タグ 全1ページ
新着順 10 users 50 users 100 users 500 users 1000 users【セキュリティ ニュース】QNAP製NAS向けの複数ツールに深刻な脆弱性 - アップデートを(1ページ目 / 全1ページ):Security NEXT
QNAPのNAS製品向けに提供されているファイル共有やバックアップツールに深刻な脆弱性が明らかとなった。 2件の脆弱性「CVE-2024-50387」「CVE-2024-50388」について、10月29日、30日にアドバイザリを公表したもの。いずれもバグバウンティコンテスト「Pwn2Own 2024」で報告を受けたという。 「CVE-2024-50387」は、ファ... 続きを読む
【セキュリティ ニュース】OpenSSHの「regreSSHion」レビュー時にあらたな脆弱性見つかる(1ページ目 / 全1ページ):Security NEXT
OpenSSHにあらたな脆弱性が判明した。「regreSSHion」をレビューする過程で発見されたもので、旧バージョンが影響を受けるという。 リモートよりコードの実行が可能となる「CVE-2024-6409」が公表されたもの。2021年にリリースされた「OpenSSH 8.8」および「同8.7」が影響を受けるという。 別名「regreSSHion」と名付け... 続きを読む
【セキュリティ ニュース】WordPressプラグインの同時多発改ざん、PWリスト攻撃に起因(1ページ目 / 全1ページ):Security NEXT
WordPress向けの複数プラグインに不正なコードが挿入された問題で、WordPress.orgは、侵害された複数のアカウントより、プラグインの改ざんが行われたことを明らかにした。 他ウェブサイトより流出したユーザー名やパスワードを組み合わせたパスワードリスト攻撃を受け、プラグインの開発に参加するコミッターのアカウン... 続きを読む
【セキュリティ ニュース】「Perl」に域外メモリへ書き込む脆弱性 - アップデートにて修正(1ページ目 / 全1ページ):Security NEXT
「Perl」に脆弱性が明らかとなった。アップデートにて修正されている。 「同5.30.0」以降において、プロパティ名の処理に問題があり、未割り当てのメモリ領域に書き込むおそれがある脆弱性「CVE-2023-47100」が明らかとなったもの。 米国立標準技術研究所(NIST)の脆弱性データベース「NVD」では、共通脆弱性評価システ... 続きを読む
【セキュリティ ニュース】「サイバーセキュリティ経営可視化ツール」の新版公開 - 業界平均と比較可能に(1ページ目 / 全1ページ):Security NEXT
情報処理推進機構(IPA)は、「サイバーセキュリティ経営ガイドライン」で示された重要10項目の実施状況を可視化し、業界平均と比較も行える「サイバーセキュリティ経営可視化ツール」の新版をリリースした。 同ツールは、3月に公開された「サイバーセキュリティ経営ガイドライン Ver3.0」にある重要10項目の実施状況を5... 続きを読む
【セキュリティ ニュース】電子部品の通販サイトで購入者メアドが流出 - 千石電商(1ページ目 / 全1ページ):Security NEXT
電子部品などの販売を手がける千石電商は、通信販売サイト「せんごくネット通販」において購入者のメールアドレスが流出したことを明らかにした。 同社によれば、4月7日夜に同サイトが不正アクセスを受けたもの。翌8日に顧客から迷惑メールが届くようになったとの指摘があり、調査を行ったところ被害が判明した。 流出し... 続きを読む
【セキュリティ ニュース】「OpenSSL」にセキュリティアップデート - 脆弱性の評価は下方修正(1ページ目 / 全1ページ):Security NEXT
OpenSSLの開発チームは、協定世界時11月1日に事前予告どおりセキュリティアップデート「同3.0.7」をリリースし、複数の脆弱性に対処した。当初重要度は「クリティカル(Critical)」を予定していたが、「高(High)」へと下方修正されている。 今回明らかにされた脆弱性は、「X.509証明書」の検証処理を通じてバッファオ... 続きを読む
【セキュリティ ニュース】「Trend Micro Apex One」に緊急性高い脆弱性 - アップデートを(1ページ目 / 全1ページ):Security NEXT
トレンドマイクロのエンドポイント向けセキュリティ対策製品「Trend Micro Apex One」「Trend Micro Apex One SaaS」において複数の脆弱性が明らかとなった。深刻度が「緊急」とされる脆弱性も含まれる。 同社では、両製品にあわせて6件の脆弱性が明らかとなったとしてアドバイザリをリリースしたもの。 脆弱性によって... 続きを読む
【セキュリティ ニュース】QNAP製NASを狙うあらたなランサム攻撃 - アプリの更新を(1ページ目 / 全1ページ):Security NEXT
QNAP Systems製NASの画像管理アプリを標的とするランサムウェアのあらたな攻撃キャンペーンが確認された。同社はアップデートをリリースし、脆弱性を修正するよう利用者に注意を呼びかけている。 同社NAS製品で利用できる画像管理アプリ「Photo Station」に脆弱性が存在し、インターネット上へ公開された同アプリを狙う... 続きを読む
【セキュリティ ニュース】テキストエディタ「vim」に脆弱性 - パッチで修正(1ページ目 / 全1ページ):Security NEXT
UNIX系OSをはじめ、広く利用されているテキストエディタ「vim」に脆弱性が明らかとなった。パッチにて修正されている。 ヒープバッファオーバーフローの脆弱性「CVE-2022-0318」が明らかとなったもの。脆弱性報告サイト「huntr」を通じて開発者に報告された。実証コード(PoC)も公開されている。「huntr」では共通脆弱... 続きを読む
【セキュリティ ニュース】メールアドレス流出、自動PPAP機能に不具合 - 原子力規制委(1ページ目 / 全1ページ):Security NEXT
原子力規制委員会は、メールシステムに不具合があり、メールの送信先である地方公共団体や報道機関のメールアドレスが受信者間に流出したことを明らかにした。 原子力規制庁によれば、6月16日に同庁の統合原子力防災ネットワークのメールシステムを使い、記者懇談会の案内を地方公共団体と報道機関にメールで送信したと... 続きを読む
【セキュリティ ニュース】JPCERT/CC、ログ解析の訓練コンテンツを公開 - 痕跡発見のコツも(1ページ目 / 全1ページ):Security NEXT
JPCERTコーディネーションセンターは、ログ解析のトレーニング用コンテンツを公開した。GitHubより入手できる。 同コンテンツは、システム管理者やセキュリティ窓口担当者をはじめ、インシデントの分析に関心があるユーザー向けに用意した教材。これまで「Internet Week」にて実施してきた「インシデント対応ハンズオン... 続きを読む
【セキュリティ ニュース】「PHP」にセキュリティアップデート - 複数脆弱性を修正(1ページ目 / 全1ページ):Security NEXT
PHPの開発チームは、複数の脆弱性へ対処した「PHP 7.4.1」「同7.3.13」「同7.2.26」をリリースした。セキュリティアップデートと位置付けられている。 今回のアップデートは、系統によって修正内容に差異があるが、コア部分における複数の関数をはじめ、EXIF処理や任意精度数学関数などで明らかとなった複数の脆弱性へ対... 続きを読む
【セキュリティ ニュース】トレンド複数製品に管理画面回避のおそれ - パッチリリース(1ページ目 / 全1ページ):Security NEXT
トレンドマイクロが提供する複数の法人向け製品に「ディレクトリトラバーサル」の脆弱性が含まれていることがわかった。 「ウイルスバスターコーポレートエディション」や「Apex One」に「ディレクトリトラバーサル」の脆弱性「CVE-2019-18189」が明らかとなったもの。共通脆弱性評価システムであるCVSSv3のスコアは「8.... 続きを読む
【セキュリティ ニュース】ウェブで「IPAフォントが見つからない」と偽警告 - マルウェア感染狙う手口(1ページ目 / 全1ページ):Security NEXT
ウェブサイトの表示にあたり、フォントが不足しているなどとだまし、マルウェアを感染させるケースが確認されている。改ざんされた正規サイトで表示されるケースもあり注意が必要だ。 「不足しているフォント」などと偽の警告を発するよう正規サイトが改ざんされる手口を情報処理推進機構(IPA)が確認したもの。 問題の... 続きを読む
【セキュリティ ニュース】Google、2.7万件以上のバグを発見したファジングツールをオープンソース化(1ページ目 / 全1ページ):Security NEXT
Googleは、脆弱性の調査を行うためのファジングツール「ClusterFuzz」をオープンソース化した。GitHubより入手できる。 同ソフトウェアは、さまざまなデータを入力することでバグの有無を調査するほか、報告機能なども備えたファジングツール。同社では8年以上にわたり、同ツールの開発に取り組んできたが、今回あらたに... 続きを読む
【セキュリティ ニュース】GDPRにおける日本の「十分性認定」、1月23日に決定予定(1ページ目 / 全1ページ):Security NEXT
欧州委員会は、EU一般データ保護規則(GDPR)の日本に対する十分性認定を1月23日付で決定する予定だ。 1月23日に欧州委員会がGDPRに基づき、日本に対して十分性認定を行う予定で、これを受けて個人情報保護委員会でも、同日付けで個人情報保護法に基づき、EUを指定することを決定した。 日欧間における個人データ保護制... 続きを読む
【セキュリティ ニュース】環境省の洋上風力発電実証事業関連サイトが改ざん - 偽通販サイト設置、外部不正サイトへの誘導も(1ページ目 / 全1ページ):Security NEXT
環境省の「洋上風力発電実証事業」である「GOTO-FOWTプロジェクト」のウェブサイトが改ざんされ、不正なページが設置されたり、外部サイトへ誘導される状態になっていたことがわかった。 改ざんにより設置されたページが検索エンジンより表示される状態となっている。設置された不正ページは正規サイトなどからデータを... 続きを読む
【セキュリティ ニュース】「Windows」にゼロデイ脆弱性、PoCが公開 - 8月の「ALPC脆弱性」公表と同一人物(1ページ目 / 全1ページ):Security NEXT
「Windows」に未修正の脆弱性が含まれていることがわかった。すでに「実証コード(PoC)」が公開されている。脆弱性を公表したのは、8月にも未修正の脆弱性を公開した研究者だった。 PoCが公開されたのは、「Windows」の「Data Sharing Service(DsSvc)」に関する権限昇格の脆弱性。公開したセキュリティ研究者は、GitH... 続きを読む
【セキュリティ ニュース】8月半ばからTCP 445番ポート宛てのパケットが増加 - WS 2003が送信元か(1ページ目 / 全1ページ):Security NEXT
JPCERTコーディネーションセンターは、2018年第3四半期のインターネット定点観測レポートを公開した。8月12日以降、「Windows Server 2003」を発信元とした「TCP 445番ポート」に対するパケットの増加が観測されたという。 同センターが設置したセンサーにより観測されたパケットの状況を取りまとめたもの。同四半期は前... 続きを読む
【セキュリティ ニュース】経産省、「サイバー・フィジカル・セキュリティ対策フレームワーク」のパブコメ結果を公表(1ページ目 / 全1ページ):Security NEXT
経済産業省は、「サイバー・フィジカル・セキュリティ対策フレームワーク」のパブリックコメントを実施し、結果を取りまとめた。国内外から318件の意見が寄せられたという。 同フレームワークは、AIやIoTの利活用が進んだ「Society5.0」や「Connected Industries」において、産業界に求められるセキュリティ対策の全体像... 続きを読む
【セキュリティ ニュース】一部ルータに管理者以外がプロクシを設定できる問題 - 盗聴や改ざんのおそれ(1ページ目 / 全1ページ):Security NEXT
一部ルータにおいて、DHCPリクエストを受けたクライアントのホスト名を、DNSに自動登録する問題が指摘されている。同機能によって悪意あるプロキシやルータが設定され、通信の盗聴や改ざんに利用されるおそれがある。 一部ルータ機器がDNSの動的更新機能を搭載しており、DHCPリクエストでクライアント側から送られてくる... 続きを読む
【セキュリティ ニュース】マルウェア画像のFAX送信で受信端末乗っ取る「Faxploit」 - 複合機踏み台にネットワーク攻撃のおそれも(1ページ目 / 全1ページ):Security NEXT
電話回線を通じて細工したファックス文書を送信するだけで、受信端末のメモリ上に不正なプログラムを展開できる攻撃「Faxploit」が明らかとなった。ファックスの通信プロトコルに起因し、複合機など多数機器が影響を受けるおそれがあるという。 米Check Point Software Technologiesのセキュリティ研究者が8月に開催され... 続きを読む
【セキュリティ ニュース】悪用確認済みの「Windowsタスクスケジューラ」脆弱性に修正パッチ - PoC公表から約2週間(1ページ目 / 全1ページ):Security NEXT
マイクロソフトは、9月の月例セキュリティ更新をリリースし、「Windowsタスクスケジューラ」における「アドバンストローカルプロシージャコール(ALPC)」の処理に起因したゼロデイ脆弱性を修正した。 同脆弱性は、セキュリティ研究者が8月下旬にTwitter上で言及、「実証コード(PoC)」をGitHub上で公開したもの。調整... 続きを読む
【セキュリティ ニュース】JPCERT/CC、Windows「Sysmon」ログの解析可視化ツールを開発 - GitHubで公開(1ページ目 / 全1ページ):Security NEXT
JPCERT/CC、Windows「Sysmon」ログの解析可視化ツールを開発 - GitHubで公開 JPCERTコーディネーションセンターは、「Windows」の「Sysmon」により出力されたログの解析ツール「SysmonSearch」を開発した。GitHubより入手することができる。 同ソフトウェアは、「Windows Sysinternals」のユーティリティとして提供され... 続きを読む