Linux Kernel 6.14 rc3 Released With The Fixes for Critical Issues
2025/02/17 gbhackers — Linus Torvalds が発表したのは、Linux Kernel 6.14-rc3 のリリースである。このリリースは、次期カーネル・バージョン 6.14 の安定化に向けた、重要なマイルストーンになるという。このリリース・キャンディデートでは、アーキテクチャの脆弱性に対処し、ドライバー開発を効率化するための、ライトウェイトな “Faux Bus” フレームワークが導入されている。
Continue reading “Linux Kernel 6.14 rc3 がリリース:いくつかの弱点の修正とドライバー開発の簡素化”Google’s Shift to Rust Programming Cuts Android Memory Vulnerabilities by 68%
2024/09/25 TheHackerNews — Google が Secure-By-Design のアプローチの一環として、メモリセーフ言語 Rust などへの移行が Google で推進された結果として、Android で発見されるメモリの安全性に関する脆弱性の割合が、6年間で 76%から 24%へと減少したという。セーフ・コーディングに重点を置いた新機能の開発により、コードベースのセキュリティ・リスク全体が低減されるだけではなく、スケーラブルで費用対効果の高い開発スタイルが達成されると、同社は述べている。
Continue reading “Google の Rust プログラミングへの移行:Android のメモリ脆弱性が 68%も減少”Post-CrowdStrike Fallout: Microsoft Redesigning EDR Vendor Access to Windows Kernel
2024/09/13 SecurityWeek — Microsoft が発表した計画は、CrowdStrike のアップデートの不具合により、7月に発生した世界的な IT 障害に対応するものであり、Windows カーネルとマルウェア対策製品との連携方法を再設計するものである。現時点においては、この再設計に関する技術的な詳細は公表されていない。しかし Microsoft は、セキュリティ・ベンダーが “outside of kernel mode” を活用するための、新たなプラットフォームとしての機能を Windows 11 に搭載し、ソフトウェアの信頼性を確保する予定だとしている。
Continue reading “CrowdStrike 障害の余波:Windows カーネル連携方法の再設計を Microsoft が発表”CISA: Most critical open source projects not using memory safe code
2024/06/26 BleepingComputer — 6月26日に米国の CISA が公開したレポートは、メモリ欠陥の影響の受けやすさについて、172件の主要オープンソース・プロジェクトを調べた結果をまとめたものだ。CISA/FBI/ASD (Australian Signals Directorate)/ACSC (Australian Cyber Security Centre)/CCCS (Canadian Centre for Cyber Security) によるレポートは、2023年12月に発表された “Case for Memory Safe Roadmaps” に続くものであり、メモリ・セーフなコードの重要性に対する、認識を高めることを目的としている。
Continue reading “CISA/FBI などの共同勧告:多くの OSS プロジェクトで Memory Unsafe 言語が使用されている”CISA Debuts ‘Secure by Design’ Alert Series
2023/11/30 SecurityWeek — 11月21日に米国の CISA (Cybersecurity and Infrastructure Security Agency) は、セキュリティが未実装のソフトウェア開発ライフサイクルがもたらす被害を強調するための、新たなタイプの警告を導入した。この Secure by Design (SbD) アラートは、脅威に対する防御や対応について詳述するものではなく、ベンダーの意思決定を示すものであり、それにより世界的な規模で被害を減らすことを目的とする、情報を提供するものである。
Continue reading “CISA の Secure-by-Design 第一弾:安全な Web 管理インターフェイスのために”AI Safety Summit: OWASP Urges Governments to Agree on AI Security Standards
2023/11/02 InfoSecurity — OWASP (Open Worldwide Application Security Project) によると、AI の急速な普及がもたらす危険を軽減するためには、AI を搭載するツールがもたらすセキュリティと倫理的リスクに関する、トップレベルの議論だけでは、もはや不十分だという。2023年11月1日~2日にイギリスのブレッチリー・パークで開催された AI Safety Summit に先立ち、この非営利団体はサミット参加者に対して、実用的な AI セキュリティ標準に合意し採用することを、迅速に推進すべきという行動喚起を促している。
Continue reading “AI Safety Summit:OWASP が各国政府に対して AI セキュリティ基準の採用を要求”GitHub’s Secret Scanning Feature Now Covers AWS, Microsoft, Google, and Slack
2023/10/06 TheHackerNews — GitHub が発表した、そのシークレット・スキャン機能の改良/拡張により、一般的な Amazon Web Services (AWS)/Microsoft/Google/Slack などのサービスでの有効性チェックも、カバーされるようになるという。今年のはじめに GitHub が導入した有効性チェックは、シークレット・スキャンにより発見されたトークンの有効性についてユーザーに警告し、効果的な修復措置を可能にするものだ。この有効性チェックは、まず GitHub トークンで有効化された。クラウドベースのコード・ホスティングとバージョン管理サービスを提供する GitHub は、より多くのトークンを、将来的にサポートするつもりだと述べている。
Continue reading “GitHub のシークレット・スキャンが拡張:AWS/Microsoft/Google/Slack などをカバー”NSA and CISA reveal top 10 cybersecurity misconfigurations
2023/10/05 BleepingComputer — 今日、米国の National Security Agency (NSA) と Cybersecurity and Infrastructure Security Agency (CISA) が公表したのは、大規模組織のネットワークでレッドチームとブルーチームが発見した、サイバーセキュリテで再重視すべきミスコンフィグレーションの Top-10 である。また、このアドバイザリでは、脅威アクターたちが用いる TTP (Tactics, Techniques, and Procedures) と、ミスコンフィグレーションの悪用方法に加えて、アクセス権の獲得/横方向への移動/機密情報やシステムの標的化といった、各種の目的を達成する方法についても詳しく説明されている。
Continue reading “NSA/CISA が概説:ミスコンフィグレーション Top-10 ついて特定していこう”Cybersecurity Agencies Warn Against IDOR Bugs Exploited for Data Breaches
2023/07/28 TheHackerNews — オーストラリアおよび米国のサイバーセキュリティ機関が、共同サイバー・セキュリティ・アドバイザリを発表した。同アドバイザリは、脅威アクターにより悪用される可能性のある、Web アプリケーションのセキュリティ脆弱性を警告するものだ。この脆弱性には、Insecure Direct Object Reference (IDOR) と呼ばれる特定のクラスのバグが含まれる。これはアクセス制御の脆弱性の一種であり、ユーザーから提供された入力または識別子を追加の検証なしに、データベース・レコードなどの内部リソースに、アプリケーションがダイレクトにアクセスする場合に発生する。
Continue reading “IDOR 脆弱性がデータ漏洩に悪用されている:ACSC/CISA/NSA が共同勧告”Threat Modeling in the Age of Automation
2021/07/16 SecurityBoulevard — サイバー・セキュリティの脅威は急速に増加しており、アプリケーションを構築する企業は、将来の攻撃に耐えるためのコアとなる脅威モデルを含めて、予防原則に基づくセキュリティ対策を検討するようになってきた。しかし、Security Compass の最近の調査によると、ソフトウェア開発の初期段階 (要件の収集/設計) において、脅威モデルを取り入れている企業はわずか 25% だった。さらに、開発したアプリケーションの 90% 以上において、脅威モデルを取り入れていると回答した企業は 10% 未満であり、脅威モデルの自動化や統合において半数以上の企業が課題を抱えていることが分かった。
Continue reading “脅威モデリングを自動化する時代へと突入する?”
IoT OT Security News 