脆弱性と脅威ニュース|ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.01.17(火)

脆弱性と脅威

PHPMailer において送信元情報の検証不備により任意のファイルが書き込まれてしまう脆弱性(Scan Tech Report) 画像
エクスプロイト 株式会社ラック サイバー・グリッド研究所

PHPMailer において送信元情報の検証不備により任意のファイルが書き込まれてしまう脆弱性(Scan Tech Report)

WordPress をはじめとした様々な CMS ソフトウェアにも組み込まれているライブラリソフトウェアである PHPMailer に、値検証の不備により遠隔から任意のコードが書き込まれてしまう脆弱性が報告されています。

複数のアタッシェケース製品に任意のファイルの作成や上書きの脆弱性(JVN) 画像
セキュリティホール・脆弱性 吉澤 亨史

複数のアタッシェケース製品に任意のファイルの作成や上書きの脆弱性(JVN)

IPAおよびJPCERT/CCは、HiBARA SoftwareおよびMaruUo Factoryが提供するオープンソースのファイル暗号化ソフト「アタッシェケース」にディレクトリトラバーサルの脆弱性が存在すると「JVN」で発表した。

「CodeLathe FileCloud」に意図しない操作を行われる脆弱性(JVN) 画像
セキュリティホール・脆弱性 吉澤 亨史

「CodeLathe FileCloud」に意図しない操作を行われる脆弱性(JVN)

IPAおよびJPCERT/CCは、CodeLatheが提供する「FileCloud」にクロスサイトリクエストフォージェリの脆弱性が存在すると「JVN」で発表した。

「NEXON」騙る新たなフィッシング、OTP変更や異常回数のログイン試行を理由に(フィッシング対策協議会) 画像
脅威動向 吉澤 亨史

「NEXON」騙る新たなフィッシング、OTP変更や異常回数のログイン試行を理由に(フィッシング対策協議会)

フィッシング対策協議会は、オンラインゲームを提供する「NEXON」を騙るフィッシングメールが出回っているとして注意喚起を発表した。

ワッセナー・アレンジメントに関する交渉決裂、exploit の輸出問題は未解決~多少の進展あれど歩みは遅く (The Register) 画像
TheRegister The Register

ワッセナー・アレンジメントに関する交渉決裂、exploit の輸出問題は未解決~多少の進展あれど歩みは遅く (The Register)

共同で交渉にあたったケイティ・ムスリ氏は、Microsoft社にバグ・バウンティ制度を開始するよう促し、現在Luta Security社を経営する女性だが、この状況を「ガッカリだ」と表現し、アメリカの次期政権が取り組むべき問題になったと述べた。

BIND 9.xにDNSサービスが停止する複数の脆弱性、緊急情報を公開(JPRS) 画像
セキュリティホール・脆弱性 吉澤 亨史

BIND 9.xにDNSサービスが停止する複数の脆弱性、緊急情報を公開(JPRS)

JPRSは、BIND 9.xの脆弱性(DNSサービスの停止)について2つの注意喚起を発表した。

「Officeのプロダクトキーが不正コピーされた」とするフィッシングを確認(フィッシング対策協議会) 画像
脅威動向 吉澤 亨史

「Officeのプロダクトキーが不正コピーされた」とするフィッシングを確認(フィッシング対策協議会)

フィッシング対策協議会は、マイクロソフトを騙るフィッシングメールが出回っているとして注意喚起を発表した。

「サイボウズ リモートサービスマネージャー」に、意図しない操作をされる脆弱性(JVN) 画像
セキュリティホール・脆弱性 吉澤 亨史

「サイボウズ リモートサービスマネージャー」に、意図しない操作をされる脆弱性(JVN)

IPAおよびJPCERT/CCは、サイボウズが提供する、「サイボウズ リモートサービス」を利用して社内のサイボウズ製品などにアクセスするためのソフトウェア「リモートサービスマネージャー」にクライアント証明書の検証不備の脆弱性が存在すると「JVN」で発表した。

「ThreatMetrix SDK」にiOS上で通信の盗聴や改ざんの脆弱性(JVN) 画像
セキュリティホール・脆弱性 吉澤 亨史

「ThreatMetrix SDK」にiOS上で通信の盗聴や改ざんの脆弱性(JVN)

IPAおよびJPCERT/CCは、ThreatMetrixが提供するモバイルアプリケーションにセキュリティ関連の機能を提供するライブラリ「ThreatMetrix SDK」にSSLサーバ証明書の検証不備の脆弱性が存在すると「JVN」で発表した。

Adobe Flash Player、Acrobat、Readerのセキュリティアップデートを公開(アドビ) 画像
セキュリティホール・脆弱性 吉澤 亨史

Adobe Flash Player、Acrobat、Readerのセキュリティアップデートを公開(アドビ)

アドビは、「Adobe Flash Player」「Acrobat」「Reader」のセキュリティアップデート(APSB17-01およびAPSB17-02)を公開した。

月例セキュリティ情報、「緊急」1件を含む4件を公開(日本マイクロソフト) 画像
セキュリティホール・脆弱性 吉澤 亨史

月例セキュリティ情報、「緊急」1件を含む4件を公開(日本マイクロソフト)

日本マイクロソフトは、2017年1月のセキュリティ情報を公開した。公開されたセキュリティ情報は4件で、このうち最大深刻度「緊急」は1件、「重要」は3件となっている。

Wi-Fiルータを攻撃し、Androidユーザを感染させるトロイの木馬を発見(カスペルスキー) 画像
脅威動向 吉澤 亨史

Wi-Fiルータを攻撃し、Androidユーザを感染させるトロイの木馬を発見(カスペルスキー)

カスペルスキーは、Wi-Fiルータを狙うAndroid向けトロイの木馬「Switcher Trojan」を同社Kaspersky Labのリサーチャーが発見したと発表した。

2016年は「サイバー脅迫元年」、ランサムウェアと銀行詐欺ツールが急増(トレンドマイクロ) 画像
脅威動向 吉澤 亨史

2016年は「サイバー脅迫元年」、ランサムウェアと銀行詐欺ツールが急増(トレンドマイクロ)

トレンドマイクロは、「2016年国内サイバー犯罪動向」速報版を発表した。

「Adobe Acrobat」「Reader」のセキュリティアップデート事前通知を公開(アドビ) 画像
セキュリティホール・脆弱性 吉澤 亨史

「Adobe Acrobat」「Reader」のセキュリティアップデート事前通知を公開(アドビ)

アドビは、「Adobe Acrobat」および「Reader」のセキュリティアップデートの事前通知(APSB17-01)を発表した。

オリーブデザインの複数のソフトに脆弱性、開発終了のため使用停止を(JVN) 画像
セキュリティホール・脆弱性 吉澤 亨史

オリーブデザインの複数のソフトに脆弱性、開発終了のため使用停止を(JVN)

IPAおよびJPCERT/CCは、オリーブデザインが提供していた「Olive Blog」「Olive Diary DX」「WEB SCHEDULE」にXSSの脆弱性が存在すると「JVN」で発表した。

欧州公式Twitterアカウントが乗っ取り被害、暴言を含むツイートやフォロワーをブロック(スクウェア・エニックス) 画像
脅威動向 RIKUSYO

欧州公式Twitterアカウントが乗っ取り被害、暴言を含むツイートやフォロワーをブロック(スクウェア・エニックス)

スクウェア・エニックスの欧州公式Twitterアカウントがハッキング被害に遭い、一時的に乗っ取られていたことが明らかとなりました。

2017年のDDoS攻撃: 深刻な状況に備えて用心を~最悪の2016年、残念ながら2017年も好転しない(The Register) 画像
TheRegister The Register

2017年のDDoS攻撃: 深刻な状況に備えて用心を~最悪の2016年、残念ながら2017年も好転しない(The Register)

DDoS攻撃は遅くとも2000年頃には確認されており、現在もとどまる気配はない。大規模DDoS攻撃の実行とその防止とが同時に展開されてきた。そして2017年もやはり、この闘争はきわめて激しいものになると見られている。これから今後12か月で起きることの予想をあげていこう。

iOSアプリ「ShoreTel Mobility Client」に通信の盗聴や改ざんの脆弱性(JVN) 画像
セキュリティホール・脆弱性 吉澤 亨史

iOSアプリ「ShoreTel Mobility Client」に通信の盗聴や改ざんの脆弱性(JVN)

IPAおよびJPCERT/CCは、ShoreTel社が提供するiOS向けアプリ「ShoreTel Mobility Client」にSSLサーバ証明書の検証不備の脆弱性が存在すると「JVN」で発表した。

「PHPMailer」に任意のOSコマンドを実行される脆弱性、攻撃コード公開(JVN) 画像
セキュリティホール・脆弱性 吉澤 亨史

「PHPMailer」に任意のOSコマンドを実行される脆弱性、攻撃コード公開(JVN)

IPAおよびJPCERT/CCは、PHPで作成されたWebアプリケーションにメールの送信機能を追加するためのライブラリ「PHPMailer」にOSコマンドインジェクションの脆弱性が存在すると「JVN」で発表した。

支払いと拡散を選ばせるランサム、ドキシング、機械学習の犯罪利用など予測(Avast Software) 画像
脅威動向 吉澤 亨史

支払いと拡散を選ばせるランサム、ドキシング、機械学習の犯罪利用など予測(Avast Software)

Avast Softwareは、2017年に台頭すると予測されるサイバーセキュリティ脅威を発表した。

2016年十大ニュース、1位はIoTセキュリティ、番外編に「シン・ゴジラ」(JNSA) 画像
脅威動向 吉澤 亨史

2016年十大ニュース、1位はIoTセキュリティ、番外編に「シン・ゴジラ」(JNSA)

JNSAは、同協会のセキュリティ十大ニュース選考委員会による「JNSA 2016 セキュリティ十大ニュース」を発表した。

このカテゴリの記事をもっと見る

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×