PHP コードを CGI として実行するインタプリンタ「PHP-CGI」のクエリストリング処理には、任意の引数を指定して PHP-CGI を実行できてしまう脆弱性が存在しました。
2013年12月の呼びかけ(IPA)他
Dr.WEBは、BackDoor.Caphawファミリーに属するバンキングトロイの木馬がSkypeによって大拡散されているとして注意喚起を発表した。
フォーティネットは、「2014年の脅威予測トップ10」を発表した。
Windowsのカーネルにローカルでの権限昇格が可能となる脆弱性が見つかったんだって。この脆弱性はWindows XPとWindows Server 2003に影響があるみたいなんだにゃー。
中国と日本を狙う標的型攻撃に利用される「EvilGrab」の作成ツールを確認(トレンドマイクロ:ブログ)他
IPAおよびJPCERT/CCは、たっちゃんのHPが提供するCGIゲーム「改造版 TOWN」にディレクトリトラバーサルの脆弱性が存在すると「JVN」で発表した。
トレンドマイクロは、米Microsoftが11月27日に公開したゼロデイ脆弱性「マイクロソフト セキュリティ アドバイザリ(2914486)」(CVE-2013-5065)を利用する攻撃コード(エクスプロイト)の検体を確認したと同社ブログで発表した。
偽の検索結果を表示させるトロイの木馬が感染したサイトから拡散(Dr.WEB)他
マカフィーは、米McAfee社による「2013年、12のオンライン詐欺」を発表した。
トレンドマイクロは11月25日、「SAP」のユーザーを狙うバックドア型不正プログラム「BKDR_SHIZ.TO(別名:Gamker)」が発見されたとして、注意喚起する文章を公開した。
一太郎の脆弱性の悪用に成功した攻撃を確認(シマンテック:ブログ)他
トレンドマイクロは、CADソフトウェアの標準ファイル形式であるDWGファイルなど重要な画像ファイルを削除する「VBS_SOYSOS」を確認したと同社ブログで発表した。
Apache Struts 2 の showcase サンプルアプリケーションにクロスサイトスクリプティング (XSS) の脆弱性が報告されています。
「AutoCAD」関連の不正プログラム「ACM_SHENZ.A」、感染PCを脆弱な状態に(トレンドマイクロ:ブログ)他
シマンテックは、2014年の予測を発表した。上位トピックの予測として4つを解説している。
Tomcat サーバを狙う攻撃者(シマンテック:ブログ)他
Dr.WEBは、SAPエンタープライズソフトウェアを標的とする悪意のあるプログラムについて注意喚起を発表した。
IPAおよびJPCERT/CCは、Thomson Reutersが提供する解析ツール「Thomson Reuters Velocity Analytics Vhayu Analytic Serverにコードインジェクションの脆弱性が存在すると「JVN」で発表した。
トレンドマイクロは、台風第30号(Haiyan)被害に便乗した詐欺が横行しているとして同社ブログで注意喚起を行っている。
日本で広く使用されているECサイト構築パッケージWebアプリの「EC-CUBE」に合わせて6件の脆弱性が見つかって公表されているよ。脆弱性の内訳はXSS、CSRF、情報漏えいなんだにゃー。
ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)