Tag: WebRTC

Apple の RCE 脆弱性 CVE-2024-1580 が FIX:iOS/macOS での悪用を証明する PoC もリリース

Apple Patches Code Execution Vulnerability in iOS, macOS

2024/03/26 SecurityWeek — Apple がリリースしたのは、任意のコード実行の脆弱性を解決するための、iOS/macOS デバイス向けのセキュリティ・アップデートである。この脆弱性 CVE-2024-1580 は、境界外書き込みにつながる整数オーバーフローと説明されており、iOS/macOS の CoreMedia および WebRTC コンポーネントに影響を与えるものであり、画像処理中にトリガーされる可能性があるという。

Continue reading “Apple の RCE 脆弱性 CVE-2024-1580 が FIX:iOS/macOS での悪用を証明する PoC もリリース”

CISA KEV 警告 24/01/02:Google Chromium/Spreadsheet::ParseExcel の2件の脆弱性を追加

CISA Warns of Active Exploitation of Chromium and Spreadsheet::ParseExcel

2024/01/02 SecurityOnline — 米国 CISA (Cybersecurity and Infrastructure Security Agency) は、サイバー脅威との継続的な戦いを強調する、重大な警告を発した。同庁は、2024年1月2日に2つの深刻な脆弱性を KEV (Known Exploited Vulnerabilities:既知の脆弱性) カタログに追加し、ユーザーと連邦政府機関に早急な対策の必要性を警告している。

Continue reading “CISA KEV 警告 24/01/02:Google Chromium/Spreadsheet::ParseExcel の2件の脆弱性を追加”

Google Chrome ゼロデイ脆弱性 CVE-2023-7024 が FIX:WebRTC フレームワークの欠陥

Google fixes 8th Chrome zero-day exploited in attacks this year

2023/12/20 BleepingComputer — Google Chrome のゼロデイ脆弱性を修正するための、緊急アップデートが公開された。Google は、「脆弱性 CVE-2023-7024 が、野放し状態で悪用されていることを認識している」と述べている。このゼロデイバグが Google に報告された翌日に、世界中の Stable Desktop チャンネル・ユーザー向けに修正版が提供された。Windows 版の 120.0.6099.129/130 と、Mac/Linux 版の120.0.6099.129 が、パッチ適用済のバージョンである。

Continue reading “Google Chrome ゼロデイ脆弱性 CVE-2023-7024 が FIX:WebRTC フレームワークの欠陥”

Letscall という音声フィッシング:自前のコールセンターを備えて銀行と顧客を騙す

Vishing Goes High-Tech: New ‘Letscall’ Malware Employs Voice Traffic Routing

2023/07/07 TheHackerNews — Letscall と呼ばれる、音声フィッシング (vishing) の新たな高度な形態について、研究者たちが警告を発している。現時点において、この手口により、韓国の個人が標的にされているようだ。Letscall の背後にいる犯罪者たちは、ユーザーを欺いて偽の Google Play Store の Web サイトから、悪意のアプリをダウンロードさせるために、多段階攻撃を採用している。悪意のソフトウェアがインストールしてしまうと、ユーザーへの着信は犯罪者の管理下にあるコールセンターにリダイレクトされる。そして、最終的には、銀行の行員を装うように訓練されたオペレーターが、疑うことを知らない被害者から機密情報を引き出すことになるという。

Continue reading “Letscall という音声フィッシング:自前のコールセンターを備えて銀行と顧客を騙す”

Zoom ゼロデイ脆弱性の特殊性:Google Project Zero の研究者が語る

Google Details Two Zero-Day Bugs Reported in Zoom Clients and MMR Servers

2022/01/21 TheHackerNews — 人気の高いビデオ会議ソリューション Zoom の、ゼロクリック攻撃領域を調査した結果として、これまで公表されていなかった2つの脆弱性が発見された。これらの脆弱性が悪用されると、サービスのクラッシュ/悪意のコードの実行/メモリの任意の領域のリークが可能となる。昨年に、この2つの脆弱性を発見/報告した Google Project Zero の Natalie Silvanovich によると、この問題は、Zoom クライアントおよび、オンプレミス環境でクライアント間の音声/映像コンテンツを伝送する Multimedia Router (MMR) サーバーに影響するという。

Continue reading “Zoom ゼロデイ脆弱性の特殊性:Google Project Zero の研究者が語る”