「Microsoft Copilot for Security」一般提供開始 日本語のプロンプトにも対応
Microsoftは2024年3月13日(米国時間)、「Microsoft Copilot for Security」(以下、Copilot for Security)を4月1日に一般提供を開始する旨を発表した。MicrosoftはCopilot for Securityについて「セキュリティおよびIT専門家が見逃したものをキャッチし、迅速に行動し、チームの専門知識を強化するのに役立つ」と述べている。 Microsoft Copilot(以下、Copilot)は、Microsoftが毎日処理している78兆件以上のセキュリティシグナルを含む大規模データと脅威インテリジェンスから情報を得て、大規模な言語モデルと組み合わせることで、カスタマイズされた洞察を提供するという。「Copilotを使用すれば、AIのスピードとスケールを活用し、セキュリティの運用を変革することが可能だ」(Microsoft
Webアプリケーションに対する脆弱性診断の外注/内製化とバグバウンティの役割の違い - Flatt Security Blog
初めまして、Flatt Security社のブログに寄稿させていただくことになりました、西川と申します。 普段は、SaaS企業でプロダクトセキュリティをメインの仕事としていますが、一般社団法人鹿児島県サイバーセキュリティ協議会の代表理事として活動しております。 さて、今回はプロダクトセキュリティを生業としている私が、脆弱性診断を外注することと内製化すること、それからバグバウンティについてそれぞれの役割を記していきたいと思います。 本記事の目的 脆弱性診断を外注した方が良い、あるいは、内製化した方が良い、という話ではなく、それぞれ役割が異なると考えています。つまりそれは、それぞれが補い合う形で存在しているというものです。そして、これらをさらに補う要素としてバグバウンティがあるという話を通して、みなさまの組織で脆弱性診断をどのようにセキュリティ運用に組み込んでいくのかを検討したり、バグバウンテ
GitHub - jtesta/ssh-audit: SSH server & client security auditing (banner, key exchange, encryption, mac, compression, compatibility, security, etc)
SSH1 and SSH2 protocol server support; analyze SSH client configuration; grab banner, recognize device or software and operating system, detect compression; gather key-exchange, host-key, encryption and message authentication code algorithms; output algorithm information (available since, removed/disabled, unsafe/weak/legacy, etc); output algorithm recommendations (append or remove based on recogn
【セキュリティ ニュース】WordPressプラグインの同時多発改ざん、PWリスト攻撃に起因(1ページ目 / 全1ページ):Security NEXT
WordPress向けの複数プラグインに不正なコードが挿入された問題で、WordPress.orgは、侵害された複数のアカウントより、プラグインの改ざんが行われたことを明らかにした。 他ウェブサイトより流出したユーザー名やパスワードを組み合わせたパスワードリスト攻撃を受け、プラグインの開発に参加するコミッターのアカウント5件が不正アクセスを受けたという。 攻撃者はこれら侵害したアカウントを通じて悪意のある更新を行い、「BLAZE Retail Widget」「Contact Form 7 Multi-Step Addon」「Simply Show Hooks」「Social Sharing Plugin – Social Warfare」「Wrapper Link Elementor」といったプラグインで改ざん被害が発生した。 同問題を受けてWordPress.orgでは、プラグイン所有者
【セキュリティ ニュース】400近いエプソン製プリンタやスキャナに脆弱性 - 管理者パスワードの設定を(1ページ目 / 全2ページ):Security NEXT
400近いセイコーエプソン製品に脆弱性が明らかとなった。初期設定を行わずにネットワークへ接続している場合、機器を乗っ取られるおそれがあるという。 複数の同社製品では、ブラウザより本体の設定を確認、変更できる「Web Config(Remote Manager)」機能が提供されているが、初期状態では管理者パスワードが未設定となっている脆弱性「CVE-2024-47295」が判明した。 初期設定を行わずにネットワークへ接続している場合、機器にネットワーク経由でアクセスできる攻撃者が任意のパスワードを設定し、管理者権限で操作を行うことが可能となる。 インクジェットプリンタ220モデル、レーザープリンタ58モデルをはじめ、ドットインパクトプリンタ、大判プリンタ、レシートプリンタ、スキャナ、ネットワークインターフェイスなど、あわせて393製品が脆弱性の影響を受けるという。 共通脆弱性評価システム「C
【セキュリティ ニュース】戸籍情報に不正アクセスして家系図作成、職員を処分 - 阿蘇市(1ページ目 / 全2ページ):Security NEXT
熊本県阿蘇市は、他職員のIDを利用して戸籍総合システムに不正アクセスし、戸籍情報を閲覧して家系図を作成した職員に対し、懲戒処分を行った。 同市によれば、以前部下だった他職員より聞き出したログインIDやパスワードを使用し、6月下旬より戸籍総合システムに不正アクセスを行っていたもの。 職員がアクセスする権限を持っていないにもかかわらず、支所内の戸籍総合システムの専用端末が置かれた席に座っていたことから他職員が不審に思い、問題が発覚した。 93回にわたり戸籍情報を閲覧し、戸籍情報の帳票を35部を出力。窓口で相談を受けた住民や、自身の親族に関する家系図など2件を作成していた。 同職員は、以前に市民課戸籍係長を務めた経験があり、戸籍制度全般についての知識があり、戸籍の不正な閲覧や取得が問題ある行為であることを認識していたという。
Blog - Private Cloud Compute: A new frontier for AI privacy in the cloud - Apple Security Research
Private Cloud Compute: A new frontier for AI privacy in the cloud Written by Apple Security Engineering and Architecture (SEAR), User Privacy, Core Operating Systems (Core OS), Services Engineering (ASE), and Machine Learning and AI (AIML) Apple Intelligence is the personal intelligence system that brings powerful generative models to iPhone, iPad, and Mac. For advanced features that need to reaso
Urgent security alert for Fedora 41 and Fedora Rawhide users
No versions of Red Hat Enterprise Linux (RHEL) are affected by this CVE. Updated March 30, 2024: We have determined that Fedora Linux 40 beta does contain two affected versions of xz libraries - xz-libs-5.6.0-1.fc40.x86_64.rpm and xz-libs-5.6.0-2.fc40.x86_64.rpm. At this time, Fedora 40 Linux does not appear to be affected by the actual malware exploit, but we encourage all Fedora 40 Linux beta us
キヤノンITS、ESET Cyber Security Proを利用しているMacをmacOS 15 Sequoiaへアップグレードするとネットワーク接続が不可能になる不具合の回避策を公開。
キヤノンITSがESET Cyber Security Proを利用しているMacをmacOS 15 Sequoiaへアップグレードするとネットワーク接続が不可能になる不具合の回避策を公開しています。詳細は以下から。 Mac用セキュリティソフトウェア「ESET Cyber Security」の国内販売を行っているキヤノンITソリューションズは日本時間2024年09月20日、ESET Cyber Security Pro V6を利用しているMacをAppleが現地時間09月16日にリリースした「macOS 15 Sequoia」へアップグレードするとネットワーク接続が不可能になる不具合を確認しているとして回避策をまとめたサポートページを公開しています。 ESET Cyber Security Pro V6のプログラムをご利用の場合に、OSをアップグレードすると、ネットワーク接続不可となる現象
re:Invent 2023で感じたセキュリティの民主化と生成AI活用の未来 / The future of security democratization and generative AI as I felt at re:Invent 2023
AWS目黒で実施された「AWS re:Invent 2023 re:cap LT 大会」で発表した資料
Fortinetがデータ侵害認める 直前にはハッカーが440GB分のデータ盗んだと主張 | Codebook|Security News
Fortinetがデータ侵害認める 直前にはハッカーが440GB分のデータ盗んだと主張BleepingComputer – September 12, 2024 Fortinetが、「サードパーティのクラウドベースの共有ファイルドライブ」から顧客に関するデータが盗まれたことを認めたとの報道。この直前には、ハッキングフォーラム「Breached」であるハッカーが同社から440GB分のデータを盗んだと主張していた。 9月12日未明(現地時間)、フォーラムBreachedにおいて、「Fortibitch」と名乗る脅威アクターが「Fortileak 440GB」と題した投稿を掲載。FortinetのAzure Sharepointから440GB分のデータを盗み、これをアクター自身のS3バケットから入手できるようにしたと記し、同バケットにアクセスするための認証情報を共有したという。Fortibitc
Musk’s now-deleted post questioning why no one has attempted to assassinate Joe Biden and Kamala Harris renews concerns over his work for the US government—and potential to inspire extremist violence. Shortly following reports of an apparent second assassination attempt against former US president and 2024 Republican presidential nominee Donald Trump, Elon Musk decided to speak up. “And no one is
February 8, 2024Okta October 2023 Security Incident Investigation Closure Related Posts: Recommended Actions - Nov 29, 2023 / Root Cause Analysis [RCA] - Nov 3, 2023 / Security Incident - Oct 20, 2023 Stroz Friedberg, a leading cybersecurity forensics firm engaged by Okta, has concluded its independent investigation of the October 2023 security incident. The conclusions of Okta’s investigation hav
Next.js Weekly #29: Next.js 14, Geist, Why I’m (not) using Next.js, Oslo, Security in Next.js, React Forget
#29: Next.js 14, Geist, Why I’m (not) using Next.js, Oslo, Security in Next.js, React Forget Next.js Conf 2023 – This year’s Next.js Conf primarily focused on stabilizing existing features rather than introducing new ones. I recommend checking out the VoD. Here’s a quick summary of all the announcements: Next.js 14: No new APIs – As mentioned, it’s all about stability. So Next.js 14 comes with no
CloudNative Days Tokyo 2023 の登壇資料です。2023/12/12 https://event.cloudnativedays.jp/cndt2023
Anyone can Access Deleted and Private Repository Data on GitHub ◆ Truffle Security Co.
You can access data from deleted forks, deleted repositories and even private repositories on GitHub. And it is available forever. This is known by GitHub, and intentionally designed that way. This is such an enormous attack vector for all organizations that use GitHub that we’re introducing a new term: Cross Fork Object Reference (CFOR). A CFOR vulnerability occurs when one repository fork can ac
Googleは最新版のTitan Security Keyを発表した。この新デバイスは250個のパスキーの保存が可能でGoogleストアで販売されている。Googleは2024年を通して高リスクユーザーに10万個を無償配布する計画だと説明している。
AWS のマルチアカウントにおける Security Hub の運用は Central configuration を使おう - カミナシ エンジニアブログ
どうもこんにちは西川です。AWS Community Builder に選ばれたからにはAWSのこともアウトプットしなきゃということで、今日は Security Hub の Central configurationの素晴らしさをお伝えしたいと思います。 Security Hub 運用の課題と Central configuration Cental configuration は re:Invent 2023 で発表された機能で、実は最近までこの機能が追加されていたことに西川は気づいておりませんでした(汗) でも、この機能はSecurity Hubを運用していくうえでは欠かせない機能で、それはなぜかというと、Automation rules では、OU単位だったり、アカウントについているタグ等を判別してルールを書くことができないのですが、AWSアカウントをOrganization管理して
In a recent post, I explored some of the tradeoffs engineers must make when evaluating the security properties of a given design. In this post, we explore an interesting tradeoff between Security and Privacy in the analysis of web traffic. Many different security features and products attempt to protect web browsers from malicious sites by evaluating the target site’s URL and blocking access to th
By Omkhar Arasaratnam, General Manager, OpenSSF; Bennett Pursell, Ecosystem Strategist, OpenSSF; Harry Toor, Chief of Staff, OpenSSF; Christopher “CRob” Robinson, OpenSSF TAC Chair & Director of Security Communications, Intel CVE-2024-3094 documents a backdoor in the xz package. This backdoor was inserted by an actor with the intent to include an obfuscated backdoor into the software. While the mo
【セキュリティ ニュース】「VMware vCenter Server」に複数の深刻な脆弱性 - 早急に対応を(1ページ目 / 全2ページ):Security NEXT
仮想化環境の管理運用ツール「VMware vCenter Server」において、複数の深刻な脆弱性が明らかとなった。同製品を提供するBroadcomは、重要度をもっとも高い「クリティカル(Critical)」とし、利用者に注意を呼びかけている。 現地時間6月17日にセキュリティアドバイザリを公開し、「VMware vCenter Server」に関する3件の脆弱性「CVE-2024-37079」「CVE-2024-37080」「CVE-2024-37081」について明らかにしたもの。 アドバイザリの重要度を4段階中もっとも高い「クリティカル(Critical)」として注意を喚起した。これら脆弱性は外部より報告を受けたとしており、セキュリティアドバイザリをリリースした時点で悪用は確認されていないとしている。 「CVE-2024-37079」「CVE-2024-37080」の2件は、「DCE
【Security Hub修復手順】[RDS.27] RDS DBクラスターは保管時に暗号化する必要があります | DevelopersIO
こんにちは、AWS事業本部の平井です。 皆さん、お使いのAWS環境のセキュリティチェックはしていますか? 当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。 本記事の対象コントロール [RDS.27] RDS DBクラスターは保管時に暗号化する必要があります [RDS.27] RDS DB clusters should be encrypted at rest 前提条件 本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容です。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。 コントロールの説明 このコントロールは、RDS DBクラスターが暗号化されているかどうかをチェックします。 暗号化さ
![【Security Hub修復手順】[RDS.27] RDS DBクラスターは保管時に暗号化する必要があります | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/ba983f76286d716c33249c5cd7c5d87259ff98a9/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2022%2F08%2Faws-security-hub.png)
Security Hubのアラートを Microsoft Teams に通知する仕組みをCloudFormationテンプレート化 | DevelopersIO
はじめに Security Hubのアラートを Microsoft Teams に通知する仕組みを CloudFormation テンプレートで作成しました。 以前、Security Hub で検知した内容を Amazon EventBridge 経由で Microsoft Teams に通知する仕組みの構築方法を執筆しました。 今回は、通知する仕組みをCloudFormationテンプレートで構築できるようにしましたので、紹介します。 通知される画面は、以下の通りです。 個人的にEventBridge API送信先やEventBridge 接続をテンプレートで作成することがなかったので、勉強になりました。 構成図 構成は以下の通りです。 作成されるリソース CloudFormationで作成するリソースは、以下の通りです。 EventBridge API送信先 接続 ルール IAMロール
【Security Hub修復手順】[StepFunctions.1]Step Functions ステートマシンではログ記録が有効になっている必要があります | DevelopersIO
皆さん、お使いのAWS環境のセキュリティチェックはしていますか? 当エントリでは、AWS Security HubによるAWS環境のセキュリティ状況スコアリングに該当する項目についての修正手順をご紹介します。 本記事の対象コントロール [StepFunctions.1] Step Functions ステートマシンではログ記録が有効になっている必要があります [StepFunctions.1] Step Functions state machines should have logging turned on 前提条件 本記事はAWS Security Hubで「AWS基礎セキュリティのベストプラクティススタンダード」を利用されている方向けの内容です。 AWS Security Hubの詳細についてはこちらのブログをご覧ください。 コントロールの説明 このコントロールは、AWS Step
![【Security Hub修復手順】[StepFunctions.1]Step Functions ステートマシンではログ記録が有効になっている必要があります | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/b5eb18f96ede2cf98d82eb160ccfa87db6695ef1/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2023%2F08%2Faws-security-hub.png)
AWSのセキュリティを学ぶためのコンテンツがまとめられた「AWS Ramp-Up Guide: Security, Identity and Compliance」を調べてみた | DevelopersIO
こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。 突然ですが、皆さんは AWS Ramp-Up Guides をご存知ですか? AWSでは、技術ドキュメントやブログ、デジタルトレーニングなど、様々な公式の学習コンテンツが展開されています。 ただ、その数が膨大過ぎて何をすれば良いのか分からない、何を参考にすれば良いのか分からない。そんな方向けに各種学習コンテンツが整備されたものが AWS Ramp-Up Guides です。 AWS Ramp-Up Guides とは 上述しましたが、 AWS Ramp-Up Guides とは、AWSが提供している「AWSを学習するためのガイド」です。 ガイドはロール別やソリューション別、業種別に公開されていて、各ガイドには様々な公式学習コンテンツが掲載されています。 セキュリティのガイドは ↓ https://d1.aws
Authors Asha Chakrabarty Laura Paine GitHub Advanced Securityの新たな機能として、AIを活用してこれまで以上に効率的にコードを保護する方法をご紹介します。 GitHubでは、ワークフローの不協和を減らすことに注力しています。セキュリティに関して言えば、これほど重要なことはありません。開発者は、問題が起きてから脆弱性をテスト、修正するのではなく、コードを作成したその場で直ぐに保護できる体制を必要としています。安全なアプリケーションを提供するには、組み込みのセキュリティが欠かせません。 この1年間にGitHub Advanced Securityは、アプリケーションセキュリティテストとソフトウェアサプライチェーン機能を向上させる70以上の機能をリリースしてきました。Dependabotでは1つのPull Requestで複数のバージョ
New Microsoft Incident Response guide simplifies threat investigation | Microsoft Security Blog
Microsoft Incident Response guide highlights Our guide serves as an essential resource, meticulously structured to illuminate commonly seen, but not commonly understood, Windows Internals features in forensic investigations. Understanding these artifacts will strengthen your ability to conduct Windows forensic analysis. Equipped with this information and your new findings, you’ll be able to constr
【セキュリティ ニュース】神奈川県下水道公社でランサム被害 - 下水処理施設の稼働に影響なし(1ページ目 / 全2ページ):Security NEXT
神奈川県は、同県主導の第三セクターである神奈川県下水道公社がサイバー攻撃を受けたことを明らかにした。システム内部より外部にデータが流出した可能性があるという。 10月9日2時ごろ、柳島水再生センターの職員がパソコンの不具合を確認。保守業者による調査を行ったところ、ランサムウェア「BlackSuit」に感染していたことが判明した。 サーバやパソコン2台で被害が確認されており、同日17時ごろ同県に報告があったという。 問題のサーバには、同社が主催した書道や絵画コンクールに応募した児童の氏名、学校名をはじめ、処理場見学の申込者に関する氏名、電話番号、下水道ふれあいまつりの出演者、出展者の氏名や住所、電話番号、メールアドレスなどが保存されていた可能性がある。 また職員の採用や人事に関する氏名、住所、電話番号、年齢のほか、災害時の緊急連絡網、入札および契約関連情報、自治体より受託した水質管理業務に関
On Thanksgiving Day, November 23, 2023, Cloudflare detected a threat actor on our self-hosted Atlassian server. Our security team immediately began an investigation, cut off the threat actor’s access, and on Sunday, November 26, we brought in CrowdStrike’s Forensic team to perform their own independent analysis. Yesterday, CrowdStrike completed its investigation, and we are publishing this blog po
By Daniel Shechter, CEO & Co-Founder of Miggo Security Miggo Research identifies over 15,000 potentially impacted applications using AWS ALBFor a more detailed technical analysis of how we hunted down ALBeast, please visit The Hunt for ALBeast: A Technical Walkthrough. Executive SummaryMiggo Research identified a critical configuration-based vulnerability, dubbed ALBeast, affecting applications th
【セキュリティ ニュース】「クレジットカード・セキュリティガイドライン5.0版」が公開(1ページ目 / 全1ページ):Security NEXT
クレジット取引セキュリティ対策協議会は3月15日、約1年ぶりの改訂版となる「クレジットカード・セキュリティガイドライン5.0版」を公開した。EC加盟店では2025年3月末までにチェックリストに示されたセキュリティ対策を講じる必要がある。 同ガイドラインは、クレジットカード会社、加盟店、決済サービス事業者(Payment Service Provider)などクレジットカード取引に関わる事業者が実施すべきセキュリティ対策について定めたもの。 2020年に初版が公開され、以降は毎年改定を重ねており、今回で「5.0版」となった。割賦販売法にあるセキュリティ対策義務の「実務上の指針」にあたる。 今回の改定では、「クレジットカード情報保護対策」として2025年4月以降、すべてのEC加盟店が「セキュリティ・チェックリスト」にあるセキュリティ対策を実施することを定めた。アクワイアラーやPSPからも準拠す
"�[31m"?! ANSI Terminal security in 2023 and finding 10 CVEs This paper reflects work done in late 2022 and 2023 to audit for vulnerabilities in terminal emulators, with a focus on open source software. The results of this work were 10 CVEs against terminal emulators that could result in Remote Code Execution (RCE), in addition various other bugs and hardening opportunities were found. The exact c
【セキュリティ ニュース】フィッシングの悪用URLが前月比2.2倍 - 過去最多を更新(1ページ目 / 全3ページ):Security NEXT
8月は前月に届かなかったものの、16万件を超えるフィッシングの報告が寄せられた。悪用されたURLの件数は、前月の2.2倍と急増し、過去最多を更新している。 フィッシング対策協議会によれば、同月に寄せられたフィッシング攻撃の報告は16万6556件。1日あたり約5372.8件の報告が寄せられた。 2月に5万件半ばまで減少したものの、その後5カ月連続で増加。過去最多を記録した7月の17万7855件から1万1299件減少してはいるものの、8月は調査開始以降、過去2番目に多い報告数だった。 フィッシングサイトに悪用されたURLは8万5768件。前月の約2.2倍へと急増し、過去最多を更新そた。1日あたり約2766.7件のURLが見つかっている。大量にフィッシングメールをばらまく手口において、URLのサブドメインにランダムの文字列を用いるケースが目立ち、その影響でURL数が急増した。 フィッシングサイト
This document is distributed as TLP:CLEAR. Disclosure is not limited. Sources may use TLP:CLEAR when information carries minimal or no foreseeable risk of misuse, in accordance with applicable rules and procedures for public release. Subject to standard copyright rules. TLP:CLEAR information may be distributed without restrictions. For more information on the Traffic Light Protocol, see cisa.gov/t
1Password discloses security incident linked to Okta breach
1Password, a popular password management platform used by over 100,000 businesses, suffered a security incident after hackers gained access to its Okta ID management tenant. "We detected suspicious activity on our Okta instance related to their Support System incident. After a thorough investigation, we concluded that no 1Password user data was accessed," reads a very brief security incident notif
【セキュリティ ニュース】「Perl」に域外メモリへ書き込む脆弱性 - アップデートにて修正(1ページ目 / 全1ページ):Security NEXT
「Perl」に脆弱性が明らかとなった。アップデートにて修正されている。 「同5.30.0」以降において、プロパティ名の処理に問題があり、未割り当てのメモリ領域に書き込むおそれがある脆弱性「CVE-2023-47100」が明らかとなったもの。 米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.8」と評価。重要度を「クリティカル(Critical)」とレーティングしている。 ソースリポジトリにおいてパッチが提供されているほか、現地時間11月29日にリリースされた「同5.38.2」にて修正されている。 (Security NEXT - 2023/12/15 ) ツイート
日本マイクロソフトは、2024年4月17日、セキュリティ担当者向けの生成AIアシスタントで、同社の“Copilot”ブランドのひとつである「Microsoft Copilot for Security」に関する説明会を開催した。 Copilot for Securityは、2023年10月よりアーリーアクセスプログラムが展開され、日本を含むグローバルの330社以上のユーザー企業やパートナーが参加。そして、2024年4月1日より日本語対応とあわせて一般提供を開始している。説明会には、同プログラムに参加したTrust Baseとシンプレクスが、Copilot for Securityの検証結果を披露した。 セキュリティ業界の課題を生成AIの力で解決する「Microsoft Copilot for Security」 米マイクロソフトのセキュリティ部門のマーケティング責任者であるアンドリュー・コ
【セキュリティ ニュース】「glibc」の脆弱性「Looney Tunables」、悪用に警戒を(1ページ目 / 全2ページ):Security NEXT
GNUプロジェクトによる標準Cライブラリの実装「GNU Cライブラリ(glibc)」に判明した権限昇格の脆弱性「CVE-2023-4911」が悪用されているとして米当局は注意喚起を行った。他脆弱性と組み合わせた攻撃が確認されている。 米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、現地時間11月21日に「悪用が確認された脆弱性カタログ(KEV)」へ同脆弱性を追加。行政機関へ対策を促すとともに、広く注意を呼びかけた。 「CVE-2023-4911」は、「gclib」に判明したバッファオーバーフローの脆弱性。「SUID」が設定されたバイナリにおいて、同脆弱性を悪用することによりroot権限を取得することが可能となる。 9月にQualysが報告し、調整を経て現地時間10月3日にセキュリティアドバイザリがリリースされた。環境変数「GLIBC_TUNABLES」の処理に存在し
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「セキュリティ技術者の“思考”を覗く」~ SHIFT SECURITY、17種類のサイバー攻撃の解説と対策資料公開 | ScanNetSecurity
Elon Musk Is a National Security Risk
Okta October 2023 Security Incident Investigation Closure
Security Update Guide - Microsoft Security Response Center
Unlocking Cloud Native Security
Google、パスキーに対応したTitan Security Keyを10万個「無償配布」する計画を発表
Security Tradeoffs: Privacy
xz Backdoor CVE-2024-3094 – Open Source Security Foundation
GitHub Advanced SecurityでAIを駆使したアプリケーションセキュリティテスト
Thanksgiving 2023 security incident
ALBeast Security Advisory by Miggo Research | Miggo
"�[31m"?! ANSI Terminal security in 2023 and finding 10 CVEs
Modern Approaches to Network Access Security
「Copilot for Security」先行ユーザー企業が検証結果を披露