脆弱性と脅威ニュース|ScanNetSecurity
2020.04.08(水)

脆弱性と脅威

ManageEngine Desktop Central において FileStorage クラスにデシリアライズデータが注入可能な脆弱性(Scan Tech Report) 画像
エクスプロイト 株式会社ラック サイバー・グリッド研究所

ManageEngine Desktop Central において FileStorage クラスにデシリアライズデータが注入可能な脆弱性(Scan Tech Report)

2020 年 3 月に、ManageEngine Desktop Central に、遠隔からの任意のコード実行が可能となる脆弱性が公開されています。

「助成金とマスクを送る」新型コロナウイルスに乗じた犯罪に注意(金融庁) 画像
脅威動向 吉澤 亨史( Kouji Yoshizawa )

「助成金とマスクを送る」新型コロナウイルスに乗じた犯罪に注意(金融庁)

金融庁は、「新型コロナウイルスに乗じた犯罪にご注意ください!」とする注意喚起を発表した。

Amexカードを騙るフィッシングメール報告、注意を呼びかけ(フィッシング対策協議会) 画像
脅威動向 吉澤 亨史( Kouji Yoshizawa )

Amexカードを騙るフィッシングメール報告、注意を呼びかけ(フィッシング対策協議会)

フィッシング対策協議会は、アメリカン・エキスプレス・カードを騙るフィッシングの報告を受けているとして、注意喚起を発表した。

Joomla!用プラグイン「AcyMailing」に任意のPHPコードを実行される脆弱性(JVN) 画像
セキュリティホール・脆弱性 吉澤 亨史( Kouji Yoshizawa )

Joomla!用プラグイン「AcyMailing」に任意のPHPコードを実行される脆弱性(JVN)

IPAおよびJPCERT/CCは、Acybaが提供するJoomla!用プラグイン「AcyMailing」に任意のファイルをアップロードされる脆弱性が存在すると「JVN」で発表した。

Periscope製「BuySpeed」にスクリプト実行の脆弱性(JVN) 画像
セキュリティホール・脆弱性 吉澤 亨史( Kouji Yoshizawa )

Periscope製「BuySpeed」にスクリプト実行の脆弱性(JVN)

IPAおよびJPCERT/CCは、Periscope Holdings, Inc.が提供する「BuySpeed」にクロスサイトスクリプティング(XSS)の脆弱性が存在すると「JVN」で発表した。

中国の APT グループによる COVID-19 関連の攻撃が観測 ほか [Scan PREMIUM Monthly Executive Summary] 画像
脅威動向 株式会社 サイント 代表取締役 兼 脅威分析統括責任者 岩井 博樹

中国の APT グループによる COVID-19 関連の攻撃が観測 ほか [Scan PREMIUM Monthly Executive Summary]

米 Anomali が、Higaisa グループ および Mustang Panda グループが COVID-19 をテーマとした攻撃キャンペーンを展開していることを報告しています。

Windows版「パスワードマネージャー」に脆弱性、すでに修正版を配信済(トレンドマイクロ、JVN) 画像
セキュリティホール・脆弱性 吉澤 亨史( Kouji Yoshizawa )

Windows版「パスワードマネージャー」に脆弱性、すでに修正版を配信済(トレンドマイクロ、JVN)

トレンドマイクロは、アラート/アドバイザリ情報「パスワードマネージャーのセキュリティ情報(CVE-2020-8469)」を更新し、発表した。

産業用シミュレーションソフト「Automation Studio」に複数の脆弱性(JVN) 画像
セキュリティホール・脆弱性 吉澤 亨史( Kouji Yoshizawa )

産業用シミュレーションソフト「Automation Studio」に複数の脆弱性(JVN)

IPAおよびJPCERT/CCは、B&R Industrial Automation GmbH. が提供する産業用シミュレーションソフトウェア「Automation Studio」に複数の脆弱性が存在すると「JVN」で発表した。

検疫隔離に従わなければ発砲のフィリピン、新型コロナウイルスキャリア追跡アプリ開発 画像
TheRegister The Register

検疫隔離に従わなければ発砲のフィリピン、新型コロナウイルスキャリア追跡アプリ開発

フィリピンは、同政府による新型コロナウイルス保菌者の移動・接触の追跡を助けるアプリ開発の計画を始めた。

ビデオ会議アプリ「Zoom」に、ログイン情報の窃盗などの脆弱性(IPA) 画像
セキュリティホール・脆弱性 吉澤 亨史( Kouji Yoshizawa )

ビデオ会議アプリ「Zoom」に、ログイン情報の窃盗などの脆弱性(IPA)

IPAは、「Zoom の脆弱性対策について」と題する注意喚起を発表した。「Zoom」はビデオ会議アプリであり、新型コロナウイルスの感染防止対策としてのリモートワークの需要から、ユーザが急激に増加している。

自動投薬システムに、機微な情報を閲覧・改ざんされる脆弱性(JVN) 画像
セキュリティホール・脆弱性 吉澤 亨史( Kouji Yoshizawa )

自動投薬システムに、機微な情報を閲覧・改ざんされる脆弱性(JVN)

IPAおよびJPCERT/CCは、BDが提供する自動投薬システムに保護メカニズムの不具合の脆弱性が存在すると「JVN」で発表した。

産業用ルータOS「HiOS」「HiSecOS」に任意コード実行の脆弱性(JVN) 画像
セキュリティホール・脆弱性 吉澤 亨史( Kouji Yoshizawa )

産業用ルータOS「HiOS」「HiSecOS」に任意コード実行の脆弱性(JVN)

IPAおよびJPCERT/CCは、Hirschmannが提供する産業用ルータ向けOS「HiOS」および「HiSecOS」にバッファオーバーフローの脆弱性が存在すると「JVN」で発表した。

複数のヤマハ製ネットワーク機器にDoSの脆弱性(JVN) 画像
セキュリティホール・脆弱性 吉澤 亨史( Kouji Yoshizawa )

複数のヤマハ製ネットワーク機器にDoSの脆弱性(JVN)

IPAおよびJPCERT/CCは、ヤマハが提供する複数のネットワーク機器にサービス運用妨害(DoS)の脆弱性が存在すると「JVN」で発表した。

Vertiv製システム管理アプライアンス製品に複数の脆弱性(JVN) 画像
セキュリティホール・脆弱性 吉澤 亨史( Kouji Yoshizawa )

Vertiv製システム管理アプライアンス製品に複数の脆弱性(JVN)

IPAおよびJPCERT/CCは、Vertivが提供するシステム管理アプライアンス製品「Vertiv Avocent Universal Management Gateway UMG-4000」に複数の脆弱性が存在すると「JVN」で発表した。

海上コンテナターミナル向けWebアプリにスクリプト実行の脆弱性(JVN) 画像
セキュリティホール・脆弱性 吉澤 亨史( Kouji Yoshizawa )

海上コンテナターミナル向けWebアプリにスクリプト実行の脆弱性(JVN)

IPAおよびJPCERT/CCは、Versiantが提供する海上コンテナターミナルへの入出庫状況をリアルタイムに提供するためのWebアプリケーション「Versiant LYNX Customer Service Portal」にクロスサイトスクリプティング(XSS)の脆弱性が存在すると「JVN」で発表した。

macOS 向け VMware ソフトウェアにおける SUID 設定の不備により管理者権限が奪取可能となる脆弱性(Scan Tech Report) 画像
エクスプロイト 株式会社ラック サイバー・グリッド研究所

macOS 向け VMware ソフトウェアにおける SUID 設定の不備により管理者権限が奪取可能となる脆弱性(Scan Tech Report)

2020 年 3 月に、macOS 向けの複数の VMware 製品に、権限昇格の脆弱性が報告されています。アップデートにより対策してください。

iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA) 画像
脅威動向 吉澤 亨史( Kouji Yoshizawa )

iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

IPAは、「安心相談窓口だより」に「iPhoneに突然表示される不審なカレンダー通知に注意!」とする注意喚起を発表した。

日本以外で製造されたトヨタ車のDCUにDoSなどの脆弱性(JVN) 画像
セキュリティホール・脆弱性 吉澤 亨史( Kouji Yoshizawa )

日本以外で製造されたトヨタ車のDCUにDoSなどの脆弱性(JVN)

IPAおよびJPCERT/CCは、トヨタ自動車製DCU(ディスプレイコントロールユニット)に脆弱性が存在すると「JVN」で発表した。

三菱電機製「MELSECシリーズ」にDoSの脆弱性(JVN) 画像
セキュリティホール・脆弱性 吉澤 亨史( Kouji Yoshizawa )

三菱電機製「MELSECシリーズ」にDoSの脆弱性(JVN)

IPAおよびJPCERT/CCは、三菱電機が提供する「MELSECシリーズ」のMELSOFT交信ポート (UDP/IP) に、リソース枯渇の脆弱性が存在すると「JVN」で発表した。

? ランサムウェアの犯人「新型コロナ危機の間は医療機関を標的にしないことを俺たちは誓う」(The Register) 画像
TheRegister The Register

? ランサムウェアの犯人「新型コロナ危機の間は医療機関を標的にしないことを俺たちは誓う」(The Register)

マルウェアの DoppelPaymer と Maze を操るランサムウェアの犯人たちが、現在のパンデミックが終息するまでは医療機関を標的にしないと表明した。

「パスワード入力に数回失敗」とリンク先へ誘導するAmazon偽メール(フィッシング対策協議会) 画像
脅威動向 吉澤 亨史( Kouji Yoshizawa )

「パスワード入力に数回失敗」とリンク先へ誘導するAmazon偽メール(フィッシング対策協議会)

フィッシング対策協議会は、Amazonを騙るフィッシングの報告を受けているとして、注意喚起を発表した。

このカテゴリの記事をもっと見る

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×