夫婦間で一方が不機嫌になったときに、謝ったりご機嫌を取ったりする傾向は若い男性ほど強い――。そんな実態が、中央大の山田昌弘教授(家族社会学)たちが行った調査から浮かび上がった。パートナーが恒常的に不…
夫婦間で一方が不機嫌になったときに、謝ったりご機嫌を取ったりする傾向は若い男性ほど強い――。そんな実態が、中央大の山田昌弘教授(家族社会学)たちが行った調査から浮かび上がった。パートナーが恒常的に不…
オープンソースの監視カメラシステム「ZoneMinder」に脆弱性が明らかとなった。 「同1.37」以降のバージョンに、SQLインジェクションの脆弱性「CVE-2024-51482」が存在することが明らかとなったもの。 特定のリクエストに含まれるパラメータが適切にエスケープ処理されていないため、データベースを制御され、データを改ざんされたり、漏洩するおそれがあるという。 開発者は、共通脆弱性評価システム「CVSSv3.1」のベーススコアを最高値である「10.0」、重要度を「クリティカル(Critical)」とレーティングしている。 開発チームは「同1.37.65」にて脆弱性を修正。利用者にアップデートを呼びかけている。 (Security NEXT - 2024/11/12 ) ツイート
ZDI、パッチ不在の脆弱性でマツダ車のハッキングが可能と警告(CVE-2024-8355、CVE-2024-8359他)SecurityWeek – November 8, 2024 トレンドマイクロが運営する脆弱性発見コミュニティ「Zero Day Initiative」(ZDI)は、マツダ車の複数モデルに搭載されているインフォテイメントシステムに数件の脆弱性が存在し、攻撃者にroot権限で任意のコードを実行される危険性などがあると警告した。 ZDIによると、これらの問題はマツダコネクトのコネクティビティ・マスタ・ユニット(CMU)システムがユーザー入力を適切にサニタイズしないために発生しており、攻撃者が特別に細工したUSBデバイスを接続することで同システムにコマンドを送信可能になるという。影響を受けるのは2014〜2021年モデルのMAZDA3とその他の車種で、欠陥が特定されたソフトウ
AMD製CPUに10年以上にわたって存在していた深刻な脆弱性「Sinkclose」が発見された。この脆弱性は、2006年以降に製造されたほぼ全てのAMD製プロセッサに影響を与え、システムの非常に奥深くに侵入することを可能とする物であり、場合によってはマシンの修復が不可能となり、マシン自体を廃棄する必要すらある程に深刻な物となっている。 Sinkclose はウイルス対策を回避し、OS の再インストール後も存続する Sinkcloseは、セキュリティ企業IOActiveの研究者Enrique Nissim氏とKrzysztof Okupski氏によって発見された。彼らは、AMDのドキュメントを何度も読み返す中で、この重大な脆弱性を見出した。Nissimは、「脆弱性のあるページを約1000回読んだと思います。そして1001回目に気づいたのです」と述べており、この発見が綿密な、そして粘り強い調査
2024年7月1日、OpenSSHの開発チームは深刻な脆弱性 CVE-2024-6387 が確認されたとしてセキュリティ情報を発出し、脆弱性を修正したバージョンを公開しました。この脆弱性を発見したQualysによれば、既定設定で構成されたsshdが影響を受けるとされ、影響を受けるとみられるインターネット接続可能なホストが多数稼動している状況にあると報告しています。ここでは関連する情報をまとめます。 概要 深刻な脆弱性が確認されたのはOpenSSHサーバー(sshd)コンポーネント。脆弱性を悪用された場合、特権でリモートから認証なしの任意コード実行をされる恐れがある。 悪用にかかる報告などは公表時点でされていないが、glibcベースのLinuxにおいて攻撃が成功することが既に実証がされている。発見者のQualysはこの脆弱性の実証コードを公開しない方針としているが、インターネット上ではPoC
Check Point Software Technologiesのゲートウェイ製品にゼロデイ脆弱性「CVE-2024-24919」が明らかとなった問題。当初、パスワードのみを認証に使用する環境が攻撃対象になったと強調されていたが、より多くの利用者が影響を受ける可能性がある。国内では対象機器が多数稼働していると見られ、注意が必要だ。 「CVE-2024-24919」は、同社機器の「リモートアクスVPN」「モバイルアクセス」機能に判明した脆弱性。 同社が提供する「CloudGuard Network」「Quantum Maestro」「Quantum Scalable Chassis」「Quantum Security Gateway」「Quantum Spark Appliance」が影響を受ける。 Check Pointでは、現地時間5月27日にセキュリティアドバイザリを公開し、「CVE
OpenAIが開発する大規模言語モデル(LLM)のGPT-4は、一般公開されている脆弱(ぜいじゃく)性を悪用してサイバー攻撃を成功させることが可能であることが最新の研究により明らかになりました。 [2404.08144] LLM Agents can Autonomously Exploit One-day Vulnerabilities https://arxiv.org/abs/2404.08144 GPT-4 can exploit real vulnerabilities by reading advisories • The Register https://www.theregister.com/2024/04/17/gpt4_can_exploit_real_vulnerabilities/ LLM Agents can Autonomously Exploit One-da
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は4月5日、「JVN#82074338: NEC Atermシリーズにおける複数の脆弱性」において、NECの無線LANルータAtermシリーズに複数の脆弱性が存在するとして、注意を呼びかけた。これら脆弱性を悪用されると、遠隔から攻撃者に任意のコマンドを実行される可能性があり注意が必要。 JVN#82074338: NEC Atermシリーズにおける複数の脆弱性 脆弱性に関する情報 脆弱性に関する情報は次のページにまとまっている。 NV24-001: セキュリティ情報 | NEC 公開された脆弱性(CVE)の情報は次のとおり。 CVE-2024-28005 - 攻撃者がTelnetでログインした場合、機器の設定を変
近年、ソフトウェアの脆弱性やマルウェアの台頭で、ソフトウェアのバージョン管理や脆弱性管理などの重要度が日に日に増しています。SBOMはソフトウェアの部品構成表ですが、構成情報の透明性を高めることでライセンス管理や脆弱性対応への活用が期待されます。 ここでは、経済産業省サイバーセキュリティ課の飯塚智氏が、三菱総研と日立ソリューションズとともに作った『ソフトウェア管理に向けたSBOMの導入に関する手引』の概要について、1章〜3章の「背景と目的」「SBOMの概要」「SBOM導入に関する基本指針・全体像」を中心に解説します。 SBOM導入手引きの前半の1章から3章までを解説 渡邊歩氏(以下、渡邊):飯塚さん、ご講演をお願いいたします。 飯塚智氏(以下、飯塚):みなさま、お忙しいところご参加いただきましてありがとうございます。あらためまして、私、経済産業省サイバーセキュリティ課の飯塚と申します。 本
JPCERT-AT-2024-0004 JPCERT/CC 2024-02-09(公開) 2024-02-29(更新) I. 概要2024年2月8日(現地時間)、FortinetはFortiOSおよびFortiProxyにおける境域外書き込みの脆弱性(CVE-2024-21762)に関するアドバイザリ(FG-IR-24-015)を公開しました。本脆弱性が悪用されると、認証されていない遠隔の第三者が、細工したHTTPリクエストを送信し、結果として任意のコードまたはコマンドを実行する可能性があります。 Fortinetは、アドバイザリにて本脆弱性に対して悪用の可能性を示唆しています。ただし、現時点(2024年2月15日)では影響範囲や対策についての情報のみです。今後もFortinetが提供する最新の情報を確認し、対策や調査の実施を推奨します。 Fortinet FortiOS/FortiPro
Varonisは1月29日(米国時間)、「Outlook Vulnerability Discovery and New Ways to Leak NTLM Hashes」において、Microsoftの認証プロトコル「NTLM v2」のハッシュ化されたパスワードにアクセスする3つの方法を発見したと伝えた。発見されたアクセス方法は、Outlookの新しい脆弱性、Windowsパフォーマンスアナライザー(WPA: Windows Performance Analyzer)、Windowsのファイルエクスプローラーを使用する3種類で、それぞれの窃取方法、攻撃シナリオを解説している。 Outlook Vulnerability Discovery and New Ways to Leak NTLM Hashes Outlookの新しい脆弱性 新しく発見されたOutlookの脆弱性は、「CVE-20
2024年1月24日、Jenkins セキュリティチームは、CI/CDツール Jenkinsのセキュリティ情報を公開しました。修正された脆弱性の内 任意のファイル読み取りの脆弱性 CVE-2024-23897 は深刻度をCriticalと評価されており、既に実証コードも公開されています。ここでは関連する情報をまとめます。 脆弱性の概要 Jenkins Security Advisory 2024-01-24 Jenkinsにはスクリプトまたはシェル環境からJenkinsへアクセスするコマンドラインインターフェースの機能 (Jenkins CLI)が組み込まれており、脆弱性 CVE-2024-23897はこのCLIを介して任意のファイル読み取りが行えるというもの。さらに特定の条件下においてリモートコード実行が可能となる恐れがある。Jenkins セキュリティチームはこの脆弱性を深刻度をCri
セキュリティ研究者らは、すでに展開されているソフトウェアやウェブサービスに存在する脆弱(ぜいじゃく)性を見つけるため、あの手この手を尽くして調査やテストを行っています。ところが、クライアントに代わってソフトウェアを調査して脆弱性を発見したITコンサルタントに対し、ドイツの裁判所が罰金を科したことがわかりました。 Gericht sieht Nutzung von Klartext-Passwörtern als Hacken an | heise online https://www.heise.de/news/Warum-ein-Sicherheitsforscher-im-Fall-Modern-Solution-verurteilt-wurde-9601392.html IT consultant in Germany fined for exposing shoddy securi
はじめにこんにちは。ペンギンになりたい見習いエンジニア、島ノ江です。 現在はFutureVulsという脆弱性管理クラウドサービスで、開発とサポートなどを担当しています。 未だよちよち歩きの新米ですが、今回は弊チームがOSSとして公開しメンテナンスしている「Vuls」の新機能についてご紹介させていただきたいと思います。 脆弱性とその検知皆さんは、自社が保有するサーバやソフトウェアに脆弱性がないかどうか、どのようにチェックしていますか? 脆弱性を放置したまま運用すると、サイバー攻撃により企業に大きな損害をもたらす恐れがあるため、対策を講じることが不可欠です。 しかし、人間が情報収集から影響調査までを手動で行う脆弱性対応には、膨大な作業量と苦痛と絶望感が伴います。 そこで我々が提供するVulsが登場します。 Vulsは、各種OVALやSecurityTrackerなどの情報、NVDやJVNなどの
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 Twitter: @shiropen2 米ジョージア工科大学などに所属する研究者らが発表した論文「iLeakage: Browser-based Timerless Speculative Execution Attacks on Apple Devices」は、Mac、iPad、iPhoneなどのApple製品に搭載のSafariを標的としたサイドチャネル攻撃に関する研究報告である。 この攻撃は、最近発売されたM3チップを搭載した新型MacBook Proでも成功し、ソフトウェアの更新状況に関わらず、Apple製品にとって依然として脅威であることを示した。 「iLeakage」
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く