解凍・圧縮ソフト「7-Zip」に未修正の脆弱性 ～セキュリティ研究者が明らかに／ヘルプファイルの削除で緩和可能

2022/04/18 361 users ヘルプファイル 解凍 7-Zip 圧縮 緩和

続きを読む

「影響範囲の考慮漏れ」によるソフトウェアトラブルの多発はビジネス継続性に対する危険信号｜mtx2s

2024/01/22 262 users 多発 考慮漏れ 既存 本番 箇所

リリースするたびに「影響範囲の考慮漏れ」によるトラブルを起こす。こういう症状は、既存のソフトウェアシステムに追加開発を繰り返す組織によく見られるのではないかと感じます。コードやシステムの変更が影響を及ぼす箇所を見逃してしまい、未修正な箇所が残されたまま本番リリースされたために発生するトラブルです... 続きを読む

jQuery MobileのXSSについての解説 - 金利0無利息キャッシング – キャッシングできます - subtech

2011/07/11 130 users リリースバージョン XSS subtech XSS脆弱性 承知

この記事執筆時点でのjQuery Mobileの最新のリリースバージョンであるbeta1を含む全てのバージョンにはXSS脆弱性があり、その結果jQuery Mobileを使ってるサイトの多くにXSS脆弱性があり、未修正の状態のサイトを危険にさらすのは承知の上で書いてますけど、周知させたほうが良いと考えてブログに書いている次第です。 http://jquerymobile.com/blog/2011... 続きを読む

「Android」に乗り換えたユーザーに「iMessage」届かず--アップルを提訴 - CNET Japan

2014/05/19 62 users iMessage Bloomberg iPhone カフカ

情報時代のカフカの悪夢のように、「iPhone」からGoogleのモバイルOS「Android」に乗り換えた一部のユーザーが、「iMessage」の未修正のバグによる問題に見舞われている。送信者にも受信者にも通知されないまま、テキストが届かないという問題だ。Bloombergの米国時間5月16日の記事によると、Appleは現在、この問題に対処しなかったとして提訴されているという。 問題はiMess... 続きを読む

AFNetworking 2.5.2 以下の脆弱性について

2015/04/22 48 users 脆弱性 以下 MITM攻撃 パブリック 言及

未修正のアプリが数多く残っている状態なので、パブリックな場所での言及には注意して下さい 未修正のアプリが数多く残っている状況ですが、すでに広く情報が公開されており、2.5.2で修正されたという情報が広まると混乱が生じるため広く周知する次第です。 問題と経緯 AFNetworking 2.5.1 にMITM攻撃を許す脆弱性があり、2.5.2で修正された、 と報道されていますが、これは誤りです。 ht... 続きを読む

Windowsに新たなゼロデイ脆弱性、PowerPoint悪用の標的型攻撃も既に発生 -INTERNET Watch

2014/10/22 40 users ゼロデイ脆弱性 INTERNET Watch 標的型攻撃

ニュース Windowsに新たなゼロデイ脆弱性、PowerPoint悪用の標的型攻撃も既に発生 （2014/10/22 15:36） 日本マイクロソフト株式会社は21日、Windowsのアプリケーション間でデータや機能を共有する技術「Microsoft OLE」に関する未修正の脆弱性が発見されたとして、セキュリティアドバイザリ「3010060」を公開した。既にこの脆弱性を悪用した攻撃も確認されてお... 続きを読む

Appleの脆弱性報奨金プログラムへ送られた脆弱性が半年間も未修正であると判明、発見者は「失望した」としてゼロデイ脆弱性を公開 - GIGAZINE

2020/07/01 34 users Microsoft ソフトウェアエンジニア 報奨金 自社製品

自社製品の脆弱性に関する報告に報奨金を支払う脆弱性報奨金制度は、MicrosoftやGoogleなど多くの企業が導入しています。Appleも2019年に同様のプログラムである「Apple Security Bounty」を開始しましたが、同プログラムを利用したソフトウェアエンジニアであるジェフ・ジョンソンが「報告した脆弱性が半年間も修正され... 続きを読む

Secunia、「Java 7 update 15」の非常に深刻なゼロデイ脆弱性を公表 - 窓の杜

2013/03/04 33 users Secunia APS デンマーク ゼロデイ脆弱性 公表

ニュース Secunia、「Java 7 update 15」の非常に深刻なゼロデイ脆弱性を公表 Secuniaの基準でもっとも高い“Extremely critical”に分類された未修正の脆弱性 （2013/3/4 17:40） デンマークのセキュリティベンダーSecunia ApSは2日（現地時間）、Oracle Corporationの「Java SE Runtime Environmen... 続きを読む

LunascapeとSleipnirに報告した脆弱性の話(スマホアプリではとにかくHTTPSを使え2021) · GitHub

2021/02/13 32 users GitHub https Sleipnir 前置き 脆弱性

2021_browser_mitm_vuln.md LunascapeとSleipnirに報告した脆弱性の話(スマホアプリではとにかくHTTPSを使え2021) 前置き この文章と、それに含まれる考察や各サービスへの脆弱性報告などはmala個人の活動であり、所属している企業とは関係ありません。 執筆時点で未修正の不具合や、過去に修正済みで運営元が開示してい... 続きを読む

Twitterのフリート機能に対する権限昇格 - RyotaK's Blog

2021/01/05 32 users Twitter Twi 権限昇格 RyotaK's Blog

はじめにTwitterはBug Bountyプログラム(脆弱性報奨金制度とも呼ばれる)を実施しており、脆弱性の診断行為を行うことが認められています。 本記事は、そのプログラムを通して報告された脆弱性についてを解説したものであり、Twitterが認知していない未修正の脆弱性を公開する事を意図したものではありません。 また、Twi... 続きを読む

グーグルが「Windows 10」に存在する脆弱性を新たに公表 - ZDNet Japan

2018/02/22 29 users グーグル 公表 脆弱性 ZDNet Japan 期限

Googleのセキュリティチーム「Project Zero」が、「Windows 10」に影響する未修正の脆弱性を新たに公表している。報告から90日の期限が過ぎてもMicrosoftが修正や公開を行わなかったためだ。 Googleは先ごろ、Microsoftが期限内に修正できなかったWindows 10のエクスプロイト対応策を回避できる脆弱性を明らかにしたが、それに続いて米国時間2月20日、新たな... 続きを読む

Windows OLEの脆弱性（CVE-2014-4114）関連情報をまとめてみた - piyolog

2014/10/14 28 users Microsoft piyolog Windows 調整 調査

脆弱性まとめ | 00:58 | iSight Partnersが調査を行ったサイバーエスピオナージで未修正のWindowsの脆弱性が悪用されていたことが判明し、Microsoftとの調整を経て同社は2014年10月14日(現地時間)にこの活動に関する情報を発表しました。ここでは脆弱性、及びそれを悪用する活動に関連する情報をまとめます。 脆弱識別情報CVE-2014-4114 発見者iSIGHT ... 続きを読む

IE10へのゼロデイ攻撃が日本で拡大、改ざんサイト閲覧で不正プログラム感染 -INTERNET Watch

2014/02/26 25 users ゼロデイ攻撃 Symantec 拡大 IE1 脆弱性

Symantecは25日、Internet Explorer 10（IE10）の未修正の脆弱性を悪用するゼロデイ攻撃が拡大しており、特に日本のサイトを狙った攻撃が多く発生しているとして、注意を喚起した。 この脆弱性は、米国の海外戦争復員兵協会のサイトを狙った攻撃の中で発見された「CVE-2014-0322」。サイトは何らかの方法で改ざんされており、IE10でこのサイトを閲覧したユーザーのPCに脆弱... 続きを読む

日本と韓国を狙ったFlashのゼロデイ攻撃を確認、脆弱性はロシア人ハッカーがHacking Teamに販売 - GIGAZINE

2015/07/13 24 users ハッキング ゼロデイ脆弱性 GIGAZINE イタリア 政府

by The National Crime Agency 政府に国民監視用スパイウェアを販売していたイタリアの会社「Hacking Team」がハッキングを受けた件で、未修正のFlashのゼロデイ脆弱性に関する情報が複数確認されていますが、この情報がハッキングにより明らかになる前から日本や韓国を対象とした攻撃が行われていたことが明らかになりました。 Hacking Team Flash Zero-... 続きを読む

Flash Player脆弱性発覚に伴うFirefoxでの影響について‐ニコニコインフォ

2015/07/14 23 users インフォ Firefox 起動 措置 脆弱性

Flash Playerに(2015年7月13日時点で)未修正の重大な脆弱性が発覚したため、Firefoxにおいて特定バージョンのFlash Playerの起動をブロックする措置が取られました。 参考: ブロックされているアドオン niconicoサービス自体の不具合ではありませんが、Flash Playerが利用できない場合サービスのご利用に重大な影響がありますので、対応方法などお知らせします。... 続きを読む

セキュリティ企業がStrutsの未修正の脆弱性情報とそのパッチを公開、議論になる | スラッシュドット・ジャパン セキュリティ

2014/04/24 23 users Struts バッチ スラッシュドット・ジャパン 議論 公開

あるAnonymous Coward 曰く、 2014年3月に対策が行われたApache Strutsの脆弱性CVE-2014-0094について、この対策が不十分であり、脆弱性がまだ存在していることをセキュリティ診断などを行う三井物産セキュアディレクションが発表した。同時に、暫定対応を行うコードも公開されている。 しかし、まだ修正されていない脆弱性の存在を発表したことに対し批判する声も出ている。ま... 続きを読む

週末アップルPickUp！：うちのMacがroot権限を掌握されている！ - ITmedia PC USER

2013/09/02 23 users USER root権限 iPhone sudo Mac

9月10日発表、9月20日発売がウワサされている新型iPhoneですが、米国の大手キャリアが「20日以降の従業員の休暇取得を制限した」という話が出ていたりと、いよいよ半壊状態のiPhoneとお別れできる日が近づいてきたようです。楽しみですね。 さて、今回は次期iPhoneから少し離れてMacのセキュリティに関する話題。OS Xでは未修正となっている「sudo」コマンドによるぜい弱性に対して、検証ツ... 続きを読む

標的型攻撃で悪用されたInternet Explorerの未修正の脆弱性CVE-2020-0674についてまとめてみた - piyolog

2020/01/19 22 users Microsoft 採番 脆弱性 piyolog 概要編

2020年1月17日、MicrosoftはInternet Explorerに深刻な脆弱性が存在し発表時点でまだ修正中であることを明らかにしました。ここでは関連する情報をまとめます。 １．概要編 ① いま何が起きているの？（1月17日時点） サポートされている全てのInternet Explorerに深刻な脆弱性。脆弱性はCVE-2020-0674が採番。1月11日時... 続きを読む

勝手に補足：レガシーPHPのセキュリティ対策，大丈夫ですか？未修正の脆弱性（2） - ockeghem(徳丸浩)の日記

2011/07/14 21 users 便宜 ぜい弱性 バッチ ockeghem 記述

レガシーPHPのセキュリティ対策，大丈夫ですか？：第4回　未修正の脆弱性（2）｜gihyo.jp … 技術評論社という記事を読みました。とても重要なことが記載されている一方で、記述の間違い及び記述もれがあるため、読者の便宜のため勝手に補足したいと思います。具体的に、PHP4系の最終版PHP4.4.9にてパッチの提供されない4つのぜい弱性についての話題です。一部のぜい弱性はPHP5.2系でもパッチが... 続きを読む

IE7ベータ版でGoogleとYahoo!のツールバー消失疑惑、CSSのバグは未修正

2005/08/01 19 users CSS パク Yahoo Google

7月28日に「Windows Vista」とともに発表された「Internet Explorer 7.0（IE7） beta 1」が、早くも開発者の間に多くの話題を提供している。同ブラウザのWindows XP版が、米MicrosoftのテクニカルベータプログラムやMSDNを通して配布されているためだ。 　まず、IE7 beta 1が公開されてほどなくして英テクノロジー誌の「Register」が、... 続きを読む

Unity5.6のわりと地雷なバグ | Unity用ビジュアルノベルツール「宴」

2017/04/01 18 users 地雷 パク リリースノート 北米時間 段階

Unity5.6が本日（日本時間4/1。北米時間の3/31）にリリースされました。 ですが、Unity5.6はβ段階で判明しているバグが未修正のままリリースされてしまっています。 詳しくは、リリースノートのKnownUnity5.6が本日（日本時間4/1。北米時間の3/31）にリリースされました。 ですが、Unity5.6はβ段階で判明しているバグが未修正のままリリースされてしまっています。 詳し... 続きを読む

Windows 8.1に未修正の脆弱性、Googleの情報開示に疑問も - ITmedia エンタープライズ

2015/01/05 18 users ITmedia エンタープライズ 脆弱性 疑問 Google

パッチが公開されていないものの、GoogleはMicrosoftへの報告から90日が経過したとして情報を開示した。 MicrosoftのWindows 8.1 Updateに権限昇格につながる未修正の脆弱性が存在するとして、Googleが米国時間の2014年12月29日に情報を公開した。パッチは公開されておらず、Googleの公開方法に疑問を呈する意見もあるようだ。 Googleによると、脆弱性は... 続きを読む

細工したTIFF画像を悪用、回避策適用を推奨：Officeなどにゼロデイ脆弱性、Word用いた標的型攻撃も観測 - ＠IT

2013/11/06 18 users word office 悪用 ゼロデイ脆弱性 マイクロソフト

細工したTIFF画像を悪用、回避策適用を推奨：Officeなどにゼロデイ脆弱性、Word用いた標的型攻撃も観測 米マイクロソフトは2013年11月5日、Microsoft Officeなどに未修正の脆弱性（CVE-2013-3906）が存在することを明らかにし、注意を呼び掛けた。 米マイクロソフトは2013年11月5日、Microsoft Officeなどに未修正の脆弱性（CVE-2013-390... 続きを読む

Cisco IOS XE の脆弱性 CVE-2023-20198 についてまとめてみた - piyolog

2023/10/19 16 users Cisco piyolog リモート 権限昇格 脆弱性

2023年10月16日、Ciscoは同社のネットワーク製品のOSとして搭載されているCisco IOS XEに未修正の脆弱性 CVE-2023-20198 を悪用する活動が確認されたとしてセキュリティ情報を公開しました。 CVE-2023-20198は権限昇格の脆弱性で、リモートから管理者に相当するアカウントを作成される恐れがあります。同社はこの脆弱性... 続きを読む

macOS 13.3.1 Venturaでは、ファイル名に濁音やアクセント記号が含まれるとダブルクリックでファイルが開けない不具合は未修正。

2023/04/08 16 users 濁音 ダブルクリック アクセント記号 Apple ファイル

macOS 13.3.1 Venturaでは、ファイル名に濁音やアクセント記号が含まれるとダブルクリックでファイルが開けない不具合は修正されていません。詳細は以下から。 　Appleは現地時間2023年04月07日、絵 The post macOS 13.3.1 Venturaでは、ファイル名に濁音やアクセント記号が含まれるとダブルクリックでファイルが開けな... 続きを読む