アドビの「Creative Cloud Desktop」に脆弱性--セキュリティアップデート公開
Adobeは、「Creative Cloud Desktop」アプリケーションと「RoboHelp Server 9」向けのパッチを新たに公開した。先週リリースした「Adobe Flash Player」の緊急アップデートに続くものだ。 最新のセキュリティアドバイザリによると、「Adobe Creative Cloud Libraries」 に関するJavaScript APIの脆弱性を解決するという。この脆弱性(CVE-2016-1034)は、リモートの攻撃者がクライアントのファイルシステムの同期機能を経由してファイルを読み書きする可能性があり、マルウェアのダウンロードや乗っ取りにつながる恐れがある。 この脆弱性は「Windows」と「Mac」に影響を与える。 今回の問題は、カリフォルニア大学バークレー校のRoger Chen氏のほか、Trend MicroのZero Day Initi
アドビ、「Flash Player」の脆弱性24件を修正--既に攻撃が確認されている例も
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Adobe Systemsは米国時間4月7日、「Flash Player」に存在する24件の脆弱性を修正するセキュリティアップデートを、「Windows」「Mac」「Linux」「Chrome OS」の各OSに対してリリースした。 このうち「CVE-2016-1019」は、Flash Player 21.0.0.197以前のバージョンに影響する深刻な問題だ。Adobeによると、このゼロデイ脆弱性が悪用されると「クラッシュを引き起こす可能性があり、影響を受けたシステムを攻撃者が乗っ取ることを可能にしてしまう恐れがある」という。「Windows 10」以前を搭載するシステムでFlash Playerのバージョン20.0.0.306以前を利用
「Ubuntu 14.04 LTS」がLinuxカーネルのセキュリティ脆弱性に対処
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 4種類のバグを修正するUbuntuのアップデートがリリースされた。この中には、攻撃者がコードを実行できるバグも含まれる。 バグは5年のサポート期間を持つ「Ubuntu 14.04 Long Term Support(LTS)」に影響する。Ubuntu Security Noticeのページでは、Ubuntuユーザーに対し、4件のセキュリティ問題について説明している。どれもリモートからは悪用できない。 最も深刻なのはLinuxカーネルドライバに発見された解放済みメモリ使用の脆弱性だ(CVE-2015-8812)。2015年にVenkatesh Pottem氏が発見したもので、優先順位はMedium(中間)のバグと位置付けられている。悪用さ
アドビの「Flash Player」に深刻な脆弱性--米国時間4月7日にパッチを提供へ
Adobe Systemsは「Flash Player」のゼロデイ脆弱性が悪用されていることに対し、緊急パッチを準備中であることを明らかにした。この脆弱性は、攻撃者が制御を完全に乗っ取ることを可能にしてしまう恐れがある。 Adobeは米国時間4月5日のセキュリティアドバイザリで、このゼロデイ脆弱性「CVE-2016-1019」が「Adobe Flash Player」の21.0.0.197以前のバージョンに影響する深刻な問題であることを明らかにした。このバグは「Windows」「Mac」「Linux」「Chrome OS」の各OSに影響する。 Adobeによると、このゼロデイ脆弱性が悪用されると「クラッシュを引き起こす可能性があり、影響を受けたシステムを攻撃者が乗っ取ることを可能にしてしまう恐れがある」という。 Adobeはこの脆弱性が活発に悪用されているとの報告を受けており、このことは同
マイクロソフト、アカウント乗っ取りの脆弱性をわずか2日で修正
Microsoftは、攻撃者が任意のサイトからログイントークンを入手することができるアカウント認証の重大なセキュリティホールを、報告からわずか48時間で修正した。 英国のセキュリティ研究者Jack Whitton氏によれば、この脆弱性は、フィッシング用に作られたウェブサイトでログイントークンを収集することができるというものだ。このトークンは、後日ユーザーのアカウントやデータを乗っ取るのに使用できる。 Whitton氏は米国時間4月4日のブログ記事で、認証の際にPOSTされる値を操作し、Microsoft製品のユーザーへのなりすまし攻撃を行うことが可能だったと述べている。 Microsoftは「Outlook」から「Azure」まで、さまざまなオンラインサービスを提供している。ユーザーがこれらのサービスにアクセスする際には、認証情報を入力する必要があり、「wreply」の値で指定されたドメイ
電力会社へのサイバー攻撃で大規模停電--インダストリアルIoTの脆弱性
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 旧ソ連圏の国家だったウクライナは、EU加盟を望む市民による抗議活動「ユーロマイダン」、ロシアによるクリミア併合、親ロシア派による反政府活動など、2014年初頭から国際問題の震源地となってきた。 そうした中、苦しみにあえぐウクライナ市民に追い打ちを掛けるような事態が発生した。国内の電力会社3社がサイバー攻撃を受けた結果、2015年のクリスマス期間中に大規模な停電が発生したのだ。サイバー攻撃にはロシア政府の関与が強く疑われているが、この種の攻撃は複雑な経路を辿るため、攻撃者の正体は未だ特定されていない。しかし、攻撃で主要な役割を果たしたマルウェアは完全に特定された。「BlackEnergy」と呼ばれる有名なトロイの木馬である。 今日における
「iOS」の保護策を回避する脆弱性「SideStepper」、セキュリティ企業が発表
サイバーセキュリティ企業Check Pointは、モバイルデバイス管理(MDM)ソリューションで管理されている「iPhone」や「iOS」のユーザーに悪質なアプリをダウンロードさせるように導く恐れのある脆弱性を発見したと発表した。同社はこれを「SideStepper」と名付けている。 「iOS 9」では、ユーザーが誤って不正なアプリをインストールしないよう、企業の開発者証明書を信頼するためのデバイス設定で複数のステップが必要となっている。SideStepperは、MDMを利用してインストールされたエンタープライズアプリがこのセキュリティ強化策の対象外であることを悪用する。これらの証明書は、企業の福利厚生アプリや販売アプリなどのエンタープライズアプリが正当であることを証明するもの。 スマートフォンに悪質なエンタープライズアプリをインストールさせるために、攻撃者はユーザーにリンク付きのテキスト
WindowsとSambaに深刻な脆弱性「Badlock」--パッチは4月公開
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます セキュリティ脆弱性に覚えやすい名前が付けられ、派手なロゴと専用ウェブサイトが作られることが慣習になっている。2013年に「Heartbleed」バグが独自の告知キャンペーンとともに登場して以来、セキュリティ脆弱性が派手に公表されるのが当たり前になった。 しかし今回の最新の脆弱性は、現地時間4月12日に予定されているパッチ公開の前に悪用されるおそれがあるとして、セキュリティコミュニティーの怒りを買っている。 「Badlock」として知られるこの脆弱性が最初に発表されたのは先週のことだが、詳細は少ししか明かされなかった。ほとんど情報が掲載されていないウェブサイトが何の前触れもなく登場した。同サイトでは、「『Windows』と『Samba』の
Android端末8.5億台に今も「Stagefright」脆弱性が影響する恐れ--セキュリティ企業
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます セキュリティ企業Zimperiumは、8億5000台以上のAndroidデバイスに、悪名高い「Stagefright」脆弱性の影響が依然として残っている可能性があると警告を発した。 この脆弱性はAndroid 2.2以降のデバイスに影響があり、悪用されると、ユーザーが気づかないうちにデバイスを乗っ取られる可能性がある。この攻撃はAndroidに組み込まれているメディアライブラリを利用するもので、攻撃者はユーザーのすべてのファイルにアクセス可能な攻撃コードを実行できる。 Googleはこの脆弱性の深刻さが明らかになって以来、継続的にパッチやアップデートをリリースしているが、Zimperiumのセキュリティ研究者は、ブログ記事「Reflec
「Java SE」に深刻な脆弱性--オラクル、最新版への更新を呼びかけ
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Oracleは米国時間3月23日、Javaの緊急パッチをリリースした。このパッチは、ユーザー認証を経ることなしに遠隔地からのコード実行を許す可能性があるという深刻なバグに対処するものだ。 同社のセキュリティページによると、この脆弱性(CVE-2016-0636)は共通脆弱性評価システム(Common Vulnerability Scoring System)による評価が9.3で、極めて深刻度が高い。 同脆弱性は、「ユーザーが使用しているシステムの可用性と完全性、機密性に影響を及ぼす可能性がある」という点で、極めて深刻度の高いものだと考えられている。 パッチが適用されていないバージョンのJavaを、ブラウザやデスクトップ上で実行した場合、
Flash、またもや重大なセキュリティ上の欠陥が見つかりました
Flash、またもや重大なセキュリティ上の欠陥が見つかりました2016.03.15 10:40 塚本 紺 重大なセキュリティ上の欠陥が見つかったとしてアドビは「Flash」のセキュリティ・アップデートをリリースしました。 え? 違います違います。これ前に読んだ同じ記事じゃないですよ。 でも前に聞いたことがあるのは仕方ないですね、だってFlashにセキュリティの欠陥が見つかるのは何度も何度もこれまでにもあったことなんです。そのため各種ブラウザからも嫌われてるしスティーブ・ジョブズも何年も前にFlashはもう過去の産物だって言ってたし、去年末にはアドビ自体がHMTL5への移行を推奨したりと、いずれ消えゆく存在なのは確実です。時間はかかるでしょうが。 それでもまだまだ広く使われているのは事実。今回の脆弱性は悪用すればコンピューターを完全に乗っ取ることもできるというかなり重大なものだそうです。Wi
Apple、Windows向け製品更新ツールの脆弱性を修正
「Apple Software Update 2.2」では、通信にHTTP接続が使われていた脆弱性に対処した。 米Appleは3月9日、Windows向けの更新ツール「Apple Software Update」に見つかった脆弱性を修正するためのアップデートを公開した。 Apple Software UpdateはWindowsに搭載されているApple製ソフトウェアを更新するためのツールで、iTunesなどに付属して自動的にインストールされる。 脆弱性は、更新画面に表示されるコンテンツの取得に、保護されていないHTTP接続が使われていたことに起因する。この問題を悪用された場合、ネットワーク上で特権を持つ攻撃者に更新画面の内容をコントロールされる可能性がある。
Adobe、AcrobatやReaderの脆弱性を修正 Flash Playerも近日更新へ
Adobe AcrobatとReaderおよびDigital Editionsの深刻な脆弱性が修正された。Flash Playerのセキュリティアップデートは数日中に公開される予定だ。 米Adobe Systemsは3月8日、Adobe AcrobatとReaderおよび電子書籍アプリ「Adobe Digital Editions」の更新版を公開し、深刻な脆弱性を修正した。また、Flash Playerのセキュリティアップデートを数日中に公開すると予告している。 AcrobatとReaderの更新版はWindowsとMac向けに公開され、3件の脆弱性を修正した。悪用された場合、コードを実行され、システムを制御される恐れがある。 脆弱性を修正した更新版は、Windows、Mac向けともAcrobat DC/Acrobat Reader DCの連続トラックがバージョン15.010.20060、
シスコ、ネットワーク機器の深刻な脆弱性に対処するパッチを公開
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Cisco Systemsは米国時間3月2日、同社のネットワーク機器にデフォルトのパスワードでアクセスできるという深刻な脆弱性の存在をセキュリティアドバイザリにおいて公表するとともに、その問題に対処するパッチを公開した。 この脆弱性は「Cisco Nexus 3000」シリーズスイッチと「Cisco Nexus 3500」プラットフォームスイッチに存在している。アドバイザリによると、ルート権限でbashシェルにアクセスできるユーザーアカウントがインストール時に作成されるものの、デフォルトで設定されるパスワードは固定値となっており、機器の機能に影響を与えることなく変更できない問題を抱えているという。 この「深刻な脆弱性」により、攻撃者はデ
「Silverlight」の脆弱性を突く攻撃手段が「Angler」エクスプロイトキットで発見
Microsoft「Silverlight」の脆弱性を突く攻撃手段が、エクスプロイトキット「Angler」に含まれていることが明らかになった。Anglerエクスプロイトキットはコンピュータシステムへの侵入手段として、世界中で使用されている。 この脆弱性「CVE-2016-0034」はMicrosoftのSilverlightテクノロジに影響を及ぼす脆弱性の希少な例だ。「MS16-006」という名前も付けられたこのSilverlightの脆弱性は、「Windows」システムと「Mac」システムの両方に影響し、悪用されると、ユーザーが管理者としてログインしている場合に、攻撃者にシステムを乗っ取られるおそれがある。 Silverlightは「Adobe Flash Player」と競合するアプリケーションおよびウェブブラウザプラグインで、リッチなコンテンツを含むメディアやアニメーションをインター
「Firefox 44」に深刻な脆弱性、アップデートで対処
米Mozilla Foundationは2月11日、Webブラウザ安定版の「Firefox 44」と延長サポート版の「Firefox ESR 38.6」に見つかった2件の深刻な脆弱性を修正したことを明らかにした。 Mozillaのセキュリティ情報によると、Firefox 44に存在していた「サービスワーカーとプラグインの併用による同一配信元違反」の脆弱性は、例えば「crossdomain.xml」を偽造する手口により、不正サイトでFlashプラグインを使って同一配信元ポリシーが破られる恐れがあった。この脆弱性は「Firefox 44.0.2」で修正された。 一方、Firefox ESRの脆弱性は、Graphite 2ライブラリのバージョン1.2.4に存在していた。この脆弱性に対処するため、ESRの更新版となる「Firefox ESR 38.6.1」では、Graphite 2ライブラリをFi
Adobe、Flash PlayerやPhotoshopの脆弱性を修正
米Adobe Systemsは2月9日、Flash Player、PhotoshopとBridge、Experience Manager、Connectのセキュリティアップデートをそれぞれ公開し、深刻な脆弱性に対処したことを明らかにした。 Flash PlayerはWindowsとMac向けの更新版となるバージョン20.0.0.306と延長サポート版の18.0.0.329、Linux向けの11.2.202.569が公開され、AndroidやiOS向けのAIR SDKもバージョン20.0.0.260に更新された。 更新版ではメモリ破損や解放後使用など危険度の高い脆弱性が多数修正された。悪用されると、攻撃者に任意のコードを実行され、システムを制御される可能性がある。特にWindowsとMacではできるだけ早く更新するよう促している。 WindowsとMacではAdobeから自動的に更新版を受け
Malwarebytesのウイルス対策製品に未解決の脆弱性--グーグル「Project Zero」が報告
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Googleは米国時間2月2日、Malwarebytesのウイルス対策ソフトに潜む脆弱性に関する情報を公開した。Malwarebytesによると、脆弱性への対処には3〜4週間かかる可能性があるという。 Googleのセキュリティチーム「Project Zero」は、2015年11月の時点でMalwarebytesの製品に4つの脆弱性を発見し、同社に通知したが今回、脆弱性と攻撃手法に関する詳細を(一部の情報を黒塗りしたかたちで)Googleのバグリポジトリに公開した。 Project Zeroの研究者であるTavis Ormandy氏は、Malwarebytesのクライアント製品がマルウェアのシグネチャ情報をアップデートする際、暗号化され
Adobe、AcrobatとReaderの脆弱性を修正
AcrobatとReaderの更新版では17件の脆弱性に対処した。悪用された場合、任意のコードを実行され、システムを制御される恐れがある。 米Adobe Systemsは1月12日、予告通りにAcrobatとReaderの定例セキュリティアップデートをWindowsとMac向けに公開し、多数の深刻な脆弱性を修正した。 Adobeのセキュリティ情報によると、今回のアップデートでは解放後使用やメモリ破損など17件の脆弱性に対処した。悪用された場合、任意のコードを実行され、システムを制御される恐れがある。 優先度はWindows、Mac向けとも上から2番目の「2」に指定。現時点で攻撃の発生は確認されておらず、30日以内をメドにアップデートの適用を呼び掛けている。 脆弱性を修正した更新版は、Windows、Mac向けともAcrobat DC/Acrobat Reader DCの連続トラックがバージ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://jp.techcrunch.com/2016/03/02/bug-bounty/
