Microsoft Internet Explorer (IE) に解放済みメモリを使用してしてしまう脆弱性が報告されました。
Mozilla Firefox に解放済みメモリを使用してしまう脆弱性が報告されました。ユーザが悪質な Web ページを閲覧した場合に、リモートの第三者によってシステム上で不正な操作が実行される可能性があります。
MAC OS Xに含まれているsudoコマンドには、パスワード認証を回避できる脆弱性が存在します。
DNS レコードを変更することによって、攻撃者たちは潜在的にセンシティブなウェブトラフィックを悪意あるシステムへと先導し(HTTPS の利用が不可欠となる理由はここにある)、大混乱を引き起こすことができる。
Oracle Java SE の AWT ライブラリにサンドボックスによるセキュリティ制限を回避して、任意のコードが実行可能な脆弱性が報告されました。
MySQL には、空間情報を扱う特定のクエリを処理した場合に、サービス運用妨害 (DoS) が発生する脆弱性が存在します。
Apple Quicktime にバッファオーバーフローを引き起こしてしまう脆弱性が報告されました。
企業側はその状況を避けるためにデザインされた安全ロジックをシーケンサに実装している。しかし、もしも研究者たちが PLC にアクセスできたなら、彼らは単純に「新しい安全ロジック」を上書きし、それから悪意あるコマンドを入力することができる。
さらに研究者たちは、こういったデバイスにおける日常的な活動(たとえば充電などの行為)が行われる際、どの程度セキュリティの脅威が考慮されるのかを調査するため、「Mactans」と呼ばれる「悪意ある充電器」を作成した。
Android OS には、アプリの署名の検証が不十分な脆弱性が存在します。
Oracle Java SE 7 の ProviderSkeleton クラスにサンドボックスによるセキュリティ制限を回避して、任意のコードが実行可能な脆弱性が報告されました。
Apache Struts 2 に "action:","redirect:","redirectAction:" プレフィックスを含むリクエストの取り扱いに起因して、任意の Java コードが実行可能な脆弱性が報告されました。
FreeBSD には、仮想メモリシステムの実装に不備が存在するため mmap/ptraceシステムコールを介して権限昇格が可能な脆弱性が存在します。
Ruby on Rails には、Action Pack のパラメータ解析処理に起因する任意コード実行の脆弱性が存在します。
Microsoft Internet Explorer (IE) の vgx.dll に整数オーバーフローを引き起こしてしまう脆弱性が報告されました。
Oracle Java SE 7 の DriverManager クラスにサンドボックスによるセキュリティ制限を回避して、任意のコードが実行可能な脆弱性が報告されました。
nginx の Chunked Transfer Coding 処理には、chunk_size の取り扱いに起因したスタックバッファオーバーフローの脆弱性が存在します。
Mozilla Firefox にセキュリティ制限を回避して、chrome 特権で任意のJavaScript が実行可能な脆弱性が報告されました。
Apache Struts 2に任意のコードが実行可能な脆弱性が報告されました。
Linux Kernel には、パフォーマンスイベントの取り扱いに起因して、権限昇格が可能な脆弱性が存在します。
彼らの発言によると、これまでのところ、このマルウェアに少なくとも 400 のウェブサーバが感染しており、そのうち 50 は Alexa の「最も人気のあるウェブサイトランキング 10,000」にランクインしているという。
ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)