PyPI の脆弱性 CVE-2007-4559:35万件のオープンソース・プロジェクトに影響

350K Open-Source Projects At Risk of Supply Chain Vulnerability

2022/09/21 InfoSecurity — Trellix が設立を発表した Advanced Research Center は、最新のサイバー・セキュリティ脅威を検出/対応/修復するための、リアルタイムのインテリジェンスと脅威指標の作成を目的とするものだ。Trellix の最高製品責任者である Aparna Rayasam は、「脅威の状況は、洗練され、影響を与える可能性が拡大している。我々は、デジタルと物理的な世界で全ての人々を安全にするために、この事業に取り組んでいる。脅威アクターたちは、人材と技術的ノウハウに戦略的に投資している。したがって、サイバー・セキュリティ業界は、最も好戦的な行為者とその手法を研究し、より速い速度で革新していく義務がある」と述べている。

Continue reading “PyPI の脆弱性 CVE-2007-4559:35万件のオープンソース・プロジェクトに影響”

Oracle Cloud Infrastructure の脆弱性:特権昇格やクロステナント・アクセスを修正

Critical Vulnerability in Oracle Cloud Infrastructure Allowed Unauthorized Access

2022/09/20 InfoSecurity — Oracle Cloud Infrastructure (OCI) で発見された新たな脆弱性により、すべてのユーザーのクラウド・ストレージ・ボリュームへの不正アクセスが可能となり、その結果として、クラウドの分離が侵害されることになっている。この欠陥は、6月に Wiz のセキュア・クラウドの専門家が発見し、AttachMe と名付けられたものであり、今日の同社の最新アドバイザリで取り上げられている。

Continue reading “Oracle Cloud Infrastructure の脆弱性:特権昇格やクロステナント・アクセスを修正”

N​​etgear ルーターに複数の脆弱性:ゲーマー用の FunJSQ モジュールが問題を引き起こす

Netgear Routers impacted by FunJSQ Game Acceleration Module flaw

2022/09/18 SecurityAffairs — Xiamen Xunwang Network Technology が開発した、オンライン・ゲーム高速化のサードパーティ・モジュールである FunJSQ を介して任意のコードが実行され、Netgearルータの複数のモデルに影響が生じる、セキュリティとコンプライアンスの評価会社 Onekey の研究者たちが警告している。

Continue reading “N​​etgear ルーターに複数の脆弱性:ゲーマー用の FunJSQ モジュールが問題を引き起こす”

Chrome/Edge のスペルチェック機能の問題:ユーザーの個人情報が G/M に送信されている?

Google, Microsoft can get your passwords via web browser’s spellcheck

2022/09/17 BleepingComputer — Web ブラウザ Google Chrome/Microsoft Edge の拡張スペルチェック機能は、個人情報 (PII:Personally Identifiable Information) や、場合によってはパスワードを含むフォームデータを、Google と Microsoft に送信することが判明した。これは、これらの Web ブラウザの一般的な機能かもしれない。しかし、送信後のデータの取り扱いについては、特にパスワード・フィールドに関しては、どれほどの安全性が担保されるのかという点で懸念が生じる。

Continue reading “Chrome/Edge のスペルチェック機能の問題:ユーザーの個人情報が G/M に送信されている?”

上下水道システムの Kingspan:深刻な脆弱性が発見されたが無視している?

Water Tank Management System Used Worldwide Has Unpatched Security Hole

2022/09/16 SecurityWeek — 世界の組織で使用されている水槽管理システムが、リモートから悪用できる深刻な脆弱性の影響を受けるが、ベンダーはパッチを当てる気がないようだ。この影響を受ける製品は、アイルランドの建材メーカーである Kingspan の Water and Energy Unit が製造したものだ。Kingspan TMS300 CS 水槽管理システムは、水槽のレベル情報画面/Web サーバー/アプリケーション/オンラインポータル/電子メールなどを提供している。有線/無線のマルチタンク・レベル測定/アラーム/インターネット接続/ローカルネットワーク接続などを特徴としている。

Continue reading “上下水道システムの Kingspan:深刻な脆弱性が発見されたが無視している?”

CISA KEV 警告 22/09/15:Trend Micro Apex One 脆弱性や Stuxnet 攻撃に対応

CISA orders agencies to patch vulnerability used in Stuxnet attacks

2022/09/16 BleepingComputer — CISA は、KEV (Known Exploited Vulnerabilities) カタログに6件の脆弱性を追加し、連邦政府機関に対し、ベンダーの指示に従って修正するよう求めている。カタログに追加された6件のセキュリティ脆弱性のうち、2022年になって公表されたものは、Trend Micro の自動脅威検知/対応プラットフォーム Apex One に影響を与える脆弱性の1件のみとなる。

Continue reading “CISA KEV 警告 22/09/15:Trend Micro Apex One 脆弱性や Stuxnet 攻撃に対応”

Chrome 105 に 11件の脆弱性:メモリの安全性に対する取り組みが続く

Chrome 105 Update Patches High-Severity Vulnerabilities

2022/09/15 SecurityWeek — 9月2日に Google は、外部の研究者から報告された7つの深刻なバグを含む、全体で 11件の脆弱性を修正する Chrome 105 アップデートのリリースを発表した。このセキュリティ問題のリストで注目されるのは、Chrome の Storage コンポーネントにおける境界外書き込みが挙げられる。続いて、PDF コンポーネントにおける3つの use-after-free の不具合と、Frames における4つ目の use-after-free の不具合が存在する。

Continue reading “Chrome 105 に 11件の脆弱性:メモリの安全性に対する取り組みが続く”

WordPress サイト 28万件に影響:WPGateway Plugin の深刻なゼロデイ脆弱性

Over 280,000 WordPress Sites Attacked Using WPGateway Plugin Zero-Day Vulnerability

2022/09/14 TheHackerNews — WordPress プレミアム・プラグイン WPGateway の最新バージョンに存在する、ゼロデイ脆弱性が活発に悪用されており、攻撃に成功した脅威アクターによるサイトの完全な乗っ取りの可能性が生じている。この脆弱性 CVE-2022-3180 (CVSS : 9.8) は、WPGateway プラグインを実行しているサイトに対して、攻撃者を管理者ユーザーとして追加する武器として使われていると、WordPress セキュリティ企業である Wordfence は指摘している。

Continue reading “WordPress サイト 28万件に影響:WPGateway Plugin の深刻なゼロデイ脆弱性”

航空機内の無線 LAN デバイスに致命的なセキュリティ欠陥:Contec Flexlan とは?

Vulnerabilities Found in Airplane WiFi Devices, Passengers’ Data Exposed

2022/09/14 InfoSecurity — 航空機内のインターネット接続に使用される無線 LAN デバイスに、2つの深刻な脆弱性が発見された。これらの脆弱性は、Necrum Security Labs の Thomas Knudsen と Samy Younsi が発見したものであり、Contec 社製の Flexlan FX3000/FX2000 シリーズの、無線 LAN デバイスに影響を及ぼすものである。

Continue reading “航空機内の無線 LAN デバイスに致命的なセキュリティ欠陥:Contec Flexlan とは?”

Snyk 2022年 Cloud 調査:企業ユーザーの 80% が痛い目にあっている

Four-Fifths of Firms Hit by Critical Cloud Security Incident

2022/09/14 InfoSecurity — Snyk の最新調査によると、これまでの1年間で約 80% の組織が、なんらかの深刻なクラウド・セキュリティ・インシデントに見舞われており、また、25% の組織は、クラウド・データ侵害に見舞われているのに気づいていない状況にあるとのことだ。Snyk の調査内容は、さまざまな規模や業種の組織に所属する、400人のクラウド・エンジニアとセキュリティ専門家を対象に行われ、その結果として、State of Cloud Security Report が作成された。

Continue reading “Snyk 2022年 Cloud 調査:企業ユーザーの 80% が痛い目にあっている”

CISA KEV 警告 22/09/14:​​Windows/iOS の脆弱性が悪用リストに追加

CISA orders agencies to patch Windows, iOS bugs used in attacks

2022/09/14 BleepingComputer — 今日 CISA は、悪用されているセキュリティ脆弱性のリストに、2つの新しい脆弱性を追加した。これには、Windows の権限昇格の脆弱性と、iPhone/Mac に影響を与える任意のコード実行の脆弱性が含まれている。Windows Common Log File System Driver の権限昇格の脆弱性は CVE-2022-37969 として追跡されており、悪用に成功したローカルの攻撃者は、SYSTEM 権限の取得が可能になる。

Continue reading “CISA KEV 警告 22/09/14:​​Windows/iOS の脆弱性が悪用リストに追加”

Microsoft Teams に深刻な Electron ベースの脆弱性:認証トークンの平文保存に起因

Microsoft Teams stores auth tokens as cleartext in Windows, Linux, Macs

2022/09/14 BleepingComputer — セキュリティ・アナリストたちは、Microsoft Teams のデスクトップ・アプリに存在する、深刻なセキュリティ脆弱性を発見した。この脆弱性の悪用に成功した脅威あぃたーは、認証トークンや多要素認証 (MFA) をオンにしたアカウントへのアクセスが可能になるという。Microsoft Teams は、365 製品群に含まれるコミュニケーション・プラットフォームであり、テキストメッセージの交換/ビデオ会議/ファイルの保存などに 2億7000万人以上が利用している。

Continue reading “Microsoft Teams に深刻な Electron ベースの脆弱性:認証トークンの平文保存に起因”

Microsoft 警告:Windows CLFS 脆弱性 CVE-2022-37969 へのゼロデイ攻撃を検知

Microsoft Raises Alert for Under-Attack Windows Flaw

2022/09/13 SecurityWeek — Microsoft のセキュリティ・チームが、主要 Windows プラットフォームの深刻な脆弱性を悪用するゼロデイ攻撃を検出したことを明らかにした。同社は、9月の Patch Tuesday において、最新のゼロデイ脆弱性に対する修正を提供しているが、すでに、この脆弱性を悪用する攻撃者たちが、パッチが適用された Windows マシンでも SYSTEM 権限を獲得しているケースがあると警告している。

Continue reading “Microsoft 警告:Windows CLFS 脆弱性 CVE-2022-37969 へのゼロデイ攻撃を検知”

Microsoft 2022-09 月例アップデートは2件のゼロデイと 63件の脆弱性に対応

Microsoft September 2022 Patch Tuesday fixes zero-day used in attacks, 63 flaws

2022/09/13 BleepingComputer — 今日は Microsoft の September 2022 Patch Tuesday であり、活発に悪用されている Windows の脆弱性を含めて、合計で 63件の不具合が修正された。本日のアップデートで修正された 63件の脆弱性のうち 5件は、最も深刻なタイプの脆弱性である、リモートコード実行を許すものであり、Critical に分類されている。

Continue reading “Microsoft 2022-09 月例アップデートは2件のゼロデイと 63件の脆弱性に対応”

Trend Micro 警告:Apex One の RCE 脆弱性 CVE-2022-40139 が悪用されている

Trend Micro warns of actively exploited Apex One RCE vulnerability

2022/09/12 BleepingComputer — 今日、セキュリティ・ソフトウェア会社の Trend Micro は、積極的に悪用される Apex One のセキュリティ脆弱性に対して、早急にパッチを適用するよう顧客に警告を発しまた。Apex One は、悪意のツール/マルウェア/脆弱性に対する脅威の自動検出と対処を、企業に提供するエンドポイント・セキュリティ・プラットフォームである。この脆弱性 CVE-2022-40139 の悪用に成功した攻撃者は、パッチが適用されていないソフトウェアを実行しているシステム上で、任意のコードをリモートから実行することが可能になる。

Continue reading “Trend Micro 警告:Apex One の RCE 脆弱性 CVE-2022-40139 が悪用されている”

SOC 2 (Service and Organization Controls) について:SaaS の評価と脆弱性への対応

Why Vulnerability Scanning is Critical for SOC 2

2022/09/12 TheHackerNews — SOC 2 (Service and Organization Controls) は自発的な基準かもしれないが、今日のセキュリティに対して敏感なビジネスにとって、SaaS プロバイダを検討する際の最小要件でもある。コンプライアンスには長く複雑なプロセスが必要だがが、Intruder のようなスキャナーを使用すれば、脆弱性管理の項目にチェックを入れることが簡単になる。

Continue reading “SOC 2 (Service and Organization Controls) について:SaaS の評価と脆弱性への対応”

QNAP NAS に大規模 DeadBolt キャンペーン:狙われる脆弱性 CVE-2022-27593

Thousands of QNAP NAS devices hit by DeadBolt ransomware (CVE-2022-27593)

2022/09/12 HelpNetSecurity — QNAP Systems は、同社の NAS デバイスのユーザーを標的とした、最新の DeadBolt ランサムウェア・キャンペーンと、攻撃者に悪用されている脆弱性 CVE-2022-27593 についての詳細情報を提供した。脆弱性 CVE-2022-27593 は、意図した制御範囲外のリソースへ向けて解決される、外部制御の参照に関するものであり、広く使用されている Photo Station アプリケーションに影響を及ぼすものである。

Continue reading “QNAP NAS に大規模 DeadBolt キャンペーン:狙われる脆弱性 CVE-2022-27593”

Apple macOS/iOS アップデート:悪用中のゼロデイ脆弱性が CVE-2022-32917 が FIX

Apple fixes eighth zero-day used to hack iPhones and Macs this year

2022/09/12 BleepingComputer — Apple は、iPhone/Mac に対する攻撃で使用された、2022年に入ってから8番目のゼロデイ脆弱性に対処するセキュリティ・アップデートを公開した。同社は、月曜日に公開されたセキュリティ・アドバイザリの中で、この脆弱性の積極的な悪用の可能性が報告されていることを明らかにしている。この脆弱性 CVE-2022-32917 により、悪意を持って細工されたアプリケーションが、カーネル権限で任意のコードを実行する可能性があるという。

Continue reading “Apple macOS/iOS アップデート:悪用中のゼロデイ脆弱性が CVE-2022-32917 が FIX”

VMware 警告:Linux ESXi VM の性能が Retbleed 緩和により 70% ダウン

VMware: 70% drop in Linux ESXi VM performance with Retbleed fixes

2022/09/12 BleepingComputer — VMware は、Linux kernel 5.19 で動作するESXi VM について、Retbleed 緩和機能を有効にした場合に Linux kernel 5.18 版と比較して、最大で 70% の性能低下を引き起こす可能性があると警告している。VMware のパフォーマンス・チームは、ESXi 仮想マシンにおいて、コンピューティングで最大 70%/ネットワーキングで 30%/ストレージで 13% の性能低下を検知している。

Continue reading “VMware 警告:Linux ESXi VM の性能が Retbleed 緩和により 70% ダウン”

Google セキュリティ・ アップデート9月:Android/Pixel の脆弱性 46件に対応

Google Patches Critical Vulnerabilities in Pixel Phones

2022/09/12 SecurityWeek — 2022年9月の Pixel 端末向けセキュリティ・アップデートで、Google は2件の深刻な脆弱性に対処した。この他にも、Android プラットフォームにおいて、合計で 46件のセキュリティ脆弱性が修正されている。同社は、2件の深刻な脆弱性 CVE-2022-20231/CVE-2022-20364 について、Pixel の Trusty/kernel コンポーネントに影響を及ぼし、どちらも権限昇格につながる可能性があると説明している。

Continue reading “Google セキュリティ・ アップデート9月:Android/Pixel の脆弱性 46件に対応”

HP Enterprise デバイスの6つの深刻な脆弱性が未対応:Binarly 警告

High Severity Vulnerabilities Found in HP Enterprise Devices

2022/09/12 InfoSecurity — Binarly のセキュリティ・リサーチ・チームは、同社が1年の間に発見した、ファームウェアにおける深刻度の高い6つの脆弱性を公開した。Black Hat 2022 カンファレンスで初めて取り上げられた一連の脆弱性は、HP EliteBook デバイスに影響を与えるものであり、Common Vulnerability Scoring System (CVSS) スコアは 7.5〜8.2 となっている。

Continue reading “HP Enterprise デバイスの6つの深刻な脆弱性が未対応:Binarly 警告”

Cisco SD-WAN vManage の深刻な脆弱性 CVE-2022-20696 が FIX

Cisco Patches High-Severity Vulnerability in SD-WAN vManage

2022/09/12 SecurityWeek — Cisco は、SD-WAN vManage ソフトウェア・コンテナのバインディング・コンフィグレーションに存在する、深刻な脆弱性に対するパッチを発表した。脆弱性 CVE-2022-20696 は、メッセージング・サーバ・コンテナ・ポートの不十分な保護メカニズムに起因し、認証されていない攻撃者によるポートの悪用と、システムへの接続を許すものだ。

Continue reading “Cisco SD-WAN vManage の深刻な脆弱性 CVE-2022-20696 が FIX”

WordPress プラグイン BackupBuddy のゼロデイが FIX:500万回もの攻撃が試行

Hackers Exploit Zero-Day in WordPress BackupBuddy Plugin in ~5 Million Attempts

2022/09/09 TheHackerNews — WordPress のセキュリティ企業である Wordfence は、WordPress プラグイン BackupBuddy のゼロデイ脆弱性の活発な悪用を明らかにした。同社は、「この脆弱性の悪用に成功した未認証のユーザーは、標的となるサイトから、機密情報を含む任意のファイルをダウンロードできる」と述べている。

Continue reading “WordPress プラグイン BackupBuddy のゼロデイが FIX:500万回もの攻撃が試行”

CISA KEV 警告 22/09/08:Chrome/ D-Link/QNAP などの 12件の脆弱性が追加

CISA orders agencies to patch Chrome, D-Link flaws used in attacks

2022/09/08 BleepingComputer — CISA は、攻撃に悪用されるバグ・リストに、D-Link の2つの深刻な脆弱性と、Google Chrome および QNAP Photo Station ソフトウェアの2つの (パッチ適用済) ゼロデイを含む、全体で 12件のセキュリティ欠陥を追加した。Google Chrome のゼロデイ (CVE-2022-3075) は、9月2日に緊急セキュリティ・アップデートでパッチが適用されたが、野放し状態での悪用を同社が認識したことで、このリストに加えられた。

Continue reading “CISA KEV 警告 22/09/08:Chrome/ D-Link/QNAP などの 12件の脆弱性が追加”

企業と IT 資産:エンドポイントの 10%以上で保護の欠如が判明

Over 10% of Enterprise IT Assets Found Missing Endpoint Protection

2022/09/08 infosecurity — 企業における IT 資産の 10%以上がエンドポイント保護を欠いており、約5%が企業のパッチ管理ソリューションの非対象であることが判明した。これらの数字は Sevco Security の最新の調査によるもので、同社は State of the Cybersecurity Attack Surface レポートとしてまとめている。

Continue reading “企業と IT 資産:エンドポイントの 10%以上で保護の欠如が判明”

Cisco の EoL ルータ群:認証バイパスのゼロデイ脆弱性が放置される

Cisco won’t fix authentication bypass zero-day in EoL routers

2022/09/07 BleepingComputer — Cisco の新たな発表は、中小企業向け VPN ルーターに影響をおよぼす認証バイパスの脆弱性について、デバイスが製造終了 (EoL) に達したことを理由として、パッチを適用しないというものである。このゼロデイ脆弱性 CVE-2022-20923 は、パスワード検証アルゴリズムの欠陥に起因するものであり、IPSec VPN サーバー機能が有効化されている場合に、細工された認証情報も用いる攻撃者に対して、脆弱なデバイス上の VPN にログインを許すというものである。

Continue reading “Cisco の EoL ルータ群:認証バイパスのゼロデイ脆弱性が放置される”

Shikitega というステルス型 Linux マルウェア:多段階展開で検知を巧みに回避

New Linux malware evades detection using multi-stage deployment

2022/09/06 BleepingComputer — Shikitega という新たなステルス型 Linux マルウェアが、PC や IoT デバイスにペイロードを流し込み、感染させていることが発見された。このマルウェアは、脆弱性を悪用して権限を昇格させ、crontab を介してホスト上で永続性を確立する。そして最終的に、感染させたデバイス上で、暗号通貨マイナーを起動させる。Shikitega は非常にステルス性が高く、静的な署名ベースの検出を不可能にするポリモーフィック・エンコーダを使用して、ウイルス検出を回避する。

Continue reading “Shikitega というステルス型 Linux マルウェア:多段階展開で検知を巧みに回避”

D-Link を狙う Moobot ボットネットは Mirai 亜種:新旧の脆弱性を取り混ぜて攻撃

Moobot botnet is coming for your unpatched D-Link router

2022/09/06 BleepingComputer — MooBot として知られる Mirai 亜種のマルウェア・ボットネットが、8月初旬から始まった新たな攻撃に再登場し、新旧のエクスプロイトを取り混ぜて、脆弱な D-Link ルーターをターゲットにしている。2021年12月に Fortinet のアナリストが発見した MooBot は、Hikvision カメラの脆弱性を標的にして急速に拡散し、多数のデバイスを DDoS (分散型サービス拒否) に陥らせてきた。

Continue reading “D-Link を狙う Moobot ボットネットは Mirai 亜種:新旧の脆弱性を取り混ぜて攻撃”

Zyxel NAS ファームウェアの深刻な RCE 脆弱性 CVE-2022-34747 が FIX

Zyxel releases new NAS firmware to fix critical RCE vulnerability

2022/09/06 BleepingComputer — 今日、ネットワーク・デバイス・メーカーである Zyxel は、同社の NAS 製品3モデルに存在する深刻なリモートコード実行 (RCE) 脆弱性について、顧客に警告を発した。この脆弱性 CVE-2022-34747 は、CVSS v3 値 の9.8 であり Critical と評価されているが、その詳細は明らかにされていない。

Continue reading “Zyxel NAS ファームウェアの深刻な RCE 脆弱性 CVE-2022-34747 が FIX”

QNAP 対 Deadbolt:Photo Station のゼロデイ脆弱性を悪用する新たな攻撃

QNAP patches zero-day used in new Deadbolt ransomware attacks

2022/09/05 BleepingComputer — QNAP Photo Station のゼロデイ脆弱性を悪用する、土曜日から始まった新たな DeadBolt ランサムウェア攻撃について、顧客へ警告が発せられた。同社は、このセキュリティ脆弱性にパッチを適用したが、攻撃は今日も続いている。QNAP はセキュリティ通知において、「今日、QNAP は、セキュリティ脅威として DeadBolt ランサムウェアを検出した。この攻撃は、ダイレクトにインターネット接続されている QNAP NAS を暗号化するために、Photo Station の脆弱性を悪用している」と述べている。

Continue reading “QNAP 対 Deadbolt:Photo Station のゼロデイ脆弱性を悪用する新たな攻撃”

Microsoft Defender の誤検出:Chrome/Edge などを Win32/Hive.ZY と間違える

Microsoft Defender falsely detects Win32/Hive.ZY in Google Chrome, Electron apps

2022/09/04 BleepingComputer — Win32/Hive.ZY 誤検知の修正に必要な、Defender の更新バージョンなどの、記事の追加更新も末尾に追記されている— Microsoft Defender におけるシグネチャー更新の失敗により、Google Chrome/Microsoft Edge/Discord に加えて各種の Electron アプリが、Windows 上でオープンされるたびに、Win32/Hive.ZY として誤検出されている。

Continue reading “Microsoft Defender の誤検出:Chrome/Edge などを Win32/Hive.ZY と間違える”

Google Chrome の緊急アップデート:新たなゼロデイ CVE-2022-3075 を FIX

Google Chrome emergency update fixes new zero-day used in attacks

2022/09/02 BleepingComputer — Google は、Chrome for Windows/Mac/Linux 105.0.5195.102 をリリースし、2022年に入って攻撃に悪用された、6番目のゼロデイ脆弱性にパッチを適用した。同社は、金曜日に公開したセキュリティ・ アドバイザリで、「我々は、脆弱性 CVE-2022-3075 が、野放し状態で悪用されていると認識している」と述べている。Google によると、この新バージョンは Stable Desktop チャンネルで展開されており、数日〜数週間のうちに全ユーザーに行き渡るようだ。

Continue reading “Google Chrome の緊急アップデート:新たなゼロデイ CVE-2022-3075 を FIX”

AWS アクセス・トークンなどをハードコード:1,800 種類の Android/iOS アプリ

Over 1,800 Android and iOS Apps Found Leaking Hard-Coded AWS Credentials

2022/09/01 TheHackerNews — 研究者たちが提起した深刻なセキュリティ・リスクとは、Amazon Web Services (AWS) 認証情報などをハードコードしている、1,859 種類の Android/iOS アプリが特定されたというものだ。Broadcom Software 傘下 Symantec の Threat Hunter チームは、The Hacker News と共有したレポートの中で、「それらのアプリの 77% に、AWS プライベート・クラウド・サービスにアクセスできる、有効な AWS アクセス・トークンが含まれていた」と述べている。

Continue reading “AWS アクセス・トークンなどをハードコード:1,800 種類の Android/iOS アプリ”

Google Manifest V3 対応:広告ブロック・エクステンション AdGuard が実験を開始

AdGuard’s new ad blocker struggles with Google’s Manifest v3 rules

2022/08/31 BleepingComputer — Google の Manifest V3 に対応する、初めての Chrome 広告ブロック・エクステンションが利用可能になった。このエクステンション用の Manifest とは、Chrome ブラウザ・エクステンションに、開発者が取り込む権限や能力の概要を示すものだ。Manifest V3 で Google は、webRequest API を変更し、ユーザーに表示される前のデータを、エクステンションが変更することをブロックした。それにより、広告ブロックが無意味になってしまった。

Continue reading “Google Manifest V3 対応:広告ブロック・エクステンション AdGuard が実験を開始”

TikTok for Android の脆弱性 CVE-2022-28799:アカウント乗っ取りにいたる?

A flaw in TikTok Android app could have allowed the hijacking of users’ accounts

2022/08/31 SecurityAffairs — Microsoft の研究者たちは、TikTok for Android アプリに存在する、深刻度の高い脆弱性 CVE-2022-28799 を発見した。この脆弱性の悪用に成功した攻撃者は、ユーザー・アカウントをワンクリックで乗っ取る可能性を持つことになる。ただし、専門家たちは、この脆弱性を悪用してアカウントを乗っ取るには、他の脆弱性との連携が必要になると述べている。この脆弱性は、2022年2月に Microsoft から TikTok へと報告され、すぐに問題は対処された。 Microsoft は、このバグを悪用した攻撃が実際に行われていることを認識していないとしている。

Continue reading “TikTok for Android の脆弱性 CVE-2022-28799:アカウント乗っ取りにいたる?”

WordPress 6.0.2 で FIX した脆弱性:数百万の既存サイトに影響をおよぼす可能性

WordPress 6.0.2 Patches Vulnerability That Could Impact Millions of Legacy Sites

2022/08/31 SecurityWeek — 今週に WordPress チームは、深刻度の高い SQL インジェクションの欠陥などの、3つのセキュリティ脆弱性に対するパッチを含む、WordPress 6.0.2 をリリースした。1つ目の脆弱性は、以前はブックマークと呼ばれていた、WordPress のリンク機能に存在するものだ。このリンク機能は、新規のインストールではデフォルトで無効になっているため、古いインストールにのみに影響を及ぼす。

Continue reading “WordPress 6.0.2 で FIX した脆弱性:数百万の既存サイトに影響をおよぼす可能性”

Chrome の深刻なバク:悪意の Web サイトによるクリップボード上書きが証明された

Google Chrome bug lets sites write to clipboard without asking

2022/08/31 BleepingComputer — Chrome Version 104 で、事故とも言えるバグの混入が発生した。それは、訪問した Web サイトから、クリップボードへの書き込みイベントを承認するための、ユーザー要件が削除されるというものだ。この機能は、Google Chromeに限ったものではない。Safari と Firefox も、Web ページからシステムのクリップボードへの書き込みを許可しているが、ジェスチャーによる保護が施されている。

Continue reading “Chrome の深刻なバク:悪意の Web サイトによるクリップボード上書きが証明された”

Google がバグバウンティを刷新:オープンソース・プロジェクトも取り込んでいく

A new Google bug bounty program now covers Open Source projects

2022/08/30 SecurityAffairs — Google は、同社のプロジェクトをカバーしてきた Open Source Software Vulnerability Rewards Program (OSS VRP) の一環として、新たなバグバウンティ・プログラムを開始した。このプログラムでは、Google のプロジェクトに存在する脆弱性に対して、最大 $31,337 〜 最低 $100 の報酬額が支払われるという。

Continue reading “Google がバグバウンティを刷新:オープンソース・プロジェクトも取り込んでいく”

LastPass に脅威アクターが侵入:ソースコードの一部が盗み出された影響は?

LastPass Suffers Data Breach, Source Code Stolen

2022/08/27 DarkReading — LastPass の内部システムに侵入した攻撃者が、ソースコードと知的財産を持ち去った。パスワード管理会社である LastPass は、開発環境における異常なアクティビティを、2週間前に検出したと発表した。今週に行われた発表では、フォレンジック・データを調査した結果、開発者アカウントに侵入した何者かが、ネットワークにアクセスし、LastPass ソースコードの一部と独自の技術情報が窃取したと述べられている。

Continue reading “LastPass に脅威アクターが侵入:ソースコードの一部が盗み出された影響は?”

Atlassian Bitbucket Server の深刻な RCE 脆弱性:PoC エクスプロイトの前にパッチ適用を!

Atlassian Bitbucket Server vulnerable to critical RCE vulnerability

2022/08/26 BleepingComputer — Atlassian は、Bitbucket Server/Data Center ユーザーに対して、深刻なセキュリティ脆弱性を警告するセキュリティ・アドバイザリを公開した。この脆弱性の悪用に成功した攻撃者に対して、脆弱なインスタンス上での任意のコード実行を許す可能性があるという。Bitbucket とは、Jira と Trello が統合された、Git ベースのコード・ホスティング/マネージメント/コラボレーション・ツールのことである。

Continue reading “Atlassian Bitbucket Server の深刻な RCE 脆弱性:PoC エクスプロイトの前にパッチ適用を!”

SysAid で Log4j の脆弱性を悪用:イラン政府のハッカーがイニシャル・アクセスに成功

Iranian Government Hackers Exploit Log4Shell in SysAid Apps for Initial Access

2022/08/26 SecurityWeek — イラン政府に関連するとされる脅威グループが、SysAid の Log4Shell 脆弱性を悪用し、ターゲットの組織へのイニシャル・アクセスを確立したようだ。Apache Log4j のロギング・ユーティリティに影響を与える脆弱性 Log4Shell は、2021年12月に明るみに出たものである。この脆弱性 CVE-2021-44228 は、リモート・コード実行に悪用される可能性があり、営利目的のサイバー犯罪者に加えて、国家に支援されるサイバー・スパイにも悪用されてきた。 

Continue reading “SysAid で Log4j の脆弱性を悪用:イラン政府のハッカーがイニシャル・アクセスに成功”

CISA 警告 22/08/25:​​Delta/Apache/Grafana/Apple など 10件が KEV リストに追加

CISA: Vulnerability in ​​Delta Electronics ICS Software Exploited in Attacks

2022/08/26 SecurityWeek — Delta Electronics の産業用オートメーション・ソフトウェアに影響を及ぼす脆弱性が攻撃に悪用されているため、Cybersecurity and Infrastructure Security Agency (CISA) から各組織に対して早急な対処が要求されている。火曜日に CISA は、10件のセキュリティ欠陥を Known Exploited Vulnerabilities Catalog (KEV) に追加し、9月15日までに対処するよう、連邦政府機関に指示した。

Continue reading “CISA 警告 22/08/25:​​Delta/Apache/Grafana/Apple など 10件が KEV リストに追加”

Mozilla Firefox/Thunderbird の深刻な脆弱性が FIX:フィッシングに悪用される可能性

Mozilla Patches High-Severity Vulnerabilities in Firefox, Thunderbird

2022/08/25 SecurityWeek — 今週に Mozilla は、Firefox および Thunderbird に存在する、複数の深刻な脆弱性に対してパッチを適用した。Firefox 104 (Firefox ESR 91.13/102.2) に関しては、XSLT エラー処理に関連するアドレスバー偽装の可能性という深刻な欠陥にパッチが提供された。この脆弱性 CVE-2022-38472 は、フィッシングに悪用される可能性がある。

Continue reading “Mozilla Firefox/Thunderbird の深刻な脆弱性が FIX:フィッシングに悪用される可能性”

ETHERLED エアギャップ攻撃:ネットワークボードの LED 点滅から機密情報を抽出

ETHERLED: Air-gapped systems leak data via network card LEDs

2022/08/23 BleepingComputer — イスラエルの研究者である Mordechai Guri は、ネットワークカード上のLEDインジケータを使用して、エアギャップ・システムからデータを取得する新しい方法を発見した。この、 ETHERLED と名付けられた方法は、点滅するライトをモールス信号にして、攻撃者が解読できるようにするものだ。

Continue reading “ETHERLED エアギャップ攻撃:ネットワークボードの LED 点滅から機密情報を抽出”

SaaS プラットフォームを悪用するフィッシング攻撃:前年比 1,100% の大幅増

Phishing attacks abusing SaaS platforms see a massive 1,100% growth

2022/08/23 BleepingComputer — 脅威アクターたちが、Web サイト・ビルダーやパーソナル・ブランディング・スペースなどの、正規の SaaS (Software-as-a-Service) プラットフォームを悪用して、ログイン情報を盗むための悪質なフィッシング・サイトを作成する手口が増加している。Palo Alto Networks Unit 42 の最新レポートによると、研究者たちは SaaS 悪用の急増を確認しており、同社が収集したデータは、2021年6月〜2022年6月で 1,100% という大幅な増加を示しているという。

Continue reading “SaaS プラットフォームを悪用するフィッシング攻撃:前年比 1,100% の大幅増”

GitLab の深刻な脆弱性 CVE-2022-2884 が FIX:認証済みの攻撃者による RCE

GitLab fixed a critical Remote Code Execution (RCE) bug in CE and EE releases

2022/08/23 SecurityAffairs — DevOps プラットフォームの GitLab は、GitLab Community Edition (CE) および Enterprise Edition (EE) に影響を及ぼす、深刻なリモートコード実行の脆弱性 CVE-2022-2884 (CVSS 9.9) を修正する、セキュリティ・アップデートをリリースした。攻撃者が認証されている場合には、GitHub の Import API を介して、この脆弱性の悪用が可能となる。

Continue reading “GitLab の深刻な脆弱性 CVE-2022-2884 が FIX:認証済みの攻撃者による RCE”

CISA 警告 22/08/22:PAN-OS の深刻な脆弱性 CVE-2022-0028 を KEV リストに追加

CISA Warns of Active Exploitation of Palo Alto Networks’ PAN-OS Vulnerability

2022/08/23 TheHackerNews — 月曜日に米国の CISA は、Palo Alto Networks の PAN-OS に影響を与えるセキュリティ上の欠陥を、活発に悪用されている証拠に基づき、悪用脆弱性リスト (KEV:Known Exploited Vulnerabilities Catalog) に追加した。

Continue reading “CISA 警告 22/08/22:PAN-OS の深刻な脆弱性 CVE-2022-0028 を KEV リストに追加”

ChromeOS の脆弱性 CVE-2022-2587 が FIX:Chromium の問題を Microsoft が発見

Microsoft publicly discloses details on critical ChromeOS flaw

2022/08/23 SecurityAffairs — Microsoft は、ChromeOS における深刻な脆弱性 CVE-2022-2587 (CVSS:9.8) について、詳細な情報を共有した。この脆弱性は、OS Audio Serverにおける境界外書き込みの問題であり、DoS 状態を引き起こすこともあれば、特定の状況下ではリモートコード実行のために悪用される可能性があるとのことだ。

Continue reading “ChromeOS の脆弱性 CVE-2022-2587 が FIX:Chromium の問題を Microsoft が発見”

Linux Kernel と DirtyCred:8年前から存在していた Dirty Pipe ライクな脆弱性が露見

“As Nasty as Dirty Pipe” — 8 Year Old Linux Kernel Vulnerability Uncovered

2022/08/22 TheHackerNews — 8年前からLinux kernel に存在する、セキュリティ脆弱性の詳細が明らかになり、研究者たちは Dirty Pipe と同じくらい厄介だと述べている。Northwestern 大学の研究者グループにより DirtyCred と名付けられた、この脆弱性 CVE-2022-2588 の悪用に成功すると、最高レベルまでの権限昇格が生じてしまう。

Continue reading “Linux Kernel と DirtyCred:8年前から存在していた Dirty Pipe ライクな脆弱性が露見”

CISA 警告 22/08/18:SAP などの7つの深刻な脆弱性を悪用リスト KEV に追加

CISA adds 7 vulnerabilities to list of bugs exploited by hackers

2022/08/19 BleepingComputer — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、ハッカーに活発に悪用されているバグのリストに7つの脆弱性を追加した。その内容は、新たな脆弱性として Apple/Microsoft/SAP/Google の4社が公開したものと、Palo Altos Networks の2017年の脆弱性で構成されている。Known Exploited Vulnerabilities Catalog (KEV) は、CISA が共有するリストであり、サイバー攻撃での活発な悪用が判明している脆弱性に対して、連邦政府民間行政機関 (FCEB) がパッチ適用の義務を負うものである。

Continue reading “CISA 警告 22/08/18:SAP などの7つの深刻な脆弱性を悪用リスト KEV に追加”