「Git」に任意コード実行などへつながるおそれのある脆弱性が2件/「Git for Windows」「GitHub Desktop」などの関連ツールにセキュリティアップデート
Appleが“危険なiOSとmacOS”の更新を促す事態に
関連キーワード 脆弱性対策 | Apple | iOS | Mac | 脆弱性 Appleは2022年8月、同社製のデバイスやブラウザに影響を及ぼす可能性のある、2つのゼロデイ脆弱(ぜいじゃく)性を公開した。ゼロデイ脆弱性は、ベンダーが欠陥を解消する前に攻撃に悪用される脆弱性だ。同社が公開した脆弱性は、「iOS」「iPadOS」「macOS Monterey」といったOSや、Webブラウザ「Safari」が影響を受ける可能性がある。 Appleが公開した脆弱性 攻撃者はどう悪用するのか? 併せて読みたいお薦め記事 Apple製品の脆弱性対策 iPhoneで“野良アプリ”を使ってはいけない理由と、それでも使うときの判断基準 「Appleの脆弱性対策にはまだ問題がある」――研究者が抱く“あの疑念” 2つの脆弱性には、「CVE-2022-32893」「CVE-2022-32894」という識別番号
中国が支援する脅威アクターがよく利用する脆弱性とは トップ20を発表
米国の政府機関および民間セクターは、中国政府が支援するサイバー攻撃者の活動によって知的財産や機密情報の窃取などの被害に遭っているとされている。 米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)と米連邦捜査局(FBI)、米国家安全保障局(NSA)は2022年10月6日(現地時間)、こうした状況を改善する取り組みとして「中国政府が支援するサイバー攻撃者によって積極的に悪用された上位のCVE(共通脆弱性識別子)」を公開した。 同アラートは、中国政府が支援するサイバー攻撃者が悪用している脆弱(ぜいじゃく)性をまとめたもので、政府機関や民間セクター、同盟国に対してこれらの情報を活用して防御体制を強化することを推奨している。 CVE-2021-44228:「Apache Log4j」におけるリモートコード実行の脆弱性。CVSS v3のスコアは10で深刻度「緊急」(C
継続する「Log4Shell」脆弱性の被害が証明したSBOMの価値
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。 これまで、以下の記事でソフトウェアの脆弱性の対応およびその解決策としての「ソフトウェア部品表」(SBOM:Software Bill Of Materials)の有効性などについて述べてきた。 セキュリティ管理者を悩ませる「脆弱性まつり」がもっと深刻になる理由 セキュリティ管理者が脆弱性の影響をベンダーに聞かなければ判断できない裏事情 「ソフトウェアサプライチェーン」の部品の中の脆弱性にまつわる深刻なリスク 米国政府が「SBOM」による管理を大統領令に盛り込んだ意味 今
15年前のPythonの脆弱性が悪用されており注意、たった6行で簡単に攻撃可能
Trellixは9月21日(米国時間)、「Tarfile: Exploiting the World With a 15-Year-Old Vulnerability」において、Pythonのtarfileモジュールにある既知の脆弱性が世界中で悪用されていると伝えた。セキュリティベンダーであるTrellixのセキュリティチームが、無関係な脆弱性の調査を行っていたところ、偶然発見したと報告している。 Tarfile: Exploiting the World With a 15-Year-Old Vulnerability 悪用されている脆弱性は発見された当初、新たなゼロディ脆弱性であると見られていた。しかしながら、15年前にCVE-2007-4559として特定されている、既知の脆弱性であることが明らかとなった。深刻度がCVSSv2スコア値6.8でMedium(警告)と位置づけられているこの
ソフトウェア脆弱性を正しく怖がるための「28の真実」
Comparitech.comはサイバーセキュリティに関わる脆弱性について、最新の状況を示す28の重要な統計と事実を取り上げて紹介した。2021年第4四半期にはゼロデイマルウェアが全脅威の3分の2を占めた。だが、同時に84%の企業のネットワーク境界に高リスクの脆弱性が残っていた。企業や個人はまず古い脆弱性に対応するとよいだろう。 比較サイトのComparitech.comは2022年8月2日(英国時間)、サイバーセキュリティの脆弱(ぜいじゃく)性について最新の状況を示す28の重要な統計と事実を取り上げ、紹介した。 ここでいう脆弱性とは、攻撃者が正規の権限なくネットワークやシステムにアクセスできるようになるソフトウェア上の欠陥を指す。ソフトウェアに脆弱性があると、企業や個人は、マルウェアによる不正な操作やアカウントの乗っ取りなど、さまざまな脅威にさらされる。 脆弱性の数は非常に多く、悪用され
バグの修正にかかる時間は年々短くなっている、一番修正が迅速なのはどこ?
Googleの脆弱性(ぜいじゃくせい)発見チーム「Project Zero」が2022年2月10日に、2019年から2021年の間に発見されたバグとその修正の実態についてのレポートを発表しました。これにより、脆弱性が発見されてからパッチがリリースされるまでの期間が大きく短縮されたことや、IT大手各社の中でもバグ修正にかかる時間に開きがあることなどが分かりました。 Project Zero: A walk through Project Zero metrics https://googleprojectzero.blogspot.com/2022/02/a-walk-through-project-zero-metrics.html 以下は、Project Zeroが2019年から2021年の間に発見したバグとその修正期間をまとめた表で、タイトル行の項目は左から「ベンダー」「バグの総数」「
Linuxの脆弱性修正はどのベンダーよりも早かった--グーグルのProject Zeroが発表
Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 編集部 2022-02-21 11:48 GoogleのセキュリティチームであるProject Zeroが発表したレポートで、Linuxの開発者が、Googleを含む他のどのベンダーも早くセキュリティバグを修正していたことが分かった。 レポートでは、2019年1月から2021年12月の間に報告された修正済みのバグについての数字を取り上げている。Project Zeroによれば、Linuxの脆弱性はわずか平均25日で修正されていた。それに加え、Linuxの開発者は、セキュリティホールの修正にかかる時間も大幅に短縮しており、2019年には平均32日かかっていたのに対して、2021年には15日にまで改善された。 この結果は、競合する他のベンダーよりもはるかに優れたものだ。例えば、Appl
サイバー攻撃者が好むのは古い脆弱性--闇市場動向
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます トレンドマイクロは、インターネット空間のアンダーグラウンドで売買される脆弱性攻撃ツールの動向を調査した結果を発表した。ツール購入者の多くが2年以上前に公開された脆弱性の悪用を好み、ツール提供者もそのニーズに応えていることが分かったという。 インターネットのアンダーグラウンドでは、さまざまな情報やサービス、物品などの売買が行われているとされ、同社はここでの脆弱性攻撃ツールの需給状況や流通方法を2019年1月~2020年12月に調査した。 まずツール購入者の希望平均額は2000ドルで、中には月額60ドルや6カ月で2000ドル(約23万円)といった形があり、サブスクリプション方式で提供する販売者も確認されたという。価格の高いサービスでは、悪用
【セキュリティ ニュース】XMLパーサーライブラリ「Expat」に複数の深刻な脆弱性(1ページ目 / 全1ページ):Security NEXT
XMLパーサーのライブラリ「Expat(libexpat)」に複数の深刻な脆弱性が明らかとなった。脆弱性を修正したアップデートがリリースされている。 関数「XML_GetBuffer」に整数オーバーフローの脆弱性「CVE-2022-23852」が明らかとなったもの。特定の構成において影響を受ける。また関数「doProlog」においても整数オーバーフローの脆弱性「CVE-2022-23990」が判明した。 米国立標準技術研究所(NIST)の脆弱性データベース「NVD」による共通脆弱性評価システム「CVSSv3.1」のベーススコアはいずれも「9.8」。重要度はもっとも高い「クリティカル(Critical)」とレーティングされている。 同ライブラリに関しては、1月16日に「同2.4.3」が公開されており、7件の脆弱性が修正されたが、異なる脆弱性となる。開発チームでは、これら脆弱性を解消し、バグな
元・Java専門記者がLog4j 2脆弱性に見た「複雑性と魔神のかけら」 Javaの歴史とバザールの矛盾
元・Java専門記者がLog4j 2脆弱性に見た「複雑性と魔神のかけら」 Javaの歴史とバザールの矛盾(1/6 ページ) Javaのライブラリ「Apache Log4j 2」に深刻な脆弱性が発見されたことは記憶に新しい。1カ月以上経過した現在も、注意喚起や新たな情報提供が続いている。問題は完全に収束したとはいえない。 今回の記事の主題は脆弱性対策ではない。「Javaの歴史的経緯と、今回騒ぎになっている脆弱性の話を、うまく1本の記事にしてください」という編集部のオファーに応じて書いたものだ。記事の半分は「元・Java専門記者のナイショ話」である。現実の情報システムへの対処が必要な方は、まず下記ページから最新情報をチェックしていただきたい。 IPA Apache Log4j の脆弱性対策について(CVE-2021-44228) Apache Log4j 2公式ページ Log4j 2で今回問題
日立、脆弱性検索エンジンを「MIRACLE Vul Hammer」に提供--OSSのセキュリティ対策強化
日立製作所(日立)は、高まるサイバー攻撃の脅威に対応するため、同社独自の「脆弱性検索エンジン」をサイバートラストの脆弱性管理ソリューション「MIRACLE Vul Hammer」に組み込む。これにより管理対象システムのオープンソースソフトウェア(OSS)利用情報と脆弱性情報を高い精度で照合し、脆弱性の有無を自動的に可視化・通知する機能を実現できる。 「MIRACLE Vul Hammer」は、大規模なシステムを管理・運用する企業向けに提供する、OSSやその他のソフトウェアの脆弱性管理を効率化するためのソリューション。サイバートラストは、日立の脆弱性検索エンジンを組み込んだMIRACLE Vul Hammerを販売開始している。 日立の脆弱性検索エンジンでは、脆弱性情報の標準的なフォーマットを学習させた最適化アルゴリズムを搭載することで、表記揺れを吸収するあいまい検索を可能とし、高い精度の照
主要なLinuxディストリビューションに特権昇格の脆弱性、要注意
Qualysは1月25日(米国時間)、「PwnKit: Local Privilege Escalation Vulnerability Discovered in polkit's pkexec (CVE-2021-4034)|Qualys Security Blog」において、すべての主要なLinuxディストリビューションにデフォルトで含まれているpolkitに特権昇格の脆弱性が存在すると伝えた。この脆弱性を悪用すると、任意の非特権ユーザが脆弱なホスト上で簡単にroot権限を取得できるとされている。Qualysはこの脆弱性を「PwnKit」と呼んでいる。 PwnKit: Local Privilege Escalation Vulnerability Discovered in polkit's pkexec (CVE-2021-4034)|Qualys Security Blog 対
あの東日本大震災から1ヶ月強、被災地がどうなったのかを示す衝撃的な写真集
2022年1月、テスラ車向けにリリースされているサードパーティ製ソフトウェアの脆弱(ぜいじゃく)性を利用し、車の一部機能を外部から乗っ取ることができることが報告されました。まだ19歳にして重大な脆弱性を発見したセキュリティ研究者のデヴィッド・コロンボ氏が、一体どのように脆弱性を見つけたのかについて語っています。 How I got access to 25+ Tesla’s around the world. By accident. And curiosity. | by David Colombo | Jan, 2022 | Medium https://medium.com/@david_colombo/how-i-got-access-to-25-teslas-around-the-world-by-accident-and-curiosity-8b9ef040a028 コロンボ氏
FacebookやTwitterも被害に 「API攻撃」の危険性と注意点は?
関連キーワード API | アプリケーション | セキュリティ | 脆弱性 | 脆弱性対策 | アプリケーション開発 Akamai Technologiesでセキュリティ戦略部門の最高技術責任者(CTO)を務めるパトリック・サリバン氏は、API(アプリケーションプログラミングインタフェース)セキュリティの最大の課題は「認証プロセスの構成要素」にあるという。重要なデータへのAPIを使ったアクセスが増加するにつれ、その重要性は高まる。 最近ではAPIが重要なデータにアクセスすることが珍しくなくなった。企業はアジャイル型(小規模な変更を短期間で繰り返す手法)開発を実施する上で、頻繁にAPIを変更するようになった。こうした変化により、APIは攻撃者にとって魅力的な攻撃対象になってきた。「攻撃対象に関する知識を身に付けることがAPIセキュリティの第一歩だ」と、APIセキュリティベンダーSalt Se
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Bluetooth Low Energyに脆弱性。家や車のスマートキーなどに影響の恐れ
F5 BIG-IPの脆弱性を利用するサイバー攻撃を確認 直ちにアップデートを
OSSのセキュリティリスクにはどう向き合う? 「Log4Shell」脆弱性から学ぶ取り組み【海外セキュリティ】
Linuxにコンテナエスケープの脆弱性 該当条件の確認と更新を
https://jp.techcrunch.com/2022/01/25/2022-01-24-teslamate-bug-teslas-exposed-remote/
