Googleの無料オープンソース脆弱性スキャンツール「OSV-Scanner」の実力とは?
Googleは2022年12月13日(米国時間)、オープンソース開発者が自分のプロジェクトに関連する脆弱(ぜいじゃく)性情報に簡単にアクセスできる無料ツール「OSV-Scanner」を公開した。 Googleは2021年にオープンソースソフトウェア(OSS)の開発者と利用者のために、脆弱性のトリアージ(優先順位を付けて対処すること)を改善する取り組みとして、「Open Source Vulnerability」(OSV)スキーマを公開し、これに基づく分散型オープンソース脆弱性データベースサービス「OSV.dev」を立ち上げた。OSV-Scannerの公開は、この取り組みの次のステップだとしている。 OSVスキーマは、全てのオープンソースエコシステムと脆弱性データベースが、1つのシンプルで正確かつ機械可読なフォーマットで情報を公開し、利用できるようにする。OSVデータベースは、プロジェクトの
グーグルがオープンソースの脆弱性を発見しやすくするツールを公開
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Googleは、オープンソースプロジェクトの脆弱性をトリアージする作業を支援し、メンテナーやオープンソースのコンシューマーを手助けするための脆弱性データベースを提供するサイトである「Open Source Vulnerability」(OSV)を立ち上げた(ここで言う「コンシューマー(consumer)」とは、あるオープンソースソフトウェアに依存する別のソフトウェアや、そのソフトウェアの開発者を指す)。 Googleによれば、オープンソースソフトウェアの利用者が、共通脆弱性識別子(CVE)のエントリーなどの脆弱性情報と、自分たちが利用しているパッケージのバージョンを対応付けるのは難しい作業だという。これは、既存の脆弱性情報の標準で使用さ
Google、オープンソースのネットワークセキュリティスキャナー「Tsunami」を発表
Googleは2020年6月18日(米国時間)、汎用ネットワークセキュリティスキャナー「Tsunami」をオープンソースとして公開したと発表した。Tsunamiは、重大な脆弱(ぜいじゃく)性を高精度で検出するための拡張可能なプラグインシステムを備えている。現在はα版の前の段階(pre-alpha)にある。 Googleは、Tsunamiを開発した背景を次のように説明している。 「攻撃者がセキュリティ脆弱性や構成ミスを悪用し始めたら、企業は資産保護のために迅速に対応する必要がある。攻撃者が自動化への投資を拡大しているため、新たに見つかった重大な脆弱性に企業は数時間単位で対処しなければならなくなっている。これは、インターネットに接続された数千、あるいは数百万のシステムを持つ大企業にとって、大きな課題だ。そうしたハイパースケール環境では、セキュリティ脆弱性の検出と理想を言えば修正も、完全に自動化
GoogleはSpectreとMeltdownの対策を昨年6月に開始し12月には完了していた。性能低下の報告はなし
GoogleはSpectreとMeltdownの対策を昨年6月に開始し12月には完了していた。性能低下の報告はなし インテルやAMD、ARMなど、現在使われているほぼすべてのCPUに影響する深刻な脆弱性「Spectre」と「Meltdown」が表面化した問題について、Googleはすでに半年以上前、2017年6月にこの脆弱性への対策を開始し、12月には完了していたことを明らかにしました。 現時点では多くの報道などにおいて、この脆弱性に対処するための修正を行うとCPUの性能低下を引き起こす可能性があることが指摘されています。またインテルは脆弱性対策のためのファームウェアを適用すると、デスクトップPC向けのベンチマークにおいて、6パーセントかそれ以下の性能低下の可能性があると発表しています(サーバ用途における性能低下の影響についてはまだインテルから発表されていません)。 ところがGoogleは
Windowsに新たな未解決の脆弱性、Google研究者が「最悪」と報告
米Microsoftは5月9日(日本時間の5月10日)に月例セキュリティ更新プログラムを公開する見通しだが、今回の脆弱(ぜいじゃく)性への対処は間に合わない可能性もある。 過去にMicrosoft Windowsの未解決の脆弱(ぜいじゃく)性を何度も発見してきた米Googleの研究者が、新たに極めて深刻な脆弱性を見付けたと報告した。 脆弱性を報告しているのはGoogleの研究者テイビス・オーマンディ氏。Twitterへの5月6日の投稿で、同僚と共にWindowsのリモートコード実行の脆弱性を見付けたと伝え、「最近の記憶の中で最悪。クレイジー」と形容している。 →日本時間の5月9日夜から、修正版の自動アップデートが配信されている 続いて「攻撃はデフォルトのインストールに対して通用する。同じLAN上にいる必要はない。しかもワームの作成が可能」とツイートした。現時点でそれ以上の詳細は公表していな
グーグル、Windowsの未パッチ脆弱性情報を公開--「活発に利用されている」
Googleは「Windows」に潜む脆弱性を発見し、Microsoftに通知したものの、わずか10日後にその情報を公開した。 GoogleのThreat Analysis Groupは米国時間10月31日、Windowsの脆弱性に関する情報を公開した。同社によると、Adobe Systemsの「Flash Player」の脆弱性とともに発見されたこの脆弱性は、現在活発に悪用されているという。 GoogleのNeel Mehta氏とBilly Leonard氏は同社ブログへの投稿で、「この脆弱性は、Windowsカーネル内におけるローカルでの特権昇格であり、サンドボックス回避手段として利用可能だ」と記している。 「これは、GWL_STYLEをWS_CHILDに設定したウィンドウハンドル上のGWLP_IDインデックスに対して、win32k.sysのNtSetWindowLongPtr()シス
Engadget | Technology News & Reviews
How to watch Polaris Dawn astronauts attempt the first commercial spacewalk
Engadget | Technology News & Reviews
How to watch Polaris Dawn astronauts attempt the first commercial spacewalk
Malwarebytesのウイルス対策製品に未解決の脆弱性--グーグル「Project Zero」が報告
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Googleは米国時間2月2日、Malwarebytesのウイルス対策ソフトに潜む脆弱性に関する情報を公開した。Malwarebytesによると、脆弱性への対処には3〜4週間かかる可能性があるという。 Googleのセキュリティチーム「Project Zero」は、2015年11月の時点でMalwarebytesの製品に4つの脆弱性を発見し、同社に通知したが今回、脆弱性と攻撃手法に関する詳細を(一部の情報を黒塗りしたかたちで)Googleのバグリポジトリに公開した。 Project Zeroの研究者であるTavis Ormandy氏は、Malwarebytesのクライアント製品がマルウェアのシグネチャ情報をアップデートする際、暗号化され
Androidに問題、Google Playと標準ブラウザの脆弱性悪用で
Google Playストアの脆弱性とAndroid標準ブラウザの脆弱性を突く攻撃の組み合わせによって、攻撃者がリモートから不正なアプリをインストールして起動できてしまう恐れがある。 Google Playストアの脆弱性とAndroid標準ブラウザの脆弱性を突く攻撃の組み合わせによって、攻撃者がリモートから不正なアプリをインストールして起動できてしまう問題があることが分かり、脆弱性検証ツールの「Metasploit」にこれを実行するモジュールが追加された。Metasploitを提供するRapid7が2月10日のブログで明らかにした。 Rapid7によると、Google Playストアの脆弱性は、同ストアのWebアプリケーションドメイン(play.google.com)でクリックジャック対策のためのX-Frame-Options(XFO)サポートが徹底されていないことに起因する。 この脆弱性
グーグル、ゼロデイ攻撃を防止する「Project Zero」を発表
ウェブセキュリティを高めようとするGoogleの最近の試みは、「Android」や「Chrome」の修正ではなく、最新のゼロデイの脅威が悪用される前に記録化して阻止するウェブ全域での取り組みである「Project Zero」だ。 ゼロデイ攻撃は、過去に知られておらず修正パッチが提供されていないプログラミング上の不具合を狙うものだ。こうした脆弱性は、ウェブサイトやソフトウェアなど、基本的にプログラミングコードで書かれたものであれば、あらゆる場所で見つかる可能性がある。 Project Zeroを発表した米国時間7月15日のブログ投稿でGoogleのセキュリティエンジニアであるChris Evans氏が述べたように、ゼロデイは、人権活動家への攻撃や産業スパイ活動のほか、通信の監視、消費者のクレジットカード情報へのアクセス、大小さまざまなウェブサイトに含まれる詳細な個人情報が詰まったデータベース
CNET Japan - mobile
人気の記事 1「motorola razr 50/50 ultra」実機を試す--デザインも中身もさらに「楽しく」 2024年06月29日 2「VITURE Pro」レビュー:愛用のXRグラスがさらに進化、ゲームにも映画にも活躍中 2024年06月28日 3楽天「プラチナバンド」、YouTubeユーザー規制強化など--週間人気記事をナナメ読み(6月21日~6月27日) 2024年06月28日 4高性能キーボードHHKBに輪島塗モデルが復興支援で再び--1万9800円からのキートップも 2024年06月27日 5Instagramで「既読」を付けずにDMを閲覧する方法 2024年03月11日 6過去のホームページを収集・公開しているウェブアーカイブサービス7選 2016年01月31日 7LG、PC不要で「Netflix」など視聴できるモニター--「Makuake」3006%達成、全国販売へ
heise online – IT news, guides and background information | heise online
30 years ago today, the home computer era came to an end with the bankruptcy of Commodore. For fans of the cult computers C64 and Amiga, it is a day of mourning The leak of internal minutes from the RKI's coronavirus crisis team ends a years-long tug-of-war over freedom of information. Lauterbach: "Nothing to hide." A security vulnerability in WhatsApp for Windows allows program attachments to be
「Google Wallet」の脆弱性報道でプリペイドカード機能が一時無効に
米Googleは現地時間2012年2月11日、同社のモバイル決済サービス「Google Wallet」を巡るセキュリティ問題の報道を受け、「Google Walletは十分保護されている」と主張した上で、ユーザーの懸念に応える措置としてプリペイドカード機能を一時無効にすることを発表した。 Google Walletに関しては、第三者がプリペイドカードの残高にアクセスできてしまう脆弱性があるとしてネット上で報告された。米メディアの報道(CNET News.comやPCWorld)によると、まずセキュリティ会社の米Zveloが、ルート権限を使ってAndroidスマートフォンにアクセスし、Google WalletのPIN(暗証番号)をハッキングする手法を公表した。その翌日、「The Smartphone Champ」と名乗るブロガーが、特別なソフトウエアやルート権限が無くても、Google W
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GoogleがOSSの脆弱性DB「OSV」を開始、セキュリティリスク取りこぼしは減るか
ホワイトハッカーの高額報酬広がる Googleは1.6億円 - 日本経済新聞