タグ 脆弱性
新着順 10 users 50 users 100 users 500 users 1000 usersPostgreSQL PL/Perlに深刻な脆弱性 直ちに更新を
Varonisは2024年11月15日(現地時間)、リレーショナルデータベース管理システム「PostgreSQL」に深刻な脆弱(ぜいじゃく)性「CVE-2024-10979」が存在すると伝えた。 同脆弱性は攻撃者がPostgreSQLセッションプロセスで任意の環境変数を設定できる点に起因しており、適切な環境制御が実施されていないシステムに深刻な... 続きを読む
「Zoom」に複数の脆弱性 ~情報漏えい等の恐れ/最大深刻度は「High」、早急なアップデートを
EAの7億件のアカウントを盗んだりBANしたり好き放題できる脆弱性を発見した方法をハッカーが解説
ゲーム開発者兼リバースエンジニアのショーン・ケーラー氏が、エレクトロニック・アーツ(EA)の全アカウントを乗っ取ることが可能な脆弱(ぜいじゃく)性を発見したと報告しました。 Hacking 700 Million Electronic Arts Accounts | Sean Kahler https://battleda.sh/blog/ea-account-takeover EAはさまざまなプラットフォ... 続きを読む
人事評価の脆弱性を衝く7つのバイアス『人材マネジメントの基本』
人には何らかのバイアスがある。そこから、あなたを評価する人が犯す過ちが生まれる。本書では、そうした評価エラーのうち、代表的なものを7つ挙げ、注意を促している。 1. ハロー効果 2. 期末効果 3. 逆算化傾向 4. 中心化傾向、極端化傾向 5. 寬大化傾向・厳格化傾向 6. 対比誤差 7. 論理的誤謬 こうした認知バイアス... 続きを読む
Okta AD/LDAP DelAuthモジュールに関する脆弱性
こんにちは、富士榮です。 Okta社よりAD/LDAP DelAuthモジュールに関する脆弱性が報告されていますね。 https://trust.okta.com/security-advisories/okta-ad-ldap-delegated-authentication-username/ 報告されている内容としては、AD/LDAP DelAuthモジュールを使っている環境で、過去にキャッシュログインに成功したこ... 続きを読む
【セキュリティ ニュース】QNAP製NAS向けの複数ツールに深刻な脆弱性 - アップデートを(1ページ目 / 全1ページ):Security NEXT
QNAPのNAS製品向けに提供されているファイル共有やバックアップツールに深刻な脆弱性が明らかとなった。 2件の脆弱性「CVE-2024-50387」「CVE-2024-50388」について、10月29日、30日にアドバイザリを公表したもの。いずれもバグバウンティコンテスト「Pwn2Own 2024」で報告を受けたという。 「CVE-2024-50387」は、ファ... 続きを読む
"お供え物は天国で100倍になって届く”これがマジなら故人にDoS攻撃ができるってこと!?「天国の脆弱性を突くな」
🍹グァバちゃん @薬理怪人 @BanziroG 「お供え物は天国で100倍になって届く」という話があるけど、それが本当なら故人へのDoS攻撃が可能ってこと…? 2024-10-26 16:30:49 🍹グァバちゃん @薬理怪人 @BanziroG 薬理凶室の感染症マニア怪人🍹 「 #感染症をかるめに紹介 」と「#感染症紹介short」で色々な感染症の解説を... 続きを読む
AWS CDKの脆弱性が発覚したらしいので元レポートを読んでみた
「AWS CDKの脆弱性が発覚した」というニュース記事が流れてきたのですが、読んでも不安を煽るだけで何を言っているかよく分からない内容でした。 仕方がないので、脆弱性を報告したAqua Security社の記事を読んでみました。 非常に分かりやすくまとめてくれているので、マスコミのよく分からない記事で不安を感じている... 続きを読む
マイクロソフトが警告「Mac版Safariに脆弱性」 今すぐアップデートを(Forbes JAPAN) - Yahoo!ニュース
今回の脅威はすでに現実のものだ。 マイクロソフトは、この脆弱性がすでに悪用されており、攻撃者が「ユーザーの保護されたデータに不正アクセスする可能性が高い」と警告している。そのデータには「閲覧したウェブページ、デバイスのカメラ、マイク、位置情報」が含まれ、ユーザーが気づかないうちにこれらが狙われる。... 続きを読む
GPT-4やClaudeなどの大規模言語モデルが抱える「ストロベリー問題」とは?
大規模言語モデル(LLM)をベースにしたAIは高い能力を発揮できる一方で、ウソにダマされやすいといった特徴があったり、算数の文章題への推論能力が小学生未満という研究結果があったりと、脆弱(ぜいじゃく)さについてもしばしば指摘されます。AIの能力の限界を示す「ストロベリー問題」という脆弱性について、機械学習エ... 続きを読む
クアルコムのチップに脆弱性。Androidユーザーは自分のスマホをチェックして
クアルコムのチップに脆弱性。Androidユーザーは自分のスマホをチェックして2024.10.18 19:0021,165 Kyle Barr - Gizmodo US [原文] ( ヨコヤマコム ) SnapdragonなどのSocメーカーとして知られるQualcomm(クアルコム)が、さまざまなスマートフォンやタブレットに使用されている同社のチップセットにおいて、脆弱... 続きを読む
「iOS 18.0.1」「iPadOS 18.0.1」が公開 ~iPhone 16で発見された問題や脆弱性に対処/ユーザーが保存したパスワードを「VoiceOver」が読み上げてしまう欠陥など
【セキュリティ ニュース】400近いエプソン製プリンタやスキャナに脆弱性 - 管理者パスワードの設定を(1ページ目 / 全2ページ):Security NEXT
400近いセイコーエプソン製品に脆弱性が明らかとなった。初期設定を行わずにネットワークへ接続している場合、機器を乗っ取られるおそれがあるという。 複数の同社製品では、ブラウザより本体の設定を確認、変更できる「Web Config(Remote Manager)」機能が提供されているが、初期状態では管理者パスワードが未設定と... 続きを読む
起亜自動車の車に「ナンバープレートの情報だけで車両を遠隔操作できる脆弱性」が存在していた
起亜自動車の自動車に「ナンバープレートの番号や記号を入手するだけで遠隔操作できる脆弱(ぜいじゃく)性」が存在していたことが明らかになりました。発見された脆弱性を悪用すると「ロックを解除する」「クラクションを鳴らす」「位置情報を表示する」「オーナーの名前・住所・メールアドレスなどを取得する」といった... 続きを読む
侵入型ランサムウェア攻撃発生時に残るWindowsイベントログの調査 - JPCERT/CC Eyes
侵入型ランサムウェア攻撃の被害発生時の初動対応で難しいのは、侵入経路の特定です。昨今のセキュリティインシデントの傾向からVPN機器の脆弱性が悪用される可能性が高いことはご存じのとおりかと思いますが、被害発生時に想定される侵入経路は複数あることが多いため、調査に時間を費やしてしまうことが多々あります。... 続きを読む
国税庁の「e-Taxソフト」に脆弱性 ~不正なDLLを権限を昇格して実行される恐れ/v3.0.18以降のインストーラーを利用することを推奨
NTT東日本が提供する「RT-400MI」など複数のホームゲートウェイ/ひかり電話ルーターに、アクセス制限不備の脆弱性。最新ファームウェアへの更新を
ChatGPTで「jQueryでAPIを呼びだし、その結果を表示するサンプルプログラムを書いてください」と指示したら、脆弱性のあるサンプルが出てきた話
徳丸 浩 @ockeghem 徳丸本の中の人 EGセキュアソリューションズCTO IPA非常勤職員 YouTubeチャンネル: youtube.com/@websecstudy 匿名での徳丸への質問はMondから mond.how/ja/ockeghem DMはどなたでも送信可能ですが、返信するとは限りません blog.tokumaru.org 徳丸 浩 @ockeghem ChatGPT o1-previewで「jQueryでAPIを... 続きを読む
Apple、複数の脆弱性を修正した「iOS 17.7」と「iPadOS 17.7」をリリース。
Appleが複数の脆弱性を修正した「iOS 17.7」と「iPadOS 17.7」をリリースしています。詳細は以下から。 Appleは現地時間2024年09月16日、iPhoneやiPadに対応し、アプリアイコンやウィジェットをより柔軟にカスタマイズできるホーム画面や刷新されたコントロールセンター、ゲームモードを追加/サポートした「iOS 18 (22A3... 続きを読む
Apple、複数の脆弱性を修正した「macOS 13.7 Ventura」と「macOS 14.7 Sonoma」をリリース。macOS 12 Montereyのセキュリティサポートは終了。
Appleが複数の脆弱性を修正した「macOS 13.7 Ventura」と「macOS 14.7 Sonoma」をリリースし、macOS 12 Montereyのセキュリティサポートは終了しています。詳細は以下から。 Appleは現地時間2024年09月16日、iPhoneの画面をMacに映し出し操作できるiPhoneミラーリング機能やアプリケーションウィンドウをタイル状に並べ... 続きを読む
「.mobi」ドメインのあらゆるサイトのSSL証明書を取得し、インターネットのセキュリティを破壊できてしまう脆弱性が報告される
セキュリティ企業のwatchTowrが、TLDが「.mobi」のあらゆるサイトを乗っ取ることができる脆弱(ぜいじゃく)性を発見したと報告しました。 We Spent $20 To Achieve RCE And Accidentally Became The Admins Of .MOBI https://labs.watchtowr.com/we-spent-20-to-achieve-rce-and-accidentally-became-the-admins-of-mobi/... 続きを読む
YubiKey 5にサイドチャネル攻撃でセキュリティが破られる脆弱性が見つかる、バージョン5.7より前のYubiKeyは永久に危険との勧告
FIDO認証のセキュリティキーとして人気のYubiKeyに脆弱(ぜいじゃく)性があることが判明したと、セキュリティ企業のNinjaLabが発表しました。脆弱性を突いた攻撃には高度な知識と高価な設備が必要ですが、YubiKeyはファームウェアの更新ができないため、バージョン5.7より前の製品はすべて永久に脆弱なままとなります。 S... 続きを読む
中国政府系ハッカー集団「ボルト・タイフーン」がネットワーク運用サービス「Versa Director」の脆弱性を利用してアメリカを標的にゼロデイ攻撃を行っているという指摘
中国政府の支援を受けているハッカー集団「ボルト・タイフーン(Volt Typhoon)」が、インターネットサービスプロバイダー(ISP)やマネージドサービスプロバイダー(MSP)などで使用されているネットワーク運用のためのプラットフォーム「Versa Director」のゼロデイ脆弱(ぜいじゃく)性を悪用した攻撃、いわゆるゼロデイ攻撃... 続きを読む
ペイメントアプリ改ざんでクレカ情報4.5万件流出の可能性 洋菓子「ヴィタメール」ECサイト
洋菓子の製造販売などを手掛けるエーデルワイス(神戸市)は8月28日、ベルギー菓子ブランド「ヴィタメール」のオンラインショップが不正アクセスを受け、顧客のクレジットカード情報4万5355件が漏えいした可能性があると発表した。 システムの脆弱性を突いた不正アクセスにより、ペイメントアプリが改ざんされたことが原... 続きを読む
大分大学のサーバで改ざん被害 PHPの脆弱性突かれGoogle検索結果汚染、海外サイトに誘導
大分大学は8月26日、同大図書館が提供する貴重書アーカイブの公開用サーバが不正アクセスを受けて改ざんされ、海外のWebサイトに誘導される状態になっていたと発表した。同サーバは運用を終了し、別途再構築しているという。個人情報などの漏えいはない。 7月30日に学外から、同大のサイトが、改ざんまたは不適切な埋め... 続きを読む