![ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]](/base/images/header-logo.2018100901.png){kind=logo}
「22 年目の X Window バグ」大解剖:新たに発見されたルート権限取得の欠陥~UNIX 風味のデスクトップを他人と共有している人は、すぐにパッチを(The Register)
libXfont は、X.Org が配布するすべての X サーバ上で、ユーザが指定したフォントファイルを読み込む目的で使用されており、そこには Xorg サーバ(多くの場合はハードウェアへのアクセスに、root 権限あるいは setuid-root が要求される)が含まれている
国際
TheRegister
libXfont のコードで新たに発見された(そして 22 年前から存在していた)この権限昇格のバグを、厄介なユーザーによって悪用される前に取り除くため、システム管理者たちは数日かけてコードにパッチを当てている。この欠陥は、何者かが脆弱となったマシンへログインし、X サーバをクラッシュできるようにするもの、あるいは、おそらくは何者かがスーパーユーザーとしてコードを注入し、実行できるようにするものだ。
このバグは、「何百」ものバグを見つけた Chaos Communication Congress のプレゼンテーション(それに関する X.org メーリングリストでの記述はここで閲覧できる)のすぐ後に続く形で、新しく発見された。それは典型的なスタックバッファオーバーフローのバグであり、その誕生は 1991 年にさかのぼる――そして、それは X11 のすべてのバージョンに存在している。
関連記事
-
エクスプロイトブローカーなど必要ない:バグ報奨金を均一化しよう~善玉、悪玉、卑劣漢――誰でも 1 件 15 万ドル(The Register)
-
OpenSSL が、NSA に汚染された暗号を利用するのが心配? バグはあなたの味方だ~ソフトウェアの欠陥によって、不審な乱数発生器が無効化されていたことが判明(The Register)
-
DARPA、200 万ドルの「セキュリティのバグたたき」の挑戦でハッカーたちの才能を徴募する~Capture the Flag のコード競争に破格の賞金(The Register)
-
バグ報奨金のスタートアップ企業はクラウドテスティングで大儲けを企む~しかし、それをアウトソーシングするのは正解かもしれない(The Register)
Scan PREMIUM 会員限定記事
もっと見る-
研修・セミナー・カンファレンス潜入ルポ:実際の ADAS 車両へのサイバー攻撃セミナー
今秋 9 月 21 日、実際の車両を用いて CAN ネットワークに介入し、疑似的なサイバー攻撃を再現・体験するセキュリティセミナーが開催された。講師を務めたのは、広島市立大学の井上 博之 教授だ。
-
Adobe Flash Player において Use-After-Free の脆弱性により遠隔から任意のコードが実行されてしまう脆弱性(Scan Tech Report)
Adobe Flash Player に遠隔から任意のコードが実行可能となる脆弱性が報告されています。
-
2019 年新春の決意:お年玉で絶対に買ってはいけない「最新技術製品」(The Register)
あらゆる専門家がIT業界の未来を予測し、的中させようと躍起になっていました。今度は私に順番が回ってきました。そこで思いつくままにたわごとを書き連ねてみようと思います。
-
Scan PREMIUM Monthly Executive Summary 2018.12
毎月第一営業日前後をめどに、前月に起こったセキュリティ重要事象のふり返りを行う際に、参考資料として活用いただくことを目的に「 Scan PREMIUM Monthly Executive Summary 」を2019 年 1 月から新たにお届けします。
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ
オムロン「CX-Supervisor」に複数の脆弱性(JVN)
LinuxやIoTを狙う新たな不正プログラムなど--2018年のマルウェア傾向(Dr.WEB)
三井住友銀行を騙るシンプルなメールに注意(フィッシング対策協議会)
インシデント報告件数、「フィッシングサイト」と「スキャン」が拮抗(JPCERT/CC)
OracleがJavaをアップデート、Java SE 8の商用ユーザは特に注意(JPCERT/CC、IPA)
Amazonプライム会員の更新のためにカード情報を登録させるニセメール(フィッシング対策協議会)
インシデント・事故 記事一覧へ
「はるか夢の址」運営者など3名に実刑判決、最長懲役3年6カ月(ACCS)
パソコン出張サポートの申込者情報がインターネット上で閲覧可能状態に(ケーズホールディングス)
不正アクセスによりホームページが改ざん被害、現在は復旧済み(南紀白浜観光局)
国際学会で離席した隙をつかれノートパソコンが盗難被害に(長岡技術科学大学)
フィッシングサイトで詐取されたアカウントから迷惑メールを多数配信、個人情報漏えいの可能性も(東京外国語大学)
国税庁での契約・法令違反の再委託を受けて調査を実施、埼玉県内の6市でも無許諾が判明(AGS)
調査・レポート・白書 記事一覧へ
地下市場をやめ独自のショップを開設する犯罪者が増加--四半期レポート(マカフィー)
「Webシステム/Webアプリケーションセキュリティ要件書 Ver.3.0」を公開(脆弱性診断士スキルマッププロジェクト)
IoTセキュリティへの取り組み、日本企業の低さが明らかに(ジェムアルト)
コネクテッドカーのECUに1カ月あたり平均30万回の攻撃(アズジェント)
フォレンジックで浮気の証拠探し -- 2018年ランキング(デジタルデータソリューション)
家庭のセキュリティ教育実施、被害経験のある親比率高い(トレンドマイクロ)
研修・セミナー・カンファレンス 記事一覧へ
潜入ルポ:実際の ADAS 車両へのサイバー攻撃セミナー
日本初上陸の電子メール「分離」技術をお披露目、Menlo 社チーフアーキテクト来日(マクニカネットワークス)
サイバーセキュリティでも「セコム」、来週24日 セミナー開催
セキュリティエンジニアに一番必要なのは「好き!」の気持ち、MBSD Cybersecurity Challenges 2018 レポート
プロアクティブな対策に必須の「サイバーインテリジェンス」入門セミナー(マキナレコード)
![[鋭意準備中] 今年もあの方に Black Hat USA 2018 の見どころを聞きました 画像](/imgs/std_m/25020.jpg)
![[4月1日配信記事] サイバーセキュリティ専門誌 ScanNetSecurity が創刊 20 周年記念し物理セキュリティジャンルに進出、自宅警備に特化した姉妹誌を4月1日新創刊 画像](/imgs/std_m/24158.jpg)
