脆弱性と脅威エクスプロイトニュース記事一覧(14 ページ目)

month
1
2
3
4
5
6
7
8
9
10
11
12

エクスプロイト 2016.7.26 Tue 7:18

Ruby on Rails において Render メソッドの実装不備により遠隔から任意のコードが実行されてしまう脆弱性（Scan Tech Report）

Web アプリケーションフレームワークである Ruby on Rails において、動的なコンテンツ呼び出しに利用される Render メソッドの値検証不備に起因する遠隔コード実行の脆弱性が報告されています

エクスプロイト 2016.7.13 Wed 8:45

GNU Wget においてファイル名検証不備により任意のファイルがダウンロードさせられてしまう脆弱性（Scan Tech Report）

ファイルのダウンロードなどを行うために利用されるコマンドである Wget において、ファイル名検証不備により意図していないファイルをダウンロードさせられてしまう脆弱性が報告されています。

エクスプロイト 2016.6.23 Thu 10:37

Apache Struts 2 において REST プラグインの実装不備により任意のコードが実行されてしまう脆弱性（Scan Tech Report）

Apache ソフトウェア財団による Web アプリケーション開発フレームワークで
ある Struts のバージョン 2 系に、REST プラグインに含まれる実装不備を利
用して任意のコードが実行可能となる脆弱性が報告されています。

エクスプロイト 2016.6.14 Tue 8:15

WordPress の Ninja Forms プラグインにおいて投稿内容の検証不備により任意のファイルがアップロードされてしまう脆弱性（Scan Tech Report）

WordPress のプラグインである Ninja Forms において、POST パラメータ処理の不備により、遠隔から任意のファイルがアップロードされてしまう脆弱性が報告されています。

エクスプロイト 2016.6.1 Wed 10:49

Microsoft Windows の Secondary Logon サービスにおいて要求ハンドルの取り扱い不備により高い権限で任意のコードが実行されてしまう脆弱性（Scan Tech Report）

Microsoft Windows の Secondary Logon サービスに含まれる不備により、高い権限で任意のコードが実行可能となる脆弱性が報告されています。

エクスプロイト 2016.5.26 Thu 8:15

Apache Struts 2 において Dynamic Method Invocation 機能の実装不備により遠隔から任意のコードが実行されてしまう脆弱性（Scan Tech Report）

Apache Struts 2 の Dynamic Method Invocation (DMI) 機能に、遠隔から任意のコードが実行されてしまう脆弱性が報告されています。

エクスプロイト 2016.5.13 Fri 9:15

OS X において IOUSBFamily の不備によりサービス不能および高い権限で任意のコードが実行されてしまう脆弱性

Apple 社の OS である OS X において、USB 機器との接続機能を担うカーネルモジュールである IOUSBFamily に、メモリ処理の不備に起因する脆弱性が報告されています。脆弱性の利用により、メモリ破壊や高い権限でのコード実行が行われる可能性があります。

TheRegister 2016.4.27 Wed 12:55

バグ発見の賞金稼ぎが大金を獲得するも、ブームはまだ始まったばかり本誌記者Darren Pauliが幸福な雇われハッカーと親しくする(2)(The Register)

保育士夫婦の息子Wakelamがハイスクールから脱出したのは、3年生の終わりだった。両親は、将来を見据えた決断だとして支持した。バグ発見報奨金は儲かる仕事として、また履歴書の穴を埋めるものとして、中退したWakelamに最適だった。

エクスプロイト 2016.4.14 Thu 10:45

OS X および iOS において競合状態制御の不備により管理者権限で任意のコードが実行されてしまう脆弱性

Apple 社の OS である OS X および iOS に、競合状態制御の不備により管理者権限で任意のコードが実行されてしまう脆弱性が報告されています。

エクスプロイト 2016.3.28 Mon 9:45

Microsoft Windows の WebDAV においてメモリ検証不備により権限昇格または DoS 攻撃されてしまう脆弱性

Microsoft Windows の WebDAV (Web Distributed Authoring and Versioning)
に含まれる脆弱性により、権限昇格や DoS 攻撃が実行可能であることが報告
されています。

エクスプロイト 2016.3.14 Mon 8:15

glibc ライブラリの getaddrinfo 関数におけるバッファオーバーフローの脆弱性(Scan Tech Report)

glibc ライブラリにおいてバッファオーバーフロー脆弱性が公開されました。

エクスプロイト 2016.2.22 Mon 8:00

Fedora、CentOS において ABRT に含まれるシンボリックリンク攻撃の脆弱性を利用して権限昇格されてしまう脆弱性（Scan Tech Report）

Red Hat Enterprise Linux、CentOS、Fedora などに実装されている自動バグ報告ツール ABRT (Automatic Bug Reporting Tool) において、2 つの脆弱性を利用して権限昇格が可能であることが報告されています。

エクスプロイト 2016.2.8 Mon 8:00

Linux kernel のファイルシステム Overlayfs における権限の検証不備により権限昇格されてしまう脆弱性（Scan Tech Report）

Linux kernel 4.3.3 までの Overlayfs に、アクセス制限の回避と任意のOverlayfs ファイルの属性変更により、権限昇格が可能となる脆弱性が報告されています。

TheRegister 2016.2.5 Fri 8:30

Word に気をつけろ：SCADA ハッカーの BlackEnergy が戦略を変えている～最新の標的はテレビ局（The Register）

「彼らが Word 文書を利用することは事前に予想していたので、これは我々の疑いを確証するものだった。一般的に言えば、『マクロを含んだ Word 文書』は、APT 攻撃を行う人々の間でますます人気が高くなっている」

TheRegister 2016.2.2 Tue 8:30

ウクライナの電気事業者が、オープンソースの「バックドア型トロイの木馬」に再び攻撃される～そのマクロのフィッシング攻撃はロシア発か（The Register）

この攻撃の出所は必ずしもロシアだとは言えず、また、いかなる者に対しても完全な確信を持って責任を問うことができないと Lipovsky は語る。現在、多くの研究者たちがスレットインテリジェンスとフォレンジックに協力して取り組んでいる。

TheRegister 2016.1.28 Thu 8:30

フィッシング攻撃に泥を吐いた 2 要素認証の LastPass がロックダウン～パスワードの金庫室を略奪するフィッシングの餌が、Github で公開される（The Register）

通常ならば、金庫室にアクセスするためのマスターパスワードが公式のウェブサイト以外のあらゆるウェブサイト上で入力された場合、LastPass は警告を発する。攻撃者は、その警告の表示をブロックすることができた。

TheRegister 2016.1.22 Fri 8:30

狡猾な罠を仕掛けた「マルウェア付きのインボイス」が、日本の銀行口座を空っぽにする～それをブロックできたアンチウイルス製品は、たった 7 ％（The Register）

Rovnix は広範に知られているものではない。IBM によれば、テストを行った 54 のアンチウイルス製品のうち、このマルウェアの特定の構成を検出したのは、わずか 4 つだった。ただし現在、シグネチャファイルの追加が行われている最中である。

TheRegister 2016.1.19 Tue 8:30

「脱線を招く欠陥」に苛立たされた列車ハッカーが、SCADA のパスワードのリストを公開～これで彼らも修復するだろう、たぶん（The Register）

これらのバグは（無害そうなアプリケーションのバグでも）、賢い攻撃者により強力なベクトルで悪用される可能性がある。「もし誰かがモデムを攻撃できたら、そのモデムは電車の自動制御システムを攻撃でき、そして彼らは電車の制御を奪うことができる」

TheRegister 2016.1.15 Fri 8:30

あなたのパスワードの長さはどれぐらい？　HTTPS Bicycle 攻撃で暴かれるのは、それだけではない～「怠け者よ、2 要素認証を使え」（The Register）

暗号を利用したウェブサイトと情報交換する際は、自分のパスワードの秘密が保たれていると思いがちだ。HTTPS Bicycle攻撃は、そうでない場合もあるということを示している。ほんの僅かな情報も、のちに『より洗練された攻撃』をもたらす可能性がある。

TheRegister 2016.1.14 Thu 8:30

「SLOTH」（ナマケモノ）が来る！　インターネットプロトコルから MD5 を取り除け、早く！～研究者たちが「まだ残されているハッシュ関数」の問題を指摘（The Register）

それをクラックするには非常に多くの計算力が要求される、という仮定が常にあったが、コードは1時間でクラックでき、エンドユーザーになりすましてシステムに侵入できる可能性があるということを、この論文は主張している。

エクスプロイト 2016.1.12 Tue 9:15

Juniper 社製 NetScreen で動作する ScreenOS の認証回避の脆弱性（Scan Tech Report）

Juniper 社製 Firewall 製品である NetScreen で動作する ScreenOS には、管理アクセスにおける認証を回避する脆弱性が報告されています。

先頭
前
9
10
11
12
13
14
15
16
17
18
19

…

20
次
最後

Page 14 of 29

脆弱性と脅威 エクスプロイトニュース記事一覧(14 ページ目)