タグ「脆弱性」 - はてブログ

タグ脆弱性

新着順人気順 5 users 10 users 50 users 100 users 500 users 1000 users

(1 - 25 / 547件)

高級ホテルの客室タブレットに潜む危険：他客室も操作、盗聴可能だった脆弱性を発見するまで - ラック・セキュリティごった煮ブログ

2025/01/24 662 users 盗聴ラック客室シュチャット

しゅーとです。新婚旅行で沖縄に行ってきたのですが、そこで泊まった高級リゾートホテルの客室にタブレットが置いてありました。このタブレットを調査したところ、客室内の盗聴・盗撮が可能となる脆弱性や、第三者がネットワーク上から他客室のコントロール、チャットの盗聴が可能となる脆弱性を発見しました。この問... 続きを読む

生成AIが人間の介在なしに自律的にソフトウェアテストを生成し実行、バグや脆弱性を発見してくれるAIテストエージェント「Spark」登場

2025/01/19 314 users Spark 介在生成AI パク本社

生成AIが人間の介在なしに自律的にソフトウェアテストを生成し実行、バグや脆弱性を発見してくれるAIテストエージェント「Spark」登場ドイツに本社を置き、コード分析ツールなどを提供するCode Intelligence社は、起動すればあとは生成AIが人間の介在なしに自律的にソフトウェアテストを生成し実行することで、対象とな... 続きを読む

「Googleでサインイン」の重大な脆弱性が指摘される

2025/01/15 237 users サインイン Google

sponsored Ryzen 7 9800X3Dを搭載するゲーミングPC「ZEFT R59CE」の魅力を聞いたあの話題作で快適に狩るためのBTOPC、ASRock・AMD・パソコンショップSEVENが出した答えとは？ sponsored JAPANNEXTの「JN-IPS238G200F-Camo-W」「JN-IPS238G200F-Camo」レビュー迷彩柄のゲーミングディスプレーをサバゲ―フィールドに持っ... 続きを読む

最近のM-1は各審査員がだいたい90前後の点数をつけるので「一人だけ極端な点数をつける人がいた場合」という脆弱性がある？

2025/01/05 190 users 点数 M-1 miwa azooKey 得点

Miwa - azooKeyの開発者 @miwa_ensan そういえば、M-1を見てたら各審査員がだいたい90前後の点をつけていたんだけど、もしも一人だけが0-100の範囲の高い分散で得点をつけてたら実質その一人が支配的になる点で脆弱だなーと思った 2025-01-02 23:13:50 続きを読む

GPT-4やClaudeなどの大規模言語モデルが抱える「ストロベリー問題」とは？

2024/10/19 227 users Claude LLM GPT-4 算数推論能力

大規模言語モデル(LLM)をベースにしたAIは高い能力を発揮できる一方で、ウソにダマされやすいといった特徴があったり、算数の文章題への推論能力が小学生未満という研究結果があったりと、脆弱(ぜいじゃく)さについてもしばしば指摘されます。AIの能力の限界を示す「ストロベリー問題」という脆弱性について、機械学習エ... 続きを読む

人事制度の脆弱性を衝いて給料UPする『人事制度の基本』

2024/08/18 1022 users 給料UP 人事制度基本

「年収を上げる」と検索すると、ずらり転職サイトが並ぶ。ライフハック記事の体裁だが、最終的には転職サイトに誘導する広告記事だ。しかも見事なまでに中身がない。転職しないなら、「副業を始める」とか「スキルアップする」といった誰でも思いつきそうなトピックを、薄ーく書きのばしている。ここでは、もう少し有... 続きを読む

Windowsにゼロクリック攻撃の脆弱性。必ず対策を

2024/08/15 165 users ゼロクリック攻撃 Windows 対策

GitHub、コードの脆弱性を自動的に見つけてCopilotが修正案まで示す「Copilot Autofix」正式サービスに

2024/08/14 135 users CodeQL COPILOT GitHub 機能提供

GitHubは、コードをスキャンして脆弱性を自動的検出し、コードの修正案を示してくれる「Copilot Autofix」機能を正式サービスとして提供開始すると発表しました。コード分析エンジン「CodeQL」でコードスキャン Copilot Autofixは、GitHubが開発したコード分析エンジンである「CodeQL」を用いてコードをスキャンし、ク... 続きを読む

「0.0.0.0」へのアクセスを悪用してローカル環境に侵入できる脆弱性「0.0.0.0 Day」が発見される

2024/08/08 207 users day ローカル環境 Firefox アクセス Safari

Chrome、FireFox、Safariといった主要ブラウザにおけるIPアドレス「0.0.0.0」の扱い方に問題があり、問題を悪用することで攻撃者が攻撃対象のローカル環境にアクセスできることが明らかになりました。問題を発見したセキュリティ企業のOligo Securityは、この脆弱(ぜいじゃく)性を「0.0.0.0 Day」と名付けて注意喚起して... 続きを読む

脆弱性対応におけるリスク評価手法のまとめ | デジタル人材の育成 | IPA 独立行政法人情報処理推進機構

2024/08/04 196 users IPA CVSS 育成デジタル人材独立行政法人

背景本プロジェクトは、ICSCoE7期生において、実業務で脆弱性対応を行う際に、日々公表される全ての脆弱性に対応しきれないという問題や、CVSS（Common Vulnerability Scoring System）基本値のスコアを脆弱性の対応優先度を決めるために利用するには不十分であると考え、これを解決すべく立ち上げられた。CVSS基本値が... 続きを読む

全ての無線LAN機器を脅かす脆弱性が見つかる

2024/07/30 165 users 無線LAN機器 VPN 全て無線LAN ネットワーク

無線LAN（Local Area Network）を利用する全てのパソコンやスマートフォン（Wi-Fiクライアント）が影響を受ける新しい脆弱性が報告された。悪用すれば、ユーザーが本来接続しようとしていたネットワークよりも安全性が低いネットワークに誘導できる。Wi-FiクライアントのVPN（Virtual Private Network：仮想閉域網）機能... 続きを読む

PHPの脆弱性（CVE-2024-4577）を狙う攻撃について | 情報セキュリティ | IPA 独立行政法人情報処理推進機構

2024/07/05 237 users IPA 注釈悪用 PHP 脅威

注釈：追記すべき情報がある場合には、その都度このページを更新する予定です。概要近年、インターネット境界に設置された装置の脆弱性の悪用を伴うネットワーク貫通型攻撃が脅威となっています。IPA は、昨年8月に公開した「インターネット境界に設置された装置に対するサイバー攻撃について～ネットワーク貫通型攻... 続きを読む

OpenSSHの脆弱性 CVE-2024-6387についてまとめてみた - piyolog

2024/07/01 462 users OpenSSH Qualys piyolog sshd ホスト

2024年7月1日、OpenSSHの開発チームは深刻な脆弱性 CVE-2024-6387 が確認されたとしてセキュリティ情報を発出し、脆弱性を修正したバージョンを公開しました。この脆弱性を発見したQualysによれば、既定設定で構成されたsshdが影響を受けるとされ、影響を受けるとみられるインターネット接続可能なホストが多数稼動して... 続きを読む

「PuTTY」に秘密鍵が復元できてしまう深刻な脆弱性～「WinSCP」など他ツールにも影響／v0.81への更新と鍵の再生成を

2024/04/16 290 users putty WinSCP 再生成他ツール影響

「Apache」「Node.js」も～多くの実装が影響を受ける脆弱性「HTTP/2 CONTINUATION Flood」／「Rapid Reset」脆弱性と比べても深刻

2024/04/09 100 users http Apache Rapid Reset 実装影響

NECの無線LANルータAtermシリーズに複数の脆弱性、59製品に影響

2024/04/08 383 users NEC JPCERTコーディネーションセンター複数影響

JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は4月5日、「JVN#82074338: NEC Atermシリーズにおける複数の脆弱性」において、NECの無線LANルータAtermシリーズに複数の脆弱性が存在するとして、注意を呼びかけた。これら脆弱性を悪用されると、遠隔から攻... 続きを読む

XZ Utilsの脆弱性 CVE-2024-3094 についてまとめてみた - piyolog

2024/03/31 431 users piyolog メンテナペンタ XZ Utils 特定

2024年3月29日、Linux向け圧縮ユーティリティとして広く利用されているXZ Utilsに深刻な脆弱性 CVE-2024-3094 が確認されたとして、研究者やベンダがセキュリティ情報を公開しました。この脆弱性は特定の条件下においてバックドアとして悪用される恐れがあるものとみられており、当該ソフトウエアのメンテナのアカウント... 続きを読む

xzの脆弱性(バックドア埋め込み: Critical: CVE-2024-3094) - SIOS SECURITY BLOG

2024/03/31 112 users Critical OpenSSH 各ディストリビューション

03/29/2024にxzの脆弱性(バックドア埋め込み: Critical: CVE-2024-3094)が公開されました。Fedora Linux 40beta, Fedora rawhide, Debian unstable等の一部のOpenSSHにも使われており、バックドアを利用してログインが出来る状態だったという話も出ています。ソフトウェアサプライチェーン攻撃の一つとも捉えられており... 続きを読む

GPT-4にWebサイトを“自律的に”ハッキングさせる方法　AI自身が脆弱性を検出、成功率70％以上【研究紹介】

2024/02/21 223 users GPT-4 検出 AI自身 LLM Webサイト

米UIUC（イリノイ大学アーバナ・シャンペーン校）に所属する研究者らが発表した論文「LLM Agents can Autonomously Hack Websites」は、大規模言語モデル（LLM）を用いたAIエージェントに、自律的にWebサイトをハッキングさせる攻撃手法を提案した研究報告である。LLMエージェントがWebサイトに存在する脆弱性を事前に知... 続きを読む

GitHub、脆弱性のあるコードを実際にデバッグして学べる「Secure Code Game」シーズン2がスタート

2024/02/18 347 users GitHub ユニットテストコーディングセキュアシーズン

GitHubは、脆弱性を含むコードを実際にデバッグすることでセキュアなコーディングを無料で学べる「Secure Code Game」のシーズン2開始を発表しました。「Secure Code Game」は、ゲームと名付けられていますが、実際のコードを月間60時間無料で提供されるGitHub Codespacesの機能を駆使して修正し、ユニットテストを通し... 続きを読む

新MacBook Pro（M3）でも機密情報が漏えい　2020年以降のApple製品全てに脆弱性　米国チームが発表

2023/11/29 234 users 漏えい新MacBook Pro 機密情報米国チーム発表

このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」（シームレス）を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 Twitter: ＠shiropen2 米ジョージア工科大学などに所属する研究者らが発表した論文「iLeakage: Browser-ba... 続きを読む

楽天が「security.txt」を導入

2023/11/28 146 users txt 楽天アップル導入米Apple

楽天グループがWebサーバーに「security.txt」と呼ぶテキストファイルを置き、脆弱性▼情報の受付窓口としてVDP（Vulnerability Disclosure Program、脆弱性開示プログラム）を開始したことがSNSで話題になった。2023年10月2日のことだ。同社広報はこれを事実だと認めた。 security.txtは、米Apple（アップル）や米Google... 続きを読む

本当にあった Web アプリケーションの脆弱性

2023/10/02 109 users アプリケーション開発現場目的過去 web

この記事の目的今まで Web アプリケーション製作を行った経験が無い方が「ちょっと個人開発で何か作ってみようかな！」と思ったときにうっかり脆弱性を作りこんでしまうことを少しでも防げたらいいなと考えました。そのためにはまず脆弱性を他人事だと考えないことが大事だと思ったので、私が過去の開発現場において実... 続きを読む

静的解析ツールで生まれたSQLインジェクション | ドクセル

2023/09/04 112 users SQLインジェクションドクセル静的解析ツール SQLi

面白かった脆弱性 - CVE-2023-22727 PHPフレームワーク CakePHP 4 のSQLインジェクション脆弱性 ORM limit(), offset() でSQLi CVSS v3 9.8 2023/01に修正済み CakePHP Laravelの次に使用率高いフレームワーク(多分) 割と使いやすいからお勧め 一般にコード品質が上がる静的解析ツールの使用で逆に発生続きを読む

GitLabで1クリックアカウント乗っ取りが可能だった脆弱性から学ぶ、OpenID Connect実装の注意点 - Flatt Security Blog

2023/07/24 136 users GitLab Flatt Security Blog

はじめにこんにちは。株式会社Flatt Securityセキュリティエンジニアの森(@ei01241)です。最近は認証や認可に際してOpenID Connectを使うWebサービスが増えていると思います。「Googleアカウント/Twitter/Facebookでログイン」などのUIはあらゆるサービスで見かけると思います。しかし、OpenID Connectの仕様をよく理... 続きを読む

(1 - 25 / 547件)

次の25件 »