InfoQ ホームページ Security Vulnerabilities に関するすべてのコンテンツ
-
MicrosoftがCrypto32.dllの重大な脆弱性を修正
Microsoftは、ECC(Elliptic Curve Cryptography、楕円曲線暗号)認証に影響する重大な脆弱性を修正するため、Windows 10の各バージョンとWindows Server 2019、2016を対象としたパッチをリリースした。この脆弱性は、攻撃者による証明書チェーンの有効性と署名の検証の偽装を可能にするものであるため、迅速なパッチ適用が必要である。
-
172中1つのRSA認証に乱数生成の不備による脆弱性が存在
KeyFactorの研究報告によると、IoTなどネットワークデバイスの多くに、攻撃に対する脆弱性を持った弱いディジタル認証が使用されているという。研究者のJonathan Kilgallin、Ross Vasko両氏が7,500万のRSA認証を分析したところ、172に1つの割合で、鍵に共通因数が存在した。つまりそれらは、簡単にクラック可能ということだ。
-
Microsoftがソフトウェアの安全性に関するソリューションとしてRustを検討
Microsoftは現在、ソフトウェアの安全性改善を目的としたRustの導入試験を行っている。RustFest Barcelonaでは同社エンジニアのRyan Levick氏とSebastian Fernandez氏が、MicrosoftがRustを使用する上で直面している課題について講演した。また、Adam Burch氏の説明によれば、同社は現在、低レベルのWindowsコンポーネントの書き直しなどでRustを試験的に使用しているという。
-
GitHubが脆弱性ワークフローを改善してCVE採番機関に
Semmleの買収に伴って、GitHubは、メンテナや開発者による脆弱性の修正と保護を容易にすることを目的とした改善を数多く公開した。この中に、GitHub UIから直接セキュリティアドバイザリを生成し、CVE番号を割り当てる機能が含まれている。
-
iOSの5つのゼロディ脆弱性チェーンが数年にわたってエクスプロイトの対象に
iOS 10からiOS 12まで、ほぼすべてのiOSバージョンに影響する14の脆弱性によって、ハッキングされた多数のWebサイトが訪問者のデバイスを制御し、少なくとも2年間にわたって大量の個人データを盗むことに成功したと、Google Threat Analysis Group(TAG)エンジニアのIan Beer氏が記している。
-
ロボット・ソーシャルエンジニアリング - Brittany Postnikoff氏のQCon New Yorkでの講演より
QCon New Yorkで Brittany Postnikoff氏が、"Robot Social Engineering: Social Engineering Using Physical Robots"と題した講演を行った。学術研究文献から引用した調査結果で氏が示したのは、人は多くの場合において、ロボットを使って操ることができる、ということだ。講演の中心的なメッセージは、ロボットの基本設計の一部としての、セキュリティとプライバシの必要性だ。
-
GitHubは継続的な脆弱性検出のためにSemmleコード分析を統合する
GitHubはスタートアップのSemmleを買収し、継続的統合/継続的デプロイサービスの一部として、継続的脆弱性検出を目指している
-
GitHubがDependabot自動セキュリティPRおよびその他のセキュリティ関連機能を追加
GitHubは、セキュリティ修正を含むアップデートが必要な依存関係のためのPRを作成する機能、より良い脆弱性評価のためのWhiteSourceデータとの統合、依存関係インサイトなど、開発者がコードを保護するための新機能を発表した。
-
Oracle Weblogic Serverにリモートで悪用される可能性のある大きな脆弱性
セキュリティ研究者がOracle Weblogic Server(WLS)に新たにリモートから悪用可能な脆弱性を発見した。CVE-2019-2725はユーザ認証なしでリモートから悪用される可能性があり、全体のCVSSスコアは10のうち9.3であり、重大な脆弱性となる。Oracleはこの問題の影響を受けるサーバのバージョンが10.3.6.0と12.1.3.0であることを記したセキュリティ警告を発表した。
-
セキュリティをもっとインテリジェントに,MicrosoftがAzure Sentinelをリリース
先日のブログ記事でMicrosoftは,インテリジェントなセキュリティ製品にこれまで以上の投資を行う同社の方針を,Azure Sentinelというセキュリティ情報およびイベント管理(SIEM)プロダクトの形で発表した。SIEMはセキュリティの専門家が,サーバやファイアウォール、ルータ、スイッチなど,さまざまなシステムを対象として,ログからセキュリティイベントを集約することのできるデータストアとして使用するものだ。
-
アジャイルにおける設計とセキュリティ - QCon London Q&Aより
セキュリティ分野の専門家による設計書のレビューを行えば,脆弱性スキャンやセキュリティオートメーションでは検出不可能な,潜在的なセキュリティ問題を見つけることができる。このようなレビューでは,アクセストークンの発行や管理,外部サービスへのデータ転送,信頼できないコードの実行といった重要な部分に集中することが必要だ — AppLandの共同創業者でエンタープライズソフトウェアエンジニアのKevin Gilpin氏は,QCon London 2019年でこのように述べた。
-
ZipSlip,NodeJSのセキュリティ,BBSハッキングについて
今年初め,人気の高いBowerパッケージマネージャのアーカイブ抽出機能に脆弱性が発見され,ユーザのディスクに攻撃者が任意のファイルを書き込めることが明らかになった。後に明らかになったように,この攻撃で使用されているベクタアタックは,BBS初期の時代から知られているものだ。InfoQはTal氏と話す機会を得て,ソフトウェアのセキュリティ,特にNode.jsのセキュリティについて学ぶことができた。
-
GitHubのPRを自動生成して脆弱性を修正するDependabot
Dependabotは,GitHub Security Advisory APIを活用することで,依存関係のトラッキングを支援し,プログラムのセキュリティを監視し,潜在的な脆弱性を解決するためのPRを自動生成することによって可能な限り簡単かつ確実な除去を実現する。
-
マイクロソフトが現在使われている Internet Explorerのゼロデイ・エクスプロイトにパッチを適用
マイクロソフトは、リモートでコードが実行される可能性があるInternet Explorer(IE)スクリプトエンジンの重大な脆弱性の帯域外更新(通常の予定されているリリースとは別の更新)を公開した。TenableのリサーチエンジニアSatnam Narang氏によると、この脆弱性は実際に悪用されているため、ユーザはできるだけ早くシステムを更新する必要がある。
-
サイドチャネル攻撃に対して脆弱なGPU
SpecterとMeltdownが2018年の初めに実証されて以来、研究者はIntelとAMDの両方のCPUに影響を与えるサイドチャネルの脆弱性の多くの変種を発見している。GPUはそのような攻撃の影響を受けないように見えた。今まではそうだった。