JVN iPedia is the database of vulnerability countermeasure information published on JVN and vulnerability countermeasure information published in Japan and abroad.
Jura Impressa F90 コーヒーメーカー用の Jura Internet Connection Kit は、特権関数へのアクセスを適切に制限しないため、サービス運用妨害 (物理的損害) 状態となる、コーヒーの設定を変更される、およびコードを実行される脆弱性が存在します。
独立行政法人情報処理推進機構 (IPA) が提供する安全なウェブサイト運営入門には、セーブデータの読み込み処理に起因する OS コマンドインジェクション (CWE-78) の脆弱性が存在します。
アップグレードする Windows 7 以降または Windows Server 2008 R2 以降の Windows を使用しているユーザは、Internet Explorer 10 へアップグレードしてください。 ワークアラウンドを実施する 以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。 ローカルディスク上に信頼できないファイルを保存しないなお、開発者によると、Internet Explorer 9 およびそれ以前において、本脆弱性の修正予定はないとのことです。
Chrome 拡張機能 5000兆円コンバーターには、クロスサイトスクリプティングの脆弱性が存在します。
情報処理推進機構(IPA)とJPCERT/CC(JPCERTコーディネーションセンター)が共同で運営する情報セキュリティ関連サイト「JVN(Japan Vulnerability Notes)」は2012年9月27日、2012年第3四半期の「連絡不能開発者一覧」を公表した。 JVNでは一般に流通するソフトウエアに情報セキュリティ上の問題(脆弱性)がある疑いがある場合、開発者と連絡を取りながら、問題解決のための方策を探る。開発者自身がソフトウエアを更新することで脆弱性が解消されるケースも多い。ところが、電子メールや郵便、電話などの手段を使っても連絡が取れない場合、スムーズな対応が困難になる。このため、開発者名や製品名を公表して、広く情報を募る。 2012年第3四半期は、開発者名の新たな公表はなかった。一方で前四半期に開発者名のみ公表した2人について、この四半期の間に連絡が取れなかった。このた
Android 標準ブラウザや WebView クラスを利用しているアプリで、細工されたウェブページを閲覧した際に、ユーザの意図に反して Android OS の機能を起動されたり、任意のコードを実行されたりする可能性があります。
対象 サーバ側およびクライアント側で使用している「OpenSSL」のバージョンが以下の組み合わせの場合に、本脆弱性の影響を受けることが確認されています。 サーバ側: OpenSSL 1.0.1 系列のうち 1.0.1g およびそれ以前 クライアント側: OpenSSL 1.0.1 系列のうち 1.0.1g およびそれ以前 OpenSSL 1.0.0 系列のうち 1.0.0l およびそれ以前 OpenSSL 0.9.8 系列のうち 0.9.8y およびそれ以前 開発者が提供する情報をもとに最新版へアップデートしてください。 Q&A 通信経路上の攻撃者とは? 本脆弱性を悪用するためには、クライアントとサーバの間に入って通信を中継する必要があります。このようなシナリオでの攻撃を一般に中間者攻撃といい、このときの攻撃者を本稿では通信経路上の攻撃者と呼んでいます。一般に、通信経路上の攻撃者となること
CGI Script Market が提供するマガジンガーZ <http://cgiscriptmarket.com/magazinegerZ/> は、ウェブサイトにメールマガジン配信機能を提供する CGI スクリプトです。 マガジンガーZ には、管理画面にログインした管理者のウェブブラウザ上で、意図しないスクリプトが実行される格納型クロスサイトスクリプティング (CWE-79) の脆弱性が存在します。 この案件は、2021年1月22日に開催された公表判定委員会による判定にて、平成29年経済産業省告示第19号および、情報セキュリティ早期警戒パートナーシップガイドラインにおける、次のすべての条件を満たすことを確認したため、JVN で公表することが適当と判定されました。IPA は、その判定を踏まえ、脆弱性情報を公表すると判断しました。 当該案件が調整不能であること 製品開発者への連絡方法として
Chrome 拡張機能 5000兆円コンバーターには、クロスサイトスクリプティングの脆弱性が存在します。
誰(どの組織)が書いたか不明(JVN編集者が書いているようにも読めなくもない)なのは、システムに問題があるのではないか。署名欄でも設けたらどうか。自由書式だからこういう輩が出てくるのだから、記入様式を用意したらいいのに。 それ書いたの僕なわけですが。 マニュアルとか、フォームのそばにある説明を見ても「CERT/CCへの情報提供(任意)」だっけかな、そんな一文が書いてるだけで何を書いたらいいか分からないのですよ。そこに書いて欲しい具体的な内容があるなら具体的にどういうことを書くかとか、そういうのがないと分からないですね。 あと、このシステムの位置づけというのがいまいち理解できてなかったり。(もちろん、脆弱性情報を安全な経路で教えていただけるのは大変ありがたいことです。 ) それを修正した後に僕らが JVN のシステムを使って決められたフォーマットであれやこれを入力するのは何かしらの義務なんで
株式会社NTTドコモが提供する spモードメールには、 Java メソッドが実行される脆弱性が存在します。 Android 4.0.X およびそれ以前向け spモードメール rev.5900 から rev.6300 までAndroid 4.1 およびそれ以降向け spモードメール rev.6000(初版) から rev.6620 まで
アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 Windows 版 Safari をお使いの場合: 2012年10月23日現在、Windows 版 Safari 6.0.1 は公開されていません。Windows 版 Safari のユーザは使用を停止してください。
魔法少女まどか☆マギカ iP for Android には、Twitter との連携機能があります。魔法少女まどか☆マギカ iP for Android には、ユーザの入力した Twitter のアカウント情報を平文でログファイルに出力してしまう問題が存在します。
Android 標準ブラウザや WebView クラスを利用しているアプリで、細工されたウェブページを閲覧した際に、ユーザの意図に反して Android OS の機能を起動されたり、任意のコードを実行されたりする可能性があります。
脆弱性情報サイト「JVN」は2017年5月25日、DLLハイジャックの脆弱性を持つWindowsのプログラムが多数見つかっているという注意喚起を公表した。 DLLハイジャックの脆弱性を持つWindowsアプリケーションが急増中と、JVNが注意喚起。URLは、https://jvn.jp/ta/JVNTA91240916/。 DLLハイジャックとは、ユーザーがプログラムを実行したときに、攻撃者が用意したDLLファイルを読み込ませてウイルス感染などを行う攻撃。DLLファイルは、プログラムの部品のようなもの。一般に、複数のプログラムが共通で利用する機能をDLLファイルで用意する。 DLLファイルはシステムフォルダーなどに置き、さまざまなプログラムがそのシステムフォルダーからDLLファイルを読み込む。 ところがWindowsは、プログラムの実行ファイルと同じフォルダーに、読み込もうとするDLLファ
楽天株式会社が提供するスマートフォンアプリ「ラクマ」には、認証に関する情報が漏えいする脆弱性 (CWE-200) が存在します。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 三井物産セキュアディレクション株式会社 望月岳 氏 CVSS v3 による深刻度 基本値: 4.7 (警告) [IPA値] 攻撃元区分: ローカル 攻撃条件の複雑さ: 高 攻撃に必要な特権レベル: 不要 利用者の関与: 要 影響の想定範囲: 変更なし 機密性への影響(C): 高 完全性への影響(I): なし 可用性への影響(A): なし CVSS v2 による深刻度 基本値: 2.6 (注意) [IPA値] 攻撃元区分: ネットワーク 攻撃条件の複雑さ: 高 攻撃前の認証要否: 不要 機密性への影響(C):
株式会社ヨドバシカメラが提供する Android 版「ヨドバシ」には、任意の Java のメソッドが実行される脆弱性が存在します。
LAC Advisory No.128 セキュリティ診断部の山崎です。 デジタルアーツ社が提供する Webセキュリティソフトウェア「i-FILTER」は、有害サイトへのアクセスを遮断するソフトウェアです。 私は、2018年6月に、「i-FILTER」に複数の脆弱性が存在することを発見し、独立行政法人 情報処理推進機構(IPA)に届け出を行いました。 攻撃者に悪用された場合に、i-FILTERが導入されている企業の社員が被害を受ける恐れのある脆弱性です。 この度、デジタルアーツ社によるソフトウェアの修正が完了し、脆弱性対策情報ポータルサイト「JVN」にて公表されましたので、「i-FILTER」導入企業の情報システム管理者その他の利用者の皆様におかれては、最新版へのアップデートをお勧めします。 影響を受けるシステム i-FILTER Ver.9.50R05 およびそれ以前 詳細情報 デジタルア
JVN iPedia is the database of vulnerability countermeasure information published on JVN and vulnerability countermeasure information published in Japan and abroad.
黄昏フロンティアの提供する東方緋想天は、通信対戦が可能な PC 用のゲームソフトです。東方緋想天には、通信対戦におけるデータ処理に問題があり、サービス運用妨害 (DoS) の脆弱性が存在します。
http://jvn.jp/jp/JVN81094176/index.html Android OS がオープンリゾルバとして機能してしまう問題 ってやつね。 報告者の森下さんが「とある方から私個人宛で報告をいただき」と言っているので、その「とある」人として少し背景を書いてみようと思う。 https://twitter.com/OrangeMorishita/status/581314325853306882 どのタイミングで発見したのか?発見のタイミングは、Android 4.2 のソースコードが出て少しして、ぐらい。この時点では、Android全てが修正されていなかった。当時、 CVE-2012-3411 (dnsmasq が libvirt の特定の config で使うときにオープリゾルバとなる) が発表されていて、これと同じ問題があるのでは、と調べた結果だった。Android の
Windows 上で稼動する Mozilla Firefox および SeaMonkey の Cairo で使用される Pixman における任意のコードを実行される脆弱性 Windows 上で稼動する Mozilla Firefox および SeaMonkey の Cairo で使用される Pixman の sse2_composite_src_x888_8888 関数には、任意のコードを実行される、またはサービス運用妨害 (out-of-bounds write および アプリケーションクラッシュ) 状態にされる脆弱性が存在します。
aki-null が提供する夜フクロウは、OS X 向けの Twitter クライアントアプリケーションです。夜フクロウでは OS X の API である CTFramesetter で文字列を処理しています。CTFramesetter では絵文字を表す特定のユニコード文字列の処理に問題があり、当該製品がクラッシュする可能性があります。 この問題は、OS X v10.9 (Mavericks) で確認されました。また、夜フクロウの開発者によると、OS X v10.11 (El Capitan) では問題は発生しないとのことです。
株式会社はてなが提供する iOSアプリ「はてなブックマーク」には、実際にアクセスする URL とは異なる URL を、アドレスバーに表示してしまう脆弱性が存在します。
ウイルスバスター コーポレートエディション 11.0 (CVE-2016-1223) ウイルスバスター ビジネスセキュリティ 9.0 (CVE-2016-1223, CVE-2016-1224) ウイルスバスター ビジネスセキュリティサービス 5.x (CVE-2016-1223, CVE-2016-1224) トレンドマイクロ株式会社が提供する企業向けウイルスバスター製品には、次の複数の脆弱性が存在します。 ディレクトリトラバーサル - CVE-2016-1223
Smarty は、PHP 用のテンプレートエンジンです。Smarty には、エラーメッセージを出力する際の処理に起因する、クロスサイトスクリプティングの脆弱性が存在します。
TYPE-MOON が提供する複数のゲーム製品には、OS コマンドインジェクションの脆弱性が存在します。 Fate/stay night (CD版、DVD版) Fate/hollow ataraxia 魔法使いの夜 Fate/stay night + hollow ataraxia (セット版)
JVN#37288228 スマートフォンアプリ「+メッセージ(プラスメッセージ)」における SSL サーバ証明書の検証不備の脆弱性 SoftBank Android アプリ「+メッセージ(プラスメッセージ)」 10.1.7 より前のバージョン iOS アプリ 「+メッセージ(プラスメッセージ)」バージョン 1.1.23 より前のバージョン 株式会社NTTドコモ Android アプリ「+メッセージ(プラスメッセージ)」 42.40.2800 より前のバージョン iOS アプリ 「+メッセージ(プラスメッセージ)」バージョン 1.1.23 より前のバージョン KDDI株式会社 Android アプリ「+メッセージ(プラスメッセージ)」 1.0.6 より前のバージョン iOS アプリ 「+メッセージ(プラスメッセージ)」バージョン 1.1.23 より前のバージョン
TYPE-MOON が提供する複数のゲーム製品には、OS コマンドインジェクションの脆弱性が存在します。 Fate/stay night (CD版、DVD版) Fate/hollow ataraxia 魔法使いの夜 Fate/stay night + hollow ataraxia (セット版)
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く