InfoQ ホームページ Security Vulnerabilities に関するすべてのコンテンツ
-
セキュリティ専門家がSQLインジェクションで空港セキュリティの抜け穴を突く
「SQLインジェクションによる空港セキュリティのバイパス」という記事で、2人のセキュリティ研究者が最近、単純なSQLインジェクションによって実際に勤務実態がないパイロットおよび客室乗務員が空港保安検査をバイパスすることが可能になることを実証した。研究者によると、この脆弱性によって架空のユーザーを作成し、保安検査を回避し、民間旅客機のコックピットにアクセスすることが可能になったという。
-
LeftoverLocalsがApple、Qualcomm、AMDのGPUに関するLLMの回答をリークする可能性
セキュリティ企業Trail of Bitsは、Apple、Qualcomm、AMD、Imagination GPUのGPUローカルメモリから悪意ある行為者がデータを復元できる脆弱性を公表した。LeftoverLocalsと名付けられたこの脆弱性は、大規模言語モデル(LLM)や機械学習(ML)モデルなど、GPUを使用するあらゆるアプリケーションに影響を及ぼす。
-
Zoom、新しい脆弱性への影響度評価システムVISSをオープンソース化
Zoom Vulnerability Impact Scoring System、略してVISSは、理論的なセキュリティ影響の可能性よりも実際に実証された影響を優先する脆弱性スコアリングの新しいアプローチに基づいて、組織のセキュリティ対策を支援することを目的としている。
-
Cloudflare、Google、AWSがHTTP/2のゼロデイ脆弱性を公表
10月10日、Cloudflare、Google、AWSは、"HTTP/2 Rapid Reset "として知られる新しいゼロデイ脆弱性攻撃を公開した。この攻撃は、HTTP/2プロトコルの弱点を悪用し、最大で毎秒4億リクエスト(rps)という膨大な分散型サービス拒否(DDoS)攻撃を発生させる。
-
GitHub Dependabotがカスタマイズ可能な自動判定ルールで誤検知を削減
数ヶ月前にDependabotの自動解除ポリシーを開始し、誤検出アラートの数を減らした後、GitHubは開発者がアラートの自動解除と再開の基準を定義するためのカスタムルールのサポートを追加した。
-
低スキルのサイバー犯罪者がChatGPTでマルウェアを作成している可能性について
最近のレポートで、イスラエルのサイバーセキュリティ会社 Check Point Research(CPR)は、サイバー犯罪者がChatGPTを使用してダークウェブ上で悪意のあるプログラムを開発している、と警告した。CPRによると、ChatGPTを用いて未熟な攻撃者でも機能するマルウェアが作成可能になる。
-
Google、脆弱性スキャンツールをオープンソースで公開
Googleは最近、Open Source Vulnerability (OSV) データベースのオープンソースフロントエンドインターフェイスである「OSV-Scanner」を公開した。
-
GitHubがそのサプライチェーンセキュリティを拡張し、Rustに適用
GitHubは、そのサプライチェーンセキュリティ機能にRustに対するサポートを追加した。その目的はあなたのプロジェクトとその依存関係に脆弱性がないことを保証することである。GitHubサプライチェーンセキュリティには、アドバイザリのデータベース、依存関係グラフアナライザー、Dependabotアラートとセキュリティ更新が含まれている。
-
AuguryはAppleシリコンに影響を及ぼす新たなマイクロアーキテクチャ攻撃
イリノイ大学アーバナシャンペーン校、ワシントン大学、テルアビブ大学の研究者が、Auguryと呼ばれる攻撃について説明した。これはA14ファミリーとM1ファミリーを含む、Appleの最近のプロセッサで保存されているデータを漏洩するものである。
-
RDSとAurora PostgreSQLの脆弱性により、AWSが多くのマイナーバージョンを非推奨へ
セキュリティ会社Lightspinの研究者は最近、PostgreSQL拡張機能を使って、どのように内部AWSサービスへの認証を取得し、RDS上のローカルファイル読み取りの脆弱性を悪用できるかを説明した。AWSはこの問題を確認し、Amazon AuroraとRDS for PostgreSQLの数十のマイナーバージョンを非推奨にした。
-
VMwareの脆弱性を悪用した暗号マイナが横行
VMware Workspace ONE AccessとVMware Identity Managerに関係する重大な脆弱性により、悪意のある攻撃者が、サーバサイド・テンプレート・インジェクションを起動する任意のコードをリモート実行できるようになる。VMwareによると、この脆弱性は実際に悪用されている(actively exploied)ということだ。
-
Intel、Arm、AMD CPUのハードウェア軽減策がSpectre v2に対して効果がないことが明らかに
Vrije Universiteit Amsterdamのセキュリティ研究者は、IntelプロセッサとArmプロセッサの両方で実行されるSpectre v2攻撃に対するハードウェアによる軽減策には、ブランチ履歴インジェクションに対して脆弱になる根本的な欠陥があることを示した。
-
CRI-Oコンテナランタイムの新たな脆弱性により、攻撃者によるホストへのアクセスが可能に
CRI-Oコンテナランタイムは多くのKubernetesインストールで使用されているが、その新たな脆弱性により、悪意のあるユーザがホストへroot権限でアクセスできるようになる。この脆弱性はCrowdStrikeの研究者によって発見され、CRI-Oプロジェクトによってすぐに修正された。
-
オープンソースソフトウェアのサプライチェーンの安全性確保
SonarSourceのセキュリティ研究者による最近の調査結果では、Pip、Yarn、Composerなどの一般的なパッケージマネージャに複数のセキュリティ脆弱性があることが判明している。しかし、パッケージマネージャは、オープンソースのセキュリティチェーンにおける唯一の弱点ではない。InfoQは、SonatypeのCTOであるBrian Foxに話を聞いた。
-
GitHubが機械学習を使って脆弱性コードスキャンを拡張した方法
GitHubは、機械学習技術をルールベースのセキュリティコードスキャン機能に適用し、既存のルールから新しいルールを自動的に推測することで、あまり一般的ではない脆弱性パターンにその機能を拡張できることを期待している。