【セキュリティ ニュース】Linuxカーネルに判明した権限昇格の脆弱性 - 詳細やPoCが公開(1ページ目 / 全1ページ):Security NEXT
Linuxカーネルにおいてパケットのフィルタリング機能を提供するコンポーネントに脆弱性が判明した問題で、脆弱性の詳細や実証コードが公開された。 コンポーネント「nf_tables」に解放後のメモリを使用するいわゆる「Use After Free」の脆弱性「CVE-2024-1086」に判明したもの。 ローカル環境において脆弱性を悪用すると権限の昇格が可能で、root権限を取得することが可能となる。共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.8」、重要度は「高(High)」とレーティングされている。 米国立標準技術研究所(NIST)による脆弱性データベース「NVD」には、1月31日に登録されており、「JVN iPedia」にも2月7日に収録されているが、3月末に脆弱性を報告した研究者が詳細や実証コード(PoC)について公開した。 公開された実証コードは「バージョン5.14
【セキュリティ ニュース】4月以降「WinRAR」狙うゼロデイ攻撃が発生 - 最新版に更新を(1ページ目 / 全2ページ):Security NEXT
広く利用されているファイル圧縮ソフト「WinRAR」に複数の脆弱性が存在し、一部が4月以降ゼロデイ攻撃に悪用されていたことがわかった。8月初旬にリリースされた「WinRAR 6.23」にて修正されたという。 「WinRAR」は、「RAR」や「ZIP」など複数のファイル形式に対応し、圧縮や解凍などが行えるアーカイバ。同ソフトにおいて細工されたzip形式のアーカイブファイルにおいて内部ファイルのプレビューを行うと任意のコードを実行されるおそれがある脆弱性「CVE-2023-38831」が明らかとなったもの。 アーカイブファイル内の画像ファイルやテキストファイルのプレビューを行おうとすると、同名のフォルダ内に配置したスクリプトを実行させることが可能だった。 Group-IBの研究者が7月10日にトロイの木馬「DarkMe」の活動について調査を行っていた際、ゼロデイ脆弱性が用いられていることを確認
【セキュリティ ニュース】Android向けFacebookアプリ、初回起動時に端末の電話番号を送信(1ページ目 / 全1ページ):Security NEXT
シマンテックは、Android端末向けに提供されている「Facebook」アプリが、ログインの有無にかかわらず、初回起動時に端末の電話番号を外部送信していることを明らかにした。 同社では、Androidアプリにおける個人情報の取り扱いについて解析するエンジンを開発。FacebookのAndroidアプリを検証したところ、端末の電話番号をインターネット経由で同社サーバへ送信していることが判明したという。 データ送信には、ログインなど特定の操作は不要で、アカウントを取得していない利用者であっても、アプリの初回起動時に、電話番号が外部送信される。 同アプリは、インストール時に「端末のステータスとIDの読み取り」を許可する必要があり、電話番号が取得される可能性があることをあらかじめ利用者は把握できる。しかし今回、初回起動時に送信されている点など、具体的な挙動が明らかにされた。 今回の問題で同社より
【セキュリティ ニュース】社内メーリングリストに無関係のアドレス、顧客情報が流出 - 生保相談サービス(1ページ目 / 全1ページ):Security NEXT
ウィルゲートは、社内業務用メーリングリストに外部の無関係なメールアドレスが混入し、顧客情報1万1493件が流出したことを明らかにした。 同社によれば、10月1日に社内業務用メーリングリストの登録内容をチェックしていたところ、無関係のメールアドレス13件が混入していたことが判明したという。 同社ではメディア事業において部内の情報共有に外部メーリングリストサービスを用いており、同社が運営している生命保険の相談サービス「保険ゲート」の顧客情報1万1493件が、これら無関係のメールアドレスに送信されていた。 そのうち5588件については、氏名や電話番号、生年月日、職業、メールアドレスのほか、持病や服薬といった情報や世帯年収、配偶者情報なども含まれる。のこり5905件についても氏名や生年月日、職業、住所の一部など個人情報が含まれていた。 問題のメールアドレスが混入した原因は判明しておらず、外部からの
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
