【セキュリティ ニュース】トレンド複数製品に管理画面回避のおそれ - パッチリリース(1ページ目 / 全1ページ):Security NEXT
トレンドマイクロが提供する複数の法人向け製品に「ディレクトリトラバーサル」の脆弱性が含まれていることがわかった。 「ウイルスバスターコーポレートエディション」や「Apex One」に「ディレクトリトラバーサル」の脆弱性「CVE-2019-18189」が明らかとなったもの。共通脆弱性評価システムであるCVSSv3のスコアは「8.8」。 管理サーバへネットワーク経由でアクセスできる場合、管理コンソール の認証が回避され、ルートユーザーアカウントでログインされるおそれがあるという。 同脆弱性は、周知を目的にトレンドマイクロがJPCERTコーディネーションセンターへ届けたもので、同社は脆弱性を修正するパッチをリリースした。 「ウイルスバスター コーポレートエディション XG SP1」向けのパッチでは、適用後に不具合が生じるケースが判明しており、同社ではあわあせて回避策をアナウンスしている。 (Se
「変なホテル舞浜」卵型ロボの脆弱性報告、なぜ「不審扱い」された? 不幸なすれ違いの背景
「変なホテル舞浜 東京ベイ」の客室に設置されていたロボット「Tapia」に、不正操作につながる脆弱性が存在していたことが明らかになりました。変なホテルを運営するH.I.S.ホテルホールディングスとTapiaの開発元であるMJIは10月17日、セキュリティを強化する旨を発表しましたが、一連のプロセスから考えさせられることは多そうです。 連載:ITの過去から紡ぐIoTセキュリティ 家電製品やクルマ、センサーを組み込んだ建物そのものなど、あらゆるモノがネットにつながり、互いにデータをやりとりするIoT時代が本格的に到来しようとしています。それ自体は歓迎すべきことですが、IoT機器やシステムにおける基本的なセキュリティ対策の不備が原因となって、思いもよらぬリスクが浮上しているのも事実です。 この連載ではインターネットの普及期から今までPCやITの世界で起こった、あるいは現在進行中のさまざまな事件か
SECURITY BULLETIN: Trend Micro Anti-Threat Toolkit (ATTK) RCE Vulnerability
Automation Center Trend Micro Automation Center is a central hub for APIs and documentation across Trend Micro products. It offers searchable cross-product APIs and use cases for IT and security teams to automate tasks and improve efficiency. Learn more Education Portal The Education Portal serves as a comprehensive resource for Trend Micro employees to develop their professional capabilities. Thr
【セキュリティ ニュース】トレンドのログ調査ツールに脆弱性 - 最新版の利用を(1ページ目 / 全1ページ):Security NEXT
トレンドマイクロの「調査ログ収集用ウイルス対策ツールキット(ATTK)」に脆弱性が明らかとなった。脆弱性を修正したアップデートが提供されている。 同製品は、不審な動作が発生している際に調査ログを収集するため、同社が顧客向けに提供しているWindows向けソフトウェア。スタンドアロンによる提供のほか、一部同社製品にも統合されている。 同ソフトウェアと同じディレクトリに特定のファイル名でマルウェアが存在している場合、同ソフトウェアによる調査実行時にマルウェアが実行される「CVE-2019-9491」が明らかとなったもの。セキュリティ研究者のJohn Page氏が発見して9月9日に同社へ報告した。 同社は脆弱性を修正した「同1.62.0.1223」をリリース。また同ツールが統合されている製品についてもアップデートを実施し、最新の状態へアップデートして利用するよう求めている。 (Security
卵型ロボ「Tapia」、家庭用モデルにも「変なホテル」と同じ脆弱性 NFC経由で乗っ取られる恐れ
ロボットが接客する「変なホテル舞浜 東京ベイ」に設置されていた卵型コミュニケーションロボット「Tapia」に、第三者が不正に操作できる脆弱(ぜいじゃく)性が見つかった問題で、開発元のMJIは10月18日、Tapiaの家庭用モデルにも同様の脆弱性があることを明らかにした。セキュリティ強化に向け、ソフトウェアの自動アップデートを早急に行う方針だ。 Tapiaの家庭用モデルと、変なホテル舞浜に設置していたモデルは共に、NFC(近距離無線通信)に対応している。このセキュリティに不備があり、悪意のある第三者がNFC対応デバイスを近づけて通信すると、Tapiaのシステム内にアクセスでき、不正なソフトウェアやアプリケーションのインストールが可能になるという。 現時点で被害は起きていないが、Tapiaにスパイウェアを入れて遠隔操作し、室内の様子を撮影した画像を外部に漏えいすることも理論上は可能だとしている
スマートビルの3分の1はマルウェアに感染――ビルセキュリティ最新動向
マルウェアのターゲットになるスマートビルがスマートシティへの侵入口に? ビルの空調、照明、電源や水道、火災報知器やセキュリティシステムの他、エレベーターや入退室管理システムなどを統合管理する「スマートビルディングシステム」。実はこれらも、他のIoTシステムと同様に「汎用のWindows OSをベースとしたシステムになっており、それ故に、マルウェアをはじめとするさまざまな脅威にさらされつつある――。 ロシアのセキュリティ企業、KasperskyのICS-CERTのシニアリサーチデベロッパー、Kirill Kruglov氏は、ロシア・ソチで2019年9月19、20日に開催した「Kaspersky Industrial Cybersecurity Conference」においてこのように述べ、既にスマートビルシステムがマルウェアに感染しつつある事実があると指摘した。同社が4万を超えるシステムを対
Androidに新たなゼロデイ脆弱性、アップデートに注目
Googleの開発者らがこのほど、Androidにゼロデイの脆弱性が存在すると伝えた。脆弱性の詳細は、GoogleのProject Zeroにおいて「Issue 1942 - project-zero - Project Zero - Monorail」として公開されている。 この脆弱性はすでに悪用が確認されており、攻撃者によってルートアクセスが取得される可能性があり注意が必要。アップデートは、Google Pixel向けが一番先に提供されると考えられる。 脆弱性が存在するデバイスは次のとおり。 Google Pixel 1 Google Pixel 2 Huawei P20 Xiaomi Redmi 5A Xiaomi Redmi Note 5 Xiaomi A1 Oppo A3 Moto Z3 Oreo LG Samsung S7 Samsung S8 Samsung S9 Issue
対応時間ゼロ 勝手に暴露されちゃった「zero-day」
Androidにゼロデイの脆弱性が発覚した。そうした問題の発見を専門とする、その名も「Zero Day Initiative(ZDI)」が情報を公開したもので、この問題を解決するGoogleの公式パッチは現時点で存在しない。 コンピュータセキュリティ用語の「ゼロデイ(zero-day、0Day)」は、ソフトウェアの脆弱性が解決されないまま情報が公になってしまった状態を指す。開発者が不意を突かれて対応する時間がないという意味で、そう呼ばれるようになった。 “zero-day” refers to the fact that the developers have “zero days” to fix the problem that has just been exposed - and perhaps already exploited by hackers.(Symantec) 「ゼロデ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
トレンドマイクロが法人向けに無償提供するツールに任意のコードが実行可能な脆弱性/対策済みバージョンへの更新を
Windowsの脆弱性「BlueKeep」を狙った攻撃が、ついに始まった
「Google Chrome 78」のゼロデイ脆弱性は「Electron」にも影響 ~修正版が公開/“Mac App Store”への登録がリジェクトされてしまう問題は対応中
Trend Micro | Newsroom - We can't find this page
企業向け「ウイルスバスター」製品に再びディレクトリトラバーサルの脆弱性/脆弱性をついた攻撃も確認、できるだけ早く“Critical Patch”の適用を
「Deep Security」「TMVP」にXXEの脆弱性、アップデートを呼びかけ(トレンドマイクロ、JVN) | ScanNetSecurity
高校2年生が開発したWindows専用脆弱性スキャナー「DetExploit」がリリース/オープンソースで開発。今後はアドオンによる拡張や自動更新機能も
Engadget | Technology News & Reviews
https://jp.techcrunch.com/2019/10/03/2019-10-01-comodo-forum-vbulletin-breach/
https://jp.techcrunch.com/2019/10/03/2019-10-01-webex-zoom-bug-video-calls/
iPhoneなどの旧モデルに「修正不能」な脆弱性、それがセキュリティ研究者にとっては“福音”となる
Engadget | Technology News & Reviews
