Apple issues emergency patches to fix actively exploited zero-days
2022/03/31 SecurityAffairs — Apple が、緊急のセキュリティ・パッチをリリースした。具体的には、iPhone/iPad/Mac のハッキングに活発に利用されている、2つのゼロデイ脆弱性に対応するものだ。1つ目のゼロデイ脆弱性 CVE-2022-22674 は、Intel Graphics Driver に存在し、悪意のアプリにカーネル・メモリ読み取りを許してしまう、境界外読取の問題である。Apple は、「この問題には、入力の検証を改善することで対処した。Appleは、この問題が積極的に悪用された可能性があるという報告を認識している」とアドバイザリに記している。
Continue reading “Apple の緊急アップデート:iPhone/iPad/Mac の2つのゼロデイ脆弱性に対応”What Does it Mean to Be Zero-Day?
2022/03/29 SecurityBoulevard — ゼロデイ脆弱性とは、コンピュータ・ソフトウェアの未知の脆弱性のことであり、その存在にセキュリティ・チームが気付く前に、ステルス・モードでの攻撃を可能にするものである。 ゼロデイとは、ソフトウェアの欠陥が発生してから、修正プログラムが提供されるまでの期間を指す、不定形な概念である。それにより、リスクに満ちたユニークなセキュリティ態勢の状況が生み出される。
Continue reading “ゼロデイという状況に陥ったとき:準備がなければ何もできない?”CISA warns orgs to patch actively exploited Chrome, Redis bugs
2022/03/28 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、連邦政府民間機関に対し、野放し状態で積極的に悪用されている Google Chome のゼロデイと、Redis の深刻な脆弱性に対して、3週間以内にパッチするよう命じた。金曜日に公開された Google アドバイザリによると、Chrome のゼロデイ脆弱性 CVE-2022-1096 は、Chrome V8 JavaScript エンジンに存在するタイプ・コンフュージョンであり、脅威者に対して標的デバイス上で任意のコード実行を許す可能性があるとのことだ。
Continue reading “CISA 警告:Chrome/Redis などの 32 件の脆弱性を悪用リストに追加”New Chrome 0-Day Bug Under Active Attack – Update Your Browser ASAP!
2022/02/14 TheHackerNews — 月曜日に Google は、Web ブラウザ Chrome に存在する、8つのセキュリティ問題の修正プログラムを公開した。この中には、実際の攻撃で積極的に悪用されている、深刻度の高い脆弱性も含まれており、2022年に入ってから初めてのゼロデイ・パッチとなった。
Continue reading “Google Chrome のゼロデイ脆弱性 CVE-2022-0609:積極的な悪用と緊急アップデート”Zimbra zero-day vulnerability actively exploited to steal emails
2022/02/03 BleepingComputer — Zimbra におけるクロス・サイト・スクリプティング (XSS) の脆弱性が、ヨーロッパのメディアや政府機関を標的とした攻撃で積極的に悪用されている。Zimbra は、Eメール/コラボレーション・プラットフォームであり、インスタント・メッセージング/コンタクト・リスト/ビデオ会議/ファイル共有/クラウド・ストレージなどの機能も備えている。Zimbra によると、1,000以上の政府機関や金融機関を含め、140カ国以上の20万以上の企業が、同社のソフトウェアを使用しているとのことだ。
Continue reading “Zimbra ゼロデイ脆弱性:未知の脅威アクターが電子メールを盗み出している”Google Details Two Zero-Day Bugs Reported in Zoom Clients and MMR Servers
2022/01/21 TheHackerNews — 人気の高いビデオ会議ソリューション Zoom の、ゼロクリック攻撃領域を調査した結果として、これまで公表されていなかった2つの脆弱性が発見された。これらの脆弱性が悪用されると、サービスのクラッシュ/悪意のコードの実行/メモリの任意の領域のリークが可能となる。昨年に、この2つの脆弱性を発見/報告した Google Project Zero の Natalie Silvanovich によると、この問題は、Zoom クライアントおよび、オンプレミス環境でクライアント間の音声/映像コンテンツを伝送する Multimedia Router (MMR) サーバーに影響するという。
Continue reading “Zoom ゼロデイ脆弱性の特殊性:Google Project Zero の研究者が語る”Accellion Reaches $8.1 Million Settlement Over FTA Data Breach
2022/01/18 SecurityWeek — エンタープライズむけのコンテンツ・ファイアウォールを提供する Accellion は、レガシー・ファイル共有サービス FTA に関わる、データ流出をめぐる訴訟を終結させるために、$8.1 million の和解に達したと Reuters が報じている。2021年10月にブランド名を Kiteworks に変更した Accellion は、セキュアな電子メール/コラボレーション/コンテンツ・アクセス/ファイル共有/エンタープライズ・アプリ共有機能などの、いくつかのサービスを提供している。
Continue reading “Accellion のデータ流出問題:訴訟を終結させるために $8.1 million で和解”Google pushes emergency Chrome update to fix zero-day used in attacks
2021/12/13 BleepingComputer — Google は、Chrome 96.0.4664.110 の Windows/Mac/Linux 用をリリースし、ワイルドに悪用されている深刻度の高いゼロデイ脆弱性に対応した。今日のセキュリティ・アドバイザリで Google は、「脆弱性 CVE-2021-4102 をワイルドに悪用する事例があるという報告を認識している」と述べている。
Continue reading “Google Chrome の緊急アップデート:ワイルドに悪用されているゼロデイ脆弱性”New Windows 10 zero-day gives admin rights, gets unofficial patch
2021/11/27 BleepingComputer — Windows 10 Version 1809以降に影響する、Mobile Device Management Service のゼロデイ脆弱性「ローカル特権昇格 (LPE) 」から、Windows ユーザーを保護するための非公式パッチが無料で公開されている。このセキュリティ上の欠陥は、”Access Work or School” 設定に存在し、Microsoft が2月にリリースした CVE-2021-24084 情報漏えいバグに対処する、パッチを回避するものだ。
Continue reading “Windows 10 の新たなゼロデイ脆弱性とアンオフィシャル・パッチの存在”FBI warns of APT group exploiting FatPipe VPN zero-day since May
2021/11/18 BleepingComputer — 米国の FBI は、FatPipe のルーター・クラスタリング製品および、ロードバランサー製品を悪用して、ターゲットのネットワークに侵入する APT (Advanced Persistent Threat) の存在について警告した。FatPipe は、ソルトレイク・シティに本社を置く、WAN 最適化ソリューションに特化した、コンピュータ・ネットワーキング・ハードウェア企業であり、多数の Fortune 1000 企業を顧客として抱えている。
Continue reading “FBI 警告:FatPipe VPN のゼロデイ脆弱性が5月から悪用されている”Microsoft November 2021 Patch Tuesday fixes 6 zero-days, 55 flaws
2021/11/09 BleepingComputer — 今日の Microsoft November 2021 Patch Tuesday により、6件のゼロデイ脆弱性うぃ含む、合計で 55件の脆弱性が修正された。積極的に悪用されている脆弱性は、Microsoft Exchange と Excel に関連するものであり、Exchange のゼロデイは Tianfu ハッキング・コンテストでも使用されていた。
Continue reading “Microsoft 2021-11 月例アップデートは6件のゼロデイと 55件の脆弱性に対応”Emergency Google Chrome update fixes zero-days used in attacks
2021/10/28 BleepingComputer — Google は、Windows/Mac/Linux 用の Chrome 95.0.4638.69 をリリースし、攻撃者に積極的に悪用されている2つのゼロデイ脆弱性を修正した。Google は、「CVE-2021-38000 および CVE-2021-38003 の悪用が、ワイルドに行われていることを認識している」と、本日にリリースされた Google Chrome のセキュリティ修正のリストで述べている。
Continue reading “Google Chrome の緊急アップデート:2つのゼロデイ脆弱性が悪用されている”Zerodium wants zero-day exploits for Windows VPN clients
2021/10/19 BleepingComputer — 今日の短いツイートで、エクスプロイト・ブローカーである Zerodium が、マーケットで人気の VPN サービス・プロバイダー3社の、ゼロデイ・エクスプロイト脆弱性情報の取得を検討していることを明らかにした。
Continue reading “Zerodium とゼロデイ脆弱性:NordVPN/ExpressVPN/SurfShark が対象”Microsoft October 2021 Patch Tuesday fixes 4 zero-days, 71 flaws
2021/10/12 BleepingComputer — 今日は Microsoft October 2021 Patch Tuesday であり、4件のゼロデイ脆弱性を含む、合計で 74件の脆弱性が修正された。Microsoft は、本日のアップデートで 74件の脆弱性 (Microsoft Edge を含む81件) を修正し、そのうち3件を Critical、70件を Important、1件を Low と判定した。
Continue reading “Microsoft 2021-10 月例アップデートは4件のゼロデイと 71件の脆弱性に対応”Emergency Apple iOS 15.0.2 update fixes zero-day used in attacks
2021/10/11 BleepingComputer — Apple は、iOS 15.0.2/iPadOS 15.0.2 をリリースし、iPhone や iPad を標的とした攻撃で活発に悪用されている、ゼロデイ脆弱性を修正した。この脆弱性は、CVE-2021-30883 として追跡されている、IOMobileFrameBuffer における重要なメモリ破壊バグであり、脆弱なデバイス上のアプリケーションによる、カーネル権限でのコマンド実行を許してしまう。したがって、この脆弱性を悪用する脅威アクターによる、データの窃取や、さらなるマルウェアをインストールが実行される可能性が生じる。
Continue reading “Apple iOS 15.0.2 緊急アップデート:ゼロデイのコマンド実行脆弱性が FIX”Actively exploited Apache 0-day also allows remote code execution
2021/10/06 BleepingComputer — Apache Web Server のゼロデイ PoC (Proof-of-Concept:概念実証) がインターネット上で公開されたが、この脆弱性は当初公開されたものよりも、はるかに深刻であることが明らかになった。この脆弱性は、パス・トラバーサルの範囲を超えており、攻撃者はリモート・コード実行 (RCE) が可能となる。Apache は、25% 以上の市場シェアを持つ、最も人気の Web サーバの1つである。
Continue reading “Apache Web Server のゼロデイ脆弱性 CVE-2021-41773 はリモートコード実行”Google pushes emergency Chrome update to fix two zero-days
2021/09/30 BleepingComputer — Google は、すでに攻撃者に悪用されている、Chrome の2つのゼロデイ脆弱性を修正するために、Windows/Mac/Linux 用の 94.0.4606.71 をリリースした。Google は、「脆弱性 CVE-2021-37975 と CVE-2021-37976 のエクスプロイトが、ワイルドに悪用されていることを認識している」と、本日にリリースされたセキュリティ FIX リストで述べている。
Continue reading “Google Chrome のゼロデイ脆弱性が FIX:9月は2回目 94.0.4606.71 へ”Emergency Google Chrome update fixes zero-day exploited in the wild
2021/09/24 BleepingComputer — Google は、Chrome 94.0.4606.61 を Windows/Mac/Linux 用にリリースした。今回は。ワイルドに悪用されている、深刻度の高いゼロデイ脆弱性に対処するための緊急アップデートである。Google は、今日のセキュリティ・アドバイザリで、脆弱性 CVE-2021-37973 がワイルドに悪用されていることを認識していると、明らかにしている。
Continue reading “Google Chrome にゼロデイ脆弱性:緊急アップデートが提供されている”Apple patches new zero-day bug used to hack iPhones and Macs
2021/09/23 BleepingComputer — Apple は、古いバージョンの iOS/macOS を搭載した iPhone/Mac のハッキングに悪用された、ゼロデイ脆弱性を修正するセキュリティ・アップデートを公開した。本日、修正されたゼロデイ脆弱性 (CVE-2021-30869) は、XNU OS のカーネルに存在するものであり、Google Threat Analysis Group の Erye Hernandez と Clément Lecigne および、Google Project Zero の Ian Beer により報告されている。
Continue reading “Apple iPhone / Mac のゼロデイ脆弱性が FIX”Microsoft September 2021 Patch Tuesday fixes 2 zero-days, 60 flaws
2021/09/14 BleepingComputer — 今日は、Microsoft の September 2021 Patch Tuesday だ。それに伴い、ゼロデイ脆弱性2件を含む、合計で 60件の脆弱性が修正された。今日のアップデート 60件の脆弱性 (Edge を含むと86件) の内訳だが、3件の Critical、56件の High、1件の Mediumとなる。
Continue reading “Microsoft 2021-09 月例アップデートは 2件のゼロデイと 60件の脆弱性に対応”Microsoft fixes remaining Windows PrintNightmare vulnerabilities
2021/09/14 BleepingComputer — Microsoft は、ゼロデイ脆弱性 PrintNightmare に残された、最後の問題点を修正するセキュリティ更新プログラムを公開した。この脆弱性は、Windows デバイスの管理者権限が、攻撃者により容易に取得されるという、深刻なバグである。
Continue reading “Microsoft Windows PrintNightmare 最後の脆弱性 CVE-2021-36958 が FIX”Apple fixes iOS zero-day used to deploy NSO iPhone spyware
2021/09/13 BleepingComputer — Apple は、iPhone/Mac 攻撃での悪用が確認されている、2つのゼロデイ脆弱性を修正するセキュリティ・アップデートを公開した。そのうちの1つは、iPhone にスパイウェア Pegasus のインストールのために使用されることが知られている。これらの脆弱性は、CVE-2021-30860 および CVE-2021-30858 として追跡されており、悪意を持って作成されたドキュメントを、脆弱なデバイスで開くとコマンドが実行されるというものだ。
Continue reading “Apple iOS/macOS の2つのゼロデイ脆弱性が FIX”Google patches 10th Chrome zero-day exploited in the wild this year
2021/09/13 BleepingComputer — Google は、Chrome 93.0.4577.82 を Windows/Mac/Linux 向けにリリースし、11件のセキュリティ脆弱性を修正したが、そのうち2件はワイルドに悪用されているゼロデイである。Google は、「CVE-2021-30632 と CVE-2021-30633 のエクスプロイトが、ワイルドに存在することを認識している」と、Chrome の新バージョンのリリースノートで明らかにしている。
Continue reading “Google Chrome の2つのゼロデイ脆弱性が FIX”Microsoft shares mitigations for Windows PrintNightmare zero-day bug
2021/07/02 BleepingComputer — Microsoft は、Windows Print Spooler のゼロデイ脆弱性 PrintNightmare を狙った、攻撃を阻止するための緩和策を提供している。このリモートコード実行 (RCE : remote code execution) のバグは、CVE-2021-34527 として追跡されている。Microsoft によると、すべての Windows に影響があるが、この脆弱性の悪用については調査中とのことだ。
Continue reading “Microsoft Windows PrintNightmare セロデイ脆弱性を緩和するには?”
IoT OT Security News 