Bluetoothデバイスの認証キーを攻撃者が上書きできる脆弱性「BLURtooth」が発見される - GIGAZINE
by Aaron Yoo デジタル機器用の近距離無線通信規格として広く使用されているBluetoothに、「BLURtooth」と呼ばれる脆弱性が存在していることが判明したと、Bluetooth標準の開発やライセンスを監督するBluetooth Special Interest Group(Bluetooth SIG)が報告しました。この脆弱性を用いることで、攻撃者がBluetoothデバイスの認証キーを上書きし、ターゲットのデバイスへ不正にアクセスできるとされています。 Security Notice | Bluetooth® Technology Website https://www.bluetooth.com/learn-about-bluetooth/bluetooth-technology/bluetooth-security/blurtooth/ VU#589825 - De
セキュリティパッチ当てていないF5 BIG-IPへの攻撃続く、アップデート推奨
United States Computer Emergency Readiness Team (US-CERT)は7月24日(米国時間)、「Threat Actor Exploitation of F5 BIG-IP CVE-2020-5902|CISA」において、セキュリティパッチが適用されていないF5 BIG-IPが攻撃を受けていると伝えた。この攻撃は今後長期にわたって実施される可能性があるとしており、Cybersecurity and Infrastructure Security Agency (CISA)はユーザーおよび管理者に対し、問題が修正された最新のアップグレードを適用することを強く推奨している。 脆弱性に関する情報は次のページにまとまっている。 Article: K52145254 - TMUI RCE vulnerability CVE-2020-5902 Artic
TCP/IPライブラリに重大な脆弱性、世界で数億台のIoTデバイスや産業制御装置に影響
イスラエルのセキュリティ企業JSOFは、IoT(モノのインターネット)デバイスや産業制御装置などに幅広く使われているTCP/IPソフトウェアライブラリに、19件の脆弱(ぜいじゃく)性を発見したと発表した。 JSOFによると、脆弱性はTreckが開発したTCP/IPソフトウェアライブラリに存在する。同ライブラリは、過去20年で全世界に幅広く普及した。影響を受けるデバイスは数億台、あるいはそれ以上に及ぶとみられる。 広範囲の産業に影響――重大な脆弱性「Ripple20」への対処状況は
ほぼすべてのAndroidに重大な脆弱性、データ窃取の危険性あり
ESETは5月27日(米国時間)、「Critical Android flaw lets attackers hijack almost any app, steal data|WeLiveSecurity」において、Android 9.0よりも前のバージョンを使っているほぼすべてのデバイスに重大な脆弱性が存在すると伝えた。 この脆弱性は「StrandHogg 2.0」と呼ばれており、悪用されると攻撃者によってほぼすべてのアプリが乗っ取りを受ける可能性があり、機密データの窃取などが行われる危険性がある。 脆弱性の詳細は次のページにまとまっている。 StrandHogg 2.0 - The ‘evil twin’ StrandHogg 2.0 - The ‘evil twin’ 「StrandHogg 2.0」を発見した研究者は2019年12月にGoogleに問題を通知しており、Google
Apple Xcodeに乗っ取りの脆弱性、アップデートを
United States Computer Emergency Readiness Team (US-CERT)は5月21日(米国時間)、「Apple Releases Security Update for Xcode|CISA」において、Appleの統合開発環境「Apple Xcode」に脆弱性が存在すると伝えた。US-CERTはこの脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるという。 脆弱性に関する情報は次のページにまとまっている。 About the security content of Xcode 11.5 - Apple Support Appleはこの脆弱性の影響について、改行を含む細工されたgit URLを使われることでgitの認証情報が漏えいする可能性があると説明している。 脆弱性が修正されたプロダクトおよびバージョンは次
Apache Tomcatに重大な脆弱性、アップデートを
JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は5月21日、「Apache Tomcat の脆弱性 (CVE-2020-9484) に関する注意喚起」において、Apache Tomcatに脆弱性が存在すると伝えた。この脆弱性を悪用されると、遠隔から攻撃者によって任意のコードが実行される危険性があるという。 脆弱性に関する情報は次のページにまとまっている。 [SECURITY] CVE-2020-9484 Apache Tomcat Remote Code Execution via session persistence - Pony Mail 脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。 Apache Tomcat 10.0.0-M1から
JVN#93064451: 複数のシャープ製 Android 端末における情報漏えいの脆弱性
AQUOS SH-M02 ビルド番号 01.00.05 およびそれ以前 AQUOS SH-RM02 ビルド番号 01.00.04 およびそれ以前 AQUOS mini SH-M03 ビルド番号 01.00.04 およびそれ以前 AQUOS ケータイ SH-N01 ビルド番号 01.00.01 およびそれ以前 AQUOS L2 (UQ mobile/J:COM) ビルド番号 01.00.05 およびそれ以前 AQUOS sense lite SH-M05 ビルド番号 03.00.04 およびそれ以前 AQUOS sense (UQ mobile) ビルド番号 03.00.03 およびそれ以前 AQUOS compact SH-M06 ビルド番号 02.00.02 およびそれ以前 AQUOS sense plus SH-M07 ビルド番号 02.00.02 およびそれ以前 AQUOS sens
インテルCPUに脆弱性、「LVI」攻撃について研究者が明らかに
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 米国時間3月10日、世界中の大学の研究者からなるチームと、Bitdefenderの脆弱性研究者が、Intelのプロセッサーに存在する新たなセキュリティホールに関する情報を公開した。 この新たに発見された理論上の攻撃は、「Load Value Injection(LVI)」攻撃と呼ばれるものだ。 今のところ、この攻撃は理論上の脅威にすぎないとみられているが、Intelは現在出回っているCPUに対する攻撃を緩和するファームウェアアップデートを公開している。また同社は、将来の世代の製品では、ハードウェアレベルで問題を修正する。 Meltdown攻撃の逆の攻撃 LVI攻撃を理解するためには、まず「Meltdown」攻撃と「Spectre」攻撃を
Google Chromeに重大な脆弱性、アップデートを
United States Computer Emergency Readiness Team (US-CERT)は3月4日(米国時間)、「Google Releases Security Updates for Chrome|CISA」において、Google Chromeに脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされており、注意が必要。 脆弱性が修正されたプロダクトおよびバージョンは次のとおり。 Google Chrome 80.0.3987.132 Windows版 Google Chrome 80.0.3987.132 Mac版 Google Chrome 80.0.3987.132 Linux版 Google Chrome 80.0.3987.132 - macOS Catalina 脆弱性に関する
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Intel、2020年4月のセキュリティアドバイザリを公開 ~NUCのファームフェアなどに問題/深刻度の最大評価は“HIGH”、特権昇格やサービス拒否(DoS)、情報漏洩につながる恐れ