CISA Warns of Active Exploitation of Chromium and Spreadsheet::ParseExcel
2024/01/02 SecurityOnline — 米国 CISA (Cybersecurity and Infrastructure Security Agency) は、サイバー脅威との継続的な戦いを強調する、重大な警告を発した。同庁は、2024年1月2日に2つの深刻な脆弱性を KEV (Known Exploited Vulnerabilities:既知の脆弱性) カタログに追加し、ユーザーと連邦政府機関に早急な対策の必要性を警告している。
Continue reading “CISA KEV 警告 24/01/02:Google Chromium/Spreadsheet::ParseExcel の2件の脆弱性を追加”Google Groups is ending support for Usenet to combat spam
2024/01/02 BleepingComputer — Google が先日に公式に発表したのは、Google Groups プラットフォームにおける、 Usenet グループのサポート終了だ。このサポートの終了は、2024年2月22日に実施され、それ以降においてユーザーは、Google Groups で新しい Usenet コンテンツの投稿/購読/閲覧ができなくなる。ただし、2月22日以前に投稿された、過去の Usenet コンテンツは、引き続き Google Groups で閲覧/検索できるという。
Continue reading “Google Groups が Usenet のサポート終了を発表:蔓延するスパム対策のため”Malware abuses Google OAuth endpoint to ‘revive’ cookies, hijack accounts
2023/12/29 BleepingComputer — 複数の情報窃取型マルウェア・ファミリーが、情報が文書化されていない MultiLogin という、Google OAuth エンドポイントを悪用していることが判明した。このエンドポイントを悪用することで、たとえアカウントのパスワードがリセットされた後でも、期限切れの認証クッキーを復元して、ユーザーのアカウントにログインすることが可能になる。セッション・クッキーとは、認証情報を含む特殊なブラウザ・クッキーであり、認証情報を入力することなく、Web サイトやサービスに自動的にログインできるようにするものだ。この種のクッキーは有効期間が限られているため、脅威アクターがクッキーを盗んだとしても、アカウントへのログインのために無期限に使用することはできないのが通常である。
Continue reading “OAuth エンドポイント MultiLogin:Google 認証クッキー復元の PoC もリリース”Google Chrome adds background scans for compromised passwords
2023/12/24 BleepingComputer — Google Chrome の Safety Check 機能は、Web ブラウザに保存されたパスワードの漏洩の有無をチェックために、バックグラウンドで動作するという。また、危険と判断されたエクステンション (Chrome Web ストアから削除されたもの) を使用している場合には、デスクトップ・ユーザーに警告を発する。Chrome の最新バージョンを使用していて、セーフ・ブラウジングが有効化されている場合には、Google のブラック・リストにある Web サイトをブロックする。
Continue reading “Google Chrome 安全性が向上:脆弱なパスワードなどを教えてくれる”Fake VPN Chrome extensions force-installed 1.5 million times
2023/12/22 BleepingComputer — VPN (Virtual Private Networks) を装う悪意の Chrome エクステンションが、150万回もダウンロードされていることが判明した。この悪意のエクステンションは、ブラウザ・ハイジャッカー/キャッシュバック・ハックツール/データ・スティーラーとしての、3つの機能を有しているという。この悪質なエクステンションを発見した ReasonLabs によると、それらのエクステンションは、Grand Theft Auto/Assassins Creed/The Sims 4 などの、人気ビデオゲームの海賊版に隠されたインストーラーを介して、多数のサイトから拡散しているという。
Continue reading “悪意の VPN Chrome エクステンション:すでに 150万回インストールされている”Google fixes 8th Chrome zero-day exploited in attacks this year
2023/12/20 BleepingComputer — Google Chrome のゼロデイ脆弱性を修正するための、緊急アップデートが公開された。Google は、「脆弱性 CVE-2023-7024 が、野放し状態で悪用されていることを認識している」と述べている。このゼロデイバグが Google に報告された翌日に、世界中の Stable Desktop チャンネル・ユーザー向けに修正版が提供された。Windows 版の 120.0.6099.129/130 と、Mac/Linux 版の120.0.6099.129 が、パッチ適用済のバージョンである。
Continue reading “Google Chrome ゼロデイ脆弱性 CVE-2023-7024 が FIX:WebRTC フレームワークの欠陥”Google’s New Tracking Protection in Chrome Blocks Third-Party Cookies
2023/12/15 TheHackerNews — Google が 12月14日に発表したのは、Web ブラウザのサードパーティ・クッキーレス対策の一環としての、新たな機能である “Tracking Protection” のテストの開始である。このテストは、Chrome ユーザーの1%を対象にして、2024年1月4日から開始される予定だという。
Continue reading “Chrome Privacy Sandbox の新機能 Tracking Protection:2024年1月からテストが開始”Google Chrome’s new cache change could boost performance
2023/12/02 BleepingComputer — Google Chrome の Back/Forward Cache (BFCache) 動作に、大きな変更が加えられた。それにより、ブラウザのキャッシュにページを保存を、Web マスターが行わないように指定した場合であっても、Web ページはキャッシュに保存されるようになる。
Continue reading “Google Chrome におけるキャッシュの役割:その再定義により何が変わるのか?”Exposed: Hidden Risks in Google Workspace’s Domain Delegation
2023/12/01 SecurityOnline — Google Workspace の Domain-Wide Delegation 機能に深刻なリスクが潜んでいることが、Palo Alto Networks の Unit 42 研究者たちより明らかにされた。この発見は、Google Cloud Platform (GCP) から Google Workspace ドメイン・データを悪用する可能性に光を当てるものだ。進化を続けるクラウド・コンピューティングの領域において、各種のサービスで見過ごされがちな、複雑な脆弱性を浮き彫りにするものである。
Continue reading “GCP から Google Workspace への横移動と攻撃:Domain-Wide Delegation の深刻なリスク”Google Unveils RETVec – Gmail’s New Defense Against Spam and Malicious Emails
2023/11/30 TheHackerNews — Google が公開したのは、RETVec (Resilient and Efficient Text Vectorizer の略) と呼ばれる新たな多言語テキスト・ベクタライザーである。それにより、Gmail 内のスパムや悪意のメールなどの、有害と推定されるコンテンツの検出が推進される。GitHub 上のプロジェクト説明には、RETVec は、挿入/削除/タイプミス/ホモグリフ/ LEET 置換などなどの、文字レベルでの悪意の操作に対して、回復力を持つように訓練されている。RETVec モデルは、すべての UTF-8 文字と単語を効率的に変換するための、新たな文字エンコーダー上で学習される」と記されている。
Continue reading “Google が公表した RETVec:Gmail からスパムや敵対行為を取り除くベクタラーザーとは?”AI Boosts Malware Detection Rates by 70%
2023/11/29 InfoSecurity — 脅威インテリジェンス共有プラットフォーム VirusTotal が発表したのは、マルウェア分析を強化するサイバー防御者たちが、AI を活用する方法を示す新たな調査結果である。VirusTotal が、この調査を通じて明らかにしたのは、AI が悪意のコードの解析に対して極めて有効であり、従来の手法と比較して 70% も多くの、悪意のスクリプトを特定する能力を持っていることだ。
Continue reading “VirusTotal における AI の活用:マルウェア検出が 70% も向上している”Google Chrome emergency update fixes 5th zero-day exploited in 2023
2023/11/29 BleepingComputer — Google Chrome の緊急セキュリティ・アップデートがリリースされ、今年で5件目となるゼロデイ脆弱性の悪用への対処が行われた。今日のセキュリティ・アドバイザリで Google は、この脆弱性 CVE-2023-6345 に対するエクスプロイトの存在を認めている。Google は、「脆弱性 CVE-2023-6345 が、野放し状態で悪用されていることを認識している」と述べている。
Continue reading “Google Chrome のゼロデイ脆弱性 CVE-2023-6345 が FIX:野放し状態で悪用されている”How passkeys are reshaping user security and convenience
2023/11/28 HelpNetSecurity — この Help Net Security のインタビューは、1Password の Head of Passwordless である Anna Pobletts が、Passkeys の導入と 2024年のその加速について語ったものだ。この傾向は、特にフィンテックや銀行などの規制の厳しいサービスにおいて顕著になっており、それらのユーザーはシンプルで馴染みのあるサインイン体験を求めている。Anna Pobletts は、パスワードレス認証がヘルプデスクや IT リソースの負担を軽減する方法と、ビジネスの加速/増収などの、より差し迫った問題に対して、時間とエネルギーを注ぐための方法についても述べている。
Continue reading “Passkeys の導入が拡大:2024年はイケイケで さらに加速?”Google confirms plans to phase out third-party cookies
2023/11/18 BleepingComputer — Google におけるサードパーティ・クッキーは、プライバシー・サンドボックス施策の主要な要素であり、それを段階的に廃止いていく計画が、正式に発表された。この段階的なアプローチは、2024年の序盤にユーザーの1%を対照したテスト期間から始まり、2024 Q3 にはより広範な段階的廃止に移行するという。
Continue reading “Google とサードパーティ・クッキー:段階的な廃止計画を公式に発表”Google Adds Passkey Support to New Titan Security Key
2023/11/16 SecurityWeek — 今週に Google は、Passkeys サポートを追加した、Titan セキュリティ・キーの新バージョンを発表した。Titan セキュリティ・キーは、フィッシングに強い二要素認証デバイスであり、連動するアプリケーションの数も増えている。Google の新たな Titan セキュリティ・キーは、NFC 機能を備えた USB-A/USB-C のモデルであり、従来からのモデルを置き換えるものとなる。
Continue reading “Google の Titan セキュリティ・キー:Passkeys 対応モデルを $30 で!”Zimbra Zero-Day Exploited to Hack Government Emails
2023/11/16 SecurityWeek — 11月16日 (木) に Google の TAG (Threat Analysis Group) が明らかにしたのは、2023年の初頭に Zimbra Collaboration Suite のゼロデイ脆弱性が悪用され、数カ国の政府組織から電子メールデータが盗まれたことである。この脆弱性 CVE-2023-37580 の存在は、7月中旬に Zimbra が、同社の電子メール・サーバー・ソリューションの顧客に通知した際に判明している。
Continue reading “Zimbra の脆弱性 CVE-2023-37580:ゼロデイの隙間で侵害が発生”BlackCat Ransomware Gang Targets Businesses Via Google Ads
2023/11/15 InfoSecurity — 悪名高い ALPHV/BlackCat ランサムウェアが、Google 広告を利用してマルウェアを配布していることが確認された。eSentire の Threat Response Unit (TRU) によると、このグループは $100M 規模の MGM Resorts の情報流出や、乳がん患者の機密画像流出事件を引き起こし、さらに攻撃手法をマルバタイジングに拡大しているという。
Continue reading “ALPHV/BlackCat ランサムウェア:マルウェアの配布に Google 広告を悪用”Google Warns How Hackers Could Abuse Calendar Service as a Covert C2 Channel
2023/11/06 TheHackerNews — Google Calendar サービスを悪用して、Command and Control (C2) インフラをホストする PoC エクスプロイトを、複数の脅威アクターが共有していることを、Google 自身が警告している。この、Google Calendar RAT (GCR) と呼ばれるツールは、Gmail アカウントを介して、C2 サーバとして Google Calendar Events を悪用するものだ。そして、2023年6月に GitHub に公開さてから、脅威アクターたちの間で共有されているという。
Continue reading “Google Calendar の悪用が露見:イベント記述を介して C2 通信が行われる”UK AI Safety Institute: A Blueprint for the Future of AI?
2023/11/03 InfoSecurity — 英国の Frontier AI Taskforce は、2023年4月にファウンデーション・モデル・タスクフォースとして発足した政府出資のイニシアチブである。しかし同機関は、英国 AI Safety Institute へと進化しつつある。Rishi Sunak 英国首相は、2023年11月2日に英国ブレッチリー・パークで開催された AI Safety Summit の閉会スピーチで、同研究所の設立を発表した。この新組織における英国政府の目的は、新たなタイプのAI の安全性テストを任務とする世界的なハブにすることだと、Sunak 首相は述べている。
Continue reading “UK AI Safety Institute が設立: AI の未来への青写真とは?”Google Chrome’s new “IP Protection” will hide users’ IP addresses
2023/10/22 BleepingComputer — Google がテストを進めている、Chrome の新機能 “IP Protection” は、プロキシ・サーバを用いて IP アドレスをマスキングし、ユーザーのプライバシーを強化するものだ。機密情報の追跡のために、IP アドレスが悪用される可能性について、Google は認識している、そして、ユーザーのプライバシー確保と、Web の本質的な機能との間で、バランスを取ろうとしている。
Continue reading “Chrome の新機能 IP Protection:IP アドレスのマスキングでユーザーのプライバシーを強化”Fake KeePass site uses Google Ads and Punycode to push malware
2023/10/19 BleepingComputer — Punycode を用いて KeePass パスワード・マネージャーの公式ドメインを装い、マルウェアを配布する偽 KeePass ダウンロード・サイトをプッシュするという、Google 広告キャンペーンが発見された。Google が戦っている、現在進行中の不正広告キャンペーンとは、検索結果の上に表示されるスポンサー広告を、脅威アクターが写し取るものである。
Continue reading “KeePass の偽サイトに御用心:Google Ads と Punycode を用いる巧妙なトリック”Google Play Protect Bolsters Security Against Malicious Apps
2023/10/18 InfoSecurity — Google Play Protect の大幅なアップデートにより、Android 端末のセキュリティが強化される。Google によると、今回のアップデートは、モバイル端末を狙ったサイバー脅威の増加に対応するものだという。この Google Play Protect は、約 1250億個のアプリを毎日スキャンし、マルウェアや不要なソフトウェアを検出するために、すでに存在しているセキュリティ機能である。今日のブログ投稿で発表された新たな機能の強化は、コード・レベルのリアルタイム・スキャンを導入するものであり、進化する不正アプリへの対抗を目的とした事前の対策である。
Continue reading “Google Play Protect による保護:悪意のアプリに対するスキャンと排除”Amazon adds passkey support as new passwordless login option
2023/10/17 BleepingComputer — Amazon が静かに追加したのは、顧客向けの新しいパスワードレス・ログインの選択肢としての Passkeys のサポートであり、それにより、情報を盗み出すマルウェアやフィッシングに対する保護が強化されることになった。Passkeys とは、携帯電話/コンピューター/USBセキュリティキーなどのデバイスにリンクされた、生体認証や暗証番号を使った Web サイトへのログインを可能にするデジタル認証情報のことだ。
Continue reading “Amazon が Passkeys をサポート開始:パスワードレス・ログインの選択肢として”Gaza Conflict Paves Way for Pro-Hamas Information Operations
2023/10/14 DarkReading — 研究者たちは、イスラエルとハマスの紛争に端を発した、国家による情報工作を警戒しているが、今のところ大きな動きは見られない。しかし、多数のハクティビストやスパイ活動家たちが、この争いに参入すれば、それも一変する可能性がある。
Continue reading “イスラエルとハマス:紛争における情報工作キャンペーンを Mandiant が解説”Chrome 118 Patches 20 Vulnerabilities
2023/10/11 SecurityWeek — 10月10日 (火) に、Google は Chrome 118 stable channel 版をリリースし、20件の脆弱性を修正したが、その中には、外部の研究者から報告された 14件も含まれるという。外部から報告された脆弱性のうち、最も深刻なものは CVE-2023-5218 であり、Chrome のコンポーネント Site Isolation に存在する、use-after-free に起因する深刻なバグだと説明されている。
Continue reading “Chrome 118 がリリース:深刻な脆弱性 CVE-2023-5218 などが FIX”New ‘HTTP/2 Rapid Reset’ Technique Behind Record-Breaking DDoS Attacks
2023/10/10 SecurityAffairs — HTTP/2 Rapid Reset と名付けられた、新たなゼロデイ DDoS 攻撃手法が、8月以降の攻撃で悪用され、記録的な被害を及ぼしていることが、研究者たちにより明らかにされた。Google の発表は、ピーク時で 398 million rps (requests per second) に達する、一連の大規模な DDoS 攻撃を新たに観測したというものだ。この攻撃は、ストリームの多重化をベースとする、斬新な HTTP/2 Rapid Reset 技法に依存し、複数のインターネット・インフラ企業に影響を与えている。
Continue reading “HTTP/2 Rapid Reset という新たな DDoS テクニック:ピーク時で 398 million rps を記録”Microsoft 365 admins warned of new Google anti-spam rules
2023/10/08 BleepingComputer — 今週のことだが、Microsoft 365 の電子メール送信者に対して、Microsoft が送信メッセージを認証するよう警告を発した。この動きは、前日に Google が、大量のメール送信者に対して、スパム対策ルールを厳格化すると発表したことを受けてのものだ。Microsoft Defender for Office 365チームは「自分のドメインにメール認証を設定することで、Gmail/Yahoo/AOL/Outlook.com などのメール・プロバイダによるメッセージ拒否やスパム指定の可能性が低くなる。この処置は、特にバルクメール送信の際に重要であり、メール・キャンペーンの配信において有効である」と述べている。
Continue reading “Microsoft 365 管理者への警告:Google が強化するスパム・メール判定への対策が必要”GitHub’s Secret Scanning Feature Now Covers AWS, Microsoft, Google, and Slack
2023/10/06 TheHackerNews — GitHub が発表した、そのシークレット・スキャン機能の改良/拡張により、一般的な Amazon Web Services (AWS)/Microsoft/Google/Slack などのサービスでの有効性チェックも、カバーされるようになるという。今年のはじめに GitHub が導入した有効性チェックは、シークレット・スキャンにより発見されたトークンの有効性についてユーザーに警告し、効果的な修復措置を可能にするものだ。この有効性チェックは、まず GitHub トークンで有効化された。クラウドベースのコード・ホスティングとバージョン管理サービスを提供する GitHub は、より多くのトークンを、将来的にサポートするつもりだと述べている。
Continue reading “GitHub のシークレット・スキャンが拡張:AWS/Microsoft/Google/Slack などをカバー”Google fixes fifth actively exploited Chrome zero-day of 2023
2023/09/27 BleepingComputer — 9月27日にリリースされた緊急セキュリティ・アップデートで Google は、今年に入ってから攻撃に悪用された5番目の、Chrome のゼロデイ脆弱性にパッチを適用した。Google のアドバイザリには、「脆弱性 CVE-2023-5217 の悪用が、野放し状態で攻撃されていることを認識している」と記されている。このセキュリティの脆弱性は、Google Chrome 117.0.5938.132 で対処され、Windows/Mac/Linux ユーザー向けの Stable Desktop チャネルを介して、全世界に展開される。
Continue reading “Google Chrome のゼロデイ CVE-2023-5217 が FIX:スパイウェアによる悪用を確認”Microsoft is Rolling out Support for Passkeys in Windows 11
2023/09/26 TheHackerNews — 今日から Microsoft は、デスクトップ OS のメジャー・アップデートの一環として、Windows 11 で Passkeys のサポートを正式に展開する。この機能によりユーザーは、ID/PW を入力することなく、代わりにデバイスの暗証番号や生体情報を用いてステップを完了し、Web サイトやアプリケーションにログインできるようになる。FIDO 標準に基づく Passkeys は、2022年5月に初めてパスワードの代替になるものとして発表され、フィッシングに強いとされている。その後に Apple や Google に採用され、また、この数カ月の間に他のサービスでも採用されている。
Continue reading “Microsoft の Passkeys 展開:9月26日から Windows 11 で正式に始動”Predator Spyware Delivered to iOS, Android Devices via Zero-Days, MitM Attacks
2023/09/25 SecurityWeek — Google の Threat Analysis Group によると、iOS/Chrome のゼロデイ脆弱性の悪用と中間者攻撃 (MitM) により、Predator スパイウェアが iPhone/Android デバイスに配信されているという。先週に Apple が通知したのは、脆弱性 CVE-2023-41991 (署名検証バイパス)/CVE-2023-41992 (ローカル特権の昇格)/CVE-2023-41993 (悪意の Web ページを介した任意のコード実行) という3つのゼロデイにして、パッチが適用されたことである。Apple は、iOS/macOS などのソフトウェアの脆弱性を修正したが、その一方で、悪用を認識しているのは、iOS のバージョン 16.7 以前のデバイスのみだと指摘していた。
Continue reading “iOS/Android のゼロデイを悪用:エジプトの野党指導者を狙った MitM 攻撃が発覚”GitHub passkeys generally available for passwordless sign-ins
2023/09/21 BleepingComputer −−− 9月21日に GitHub が公開した Passkeys により、すべてのユーザーのパスワードレス・ログインが、このプラットフォーム全体で利用可能となり、フィッシングからアカウントが保護されるようになる。Passkeys は、コンピューター/タブレット/スマートフォンなどのデバイスにリンクされ、フィッシング攻撃からの保護や、不正アクセスの阻止を提供することで、データ漏洩のリスクを低減するという重要な役割を担っている。また、Passkeys は、暗証番号や指紋/顔認証などの生体認証といった、個人識別方法を通じて、アプリやオンライン・サービスへのアクセスを容易にする。
Continue reading “GitHub の Passkeys サポートが始動:Apple/Google/Microsoft と協調”Google extends security update support for Chromebooks to 10 years
2023/09/15 BleepingComputer — Google の発表は、すべての Chromebook について、AUE (Auto Update Expiration) を5年から 10年に延長し、毎月のセキュリティ更新を 10年間にわたり保証するというものだ。Chromebook は ChromeOS を搭載した安価なノート PC であり、CPU は非力であり、RAM/ROM は小容量の傾向にある。つまり、ローカル。デバイス上で高負荷のプロセス実行するのではなく、クラウド・サービスに依存する学生やリモートワーカーを対象としている。
Continue reading “Chromebook ユーザーに朗報:来年からセキュリティ・サポートが 10年に延長される”Retool blames breach on Google Authenticator MFA cloud sync feature
2023/09/15 BleepingComputer — ソフトウェア会社 Retool は、標的型の多段階ソーシャル・エンジニアリング攻撃により、クラウド顧客 27社のアカウントが侵害されたと発表した。Retool の開発プラットフォームは、スタートアップから Fortune 500 にいたるまで、さまざまな企業のビジネス・ソフトウェアの構築に利用され、その顧客には Amazon/Mercedes-Benz/DoorDash/NBC/Stripe/Lyft なども含まれる。Retool のエンジニアリング責任者である Snir Kodesh は、乗っ取られたアカウントは、すべて暗号通貨業界の顧客のものであることを明らかにした。この侵入は 8月27日に発生し、攻撃者は SMS フィッシングとソーシャル・エンジニアリングを使用して、複数のセキュリティ制御を迂回し、IT 従業員の Okta アカウントを侵害していった。
Continue reading “Google Authenticator MFA クラウド同期:深刻な問題が生じると Retool が非難”Google fixes another Chrome zero-day bug exploited in attacks
2023/09/11 BleepingComputer — Google Chrome 緊急セキュリティ・アップデートを公開された。それにより、今年に入ってから攻撃で悪用された、4番目のゼロデイ脆弱性が修正されている。Google は、CVE-2023-4863 のエクスプロイトが存在することを認識しているという。現時点において、この新バージョンは Stable/Extended stable チャンネルのユーザーに配布されており、今後の数日から数週間かけて、すべてのユーザーに配布されるようだ。
Continue reading “Google Chrome のゼロデイ CVE-2023-4863 が FIX:エクスプロイトの存在を確認”Google Chrome Rolls Out Support for ‘Privacy Sandbox’ to Bid Farewell to Tracking Cookies
2023/09/11 TheHackerNews — Google Chrome における Privacy Sandbox の計画を発表されてから、4カ月が経過し、多数のユーザーへの展開が正式に開始された。Google の VP Privacy Sandbox Initiatives である Anthony Chavez は、「我々は、プライバシーの改善と、情報へのアクセス維持が重要だと考えている。その対象が、ニュースであろうと、ハウツーガイドであろうと、楽しいビデオであろうと、同じことだと信じている。Privacy Sandbox のような、サードパーティ・クッキーに代わるプライバシー保護手段がなければ、ユーザーによる情報へのアクセスを低減し、また、フィンガープリンティングのような侵略が高じる危険性がある」と述べている。
Continue reading “Chrome の Privacy Sandbox がスタート:クッキーの弊害を排除できるのか?”Chrome 116 Update Patches High-Severity Vulnerabilities
2023/09/06 SecurityWeek — 9月5日 (火) に Google は、Chrome 116 アップデートをリリースし、外部の研究者たちから報告された4件の深刻度の高い脆弱性を修正した。1つ目の脆弱性 CVE-2023-4761 は、FedCM (Federated Credential Management) API における境界外メモリ・アクセスの問題だと説明されている。境界外メモリ・アクセス・エラーは、プログラムがバッファ境界外のメモリ・アドレスを読み取る際に発生するものであり、サービス拒否 (DoS) 状態を引き起こし、その他の脆弱性との組み合わせによりコード実行にいたる可能性がある。
Continue reading “Chrome 116 の深刻な脆弱性4件が修正:サービス拒否やコード実行にいたる可能性”Chrome extensions can steal plaintext passwords from websites
2023/09/02 BleepingComputer — Chrome Web Store にアップロードされた PoC エクステンションは、Web サイトのソースコードから平文のパスワードを盗むためのものであり、ウィスコンシン大学マディソン校の研究チームが作成したものである。Web ブラウザのテキスト入力フィールドを調査した結果として、Chrome エクステンションを支える粗視化 (coarse-grained) 許可モデルが、最小特権と完全仲介の原則に違反していることが明らかになったという。さらに研究者たちは、Google や Cloudflare のポータルなど含む多数の Web サイトにおいて、数百万人のビジターたちが、Web ページの HTML ソースコード内にパスワードを平文で保存していることを発見した。そして、それらの情報の不正な取得が、悪意のエクステンションを介して可能なことが判明した。
Continue reading “Chrome エクステンションによる平文パスワードの窃取:大量の Web サイトが脆弱な状態”More Than Half of Browser Extensions Pose Security Risks
2023/08/23 DarkReading — Google Workspace や Microsoft 365 などの SaaS (Software-as-a-Service) アプリを使用する際に、企業が従業員に使用を許可しているブラウザ・エクステンションの多くは、機密度の高いコンテンツへのアクセスが可能である。したがって、コンプライアンスやデータ保護において、リスクを抱えていることが、新たな調査で明らかになった。 Spin.AI の研究者たちは、企業環境で使用されている、約 30万件の Web ブラウザ・エクステンションとサードパーティ OAuth アプリについて、リスク評価を実施した。その対象は、Google Chrome や Microsoft Edge といった、複数のブラウザにまたがる Chromium ベースのブラウザ・エクステンションである。
Continue reading “Web ブラウザ・エクステンションの問題:その半数以上が高リスクであるという調査結果”Google Chrome to warn when installed extensions are malware
2023/08/20 BleepingComputer — Google がテストしている Chrome の新機能は、インストールされたエクステンションが Chrome Web Store から削除された場合に、ユーザーに警告を表示するためのものである。Chrome Web Store では、問題のあるエクステンションなどが次々と公開され、ポップアップ広告やリダイレクト広告を介して宣伝されている。これらのエクステンションは、詐欺師や脅威アクターにより作成され、不要な広告の挿入/検索履歴の追跡/アフィリエイト・ページへのリダイレクトなどを行い、さらに深刻なケースでは、Gmail や Facebook のアカウント窃盗などにも悪用される。
Continue reading “Google Chrome Check for Extension:マル・エクステンションを判定してくれる”Thousands of Android Malware Apps Using Stealthy APK Compression to Evade Detection
223/08/19 TheHackerNews — マルウェア解析を逃れる脅威アクターたちが、未知の圧縮方法を用いる Android Package (APK) ファイルを使用しているという。Zimperium の調査結果によると、このような圧縮アルゴリズムを利用した 3,300件のアーティファクトが、野放し状態で活動していることが判明したという。確認されたサンプルのうち 71件は、何の問題もなく Android にロードできるようだ。
Continue reading “Android マルウェアの新たな手口:未知の圧縮アルゴリズムで検出を回避している”Google Fixes 26 Bugs Amid Fake Update Warning
2023/08/17 InfoSecurity — Google Chrome の最新バージョンをリリースされ、26件の脆弱性が対処されたが、その中の8件は High と評価されている。今回の Chrome 116 におけるアップデートでは、Offline/V8 Engine/Device Trust Connectors/Fullscreen/Network/ANGLE/Skia などの機能がカバーされている。Google の VP of Vulnerability and Threat Research であり、Action1 の共同設立者でもある Mike Walters は、最も脆弱性の1つとして CVE-2023-2312 を取り上げている。この、Offline における use-after-free のバグに対しては、Google から $30,000 バグ報奨金が提供されている。
Continue reading “Google Chrome 116 の最新リリース:8件の High を含む 26件のバグを修正”Collide+Power, Downfall, and Inception: New Side-Channel Attacks Affecting Modern CPUs
2023/08/09 TheHackerNews — サイバー・セキュリティ研究者たちが、最新の CPU からの機密データ漏えいに悪用される可能性のある、3件のつのサイドチャネル攻撃の詳細を公開した。それらの新たな手法は、Collide+Power (CVE-2023-20583)/Downfall (CVE-2022-40982)/Inception(CVE-2023-20569) として追跡されている。先日には、Zenbleed (CVE-2023-20593) として知られる、AMD Zen 2 アーキテクチャー・ベースのプロセッサーに影響を与える、別のセキュリティ脆弱性の公開に続くものである。
Continue reading “最新の CPU に新たなサイドチャネル脆弱性:Collide+Power/Downfall/Inception とは?”43 Android apps in Google Play with 2.5M installs loaded ads when a phone screen was off
2023/08/08 SecurityAffairs −−− 先日に McAfee の Mobile Research Team の研究者たちが、Google Play で発見したのは、携帯電話の画面がオフのときであっても、広告を読み込む 43 種類の Android アプリであり、そのインストール総数は 250万に達するという。
Continue reading “Google Play の 43種類の Android アプリ:画面 OFF 時に広告を読み込んで稼いでいる”Google explains how Android malware slips onto Google Play Store
2023/08/04 BleepingComputer — Google Play ストアの審査プロセスやセキュリティ制御を回避して、Android 端末にマルウェアを送り込むために脅威アクターたちが用いる、バージョニングと呼ばれる一般的な手口が存在することを、Google Cloud のセキュリティ・チームは認めた。この手口は、すでにインストールされているアプリケーションに配信されるアップデートを介して、悪意のペイロードを導入するものである。また、DCL (Dynamic Code Loading) という方法で、脅威アクターの制御下にあるサーバから。悪意のあるコードをロードする方式もある。DCL は、アプリストアの静的解析チェックを回避することで、ネイティブ/Dalvik/JavaScript のコードとして、ペイロードを Android デバイス上に展開するものである。
Continue reading “Google Play Store にマルウェアが出回る理由:G 先生の言い訳を聞かせてもらおう”Threat actors abuse Google AMP for evasive phishing attacks
2023/08/01 BleepingComputer — Google Accelerated Mobile Pages (AMP) を悪用してメール・セキュリティをバイパスし、企業の従業員の受信トレイに到達するフィッシング活動が増加していると、セキュリティ研究者たちが警告している。Google AMP は、Googleと 30社のパートナーが共同開発したオープンソースの HTML フレームワークであり、モバイル端末での Web コンテンツの読み込みを高速化するものだ。
Continue reading “Google AMP を悪用:狡猾なモバイル・フィッシング攻撃が増加している”In 2022, more than 40% of zero-day exploits used in the wild were variations of previous issues
2023/07/30 SecurityAffairs — Google Threat Analysis Group (TAG) の Maddie Stone が、野放し状態のゼロデイ脆弱性について執筆する、2022年のイヤー・イン・レビューが公表された。これは、2019/2020/2021 年に続く、4年目のレビューでもある。研究者たちは 2022年において、アクティに悪用された 41 件のゼロデイ欠陥を開示したが、これは2014年半ばに追跡を開始して以来、2番目の記録となった。ちなみに、最悪だったのは、2021 年の 69 件である。
Continue reading “積極的に悪用された 41 件のゼロデイ脆弱性 – 2022年調査 Google TAG”Browser developers push back on Google’s “web DRM” WEI API
2023/07/29 BleepingComputer — Google が Chrome に対して、WEI (Web Environment Integrity) API を導入するという計画は、ユーザーの自由を制限し、オープン Web の基本原則を損なうものだと、インターネット・ソフトウェア開発者から激しい反発を受けている。Vivaldi/Brave/Firefox の従業員たちは、この Google が提案する標準に対して強い反対の姿勢を示しており、Web サイトの DRM (デジタル著作権管理) とまで言う人もいる。
Continue reading “Google が提案する WEI API:大反対する Vivaldi/Brave/Firefox などの言い分は?”New Android Malware CherryBlos Utilizing OCR to Steal Sensitive Data
2023/07/29 TheHackerNews — CherryBlos という新たな Android マルウェアが、OCR 技術を悪用することで、写真に保存された機密データを収集していることが確認された。Trend Micro によると、SNS プラットフォーム上の偽の投稿を介して配布される CherryBlosは、暗号通貨ウォレット関連の認証情報を盗む機能を備えており、事前に定義された形式に一致する文字列を、被害者がクリップボードにコピーした際に、ウォレット・アドレスを置き換えるクリッパーとして動作する。
Continue reading “Android マルウェアの新たな手口:OCR を悪用してキャプチャ画像から機密情報を窃取”Wiz Says 62% of AWS Environments Exposed to Zenbleed Exploitation
2023/07/26 SecurityWeek — AWS 環境の 62% パーセントが、新たに文書化された AMD Zen 2 プロセッサの、Zenbleed 情報漏洩脆弱性にさらされている可能性があると、クラウド・セキュリティ企業 Wiz の研究者たちが報告している。7月23日 (水) に投稿されたリサーチ・ノートにおいて、AWS 環境の 60% 以上が Zen 2 CPU を搭載した EC2 インスタンスを実行しているため、use-after-free メモリ破損バグの影響を受ける可能性があると、Wiz は算出している。
Continue reading “AWS 環境の 62% が Zenbleed 脆弱性の影響を受ける:修正を急ぐ AMD”
IoT OT Security News 
You must be logged in to post a comment.