InfoQ ホームページ Security Vulnerabilities に関するすべてのコンテンツ
-
GitHubが開発者向けのワークフローツールをリリース:Actions、Suggested Changes、.NET/Java向けのSecurity Alerts
サンフランシスコで開催されたGitHub Universeで、GitHubは、開発者に対して、アクション、推奨される変更、.NETとJava向けのセキュリティアラートなどのワークフローをより効果的にするための、新しい多くのツールを発表した。
-
新たなGit Submoduleの脆弱性にパッチが当てられた
Gitコミュニティは、cloneおよびsubmoduleコマンドに影響を及ぼすセキュリティ脆弱性を公開した。これは、脆弱性のあるマシンが悪意のあるリポジトリにアクセスした時、リモートコードの実行を可能にするというものだ。この脆弱性はMitreによってCVE–2018–17456にアサインされ、Git 2.19.1で修正された。
-
LLVMを拡張してメモリ空間安全性をCで実現するChecked C
Checked CはMicrosoft Researchの主導による、オープンでコラボレーティブなプロジェクトである。C言語を拡張して、バッファオーバーランや領域外メモリアクセス、不正な型キャストといったエラーのない、信頼性の高いプログラムを記述できるようにすることを目標とする。移植を容易にするため、Checked Cコードでは、標準Cで記述されたコードとの共存を可能にしている。
-
Intelが新たな投機的実行脆弱性"L1 Terminal Fault"を公表
Intelは、プロセッサのL1データキャッシュに存在する情報を潜在的に漏洩させる可能性のある、L1 Terninal Fault (L1TF)と呼ばれる新たな投機的実行サイドチャネル脆弱性を公表した。Intelによる最新のマイクロコードアップデートと、オペレーティングシステムやハイパーバイザスタックの対応アップデートをベースとした緩和策がすでに提供されている。
-
WhiteSourceが無償のオープンソース脆弱性チェックツールをローンチ
オープンソースのセキュリティおよびライセンスコンプライアンス管理ソリューションプロバイダのWhiteSourceが、Vulnerability Checkerをローンチした。オープンソースのクリティカルな脆弱性に関するアラートを提供する、新しい、無償のスタンドアロンCLIツールだ。
-
NetBSD 8.0がSpectre V2/V4、Meltdown、Lazy FPUの軽減などを提供
NetBSD 8.0は、多くのアーキテクチャー間の移植性を提供するBSDベースのOSのメジャーリリースであるが、Spectre V2/V4、Meltdown、Lazy FPUの脆弱性を軽減し、多くの新機能とバグ修正を提供している。
-
Spectre 1.1および1.2の脆弱性が公開された
CPUの投機的実行の欠陥を利用した2つの新しい脆弱性が最近明らかにされた。Specter 1.1および1.2と呼ばれ、オリジナルのSpecter(Spectre-v1)脆弱性の変種である。Specter 1.1および1.2は、投機的ストアを利用して、Spectre-v1の軽減を逃れるための投機的バッファオーバーフローを作成する。
-
TLBleedはTLB上でスヌーピングすることで、CPUからの暗号鍵を漏洩できる
TLBleedで知られるIntelプロセッサに影響を及ぼす新しいサイドチャネルの脆弱性は、Translation Look-aside Buffers (TLBs)でスヌーピングすることで情報を漏洩する可能性があると、VUsecセキュリティ研究者Ben Grasは書いている。
-
世界500,000台のルータに影響するVPNFile
Ciscoのセキュリティ研究者が、少なくとも54ヶ国500,000台のネットワークデバイスを標的とした、高度なマルウェアシステムであるVPNFilterについて説明したアドバイザリを公開した。
-
Lazy FP State Restoreの脆弱性が、ほとんどのIntel Core CPUに影響を与える
インテルは、Coreプロセッサのほとんどに影響を及ぼす新たな脆弱性を明らかにし、SpectreとMeltdownに類似したサイドチャネル攻撃の標的となっている。Lazy FP state restore (CVE-2018-3665)と呼ばれるこの脆弱性により、プロセスは他のプロセスに属するFPU/MMX/SSE/AVXレジスタの内容を推測することができてしまう。
-
PGPとS/MIMEによる暗号化メールに、Efail攻撃に対する脆弱性が見つかる
ドイツとベルギーの研究者グループが、PGPとS/MIMEに脆弱性があり、暗号化されたEメールの平文が漏洩する可能性のあることを発見した。EFF(The Electronic Frontier Foundation)はこの脆弱性を確認し、セキュアなメッセージ交換には代替手段を使用するよう勧告した。しかしながら、GunPGの開発者であるWerner Koch氏は、脆弱性はPGP自体のものではなく、EFFのコメントは大げさ過ぎる、と述べている。
-
Zip Slipディレクトリトラバーサル脆弱性の影響は多くのJavaプロジェクトに
オープンソースとクラウドのセキュリティモニタリング企業であるSnyk社がZip Slipを開示した。これは任意のファイルを上書きする脆弱性で、パスをトラバースするファイル名を持つ、巧妙に作られたZIPアーカイブを使い弱点を突いている。脆弱性は何千ものプロジェクトに影響を与え、そこにはAWS CodePipelineやSpring Integration、LinkedInのPinot、Apache/TwitterのHeron、AlibabaのJStorm、Jenkins、Gradle、Google Cloud Platformが含まれる。
-
Gitの脆弱性により任意のコードが実行できる
Gitサブモジュール名の検証に対する脆弱性により、リモートの攻撃者が開発者マシン上で任意のコードを実行できる。さらに、攻撃者はシステムメモリの一部にアクセスできる。どちらの脆弱性もすでにGit 2.17.1、2.16.4、2.15.2、および他のバージョンでパッチが適用されている。
-
IntelがマルウェアスキャンにGPUの使用を開始
Intelは、GPUを使用してメモリをスキャンしてマルウェアを検出する一連のシリコンベースの機能セットである新しいThread Detection Technology (TDT)を発表した。これにより、CPUをそのタスクから解放し、SpecterとMeltdownから防御する上での影響を緩和する。
-
GitHubセキュリティアラートが400万以上の脆弱性を検出
昨年10月にリリースされたGitHubのセキュリティアラートは、開発者がRubyやJavaScriptプロジェクトから脆弱性を取り除くために要する時間を大幅に短縮したとGitHubは述べている。