2024.04.27(土)
フレクセラは、同社のSecunia Researchによる「Personal Software Inspector 国別レポート - 2016 年第 4 四半期」の日本の状況について発表した。
IPAは、2016年第4四半期における「ソフトウェア等の脆弱性関連情報に関する届出状況」を発表した。
IPAは、「SQLインジェクションをはじめとしたウェブサイトの脆弱性の再点検と速やかな改修を」とする注意喚起を発表した。
IPAは、2016年第4四半期(10月から12月)における「脆弱性対策情報データベース『JVN iPedia』の登録状況」を発表した。
マンチェスター在住のコーダーRuby ‘rubiimeow’ Nealon氏は、Steamのループホールを利用してValveの審査を回避しながら『Watch Paint Dry』なるゲームを一時的にリリースしました。
攻撃者は、そのデバイスを「マルウェアのストア」に変化させる能力を持つことになる。それは、このスマート(と呼ばれている)サーモスタットと同じ無線ネットワークを利用している他のデバイスをマルウェアに感染させるために利用できるだろう。
OAuth 2.0 は、ほぼ全てのレベルにおいて及第点を得ているものの、そのプロトコルには 2 つの弱い部分がある。リダイレクト処理と、アイデンティティプロバイダ(IdP)の処理法における、いくつかの側面だ。
これらの全キットはデフォルトの状態で脆弱なので、このエクスプロイトは非常に危険だ。伝えられるところによると、FireEye は、すでに契約期間が終了している顧客にもサポートを提供している。
「実在するひとつの Beacon で、たった1,000 の SNP クエリを用いて、我々は Personal Genome Project から『一人の個人のゲノム』の存在を検出することができた」
「私の(発見した)TrueCrypt のバグは、バックドアではなかったとはいえ、それが監査の目をくぐり抜けることができたのは明白だ」とForeshawは記した。
韓国は攻撃される面が大きいのに対し、北朝鮮はインターネットのインフラが非常に小さいので、多くの観察者は北朝鮮が有利だと語る。また北朝鮮政府は「Bureau 121」部隊のハッカーに多額の報酬を与えていると示唆されている。
つまり幸運にも「秘匿サービスをホスティングするコンピュータの番人」という立場になれた敵であれば、88%の確信を持って、それをサービスのホストとして識別できるということになる。
Chrysler が、このワイヤレスの脆弱性について伝えられたのは約 7 か月前のことだった。そして同社は修正の調整をしたのち、今月(2015 年 7 月)初頭に、広報活動を行うこともないまま、サービスパックの中にパッチを入れた。
それらの車は、Fiat Chrysler のセルラーネットワーク uConnect を経由してインターネットに接続するため、その車のパブリック IP アドレスを知っていれば、誰でも数マイル離れた場所からアクセス、改ざんを行うことができる。
「ほとんどの場合、そのトークンは、500 ドル(編集部註:約 6 万 2 千円)ほどで購入できる最新の GPU 上で、特別なブルートフォース用のプログラムを用いれば、1 日とかけずに解読できる」
「残念ながら、それはデバイスにサードパーティのアプリケーションをプレインストールするキャリアと OEM にとって典型的な話だ」と、NowSecure の研究者 Ryan Welton はブログに記した。
Pynnonen は、このプラグインをFacebookが積極的に推奨していることを指摘した。また我々は、BBCのCBeebies(子供向けポータルサイト)でも、それを利用する必要があることを発見した。
「この攻撃は、DHE_EXPORT 暗号をサポートする全てのサーバと、近代的な全てのウェブブラウザに影響を与える。『Top 1 Million』のドメインの 8.4%は、もとより脆弱だ」と、Green は Logjam のサイトに記している。
感心なことに Google は、この件を取り上げた The Register にコメントを求められた数時間後には迅速な回答をしており、またその技術(Password Alert)のアップデートも済ませている。
彼によれば、一部のアップロードポータルは非常に脆弱であるため、「ファイルの拡張子が jpg だ」というだけの理由で、悪質な動的コンテンツのアップロードを許してしまう。
このデバイスは、同州で10年以上に渡って使われており、それは年に一度の州選挙だけではなく、過去3回の大統領選挙でも利用されていた。昨年はバージニア州の30の郡が、そのマシンで投票を記録したという。
