-30563 の、エクスプロイトが存在するという報告を認識している」 と明らかにしている。

Continue reading “Google Chrome のゼロデイ・エクスプロイトが FIX”

Google: ロシアン・ハッカーたちが Safari ゼロデイで LinkedIn ユーザーを狙う

Google: Russian SVR hackers targeted LinkedIn users with Safari zero-day

2021.07/14 BleepingComputer — Google Threat Analysis Group (TAG) と Google Project Zero の研究者たちは、Google Chrome / Internet Explorer / Apple Safari で使用されている WebKit の、4つのゼロデイ脆弱性を明らかにした。今年の初めに Google の研究者により発見された4つのゼロデイ・エクスプロイトは、悪用の実例があるものになった。

・ Chrome の CVE-2021-21166 / CVE-2021-30551
・ Internet Explorer の CVE-2021-33742
・ WebKit (Safari) の CVE-2021-1879

Continue reading “Google: ロシアン・ハッカーたちが Safari ゼロデイで LinkedIn ユーザーを狙う”

STRRAT RAT というランサムウェアに似たトロイの木馬にご用心

STRRAT RAT spreads masquerading as ransomware

2021/05/20 SecurityAffairs — Microsoft Security Intelligence の研究者たちが、STRRAT と呼ばれるリモート・アクセス・トロイの木馬(RAT : remote access trojan)を拡散する、マルウェア・キャンペーンのソンザイを確認した。この RAT は、ランサムウェア攻撃を装いながら、被害者からデータを盗むように設計されている。

Continue reading “STRRAT RAT というランサムウェアに似たトロイの木馬にご用心”