JF全漁連の通販サイト「JFおさかなマルシェ ギョギョいち 本店」が不正アクセスを受け、クレジットカード情報やセキュリティコードなどが1万件以上が流出した可能性がある問題で、JF全漁連は10月3日、休止中の同サイトを7日に閉鎖すると発表した。 5月に警視庁からサイト改ざんの恐れについて連絡を受けてサイトを休止し、調査や対応を行っていた。扱っていた商品は、「JFおさかなマルシェ ギョギョいち JAタウン店」で引き続き購入できる。 JF全漁連の8月の発表によると、サイトを構築サービスのクロスサイトスクリプティング(XSS)脆弱性を突いた第三者による不正アクセスにより、不正ファイルが設置され、ペイメントアプリケーションが改ざんされたことが原因で、ユーザー情報が流出した可能性がある。 流出の可能性があるのは、会員登録したユーザー2万1728件の氏名、性別、生年月日、メールアドレス、郵便番号、住所、
Malwarebytesは9月27日(米国時間)、「Millions of Kia vehicles were vulnerable to remote attacks with just a license plate number|Malwarebytes」において、起亜(KIA)が2013年以降に製造したほぼすべての自動車に脆弱性が存在したと報じた。この脆弱性を悪用されると、自動車の主要な機能を遠隔操作される可能性がある。 Millions of Kia vehicles were vulnerable to remote attacks with just a license plate number|Malwarebytes 脆弱性の概要 この脆弱性はセキュリティ研究者のSam Curry氏によって発見された。脆弱性の詳細はSam Curry氏のWebページ「Hacking Ki
Part2で紹介したランサムウエア攻撃のフェーズごとに、攻撃者の動きを検知したり食い止めたりする様々な対策が考えられる。 例えば(1)侵入~(2)対策ソフトの無効化では、端末やネットワーク機器の脆弱性を速やかに塞いでいればリスクを大きく減らせる。(3)通信の永続化~(6)横展開のフェーズでは、端末やネットワークのログを収集・分析*1することで不審な通信を検出し、遮断できる可能性がある。(7)ADの乗っ取りには脆弱性の修正やアカウントの安全性を高めるツールを使う手などがある。 いずれもランサムウエア対策として有用で、網羅的に導入できれば理想的だ。ただ、方策1つを実施するだけでも運用の手間がかかり費用もかさむ。ひとり情シスをはじめ中小企業の現場には荷が重い。コスパが良い手段に絞って採用するのが現実的だろう。 リスクベースで守る 守る対象を絞る際は、リスクベースの脆弱性管理(Risk Based
【セキュリティ ニュース】400近いエプソン製プリンタやスキャナに脆弱性 - 管理者パスワードの設定を(1ページ目 / 全2ページ):Security NEXT
400近いセイコーエプソン製品に脆弱性が明らかとなった。初期設定を行わずにネットワークへ接続している場合、機器を乗っ取られるおそれがあるという。 複数の同社製品では、ブラウザより本体の設定を確認、変更できる「Web Config(Remote Manager)」機能が提供されているが、初期状態では管理者パスワードが未設定となっている脆弱性「CVE-2024-47295」が判明した。 初期設定を行わずにネットワークへ接続している場合、機器にネットワーク経由でアクセスできる攻撃者が任意のパスワードを設定し、管理者権限で操作を行うことが可能となる。 インクジェットプリンタ220モデル、レーザープリンタ58モデルをはじめ、ドットインパクトプリンタ、大判プリンタ、レシートプリンタ、スキャナ、ネットワークインターフェイスなど、あわせて393製品が脆弱性の影響を受けるという。 共通脆弱性評価システム「C
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は9月30日、「JVNVU#95133448: 複数のセイコーエプソン製品のWeb Configにおける初期パスワードに関する脆弱性」において、セイコーエプソンの複数の製品に脆弱性が存在するとして、注意を喚起した。この脆弱性を悪用されると、リモートからデバイスを乗っ取られる可能性がある。 JVNVU#95133448: 複数のセイコーエプソン製品のWeb Configにおける初期パスワードに関する脆弱性 脆弱性に関する情報 脆弱性に関する情報は次のページにまとまっている。 プリンター、スキャナーおよびネットワークインターフェイス製品のWeb Configにおける脆弱性について|エプソン 脆弱性の情報(CVE)は次
【セキュリティ ニュース】「PHP」にアップデート - 悪用済み脆弱性の修正をバイパスされる問題に対処(1ページ目 / 全1ページ):Security NEXT
PHPの開発チームは現地時間9月26日、セキュリティアップデートとなる「PHP 8.3.12」「同8.2.24」「同8.1.30」をリリースした。 これらアップデートでは、CVEベースで4件の脆弱性を解消した。なかでも「CVE-2024-4577」の修正をバイパスされ、パラメータを不正に挿入できる脆弱性「CVE-2024-8926」への対処も含まれる。 「CVE-2024-4577」はWindows版に影響があり、「CVE-2012-1823」の修正を回避されることに起因。6月にリリースされた「PHP 8.3.8」「同8.2.20」「同8.1.29」にて修正されていた。 共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は4段階中もっとも高い「クリティカル(Critical)」と高く、ウェブシェルの設置やランサムウェア「TellYouThePass」の感染活動に悪
Apple、iPhone 16モデルでタッチスクリーンが反応しなくなる不具合やパスワードアプリでパスワードが読み上げられる可能性のあるの脆弱性を修正した「iOS 18.0.1」をリリース。
AppleがiPhone 16モデルでタッチスクリーンやカメラが反応しなくなる/フリーズする不具合などを修正した「iOS/iPadOS 18.0.1」をリリースしています。詳細は以下から。 Appleは現地時間202 […] The post Apple、iPhone 16モデルでタッチスクリーンが反応しなくなる不具合やパスワードアプリでパスワードが読み上げられる可能性のあるの脆弱性を修正した「iOS 18.0.1」をリリース。 first appeared on AAPL Ch..
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
カード情報1.2万件流出か、全漁連の通販サイト閉鎖 XSS脆弱性からペイメントアプリ改ざん
ナンバープレートから自動車のエンジンを始動できる脆弱性、発見
VPN機器とADを優先して守る 対処する脆弱性はたった3%
「iOS 18.0.1」「iPadOS 18.0.1」が公開 ~iPhone 16で発見された問題や脆弱性に対処/ユーザーが保存したパスワードを「VoiceOver」が読み上げてしまう欠陥など
セイコーエプソンの393製品に脆弱性、デバイスを乗っ取られる可能性
「Google Chrome」にレイアウトの整数オーバーフローなど、4件の脆弱性/Windows環境には修正版のv129.0.6668.89/.90が展開中
無料の定番メールクライアント「Thunderbird 128.3.0esr」が公開 ~11件の脆弱性を修正/OpenPGP暗号化メッセージが開けないなどの問題に対処
「Microsoft Edge」にセキュリティアップデート、「Chromium」「V8」の脆弱性を修正/v129.0.2792.79への更新を
