Vulnerability Exploitation Probability Metric Proposed by NIST, CISA Researchers
2025/05/20 SecurityWeek — CISA と NIST の研究者たちが提案するのは、脆弱性が実際に悪用される可能性を算出するための、新たなサイバー・セキュリティ指標である。NIST の Peter Mell と CISA の Jonathan Spring が発表したのは、Likely Exploited Vulnerabilities (LEV) と呼ばれる指標の計算式を解説する論文である。ソフトウェアとハードウェアにおいて、毎年、数千件もの脆弱性が発見されている、実際に悪用されるのは、そのうちのごく一部である。
Continue reading “LEV による KEV と EPSS の強化:CISA と NIST の研究者が新たな指標の計算式を発表”Electron Team Addresses “runAsNode” CVE Misconceptions
2024/02/11 SecurityOnline — 日進月歩のソフトウェア開発において、セキュリティは常に最重要課題であり、特に脆弱性が報告された場合には、多くの人々に影響が生じる。先日に Electron 開発チームは、Discord/Postman/Notion/Evernote などの macOS アプリに関連する、複数の CVE が公開されたことを受け、この懸念の嵐に直面した。これらの脆弱性では、”runAsNode” と “enableNodeCliInspectArguments” の設定が問題のコアとされ、報告された脆弱性の本質と深刻度について重要な対話が巻き起こった。
Continue reading “Critical と評価される脆弱性が多すぎる:Electron 開発チームの主張とは?”CVSS 4.0 Offers Significantly More Patching Context
2023/11/08 DarkReading — 先週にリリースされた Common Vulnerability Scoring System の最新版である CVSS 4.0 により、それぞれの組織は、セキュリティ・バグが特定の環境にもたらす可能性のあるリスクを、より適切に評価/管理できるようになるはずだ。しかし、CVSS 4.0 が本当に役に立つかどうかは、CVSS 4.0に含まれる新しいメトリクスの全てを使用して、よりスマートな脆弱性の優先順位付けに必要な、コンテキストを構築する意欲と能力にかかっている。
Continue reading “CVSS 4.0:パッチの優先順位つけに多様なコンテキストを提供”Cloud to Blame for Almost all Security Vulnerabilities
2023/09/15 InfoSecurity — Palo Alto Networks の Unit 42 が、最新の攻撃サーフェス脅威リサーチで明らかにしたのは、あらゆる業種の組織で観測されるセキュリティ脆弱性の 80.3% が、クラウド環境に起因しているという状況である。この、2023年9月14日に発表されたレポートでは、最も一般的なクラウド・セキュリティの欠陥について概説しているが、Web フレームワークの乗っ取り (22.8%) および、リモートアクセスサービス (20.1%)、IT セキュリティとネットワークインフラ (17.1%) などが原因の上位を占めているという。
Continue reading “脆弱性が発生する場所は? かなりの部分がクラウドに偏在している – Palo Alto Networks”
IoT OT Security News 