IBMの過去のセキュリティパッチに不具合--研究者が実証コードを公開
ポーランドのセキュリティ企業Security Explorationsの研究者らは現地時間4月4日、「IBM SDK, Java Technology Edition」に対してIBMが2013年7月に発行したセキュリティパッチは不完全であり、問題が修正されていないという点について警告するとともに、当該セキュリティパッチをう回するための実証(PoC)コードを公開した。 Security Explorationsの最高経営責任者(CEO)Adam Gowdiak氏はSecLists.Orgのメーリングリスト「Full Disclosure」への投稿でこの問題を明らかにした。「Security Vulnerability Notice - SE-2012-01-IBM-4」と題された資料(PDF)の事案67によると、Java関連の不適切なプロトコル使用とコードに脆弱性が存在しているため、攻撃者は
グーグル、メディアサーバの脆弱性など修正--「Android」セキュリティパッチ
Googleは米国時間4月4日、「Nexus」デバイス向けの月例セキュリティアップデートをリリースした。修正項目の中で特に大きなものは、「メディアサーバ」に存在する「重大な」脆弱性だ。メディアサーバは「Android」のコンポーネントで、デバイスに保存されたメディアファイルを見つけてインデックス化する。 Googleが月例セキュリティアップデートの提供を開始して以降、このメディアサーバには毎月のように新たな欠陥が見つかり、修正が施されている。2015年8月からこれまでに修正された脆弱性は20件を超える。 これまでの月例アップデートと同様に、Googleは脆弱性の原因については詳細に触れず、ただこの脆弱性の「影響を受けるデバイスでは、メディアファイルを処理する際に、電子メール、ウェブ閲覧、MMSなど複数の方法でリモートコードの実行が可能になるおそれがある」と述べるにとどまっている。ただし、「
Eコマースプラットフォーム「Magento」にXSS脆弱性--セキュリティパッチ公開
Magentoは複数の重大なXSS脆弱性に対処する新たなセキュリティパッチを公開した。 コンテンツ管理システム(CMS)を手がけるMagentoは米国時間1月20日、セキュリティアップデートを公開した。このアップデートは、2つの重大な問題に対するパッチを含む、複数のパッチから成り立っている。 これら格納型のXSS脆弱性を悪用することで攻撃者は、Magentoベースのウェブサイトの乗っ取りや、ユーザー権限の昇格、顧客データの窃盗、管理者アカウントを使ったウェブサイトの掌握が可能になる。 また、MagentoはEコマース管理プラットフォームであるため、顧客の個人情報が盗まれ、なりすまし犯罪といった問題が引き起こされるおそれもある。 1つ目の脆弱性は、遠隔地からの悪用を可能にするものであり、「Magento Community Edition(CE)」の1.9.2.3よりも前のバージョンと、「M
「OpenSSL」のセキュリティパッチが近く公開へ
インターネット上でEコマースビジネスを展開している場合、SSL/TLS接続に「OpenSSL」を使用している可能性が高い。Linuxの「Debian」ディストリビューションが稼働するサーバを例に挙げると、その98.7%でOpenSSLが使用されている。 このため、Red Hatの製品セキュリティ担当シニアディレクターであり、OpenSSLの創設メンバーでもあるMark Cox氏が、OpenSSLの最新ニュースページで発表した内容は注目に値すると言えるだろう。そのニュースには、「OpenSSLプロジェクトチームは近々、OpenSSLのバージョン1.0.2fと1.0.1rをリリースする。(中略)これらはバージョン1.0.2に存在する深刻度が『高』(High)の問題と、すべてのリリースに存在する深刻度が『低』(Low)の問題という、セキュリティ上の2つの懸念に対処するものだ」と記されている。 O
アドビ、「Flash Player」関連のセキュリティパッチをリリース--79件の脆弱性に対応
Adobe Systemsは米国時間12月8日、2015年最後となるセキュリティパッチをリリースした。脆弱性情報データベースに既に登録済みとなっているこれら79件の脆弱性は「Adobe Flash Player」と「Adobe AIR」に関するもので11種類のカテゴリに分類されており、そのうちの6件は優先度が最も高い「Priority 1」にレーティングされている。 2015年最後となる予定のこのパッチは、同社によると「影響を受けたシステムが攻撃者に乗っ取られるおそれがある」という問題に対処するものだという。 影響があるのは、「Adobe Flash Player Desktop Runtime」の19.0.0.245以前のバージョンと、「Adobe Flash Player Extended Support Release」の18.0.0.261以前のバージョン、「Adobe Flash
GoogleのNexus向け月例パッチ公開、深刻な脆弱性を多数修正
米Googleは12月7日、Nexusの脆弱性を修正する月例セキュリティアップデートをOTA(無線経由)でリリースした。同時にGoogleの開発者サイトでもNexusファームウェアイメージを公開。ソースコードパッチはAndroid Open Source Project(AOSP)レポジトリで公開する。 今回のアップデートでは計19件の脆弱性を修正した。このうち4件は危険度が最も高い「Critical」に指定されている。悪用された場合、リモートでコードを実行されたりカーネルで権限を昇格されたりする恐れがある。 中でも「Mediaserver」や「Skia」の脆弱性はメディアファイルの処理に起因するもので、電子メールやWebブラウザ、MMSなどを通じて悪用される恐れがある。 他にもBluetoothのコード実行の脆弱性や、過去にも深刻な問題が発覚・修正された「libstagefright」の
マイクロソフト、セキュリティパッチを再リリース--「Outlook」での不具合に対処
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Microsoftは米国時間11月12日、「Microsoft Outlook」に複数の影響を与えていたセキュリティパッチの不具合を修正し、再リリースした。 同社の広報担当者は電子メールによる声明で、「一部の顧客に影響を与えているOutlookの不具合に対処する」ために、更新プログラム3097877を再リリースしたと述べた。 同声明には「セキュリティを強固なものに保ち続けるうえで、このパッチの適用を推奨する」と記されている。 ただ、今回の不具合を引き起こした原因や、そういったパッチがなぜリリースされたのかについては記されていない。 同社の更新後のナレッジベースによると、今回の不具合は「Windows 7」と「Windows Server
オラクル、128件のセキュリティパッチをリリース
Oracleは米国時間4月16日、「多数の」同社製品に影響を及ぼすセキュリティ脆弱性について、128件のフィックスをリリースした。 同社による16日の発表によると、それらのパッチの4件には、ユーザー名やパスワードなしにリモートで悪用されるおそれがあるという、同社の主力データベース製品の脆弱性を修復するフィックスが含まれるという。 さらに、「Oracle Fusion Middleware」を対象とする29件のセキュリティフィックスもリリースされた。そのうちの22件も、認証なしに実行可能な攻撃を防ぐためのものだ。 影響を受けるコンポーネントには、「Oracle HTTP Server」や「Oracle JRockit」「Oracle WebCenter」「Oracle WebLogic」が含まれる。 「Oracle E-Business Suite」と「Oracle Supply Chain
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
