Windowsで動くプログラミング言語に脆弱性、引数の扱い方の穴を突いて攻撃

2024/04/15 22 users 引数 プログラミング言語 Windows 脆弱性 攻撃

CERT Coordination Center (CERT/CC, Carnegie Mellon University)は4月10日(米国時間)、「VU#123335 - Multiple programming languages fail to escape arguments properly in Microsoft Windows」において、Windows上で動作する複数のプログラミング言語から引数を適切にエスケープしない脆弱性を発見したと報じた。こ... 続きを読む

Windows 11 22H2で巨大ファイルのコピーが遅くなる問題が解決／TPM 2.0に脆弱性　数十億台に影響がある可能性も

2023/03/12 11 users 脆弱性 コピー 解決 影響 TPM 2.0

米CERT Coordination Center（CERT/CC）は2月28日（現地時間）、Windows 11の必要要件にもなっているTPM 2.0に2つのバッファオーバーフロー脆弱性（CVE-2023-1017、CVE-2023-1018）を発見したと発表した。この脆弱（ぜいじゃく）性を利用すると、攻撃者は機密データの読み取りや、TPMで保護されている暗号化キーなどの上... 続きを読む

知られたくないドメインのSSL/TLS証明書を取得する場合は証明書の透明性(CT)を無効にしよう(AWS Certificate Manager編) | DevelopersIO

2021/12/19 18 users DevelopersIO 監査 監視 TLS証明書 ドメイン

知られたくないドメインのSSL/TLS証明書を取得する場合は証明書の透明性(CT)を無効にしよう(AWS Certificate Manager編) SSL/TLS証明書(以下証明書)には証明書の監視や監査を行って証明書の信頼性を高める「Certificate Transparency(証明書の透明性;以下CT)」という仕組みがあります。 Certificate Transparency : Cert... 続きを読む

IEの脆弱性を狙ったゼロデイ攻撃が発生中、解決策なく「他のブラウザの使用を」 - ITmedia エンタープライズ

2020/01/21 6 users ゼロデイ攻撃 ITmedia エンタープライズ 脆弱性 当面

MicrosoftのWebブラウザ「Internet Explorer」（IE）に存在する未解決の脆弱（ぜいじゃく）性を突く攻撃の発生が確認された。現時点で脆弱性を解決する方法は存在しない。Microsoftや米国のセキュリティ機関CERT/CCは2020年1月17日に公開したセキュリティ情報の中で、当面の対策を紹介している。 MicrosoftやCERT/CCのセ... 続きを読む

あなたのスマホが危ないかも――BroadcomのWi-Fiチップセットに脆弱性、CERT/CCが注意喚起 - ITmedia エンタープライズ

2019/04/19 12 users Broadcom IoTデバイス Wi-Fiチップ 注意喚起

あなたのスマホが危ないかも――BroadcomのWi-Fiチップセットに脆弱性、CERT/CCが注意喚起 BroadcomのWi-FiチップはスマートフォンからノートPC、スマートTV、IoTデバイスに至るまで幅広い製品に使われているため、脆弱性が見つかった場合のリスクは大きい。 CERT/CCは2019年4月17日付のセキュリティ情報で、Broadcom製Wi-... 続きを読む

自己暗号化ドライブに複数の脆弱性、WindowsのBitLockerなどに影響 - ITmedia エンタープライズ

2018/11/08 28 users BitLocker Micron Crucial SSD 暗号

CrucialやSamsung製のSSDでも脆弱性を確認：自己暗号化ドライブに複数の脆弱性、WindowsのBitLockerなどに影響 悪用されればドライブの暗号が解読される恐れがある。Crucial（Micron）やSamsungのSSD、そしてWindowsのBitLockerなどが影響を受ける。 米セキュリティ機関のCERT/CCは11月6日、ハードウェアベースの暗号化... 続きを読む

Windowsタスクスケジューラに未解決の脆弱性、悪用コードも公開 - ITmedia エンタープライズ

2018/08/29 35 users Windowsタスクスケジューラ 悪用コード ALPC 権限

米MicrosoftのWindowsに未解決の脆弱性が発覚し、米セキュリティ機関のCERT/CCが8月27日付でセキュリティ情報を公開した。既に悪用コードも公開されているという。 CERT/CCによると、脆弱性はWindowsタスクスケジューラの「Advanced Local Procedure Call（ALPC）」に存在する。ローカルユーザーに悪用された場合、権限... 続きを読む

中国のCERT報告書：NEM(XEM)が最も安全なプロジェクト

2018/01/20 21 users XEM Nem 欠陥 プロジェクト 中国

中国のCERT(中国の非営利サイバーセキュリティセンター)の報告書によると、NEMは他のプロジェクトと比べ、最も安全なプロジェクトと報告されました。中国のCERT報告書 中国のCERT(中国の非営利サイバーセキュリティセンター)の報告書によると、NEMは他のプロジェクトと比べ、最も安全なプロジェクトと報告されました 25のプロジェクトを9段階ある脆弱性にレベルわけ 746もの高レベル攻撃による欠陥... 続きを読む

「Windows 8」以降のセキュリティ機能に脆弱性--ASLRに欠陥 - CNET Japan

2017/11/21 16 users ASLR Windo 欠陥 脆弱性 CNET Japan

「Windows 10」に組み込まれている脆弱性緩和技術の1つ、アドレス空間レイアウトのランダム化 (ASLR) に問題が指摘された。カーネギーメロン大学によるセキュリティ研究機関、CERT Coordination Center（CERT/CC）が「Windows 8」以降のシステムが影響を受けると 警告している 。 ASLRはコード実行に依存した攻撃を予防するもので、Android、Windo... 続きを読む

IEEEの電子設計暗号規格に脆弱性、半導体大手の製品に影響の恐れ - ITmedia エンタープライズ

2017/11/07 13 users IEEE 半導体大手 ITmedia エンタープライズ 木馬

電子回路設計データの暗号化やアクセス権管理の方法を定めたIEEE規格「P1735」に脆弱性が発見され、米セキュリティ機関のCERT/CCがセキュリティ情報を公開し、注意を呼び掛けた。 その情報によると、IEEE P1735に暗号攻撃に対する脆弱性があり、攻撃者が鍵を使わずに平文の知的財産を入手できてしまう恐れがある。所有者が知らないうちに、電子回路設計データが改ざんされてトロイの木馬を挿入され、バ... 続きを読む

Goでcertというコマンドを作ってみた | /etc/motg

2017/09/23 44 users コマンド etc

$ cert github.com DomainName: github.com Issuer: DigiCert Inc NotBefore: 2016/03/10 09:00:00 NotAfter: 2018/05/17 21:00:00 CommonName: github.com SANs: [ github.com www.github.com] $ cert github.com g... 続きを読む

CERT曰く、Windows 10でもEMETは無駄ではない | スラド セキュリティ

2016/11/26 14 users スラド EMET NEOWIN セキュリティ Micr

Microsoftは脆弱性緩和ツール EMET をWindows 10で使用する必要はないとし、 2018年7月31日のサポート終了 を明らかにしているが、Windows 10でもEMETのようなツールが必要だとCERTのWill Dormann氏が反論している( CERT/CC Blogの記事 、 The Registerの記事 、 Neowinの記事 、 BetaNewsの記事 )。 Micr... 続きを読む

OpenSSLに脆弱性、秘密鍵流出の恐れ - ITmedia エンタープライズ

2016/01/14 47 users OpenSSL OpenS 鍵流出 サーバ 脆弱性

悪質なサーバを使って悪用された場合、クライアントユーザーの秘密鍵を含むクライアントメモリが流出する恐れがある。 オープンソースのSSL/TLS暗号化ライブラリ「OpenSSL」に情報流出の脆弱性が見つかり、1月14日にリリースされた更新版で修正された。秘密鍵が流出する恐れもあることから、米セキュリティ機関のCERT/CCなどはできるだけ早急に対応するよう呼び掛けている。 CERT/CCやOpenS... 続きを読む

BuffaloやNetgearなどのルータに脆弱性、CERT/CCが情報公開 - ITmedia エンタープライズ

2015/12/11 19 users NETGEAR BUFFALO ルータ 脆弱性 大手

米カーネギーメロン大学のCERT/CCは12月10日、BuffaloやNetgearなど大手の製品を含むルータの脆弱性に関する情報を公開した。 CERT/CCによると、BuffaloとNetgeaのルータにはDNS偽装の脆弱性が見つかった。Buffaloのルータは「AirStation Extreme N600 Router WZR-600DHP2」（ファームウェアバージョン2.09, 2.13,... 続きを読む

SeagateのHDDは隠しルートアカウント経由でデータを盗み取られる危険性があると判明 - GIGAZINE

2015/09/09 25 users Seagate GIGAZINE HDD 判明 脆弱性

HDD製造大手のSeagateが販売する一部の製品には、密かに実装された隠しルートアカウント機能が存在しており、これを悪用することでHDD内部のデータを無制限に盗み出したり悪意あるファイルをアップロードしたりできる脆弱性があると、セキュリティ研究機関のCERTが指摘しています。 Vulnerability Note VU#903500 - Seagate and LaCie wireless st... 続きを読む

シーゲイト製の無線HDDに「隠し」rootアカウント--データ窃取の恐れ - ZDNet Japan

2015/09/08 69 users マニュア アドバイザリ rootアカウント Seagate

Seagateの無線ハードディスクドライブ製品に非公開のrootアカウントが実装されており、リモートからのデータ窃取に悪用される可能性があることが判明した。 セキュリティ情報の収集と分析を手がける機関であるCERTが、セキュリティ企業Tangible Securityからの報告を受けて米国時間9月1日に公表したアドバイザリによると、該当するSeagateの無線ハードディスクドライブ製品は、マニュア... 続きを読む

JVNVU#99671861: UPnP を実装した複数のルータ製品にセキュリティ機能の実装が不十分な問題

2015/09/01 12 users UPnP UUID セクション 実装 セキュリティ対策

UPnP を実装した複数の家庭用ルータ製品において、UPnP Control URL で使われる UUID のランダム化や他のセキュリティ対策が十分に実施されていない問題があります。 影響を受けるシステムは複数存在します。 詳しくは本アドバイザリの【ベンダ情報】のセクションや、CERT/CC Vulnerability Note VU#361684 の Vendor Information に掲載... 続きを読む

プレス発表　【注意喚起】HTTPSで通信するAndroidアプリの開発者はSSLサーバー証明書の検証処理の実装を：IPA 独立行政法人 情報処理推進機構

2014/09/22 66 users https IPA セキュリティセンター 一正 藤江

～米国CERT/CC (*1)が脆弱性のある617のAndroidアプリを指摘 (*2)。今後さらに指摘される見込み～ IPA（独立行政法人情報処理推進機構、理事長：藤江 一正）セキュリティセンターは、米国のCERT/CCが2014年9月3日、複数のAndroidアプリに「SSL証明書を適切に検証しない脆弱性」を確認したとの発表を受け、Androidアプリ開発者に対して注意喚起を発することとしまし... 続きを読む

Adobe ShockwaveにバンドルのFlash、多数の脆弱性が放置状態に - ITmedia エンタープライズ

2014/05/25 19 users Flash Adobe Shockwave ハンドル 脆弱性

現行バージョンのShockwaveに組み込まれているのは、2013年1月にリリースされた古いバージョンのFlash 11.5.502.146だった。 米Adobe SystemsのShockwave Playerに組み込まれているFlashが古いバージョンのまま更新されず、多数の脆弱性が放置された状態になっていることが分かった。米カーネギーメロン大学のCERTが脆弱性情報を更新して注意を呼び掛けて... 続きを読む