WebPコーデックの重大な脆弱性対処でChromeなど主要Webブラウザが緊急更新

2023/09/13 22 users WebP brave Edge ゼロデイ脆弱性 Firefox

画像フォーマット「WebP」に重大なゼロデイ脆弱性が見つかり、Chrome、Edge、Firefox、Braveなどが修正のための更新をリリースした。既に悪用されている。 米GoogleのChromeや米MicrosoftのEdgeなど、主要Webブラウザが9月11日から重大なゼロデイ脆弱性に対処するアップデートをリリースしている。この脆弱性「CVE-2023-... 続きを読む

SSVC方法論とは？　脆弱性管理手法の新潮流をCISAが解説

2022/11/14 8 users ＣＩＳＡ リソース不足 新潮流 優先順位 脆弱性

CISAは脆弱性を評価して修復作業に優先順位を付ける脆弱性管理手法「SSVC方法論」を公開した。リソース不足で脆弱性対処に手が回らないユーザーは同方法論を参考に脆弱性を優先順位付けしてほしい。 米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2022年11月10日（現地時間）、脆... 続きを読む

「iOS 15.0.2」配信　AirTagや“既に悪用された可能性のある脆弱性”などの修正

2021/10/12 8 users Apple 米Apple バグ修正 セキュリティ関連 複数

Appleは「iOS 15.0.2」と「iPadOS 15.0.2」をリリースした。複数のバグ修正と、セキュリティ関連の脆弱性対処が含まれる。脆弱性は“既に悪用された可能性がある”ものだ。 米Appleは10月11日（現地時間）、「iOS 15.0.2」と「iPadOS 15.0.2」をリリースした。複数のバグ修正と、セキュリティ関連の脆弱性対処が含まれる。... 続きを読む

第44回　2018年3月～修正できない脆弱性対応，繰り返される歴史，そして「あたりまえ」を実践すること：インフラセキュリティの処方箋｜gihyo.jp … 技術評論社

2018/03/28 12 users 処方箋 インフラセキュリティ 通例 gihyo.jp トピック

今月は， 時折見られる 「開発者と連絡を取れず， 修正できない （修正を期待できない） 脆弱性」⁠ ， 繰り返される 「攻撃」 の歴史， そして 「あたりまえ」 という3つのトピックについて解説します。 「連絡不能案件」 扱いされるソフトウェアの脆弱性対処 通常， ソフトウェアに脆弱性がある場合， 当該ソフトウェアの開発者に連絡が行き， 開発者による脆弱性修正がなされるのが通例と考える方が多いかと... 続きを読む

Intel、脆弱性対処でHaswell/Broadwellシステムが予期せぬ再起動をする原因を特定 - PC Watch

2018/01/23 28 users Haswell SPECTRE Intel 投機実行機能 原因

Intel は22日(現地時間)、投機実行機能の脆弱性「Spectre」を回避するマイクロコードアップデート後に一部のシステムで予期しない再起動が行なわれる問題に関し、HaswellおよびBroadwellプラットフォームでその根本的な原因を特定したと発表した。 　予期せぬ再起動をしてしまう問題を修正したアップデートは今週末より行なわれる予定で、業界パートナーとともにテストを行なったのち、最終的な... 続きを読む

徳丸浩さん，著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則 〜PHPカンファレンス2017 ゲストスピーカーセッション：PHPカンファレンス2017 レポート｜gihyo.jp … 技術評論社

2017/11/01 26 users セキュアコーディング 本稿 PHPアプリケーション 王道 原則

2017年10月8日， 東京・ 大田区産業プラザPiOにて， PHPカンファレンス2017 が開催されました。本稿では， ゲストスピーカーセッションであるEGセキュアソリューションズ株式会社 代表取締役 徳丸浩さんの講演 「著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則」 をレポートします。 著名なPHPアプリケーションでも脆弱性を狙った攻撃が絶えません。徳丸さんは 「脆弱性対処の王道は... 続きを読む

バッテリー残量表示問題修正はまだ：「iOS 9.2.1」配信開始──13件の脆弱性対処やバグ修正など - ITmedia Mobile

2016/01/19 10 users ITmedia Mobile バグ修正 配信開始 Apple

米Appleは1月20日、「iOS 9.2.1」の配信を開始した。バグ修正、脆弱性への対処が中心だ。 米Ars Technica がAppleに確認したところによると、このアップデートでは iPhone 6s／6s Plusのバッテリー残量表示問題 は修正されなかったという。 ソフトウェアアップデートの画面の説明によると、MDMサーバを使用している場合にアプリのインストールを完了できないことがある... 続きを読む

「Google Chrome 42」安定版リリース　プッシュ通知機能追加と45件の脆弱性対処 - ITmedia ニュース

2015/04/14 45 users 安定版リリース ITmedia ニュース 45件

Googleが、Webブラウザ「Chrome」のバージョン42をWindows、Mac、Linux向けに公開した。一般向けの新機能としてはページを閉じても送られてくるプッシュ通知機能（無効化できる）が加わった。 米Googleは4月14日（現地時間）、Webブラウザ安定版の最新バージョンとなる「Chrome 42」（バージョン42.0.2311.90）をWindows、Mac、Linux向けに公開... 続きを読む

「Firefox 36」の安定版、「HTTP/2」のフルサポートや「最高」を含む脆弱性対処 - ITmedia ニュース

2015/02/24 36 users http Mac 米Mozilla Foundation

米Mozilla Foundationは2月24日（現地時間）、Webブラウザの安定版アップデートとなる「Firefox 36」をWindows、Mac、Linux向けに公開した。Android版も間もなく公開される見込みだ。 デスクトップ版 まず、今月17日に正式な仕様として承認されたネットワーキングプロトコル「HTTP/2」をフルサポートする。HTTP/2には複数ストリームのマルチプレックス機... 続きを読む

コメント#2694440 | SSL 3.0に深刻な脆弱性が見つかる | スラッシュドット・ジャパン

2014/10/16 32 users スラッシュドット・ジャパン 脆弱性 ドコモ ソフトバンク 端末

各社携帯電話のフーチャーフォンの標準Webブラウザの仕様について調べたら ドコモ及びソフトバンクはTLS1.0をサポートしていますが、auはSSL3.0のみサポートしています。 各携帯電話会社が数年前の端末のアップデートは行うことは、考えにくいので、 脆弱性対処の為に単純にSSL 3.0を停止することは難しいかなあと思っています。 TLS1.0もBEAST攻撃などの脆弱性がありますので、端末によっ... 続きを読む

「Google Chrome 37」の安定版リリース　Windows向け64ビット版や危険度最高の脆弱性対処 - ITmedia ニュース

2014/08/26 36 users 安定版リリース Mac 危険度 ITmedia ニュース

GoogleのWebブラウザ最新版では、危険度最高の1件を含む50件の脆弱性に対処した他、Windows向けではフォント表示が滑らかになり、64ビット版を選択できるようになった。 米Googleは8月26日（現地時間）、Webブラウザ安定版の最新バージョンとなる「Chrome 37」（バージョン37.0.2062.94）をWindows、Mac、Linux向けに公開した。Windows 7およびW... 続きを読む

徳丸浩の日記: 処理開始後の例外処理では「サニタイズ」が有効な場合もある

2012/03/29 248 users kazuho セキュアプログラミング サニタイズ エントリ

このエントリでは、脆弱性対処における例外処理について、奥一穂氏(@kazuho)との会話から私が学んだことを共有いたします。セキュアプログラミングの心得として、異常が起これば直ちにプログラムを終了することが推奨される場合がありますが、必ずしもそうではないというのが結論です。 はじめに Webアプリケーションの脆弱性対策では、脆弱性が発生するのはデータを使うところであるので、データを使う際の適切なエ... 続きを読む

徳丸浩の日記: 処理開始後の例外処理では「サニタイズ」が有効な場合もある

2012/03/29 248 users サニタイズ kazuho セキュアプログラミング 徳丸浩 結論

2012年3月30日金曜日 処理開始後の例外処理では「サニタイズ」が有効な場合もある このエントリでは、脆弱性対処における例外処理について、奥一穂氏(@kazuho)との会話から私が学んだことを共有いたします。セキュアプログラミングの心得として、異常が起これば直ちにプログラムを終了することが推奨される場合がありますが、必ずしもそうではないというのが結論です。 はじめに Webアプリケーションの脆弱... 続きを読む