今さらながらGoogleの「NotebookLM」を触ったら、インターネットサーフィンが普通にそのまま"仕事"になった話
今さらながらGoogleの「NotebookLM」を触ったら、インターネットサーフィンが普通にそのまま"仕事"になった話 6月頭くらい? にGoogleがリリースして話題になっていた、自分専用のRAGが簡単に組めるLLMツール「NotebookLM」ですが、そのうち触ろうと思いつつも、「またRAGか」「どうせRAGでしょ? 知ってます」みたいな気持ちでいたら腰が重くなってしまい、いつのまにか一ヶ月くらい経ってしまっていました。 そして今日、たまたまちょっと時間が空いたので触ってみたんですが、想像していたよりもずっと楽しくてすごかったので書き残したく思った次第です。ちなみにこれ↓ NotebookLMってファイルとかURLとかかなりの量放り込めて、放り込まれただけ参照できる(しかもかなり精度高い)っていうツールなんですが、これの何がすごいというと、インターネットサーフィンをしながらおもしろい
Googleマップにもくっきり、中国製盗聴装置に狙われる沖縄海底ケーブルは「丸裸同然」 | JBpress (ジェイビープレス)
昨年夏、2018年に沖縄近海の光ファイバー海底ケーブルから中国製の盗聴装置が発見されていたことが在沖縄米軍向け英字誌の指摘で明らかにされ、防衛・通信関係者に衝撃を与えた。だがこのときクローズアップされた海底ケーブルの脆弱性について、その後の日本の対策は十分とは言えない状況が続いている。もし「台湾有事」となれば、海底ケーブルの“脆さ”は日米台、ひいては背後に北朝鮮を抱える韓国などにも致命傷となりかねない。日本の大手民間電気通信事業者OBもこう警鐘を鳴らす。「民間任せではもう限界。重要インフラとして国を挙げて防護、管理を進め、近隣国・地域とも協力する必要がある」――。 “むき出し”の超重要インフラ 「米軍基地の電話線ルートなども含め全容を把握している」 那覇市内で筆者のインタビューに応じた大手民間電気通信事業者OBはこう切り出した。 彼が一例として挙げたのが沖縄本島勝連半島先端に位置する海上自
2024年7月17日、東京ガスおよびグループ子会社の東京ガスエンジニアリングソリューションズは、不正アクセスにより同社が保有する顧客情報などが流出した可能性があると公表しました。流出の可能性のある情報には委託元より提供を受けている情報も対象となっていることが明らかにされています。これを受け委託元の組織からも相次ぎ関連する公表が行われています。ここでは関連する情報をまとめます。 VPN機器を介して不正アクセス 不正アクセスが確認されたのは東京ガスエンジニアリングソリューションズ(以降TGES社と表記)の社内ネットワーク。TGES社ネットワーク上での不正アクセスを検知し調査を進めていたところ、特定のファイルサーバーへアクセスが可能な複数の従業員のクレデンシャル情報(IDとパスワード)が窃取されていた事実が判明した。(不正アクセスがいつ頃から行われていたのかは調査中ためか2社公表での説明はない。
Acer・Dell・GIGABYTE・Intel・Supermicroの数百以上のデバイスでUEFIセキュアブートのプラットフォームキーが漏えいしていたと発覚、システム侵害のリスクあり
セキュリティ企業・Binarlyの研究チームが、Acer、Dell、GIGABYTE、Intel、Supermicroが販売する200種類以上のデバイスでブート時に任意コード実行が可能になる脆弱(ぜいじゃく)性「PKfail」を報告しました。脆弱性の起因は、セキュアブートの基盤となるプラットフォームキーが2022年に漏えいしたことと指摘されています。 PKfail: Untrusted Platform Keys Undermine Secure Boot on UEFI Ecosystem https://www.binarly.io/blog/pkfail-untrusted-platform-keys-undermine-secure-boot-on-uefi-ecosystem SupplyChainAttacks/PKfail/ImpactedDevices.md at main
DifyとKnowledge bases for Amazon Bedrockを連携させてRAGを構築する - Taste of Tech Topics
こんにちは。ベランダで育てていたバジルが虫に食べられてしまいました。ハヤトです。 しかし植物の生命力というのはすごいもので、残った茎から再び葉っぱが成長してきています。次はぜひ私が食べたいものです。 さて、成長著しいといえば生成AIアプリ開発の分野はまさに日進月歩ですが、 なかでも「Dify」は、LLMワークフローが特に便利で、注目度が急上昇中です。 今回はそんなDifyとKnowledge bases for Amazon Bedrockを連携させてRAGを構築してみます。 Difyとは? Knowledge bases for Amazon Bedrockとは? 今回作成するチャットボットについて AWS側の設定手順 ナレッジベースの作成 APIの作成 Lambdaの作成 API Gatewayの作成 Dify側の設定手順 カスタムツールの作成 チャットボットの作成 まとめ Difyと
橋本直子『なぜ難民を受け入れるのか』(岩波新書) 9点 : 山下ゆの新書ランキング Blogスタイル第2期
7月19 橋本直子『なぜ難民を受け入れるのか』(岩波新書) 9点 カテゴリ:社会9点 副題は「人道と国益の交差点」。タイトルからすると単純に「難民を受け入れるべきだ」という規範的な主張をする本をイメージするかもしれませんが、副題にもあるように各国の国益をシビアに検討しつつ「難民の受け入れを進めるべきだ」という本になっています。 著者は研究者であるとともに、国際移住機関(IOM)やUNHCRの職員、法務省の入国者収容所等視察委員会の委員、法務省の難民審査参与員などを務めてきた実務家であり、本書は理想と実務のバランスを意識しながら論じられています。 理想を掲げて終わるでもなく、現実の問題を数え上げて終わるのでもなく、「難民問題」という難しい問題が適切なやり方で論じられた本です。 目次は以下の通り。はじめに第一章 難民はどう定義されてきたか――受け入れの歴史と論理第二章 世界はいかに難民を受け入
Microsoftは2024年7月20日(現地時間、以下同)、同年7月19日に全世界的に「Windows」のPCでブルースクリーンが表示される大規模障害が発生した件について、詳細を公開した。 なお、セキュリティ企業CrowdStrikeによると今回の障害は、同社が提供する「CrowdStrike Falcon」プラットフォームのコンテンツアップデートで見つかった欠陥が原因だとされており、特定のWindowsホストのみが対象となり「macOS」および「Linux」ホストは影響を受けないとされている。 Windowsの大規模障害に対し、Microsoftが対応策を公表 Microsoftは同事象が明らかになってから、顧客やCrowdStrike、外部の開発者と継続的にコミュニケーションを取り、情報収集と迅速な解決策の検討を進めており、以下の対策を講じたとしている。 CrowdStrikeと協力
絶えぬIoT機器への攻撃、一般家庭のリスクは? スマート化していくお家の未来と対策【フォーカス】 レバテックラボ(レバテックLAB)
絶えぬIoT機器への攻撃、一般家庭のリスクは? スマート化していくお家の未来と対策【フォーカス】 2024年7月22日 神奈川工科大学情報学部情報ネットワーク・コミュニケーション学科 教授 岡本 剛 情報セキュリティ学者。マルウェアの解析やサイバー攻撃の検出に関する技術研究を専門分野とする。主なテーマとして、生物の免疫システムをモデルにした情報システムやセキュリティ技術の確立に取り組む。情報処理学会のコンピュータセキュリティシンポジウム2022では、NTT社会情報研究所との共同研究にて発表したIoTマルウェアの解析ツール「xltrace」により最優秀論文賞を受賞。 研究室公式サイト researchmap) 公的機関や企業をターゲットにしたサイバー犯罪が横行し、近年はIoT機器をターゲットにした攻撃も増えています。セキュリティプロバイダ「チェック・ポイント・ソフトウェア・テクノロジーズ」の
CrowdStrike(クラウドストライク)のソフトウェアに起因する全世界的なWindowsブルースクリーン問題。リモートで障害復旧が難しいという情シスにとって課題も大きいが、ベンダーの開発体制や単一のソフトウェアの不具合で一撃でストライク(撃墜)されてしまうOSの構造にも問題がある。 今のPCユーザーはブルースクリーンに対応できるのか? 金曜日の午後から全世界的に拡がったWindowsのブルースクリーン問題。Windowsがブルースクリーンを表示し、再起動を繰り返すという現象で、金曜日の夕方の段階で、CrowdStrikeのソフトウェアに起因することが明らかになった。企業で利用されている業務PCはもとより、航空便やレジのPOS端末などでも不具合が発生しており、交通機関や銀行、医療機関の広範囲の混乱を招いている。 CrowdStrikeから発表されている公式の解決策としては、「Window
2024年7月1日、多くのサーバーに搭載されているリモート接続用のソフトウエア「OpenSSH」で「重大」な脆弱性が報告された。セキュリティー企業の米Qualys(クオリス)が発見して報告し、OpenSSHの開発チームも事実を公表するとともに、脆弱性を修正したバージョンを公開した。 この脆弱性が悪用されると、遠隔から管理者権限を使って任意の操作やコードを実行される恐れがある。このためOpenSSHの開発チームは重大さを5段階で最上位の「Critical(深刻な)」と評価した。クオリスもこの脆弱性を悪用した攻撃が成功することを実証したとしている。 潜在的な影響範囲は広い。専門家らがインターネット上の公開サーバーを分析した結果では、脆弱性を含むOpenSSHを搭載した可能性があるサーバーは、全世界で700万台程度が稼働している。マクニカの分析によれば日本では22万6000台が該当する可能性があ
2024年7月19日に、「Windowsがブルースクリーンになり、強制的に再起動を繰り返す」というトラブルが世界同時多発的に発生し、ユナイテッド航空やアメリカン航空などでは飛行機の運休などの障害も発生しています。この問題は、サイバーセキュリティサービスプロバイダーのCrowdStrikeがアップデートの際に問題のあるチャネルファイルを配信したことが原因でしたが、今回の問題が発生する以前にも、LinuxディストリビューションのDebianやRocky Linuxでも同様の問題が発生していたことが明らかになっています。 Ridiculous vulnerability disclosure process with CrowdStrike Falcon Sensor | mod%log https://modzero.com/modlog/archives/2022/08/22/ridicul
JPCERT/CC 感謝状 2024
2024年6月、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は、サイバーセキュリティ対策活動に特に顕著なご貢献をいただいた方に感謝の意を表して感謝状を贈呈しました。 JPCERT/CCは、さまざまな国内のサイバー攻撃の被害を低減するために、インシデントへの対応支援活動、インシデントを未然に防ぐための早期警戒活動、マルウェア分析、ソフトウェア製品等の脆弱性に関する調整活動を行っています。これらの活動を円滑かつ効果的に進めるためには、皆さまからの情報提供やさまざまなご協力が欠かせません。 JPCERT/CCでは、サイバーセキュリティ対策活動に対する皆さまからのご厚意とお力添えに深く思いをいたし、2024年度は次の方に感謝状を贈呈いたしました。 日本国内の企業や組織に対する標的型攻撃が増加し始めた2010年代から現在に至るまで、大手新聞社を対象とする攻撃活動は活発に行
マイクロソフトが、自社の 「Microsoft Windows OS」 (以下OSと呼ぶ)において世界中の 使用者に大きなショックを 与えています。 画面が青くなり、動かなくなる と言うことです。 そもそもこの堅牢なOSに深刻な被害を 与えたのは、米国のセキュリティ会社の クラウドストライク ホールディングのソフトウエアーで、 ファルコン おなじみの OSをネットで自動送信する システム。 OS更新をアップデートを行うのに、 不具合が生じてしまったことに よります。 現在は、その脆弱性の部分は 修正されてバッチ(修正プログラム) は完了していて、活用して修正は、 完了しているそうです。 がユーザー側では完全には 復旧していません。 この問題の被害を受けたのは、 あらゆる業種、 サプライチェーン、空港の運営等、 医薬医療、病院の医療救急現場 などが深刻な障害に陥ったと 言われています。 日本
SESエンジニアとして客先に常駐すれば、仕事をしながら、自分のスキルを高めることができます。 自分のスキルが高くなれば、より自分を高く売ることができます。 客先に常駐するのは、精神的な苦痛を伴うかもしれませんが、考え方を変えれば、SESの仕事はいいことづくめかもしれません。 いっぽう、SESエンジニアは、情報セキュリティには細心の注意を払う必要があります。 もし、客先で使用しているシステムのソースコードを誤って公開したら、重大な情報セキュリティインシデントになります。 情報セキュリティインシデントが発生したら、会社は以下にあげる多くの対応をしなければなりません。 インシデントの検出と評価:インシデントを検知し、その深刻度や影響度を評価します。 インシデント対応チームの発足:情報セキュリティの事故が起きたら、CISOを中心としたインシデント対応のためのチーム(CSIRT)を発足します。 イン
クラウドストライクのシステム障害からの復旧方法(マイクロソフトの公式ブログから https://support.microsoft.com/en-us/topic/kb5042421-crowdstrike-issue-impacting-windows-endpoints-causing-an-0x50-or-0x7e-error-message-on-a-blue-screen-b1c700e0-7317-4e95-aeee-5d67dd35b92f) 世界中の多くのWindowsパソコンが2024年7月19日、大規模なシステム障害に見舞われ、深刻な障害が起きたときに表示されるブルースクリーンが頻発しました。マイクロソフトによると、世界中で850万台の端末に影響が出たとみられます。この障害の原因は、セキュリティソフトのクラウドストライク(CrowdStrike)製のセキュリティソフトウ
開発生産性 Conference 2024 で登壇してきました。 - カミナシ エンジニアブログ
どうもセキュリティエンジニアリングの西川です。 先日、株式会社Flatt Security のCCO豊田さんにお誘いいただき、カミナシのセキュリティの取り組みや開発生産性をどのように考えているかをファインディ株式会社主催の開発生産性Conference 2024 にてお話させていただきました。 当日の資料は下記です。 speakerdeck.com ※自動でライトがつく OR 無灯火を知らせるのページで左側の運転手が寝ていますがそれに意味はありません どういうことを話したか ざっくりですが、下記のような話をしました カミナシのサービスのセキュリティのオーナーシップは開発者が持っている セキュリティエンジニアリングはイネーブルメントの役割を担っている どうして Flatt Security 社の脆弱性診断を選んだか セキュリティは力を持っているからこそ生産性を奪いかねない ところで、セキュリ
メッセージングアプリのTelegramのAndroid版において、悪意のあるAPKファイルを動画ファイルとして送信できるゼロデイ脆弱(ぜいじゃく)性が存在していたことを、サイバーセキュリティ企業のESETが報告しています。 Cursed tapes: Exploiting the EvilVideo vulnerability on Telegram for Android https://www.welivesecurity.com/en/eset-research/cursed-tapes-exploiting-evilvideo-vulnerability-telegram-android/ Unmasking the Telegram Exploit - A Cybersecurity Breakdown with Lukas Stefanko - YouTube Telegram
Citizen Labは2024年7月16日(現地時間)、同社主催のイベント「Privacy Enhancing Technologies Symposium 2024」で、VPNソフトウェアの接続追跡フレームワークに「ポートシャドウ」と呼ばれる脆弱(ぜいじゃく)性が見つかったと発表した。 複数のVPN製品に影響を与える脆弱性「ポートシャドウ」に注意 この脆弱性は主要なOSのVPN接続に影響を与え、悪用されると、接続の匿名性が奪われたり、DNS要求がリダイレクトされたり、ポートスキャンが実行されたりする可能性がある。 ポートシャドウは「Linux」および「FreeBSD」で実行されるVPNソフトウェア「OpenVPN」「WireGuard」「OpenConnect」に影響を与えると報告されている。ただし脆弱性の仕組み上、VPNクライアント側の修正ではなくVPNサーバに関するファイアウォール
ChatGPTによる「電磁波攻撃による情報搾取」をテーマとした物語 2040年の未来、世界は電磁波の支配下にある。技術の進歩により、人々は電磁波を利用して情報を送受信し、制御する能力を持っていた。それは便利で革新的な方法であり、通信は以前に比べてはるかに迅速かつ効率的になった。 しかし、この技術は暗い側面も持っていた。悪意ある者たちは、電磁波を使って情報を盗み、操ることで権力を握ろうとしていた。彼らは巧妙な手法で、電磁波を介して個人の秘密や企業の機密情報を盗み出し、それを利用して不正行為や脅迫を行った。 主人公は、この電磁波の悪用に立ち向かうために活動する特殊なチームの一員だった。彼らは、テクノロジーと戦術を駆使して、電磁波を使って情報を搾取する犯罪者たちを追跡し、彼らの悪事を阻止する使命を負っていた。 ある日、彼らのチームは大規模な犯罪組織が企てる巨大な計画を突き止める。この組織は、電磁
Developer Productivity室の @uncle__ko です。 サイバー攻撃のニュースなどが盛り上がり、セキュリティについて取り沙汰されることが多い昨今。 開発生産性においてもセキュリティ対策はとても重要です。 今回は開発生産性とSecurity Shift Leftについてまとめようかと思います。 DORAの定義するCapabilitiesにおけるSecurityFourkeysなどを提唱しているDORA(DevOps Research and Assessment)が、組織がソフトウェアの提供と組織のパフォーマンスの向上を促進するためにもつべきものを定義していたりします DORA | CapabilitiesDORA is a long running research program that seeks to understand the capabilities
シャープは7月23日、公式ECサイト「COCORO STORE」が第三者による不正アクセスを受け、一部が改ざんされていたと発表した。現在もサイトを停止して調査している。 不正アクセスを確認したのは22日。その後、Webサイトを一時停止して調査を始めたという。情報漏えいの可能性などについては「現在調査中です。詳細が判明次第、お知らせいたします」とするにとどめた。 利用者に対しては「多大ならご心配とご迷惑をおかけし、申し訳ございませんが、今しばらくお待ちいただきますようお願い申し上げます」と謝罪している。 関連記事 長崎県物産振興協会の通販サイトに不正アクセス クレカ情報2万5000件以上や全会員の個人情報が漏えいした可能性 長崎県物産振興協会の通販サイト「e-ながさきどっとこむ」が第三者による不正アクセスを受けた。「2万5000件から3万件程度」のクレカ情報などが漏えいしたおそれがある。 東
Nutanix Cloud バイブル Copyright (c) 2024: The Nutanix Cloud Bible and NutanixBible.com, 2024. 本サイトの著者または所有者から書面による許可を受けることなしに、本著作物を無断で使用すること、またはコピーすることを固く禁じます。 本著作物を引用、または本著作物に対するリンクを設定することは許可されますが、 NutanixおよびNutanixBible.comの著作であることを明記し、かつ原著の内容を適切かつ明確に示すよう、該当箇所を提示することを前提とします。 日本語版に関して、誤植や不自然な翻訳など、お気づきの点がございましたら こちらのフォームよりお知らせください。 他言語版はこちらからご覧ください。 For other languages, click the flag icon. 다른 언어는 국기
チェック・ポイント・ソフトウェア・テクノロジーズは2024年7月19日、同年6月の最新版「Global Threat Index」(世界脅威インデックス)を発表した。 今回のインデックスでは「Ransomware as a Service」(RaaS)の状況変化が報告されており、新興のランサムウェアグループである「RansomHub」が「LockBit3」を超えて最も活発に活動していることが判明している。 LockBit3の衰退とRansomHubが急成長 日本国内の動向は? 調査によると、長期間猛威を振るっていたLockBit3ランサムウェアグループが衰退していることが確認されている。LockBit3は2024年2月の法執行措置以来活動が低下しており、同年4月の被害者数は27件に減少した。同年5月に一時的に170件に増加しているが、同年6月には再び20件未満に転じている。 一方、2024
防御側で生成AIの活用が進む中、サイバー攻撃者たちもこれを悪用する機会をうかがっている。彼らはこれをどう悪用しているのか。チェックポイントのリサーチャーが生成AIがはらむ問題を解説し、悪用の今後の方向性を示した。 チェック・ポイント・ソフトウェア・テクノロジーズ(以下、チェックポイント)は2024年7月18日、都内でイベント「Check Point CPX Japan 2024」を開催した。 同社の方向性を語るセッションとして、書籍『Cyber and Hacking in the Worlds of Blockchain and Crypto』の著者である、Check Point Software Technologiesのオデッド・ヴァヌヌ氏(プロダクト脆弱《ぜいじゃく》性調査 責任者)による特別講演「AIが現代のサイバー戦に与える影響」が実施された。 AI時代においてサイバー攻撃者は
こんにちは。開発本部 たんぽぽ室 DevRel グループの杉田です。 遅ればせながら、今年も新卒向け技術研修の資料と動画を公開しました。 MIXI の新卒向け技術研修は、一部の科目を除いて、実際の開発現場で活躍する MIXI のエンジニアが講師を務めており、現状に合わせて見直しも行われていますので、最新の情報で学習することができます。是非、自己学習や勉強会の教材として、スキルアップや成長支援にお役立てください。 <<おねがい>> 公開している資料や動画は、是非、勉強会や社内の研修などにご自由にお使いいただければと思いますが、以下のような場でのご利用はご遠慮ください。 受講者から参加費や授業料など金銭を集めるような場での利用 (会場費や飲食費など勉強会の運営に必要な実費を集める場合は問題ありません) 出典を削除または改変しての利用 なお、資料や動画、リポジトリは非公開の科目もございます。予め
Cado Securityは2024年7月17日(現地時間)、CloudflareのVPNサービス「Cloudflare WARP」(以下、WARP)がクラウドサービスの乗っ取りに悪用されていることを明らかにした。WARPを悪用した複数のキャンペーンが報告されている。 WARPはCloudflareの国際バックボーンを利用してトラフィックを最適化する無料のVPNだ。VPNプロトコル「WireGuard」のカスタム実装を介してCloudflareデータセンターにトラフィックをトンネリングすることで接続の高速化が図られている。またエンドユーザーのIPを「Cloudflare CDN」の顧客に提示するよう設計されている。 無料VPN機能「WARP」を攻撃者が悪用 特徴を逆手に取ったその手法とは? Cado Securityの調査によると、CloudflareのCDNを通さずに直接ターゲットのIP
【セキュリティ ニュース】「BIND 9」の脆弱性、関連機関がアップデートを強く推奨(1ページ目 / 全1ページ):Security NEXT
「BIND 9」に複数の脆弱性が明らかとなった問題を受け、関連機関からもアップデートが強く推奨されている。 重要度が「高(High)」とされるサービス拒否の脆弱性「CVE-2024-0760」「CVE-2024-1737」「CVE-2024-1975」「CVE-2024-4076」が判明。 Internet Systems Consortium(ISC)では、これら脆弱性を解消したアップデート「同9.20.0」「同9.18.28」をリリースした。 日本レジストリサービス(JPRS)では、いずれの脆弱性も「緊急」としており、「権威DNSサーバ」「キャッシュDNSサーバ」のいずれもアップデートを強く推奨している。 またアップデートがリリースされたことを受け、日本ネットワークインフォメーションセンター(JPNIC)や、JPCERTコーディネーションセンターなども情報提供を行っている。 (Secu
マイクロソフトがサポートを終了したウェブブラウザー「Internet Explorer(IE)」で新たなゼロデイ脆弱性が発見され、実際に攻撃に悪用されていたことが明らかになった。トレンドマイクロやカスペルスキーなどセキュリティー企業の専門家が報告している。 7月9日に公開されたこの脆弱性「CVE-2024-38112」は、IEのブラウザーエンジンMSHTMLに存在する欠陥で、深刻度は10段階中「7.5」と高く評価されている。カスペルスキーによれば、攻撃者はこの脆弱性を悪用し、過去18ヵ月にわたってパスワードを窃取していたという。 攻撃者は、PDFファイルのアイコンを持つ.urlファイルを作成し、ユーザーに送信する。このファイルを開くと、IEが起動し、悪意のあるHTAファイル(HTMLアプリケーション)がダウンロード・実行される。ユーザーが警告を無視してしまうと、情報窃取マルウェアが起動し、
Money ForwardにおけるAWSセキュリティ統制システムA-SAFの紹介 - Money Forward Developers Blog
はじめに こんにちは、Money Forward CISO室の万萌遠(バン・ホウエン)です。私は主にAWSセキュリティ統制システム「A-SAF(AWS-Security Alert Forwarding system)」の企画、開発、運用を担当してきました。運用も安定してきたので、今回はA-SAFシステムの紹介と、AWSをはじめとしたクラウド環境のセキュリティ統制についての心得を共有したいと思います。 A-SAFを作るモチベーション クラウド環境のセキュリティといえば、CSPM(Cloud Security Posture Management)、CWPP(Cloud Workload Protection Platform)、CNAPP(Cloud Native Application Protection Platform)などが思い浮かぶかもしれません。ですが、今回ご紹介するA-SA
四半世紀以上気付かれずにいた脆弱性、EmbarcaderoのC/C++ランタイムライブラリで発見(窓の杜) - Yahoo!ニュース
米Embarcadero Technologiesは7月24日(現地時間)、同社のC/C++ランタイムライブラリ(RTL)にバッファーオーバーフローの脆弱性があることを明らかにした。この問題は1997年に実装されたコードに起因しているという。実装されてから現在に至るまで悪用された事例はないとのこと。 本脆弱性は、以下のメソッドに影響する。おもに現在の作業ディレクトリを取得するPOSIX関数「getcwd」を「wchar_t」(UNICODE)や「_TCHAR」(ANSI/UNICODE)にマップしたメソッドやマクロだ。 ・_wgetcurdir ・_wsearchstr ・_tgetdcwd ・_tgetcwd これらのメソッドはバッファーとして「null」が渡されたとき、自分でバッファーを確保しようとするが、Unicodeビルドでは必要な領域の半分しか割り当てない。そのため、現在の作業デ
【セキュリティ ニュース】「BIND 9」にアップデート - DoS脆弱性4件を修正(1ページ目 / 全1ページ):Security NEXT
Internet Systems Consortium(ISC)は、DNSサーバ「BIND 9」のアップデートをリリースした。脆弱性やバグの修正などを行っている。 「BIND 9.20.0」「同9.18.28」において、リモートより悪用が可能である4件の脆弱性に対処したことを明らかにしたもの。アドバイザリを公開した時点で、いずれも悪用は確認されていないという。 具体的には、TCP経由で悪意あるクライアントより多数のDNSメッセージを受信した際に動作が不安定となり、サービス拒否に陥るおそれがある「CVE-2024-0760」を修正。 同じホスト名に対して多数のリソースレコードを持つ権威DNSサーバやキャッシュDNSサーバにおいて、クエリの処理速度が約100倍遅くなるおそれがある「CVE-2024-1737」に対応した。 さらにDNSSECにおいて、「SIG(0)」署名が付いたリクエストを送信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
東京ガスエンジニアリングソリューションズへの不正アクセスについてまとめてみた - piyolog
四半世紀以上気付かれずにいた脆弱性、EmbarcaderoのC/C++ランタイムライブラリで発見/特定条件下でバッファーオーバーフローの可能性
世界規模で起きたWindowsブルスク問題 MicrosoftとCrowdstrikeが支援策公表
最新のセキュリティ対策を求めた企業がブルースクリーン問題の被害に
内閣サイバーセキュリティセンター、省庁などを対象とした横断的アタックサーフェスマネジメント事業を開始
「重大」リスクの恐れにパッチ適用は1%未満、OpenSSHの脆弱性が残した警告
CrowdStrikeによるPC起動不能問題は過去にLinuxディストリビューションでも発生していた
ハッカーが狙う捉えられた深刻な脆弱性 - 宇奈月ブログ
ソースコードと業務マニュアル - 叡智の三猿
クラウドストライク、Windowsパソコンのシステム障害の経緯を公表
Telegramがゼロデイ脆弱性にパッチをリリース、攻撃者がAPKファイルを動画ファイルとして送信可能だった
複数のVPN製品に影響を与える脆弱性「ポートシャドウ」が見つかる
電磁波の闇に挑む特殊チーム - 叡智の三猿
開発生産性とSecurity Shift Left
シャープのECサイト、不正アクセスを受け一部改ざんされていた 詳細は「調査中」
Nutanix Cloudバイブル(日本語版) - NutanixBible.jp
チェック・ポイント、2024年6月のマルウェア動向を公開 国内で猛威を振るう脅威は?
生成AIブームの裏側で暗躍する攻撃者たち “悪用の未来”をリサーチャーが語る
【2024年版】MIXI 新卒向け技術研修の資料・動画を公開しました!
Cloudflareの無料VPN「WARP」を悪用してクラウドサービスを乗っ取るサイバー攻撃に要注意
「Internet Explorer」に新たなゼロデイ脆弱性が見つかり、攻撃者に悪用されていた