悪意あるコードが仕込まれたChrome拡張機能が大量に発見される
セキュリティ研究者で、有名な拡張機能「AdBlock Plus」の元開発者でもあるウラジミール・パラント氏が、Chromeウェブストアにある多数の拡張機能に難読化された悪意あるコードが含まれていたことを発表したと報告しました。 More malicious extensions in Chrome Web Store | Almost Secure https://palant.info/2023/05/31/more-malicious-extensions-in-chrome-web-store/ パラント氏が最初にこの問題を発見したのは、PDFファイルの編集や結合などの機能を持つ「PDF Toolbox」という拡張機能です。200万人以上のユーザーと「4.2」の評価を得ていたこの拡張機能は、表面的には何の変哲もない拡張機能でしたが、アドウェアを配布している「serasearchtop
パスワード管理アプリ「LastPass」のパスワードや個人情報が盗まれていたことが判明
パスワード管理アプリ「LastPass」では、2022年8月の不正アクセスによってソースコードが盗まれて以降、ハッカーによる顧客データへの不正アクセスが発生しています。LastPassは2022年12月22日に不正アクセスによってユーザーの個人情報やパスワードなどのデータが漏えいしたことを発表しています。 Notice of Recent Security Incident - The LastPass Blog https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/ LastPass says hackers stole customers’ password vaults | TechCrunch https://techcrunch.com/2022/12/22/lastpass-customer-p
中国はソフトウェアの脆弱性を報告せずにまとめあげてサイバー兵器にしようとしている
Microsoftが中国で制定された2021年の法律によって、中国のサイバー攻撃の能力が向上したと指摘しています。 China likely is stockpiling vulnerabilities, says Microsoft • The Register https://www.theregister.com/2022/11/07/china_stockpiles_vulnerabilities_microsoft_asserts/ 中国政府が制定した2021年の法律では、企業がセキュリティー上の脆弱(ぜいじゃく)性を公表する前に地元当局に報告することが義務づけられました。一方でこの法律では政府が現地の報告を利用することで脆弱性に関する情報をため込むことができるとされています。 2022年には、アトランティック・カウンシルの研究者が、中国から報告される脆弱性の減少と匿名の報告の増
Pythonの15年間見過ごされてきた脆弱性が30万件以上のオープンソースリポジトリに影響を与える可能性
プログラミング言語のPythonで、2007年に存在が公開されたものの修正されなかったバグが再発見されました。任意コード実行可能な脆弱性にもつながるこのバグの影響は、コーディング自動化ツールを介してさまざまなプロジェクトに広まっており、修正するべきオープンソースリポジトリが35万件以上にも及ぶと指摘されています。 Tarfile: Exploiting the World With a 15-Year-Old Vulnerability https://www.trellix.com/en-us/about/newsroom/stories/threat-labs/tarfile-exploiting-the-world.html Tarfile: Exploiting the World With a 15-Year-Old Vulnerability https://www.trell
文章生成AI「GPT-3」にハンドルネームを入力したら本名がフルネームで出力されたという報告
AI研究団体のOpenAIが開発した文章生成AI「GPT-3」は人間と見分けが付かないほど自然な文章を生成できることから大きな注目を集めています。そんなGPT-3について「自分のハンドルネームを入力してみたところ、自分の本名を含む文章が生成されてしまった」という恐ろしい経験談がニュース共有サイトのHacker Newsに投稿されました。 Ask HN: GPT-3 reveals my full name – can I do anything? | Hacker News https://news.ycombinator.com/item?id=31883373 OpenAIが開発したGPT-3は指示された内容に応じて文章を生成するAIで、生成する文章の精度が高いことからMicrosoftのビジネス向けサービスに採用されるなど大きな注目を集めています。一方で、GPT-3はネット上の膨大な
AndroidとiOSをターゲットにする新たな商用スパイウェア「Hermit」についてGoogleが詳しく説明、iOS版には2つのゼロデイを含む6つのエクスプロイトあり
GoogleとそのセキュリティチームであるProject Zeroが、AndroidとiOSをターゲットとする商用スパイウェア「Hermit」についての詳細なレポートを報告しています。Hermitは感染したデバイスの周囲の音声を録音したり、写真・メッセージ・電子メール・通話履歴・デバイスの正確な位置情報を収集したりするとのことです。 Spyware vendor targets users in Italy and Kazakhstan https://blog.google/threat-analysis-group/italian-spyware-vendor-targets-users-in-italy-and-kazakhstan/ Project Zero https://googleprojectzero.blogspot.com/2022/06/curious-case-ca
Linuxでルート権限を自由に取得できる脆弱性が発覚、「悪用されるのは時間の問題」と専門家
Linuxに12年前から存在する脆弱性「PwnKit」が新たに明らかになり、主要なLinuxディストリビューションのほとんどに影響が及ぶことがわかりました。エクスプロイトは概念実証の段階ですが、「悪用されるのは時間の問題」とみられています。 PwnKit: Local Privilege Escalation Vulnerability Discovered in polkit’s pkexec (CVE-2021-4034) | Qualys Security Blog https://blog.qualys.com/vulnerabilities-threat-research/2022/01/25/pwnkit-local-privilege-escalation-vulnerability-discovered-in-polkits-pkexec-cve-2021-4034 A b
JavaのLog4jライブラリで「Log4Shell」に加えて新たな脆弱性「CVE-2021-45046」が発覚、アップデートで対応可能
Javaのログ出力ライブラリであるLog4jで、任意のコードをリモート実行される深刻な脆弱(ぜいじゃく)性・CVE-2021-44228、通称「Log4Shell」が発見されました。Log4jを提供するApacheソフトウェア財団(ASF)は、さらに新たな脆弱性・CVE-2021-45046が発覚したと報告しており、Log4jをバージョン2.16.0以降にアップデートするように呼びかけています。 CVE - CVE-2021-45046 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45046 CVE-2021-45046- Red Hat Customer Portal https://access.redhat.com/security/cve/cve-2021-45046 Log4Shell Update: Secon
リリース直後の「iOS 15」でロック画面をバイパスしてメモの中身にアクセスできてしまう脆弱性が発見される
iOS 14.8およびiOS 15には「iPhoneのロックを解除しないままメモアプリにアクセス可能になってしまう脆弱性」が存在することが、セキュリティ研究者の公開したムービーにより明らかになっています。この脆弱性はiOS 15がリリースされた翌日に公開されました。 Lock screen bypass enables access to Notes in iOS 15 | AppleInsider https://appleinsider.com/articles/21/09/20/lock-screen-bypass-enables-access-to-notes-in-ios-15 iOS 15 bug lets anyone bypass locked iPhone to access Notes app https://mashable.com/video/apple-ios-1
「.xyz」ドメインを使うのはやめた方がいいとベンチャーのCEOが語る理由とは?
by Sean Davis 「XYZ」はアルファベットの最後の3文字で、3次元空間や色空間の座標の表現にも使われている印象的な文字列です。また、Googleの親会社であるAlphabetの公式サイトである「https://abc.xyz/」に使用されていることから、新しく立ち上げるサイトのドメインにぴったりなように思えます。ところが、実際に.xyzをサイトのURLに使ってひどい目に遭ってしまったという会社のCEOが、その「.xyzドメインは危険」とする体験談を語りました。 The Perils of an .xyz Domain https://www.spotvirtual.com/blog/the-perils-of-an-xyz-domain/ ゴードン・ヘンプトン氏がCEOを務めるSpotは、リモートワークをする企業向けにバーチャルな3Dコワーキングスペースを提供するサービスを展開
老舗セキュリティソフト「ノートン」開発元が8800億円以上で「Avast」を買収か
by Tony Webster セキュリティソフト「ノートン 360」などを提供するセキュリティ企業・ノートンライフロック(旧社名:シマンテック)が、アンチウイルスソフトウェア「Avast Antivirus」で知られるAvast Software(Avast)の買収交渉を行っていることが報じられました。この動きは、2019年に法人向けセキュリティ事業を売却し、民生向け事業を営む企業として再出発したノートンライフロックが、より消費者向けソフトウェアへ注力することを示唆しています。 NortonLifeLock in Talks to Buy Avast - WSJ https://www.wsj.com/articles/nortonlifelock-in-talks-to-buy-avast-11626287085 UK-based cybersecurity firm Avast in
Firefoxが通信暗号化システム「DNS over HTTPS」の対象地域拡大を発表、一体何が変わるのか?
Firefoxの開発元であるMozillaが、アメリカ国内のFirefoxユーザーに対してデフォルトで有効化している、Domain Name System(DNS)との通信を暗号化するプロトコル「DNS over HTTPS(DoH)」を、カナダのユーザーに対しても有効化することを発表しました。 Firefox extends privacy and security of Canadian internet users with by-default DNS-over-HTTPS rollout in Canada https://blog.mozilla.org/en/mozilla/news/firefox-by-default-dns-over-https-rollout-in-canada/ DNSとは「gigazine.net」のような人間にとって読みやすいドメイン名を基に、「
GoogleがChromeに導入予定の「URLを非表示にする機能」を断念する可能性
「長いURLを全て表示するのは有害である」という思想に基づいて開発が進められてきた、Chromeの「ドメイン名以降のURLを非表示にする」新機能について、Googleが開発を断念する可能性があると報じられました。 Google ends its attack on the URL bar, resumes showing full address in Chrome - Creators Empire https://creatorsempire.com/google-ends-its-attack-on-the-url-bar-resumes-showing-full-address-in-chrome/ Google ends its attack on the URL bar, resumes showing full address in Chrome https://www.an
ウェブアプリに対する典型的な攻撃手法とその対策まとめ
ブラウザの機能が強化されるとともに、多様なアプリケーションがウェブ上で実現できるようになっています。同時に、ウェブサイトやウェブアプリが重要な情報を取り扱うケースも増えて、ハッカーの攻撃対象になることも多くなってきました。そうした場面でハッカーがよく利用する典型的な攻撃手法とその対策について、エンジニアのヴァルン・ナイクさんがブログにまとめています。 CSRF, CORS, and HTTP Security headers Demystified https://blog.vnaik.com/posts/web-attacks.html ◆1:CSRF CSRFはクロスサイトリクエストフォージェリの略称で、ユーザーがログイン済みのウェブサイトに対して第三者がアクションを実行させる攻撃のことです。攻撃は下記の手順で行われます。 1. ユーザーが悪意あるウェブサイトにアクセスする 2. 悪意
Googleの「位置情報をオフにしても情報を収集し続けていた問題」に関する裁判で追加の情報が次々と明らかに
「Googleアプリが端末の位置情報を無効にしても位置情報を収集し続けている」という問題で、アリゾナ州がGoogleに対して訴訟を起こしています。2021年5月29日に新たに開示された情報によって、Googleが位置情報をオフにさせないようにさまざまな策を講じていたことが明らかになっています。 THE SUPERIOR COURT OF THE STATE OF ARIZONA IN AND FOR THE COUNTY OF MARICOPA (PDFファイル)https://web.archive.org/web/20210530201355/https://www.azag.gov/sites/default/files/2021-05/Complaint%20%28redacted%29.pdf Google reportedly made it difficult for sma
なぜ自分がロボットでないことを示す「CAPTCHA」はどんどん難しくなっているのか?
インターネットでサービスの登録や利用を行う際、ロボットでないことを証明するために「CAPTCHA」というテストを要求されることがあります。「CAPTCHA」は登場初期からだんだんと難易度が上がっていることが知られており、もはや人間であってもクリアに失敗することがありますが、「一体なぜ『CAPTCHA』は次第に難しくなっているのか?」という疑問について、ニュースメディア・VoxのYouTubeチャンネルが解説しています。 Why captchas are getting harder - YouTube コンピューターは常に「このユーザーはロボットなのではないか?」と疑っており…… フィットネスクラブに登録する時などにCAPTCHAを要求してきます。 ワクチンの接種予約や…… ダンベルを買うときにもCAPTCHA。 至るところでCAPTCHAを要求されてうんざりした人も多いはず。 さらに人間
事実上ほぼ全てのWi-Fiデバイスに内在する脆弱性「FragAttacks」が公開される、ユーザー名やパスワードの流出、PCの乗っ取りも可能
ベルギーのセキュリティ研究者であるMathy Vanhoe氏(@vanhoefm)が1997年以降に販売された全Wi-Fiデバイスに内在する脆弱性「FragAttacks」を公開しました。 FragAttacks: Security flaws in all Wi-Fi devices https://www.fragattacks.com/ Fragment and Forge: Breaking Wi-Fi ThroughFrame Aggregation and Fragmentation (PDFファイル)https://papers.mathyvanhoef.com/usenix2021.pdf WiFi devices going back to 1997 vulnerable to new Frag Attacks | The Record by Recorded Futur
「最悪」と酷評されるGoogleの新システム「FLoC」をWordPressが「自動的に無効化する」と発表
オープンソースのブログソフトウェアであるWordPressが、「最悪」などと酷評を受けているGoogleの新広告API「FLoC」をセキュリティ上の懸念事項として扱い、「自動的に無効化する」という措置を講じると発表しました。 Proposal: Treat FLoC as a security concern – Make WordPress Core https://make.wordpress.org/core/2021/04/18/proposal-treat-floc-as-a-security-concern/ WordPress to automatically disable Google FLoC on websites https://www.bleepingcomputer.com/news/security/wordpress-to-automatically-dis
GoogleアプリがiOSで収集している個人情報の詳細が判明、あまりの多さに「隠したがっていたのも無理はない」との声
GoogleがAppleのApp Storeで公開しているGoogleアプリとChromeにアップデートが配信されたことに伴い、アプリが収集する情報を明示した「プライバシーラベル」もApp Storeに掲載されました。このプライバシーラベルには、Googleのアプリが広範囲な個人情報を収集していることが明記されていたため、「GoogleがiOS版アプリの更新をしばらく放置してプライバシーラベルの掲載を先送りにしたのも無理はない」との声が上がっています。 Apple's app transparency rules: Google's privacy labels for Chrome and Search on iOS highlighted by DuckDuckGo • The Register https://www.theregister.com/2021/03/16/keep_s
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
App Storeでは未成年でもアダルトコンテンツにアクセスし放題、Appleは子どもを保護する約束を放棄しているという指摘