AlmaLinux 3345 View AlmaLinux vulnerabilities Alpine 3589 View Alpine vulnerabilities Android 2222 View Android vulnerabilities Bitnami 4764 View Bitnami vulnerabilities Chainguard 18096 View Chainguard vulnerabilities crates.io 1563 View crates.io vulnerabilities Debian 42411 View Debian vulnerabilities GIT 23441 View GIT vulnerabilities Go 3763 View Go vulnerabilities Hex 32 View Hex vulnerabili
SSHは暗号や認証技術を利用して安全にリモートコンピュータと通信するためのプロトコルですが、その通信の開始時に行うRSA署名の際に計算エラーが発生するとSSH秘密鍵が解析されてしまうことが実証されました。 (PDF)Passive SSH Key Compromise via Lattices https://eprint.iacr.org/2023/1711.pdf In a first, cryptographic keys protecting SSH connections stolen in new attack | Ars Technica https://arstechnica.com/security/2023/11/hackers-can-steal-ssh-cryptographic-keys-in-new-cutting-edge-attack/ SSHでは接続時にユ
Quarkslabのブログより。 新しいFuchsiaオペレーティング・システムの概要 はじめに Fuchsiaは、Googleが開発した新しいオペレーティング・システムで、AArch64とx86_64アーキテクチャをターゲットにしています。このOSの目的と使用場所についてはほとんど分かっていませんが、スマートフォンのAndroidとノートパソコンのChrome OSを置き換えることを目的としているように思われます。 将来的には、何百万ものデバイスで動作する可能性のあるOSに関する知識を得るために、Fuchsiaをざっと見て、内部設計、セキュリティ特性、長所と短所について学び、攻撃する方法を見つけることにしました。 モノリシック・カーネルとマイクロカーネル 今日のカーネル設計の最も一般的な形式は、モノリシック・カーネルです。例えば、LinuxやBSDカーネルはすべてモノリシックで、Linu
Intel製CPUにコアの消費電力から暗号化されたデータの解読などを行うサイドチャネル攻撃を許す脆弱性「PLATYPUS」が判明しました。一般的なサイドチャネル攻撃のようにオシロスコープを使った消費電力の物理的な測定は必要なく、OSから利用できる「消費電力モニター機能」のみで攻撃が可能だと報告されています。 PLATYPUS: With Great Power comes Great Leakage https://platypusattack.com/ INTEL-SA-00389 https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00389.html Intel SGX defeated yet again—this time thanks to on-chip power meter |
THE ECLECTIC LIGHT COMPANYより。 macOSをアップグレードするかどうか、またいつアップグレードするかの決めるのは、私たちが直面するより最も難しい選択の1つです。お使いのMacが最新リリースのmacOSを実行できない場合、または互換性のない主要なハードウェアやソフトウェアに依存している場合、その判断はあなた次第です。しかし、私たちの多くは、誤った希望や思い込みではなく、事実に基づいた判断をする以外に、私たちを妨げているものは何もありません。ここで、一般的な認識について少し考えてみたいと思います。 AppleはmacOSを3年間サポートする 数年間から、私はAppleがこの一般的な前提を述べたと思われる文書を探していますが、見つけることができませんでした。ちょうど1年前、私はこれを詳しく調べ、「8年間にわたり、AppleはmacOSのサポートについて、多くの人が信じ
The ZAP Homepage
Zed Attack Proxy (ZAP) by The world’s most widely used web app scanner. Free and open source. A community based GitHub Top 1000 project that anyone can contribute to. Quick Start Guide Download Now Intro to ZAP If you are new to security testing, then ZAP has you very much in mind. Check out our ZAP in Ten video series to learn more! Automate with ZAP ZAP provides range of options for security aut
Basic Fuzzing Training by Ren Kimura CEO of Ricerca Security, Inc.
「ノルウェーの一部都市だけであっても多数のスマートフォンが位置情報を追跡されており、それは販売されている」と、ノルウェーの公共テレビ・ラジオ局であるNRKが独自調査の内容をまとめています。 Avslørt av mobilen – Norge https://www.nrk.no/norge/xl/avslort-av-mobilen-1.14911685 仕事や幼稚園のお迎え、友人との外食などあらゆるタイミングで、ユーザーはスマートフォンを持ち出します。そのため、位置情報を追跡することで、「この人は何が好きなのか?」という情報を継続的に収集することが可能です。 一部のスマートフォン向けアプリは位置情報へのアクセスを要求しており、これを許可するとアプリはユーザーの位置情報を継続的に収集できるようになります。このデータは非常に貴重なものであり、多くのモバイルアプリ開発者は位置情報を販売するこ
1 Introduction Compilers, assemblers and similar tools generate all the binary code that processors execute. It is no surprise then that these tools play a major role in security analysis and hardening of relevant binary code. Often the only practical way to protect all binaries with a particular security hardening method is to have the compiler do it. And, with software security becoming more and
sigstore
sign. verify. protect. Make sure your software is what it claims to be.
The Atlanticより。 Story by バートン・ゲルマン 内部告発者から大量の文書の山を受け取った後、私は気が付くと米国政府の監視と調査を受けていました。 バートン・ゲルマンは、The Atlanticの常勤ライターであり、『Dark Mirror: Edward Snowden and the American Surveillance State』と『Angler: The Cheney Vice Presidency』の著者です。 「あなたの時計は正確に何時を示していますか?」電話口で尋ねたのは、エドワード・スノーデンがこれまで声に出して聞いた最初の言葉でした。(それまでのコミュニケーションはすべて、秘密のサーバー上の暗号化された匿名リンクを介した安全なテキストチャットで行われていました。) 私は手首をちらっと見ました — 午後3時22分でした。「いいでしょう。4時ちょう
セキュリティ企業のTarlogic Securityが、数百万台のIoT端末に搭載されているWi-Fi接続・Bluetooth接続用のESP32チップに、個人情報を盗み取る目的で悪用可能な隠し機能があると報告しました。 Tarlogic detects a hidden feature in the mass-market ESP32 chip that could infect millions of IoT devices https://www.tarlogic.com/news/backdoor-esp32-chip-infect-ot-devices/ この発見は、スペイン・マドリードで開催されたセキュリティカンファレンス「RootedCON」で発表されました。 Tarlogic Securityによると、Bluetooth規格に関する研究を進める中で発見したものだそうです。 問
2017年7月、アメリカ・ロードアイランド州で開催された全米知事協会の会議に参加したイーロン・マスクCEOは、「原理的には、もし誰かが自律運転可能なテスラをすべてハッキングできたら、『ロードアイランドに全部車を送れ』と命じることができるでしょう」と冗談めかしてコメントしました。しかし、技術系ニュースメディアのElectrekによれば、テスラの車を一斉に遠隔操作できる脆弱性が、マスクCEOのコメントから数カ月前に発見されていたそうです。 The Big Tesla Hack: A hacker gained control over the entire fleet, but fortunately he's a good guy - Electrek https://electrek.co/2020/08/27/tesla-hack-control-over-entire-fleet/ テ
This post shows different use cases for a Yubikey. There are also command line examples in a cheatsheet like manner. I’m using a Yubikey 5C on Arch Linux. If you run into issues, try to use a newer version of ykman (part of yubikey-manager package on Arch). Some features depend on the firmware version of the Yubikey. The tooling (like the wording) around the Yubikey is sometimes a bit confusing. I
Google、RustとseL4マイクロカーネルを活用したセキュリティ重視のOSとして「KataOS」を発表
Phoronixより。 Googleは今週、アンビエントな機械学習ワークロードを実行する組み込みデバイスに焦点を当てた最新のオペレーティング・システムの取り組みとして、KataOSのリリースを発表しました。KataOSはセキュリティを重視し、Rustプログラミング言語のみを使用し、その基盤としてseL4マイクロカーネルの上に構築されています。 KataOSは、増え続けるスマート デバイスでの使用を想定としており、特に、機械学習アプリケーションを実行する組み込みハードウェアに重点を置いています。業界ではRISC-Vへの関心が高まっていることを考えると、このCPUアーキテクチャはKataOSの主要なサポート対象になっています。Googleのオープンソース・ブログは次のように発表しました。 「この新しいオペレーティング・システムの基盤として、セキュリティを最前線と中心に置いているマイクロカーネル
How a simple Linux kernel memory corruption bug can lead to complete system compromise
In this case, reallocating the object as one of those three types didn't seem to me like a nice way forward (although it should be possible to exploit this somehow with some effort, e.g. by using count.counter to corrupt the buf field of seq_file). Also, some systems might be using the slab_nomerge kernel command line flag, which disables this merging behavior. Another approach that I didn't look
Zenbleed
If you remove the first word from the string "hello world", what should the result be? This is the story of how we discovered that the answer could be your root password! Introduction All x86-64 CPUs have a set of 128-bit vector registers called the XMM registers. You can never have enough bits, so recent CPUs have extended the width of those registers up to 256-bit and even 512-bits. The 256-bit
Microsoftが新たなセキュリティチップ「Microsoft Pluton」を開発中だと発表しました。Plutonの開発には、Microsoftのシリコンに関する主要なパートナーであるAMD・Intel・Qualcommが参加しています。 Microsoft Pluton Processor のご紹介 – Windows PC の未来に向けて 設計されたセキュリティチップ - News Center Japan https://news.microsoft.com/ja-jp/2020/11/18/201118-meet-the-microsoft-pluton-processor-the-security-chip-designed-for-the-future-of-windows-pcs/ Meet the Microsoft Pluton processor – The sec
This post is also available in: English (英語) 概要 Wiresharkは、ネットワーク内を流れるパケットをキャプチャし、その内容(pcap)を確認するためのツールです。筆者は2018年からさまざまなWiresharkチュートリアルを執筆し、世界中のカンファレンスでワークショップを開き、そこで対面で講師をつとめてきました。これまで筆者が行ったこれらのワークショップは、情報セキュリティ業務にあたる方々がWiresharkを使ってWindowsベースのマルウェア感染トラフィックを確認できるようにすることを目指したものでした。 ただ残念ながら、2020年初頭以降は新型コロナウイルス感染症の拡大による渡航制限で、対面でのワークショップは開催できていません。そこで私たちは、それまで対面で行ってきたワークショップの大半をカバーしたビデオチュートリアルを開発し、
GitHub Secure Deployments with OIDC を Azure AD で試すwatahani23 MinutesOctober 30, 2021 プレビューの時に AWS が対応したと話題だった GitHub ID トークンとか呼ばれてた機能が正式発表された。 GitHub Actions: Secure cloud deployments with OpenID Connect | GitHub Changelog ドキュメントを見ると、Azure AD との連携手順もしっかり公開されているので早速試してみた。ついでに az cli でラッピングされているトークン取得の通信も調べてみた。 OverviewGitHub のようなソース管理ツールは、今や CI/CD のプラットフォームとしても拡大している。いわゆる DevOps。GitHub にも多分に漏れず Git
アメリカのサイバーセキュリティ企業「FireEye」 は8日、最近「高度な技術を持つ脅威アクター」からハッキング攻撃を受けたと明らかにした。国家ぐるみのハッキングだとしている。
Burp Suite ProfessionalTest like a proHands-on security testers need the best tools for the job. Tools you have faith in, and enjoy using all day long. The tools that other professionals trust.
GitHub - tls-attacker/TLS-Scanner: The TLS-Scanner Module from TLS-Attacker
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? この記事について、マニュアルのAuthenticationページを参考にしています。このページを見てわからないことがあれば、マニュアルを参照してください。 公式サイト:https://www.zaproxy.org/ OWASP ZAP Desktop User Guide:https://www.zaproxy.org/docs/desktop/ Authentication:https://www.zaproxy.org/docs/desktop/start/features/authentication/ Getting Star
GitHub - fabpot/local-php-security-checker: PHP security vulnerabilities checker
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
OSV - Open Source Vulnerabilities
計算エラーの発生時にSSHの秘密鍵が盗み取られる危険があることを研究者が実証
Fuchsiaオペレーティング・システムで遊ぶ
Intel製CPUに「消費電力の監視データ」から暗号化キーを解読される脆弱性が判明
先週の私のMac: macOSの耳の痛い真実
Introduction to Fuzzing
「スマホの位置情報の売買」は一大ビジネスと化しており、匿名化されたものからでも簡単に個人を特定することが可能
Low-Level Software Security for Compiler Developers
ブログ: 私は、エドワード・スノーデンに出会ってから、警戒し続けてきた
何百万台ものIoT端末に使用されているESP32チップに個人情報窃盗につながる可能性のある隠し機能が存在
テスラの車にはネット経由で一斉にリモート操作できる脆弱性があった
How to Yubikey: a configuration cheatsheet
MicrosoftがWindows搭載PCを保護する新型セキュリティチップ「Microsoft Pluton」を発表
Wireshark チュートリアル: Wiresharkワークショップビデオシリーズを公開
GitHub Secure Deployments with OIDC を Azure AD で試す
米サイバーセキュリティ企業、「国家ぐるみ」のハッキング攻撃受けたと - BBCニュース
Burp Suite Professional - PortSwigger
OWASP ZAP2.9.0で脆弱性診断をする - 認証機能の設定 - Qiita
comic-action.com
crea.bunshun.jp
x.com
kakuyomu.jp
comic-days.com
novel18.syosetu.com