2025.02.28(金)
- 注目検索ワード
これは犠牲者に、脆弱なエンドポイントの領域で任意のリクエストを行うように仕向け、機密情報である可能性のあるデータを敵陣へ(JSONP 応答に限定することなく、攻撃者がコントロールするサイトへと)密かに持ち出すものだ。
だが、ここで問題となるのは、特定のデバイスがその動作を起こすかどうか、テストを行わずに知る方法がないことだ。たとえば HTC One が Wi-Fi のデータを漏らすことは判明しているが、HTC One Mini は漏えいしていない。
Markus Oberhumer によって 1994 年に開発された LZO は、この 20 年に渡り、OpenVPN や FFmpeg、Linux カーネルなど、無数のシステムで広範に利用されてきた。
推定 3296 件は、ハードウェアのデフォルトのパスワードでアクセスすることができた。その世界最悪のコード「password」は、(アクセス権を持たない)その他大勢の人々にアクセスを許可するだろう。
「我々のシステムで、ここに記述された悪用を行うことは可能であるものの、同じアカウント、および(あるいは)リンクされたアカウントによる繰り返しの悪用は対応される」と、PayPal は Cernaianu に語ったと伝えられている。
修復されたばかりのバグを悪用する攻撃者に対抗するため、多種多様なサーバや、その他のインターネット接続したシステムをアップデートする必要があると、脆弱性管理会社 Rapid7 の Nicholas J. Percoco は語った。
eBay の滅茶苦茶なパスワードシステムは、LastPass で生成されたランダム性の高いパスワードに対して「弱い」というフラグ付けをし、よりリスクの高い、ありがちなパスワードを「より強力」なオプションとして昇降している。
それらの値は、特にランダムではないため、犠牲者をプリプレイ攻撃に晒してしまう。この攻撃は、銀行の記録を見たとき、「物質として完全にコピーしたカードを利用した状態」と区別がつかない。
すなわち Ingram の研究は、「Android のストアに置かれている危険なアプリが、スマートフォンやタブレットを乗っ取る際の方法」とほぼ同様の手口で、スマートテレビが悪用される可能性があるということを見出している。
「私が発見した脆弱性は、100 ドル以下の安価なハードウェアでプログラミングしたシンプルなエクスプロイトを開始することで、基本的に誰でもデバイスの完全な制御を得て、虚偽のデータを交通管制システムに送ることができるものだ」
最終的に、Heartbleed に関する情報が公開されたとき、ネットワークのディフェンダーたちは先を争って修復を行った。そのことによって、一般のユーザーたちは「パスワードをいつ変更する必要があるのか」という点に関して混乱させられた。
現在も Tor ノードの一部は、破られたバージョンの OpenSSL を走らせており、それは暗号キーなどの機密データを漏えいさせる目的で利用することができる。
脆弱性は全ての環境で等しく危険というわけではなく、攻撃者にとって攻撃がしにくい、利用しづらい環境が存在します。攻撃者はユーザ環境の中で、もっとも攻撃しやすいポイントを攻撃します。それがWindows XPのような古いバージョンのOSやアプリケーションなのです。
一部のセキュリティ研究者たちは、そこに強制力がない、あるいはいずれにせよ無視されるものだと語っている。一方、別の研究者たちは、その活動が「役に立つ(助けとなる)」場合、これらの法律に免除があるようにするべきだと主張している。
そのメモリには、メッセージやパスワードなどといった旨みのある情報が含まれている。そして別の heartbeatMessage を送信することにより、別の 64KB が漏えいされるため、被害者のシステムを徹底的に調査して御馳走を得るよう、それは繰り返される。
それらのプログラムの報酬はまだ高額ではないが、それでも一部では、重大な未知の脆弱性に対し、セキュリティの組織や政府のバイヤーから非常に高額な報酬を得られる可能性があるということを、その報告書は指摘している。
それが問題なのだと Kocialkowski は語っている。なぜなら、そのモデムは「それ以外の電話の機能」を提供する CPU とは切り離されたマイクロプロセッサによって供給されており、さらにこのプロセッサは独自の OS を動かしている。
さらに同社は、引き出しの業務を一度に復帰することはないと述べている――おそらく MtGox は、これまで苛立たされた顧客たちが資金を回収するため、一斉にアカウントへアクセスするのを避けようとしているものと思われる。
トラフィックの洪水は頭痛を引き起こすものではあるものの、この問題の結果、Bitcoin コミュニティ全体は、より堅牢で安全になりつつあるようだとBlockchain セキュリティのボスは考えている。
リモートコードの実行を許す脆弱性は、脆弱なウェブサイトを訪問するネット閲覧者たちにマルウェアを投じるタイプの攻撃に役立つものとなるだろう。それは非常に深刻なリスクであり、だからこそ Facebook のバグ報奨金プログラムで高額の支払いが行われた。
「闇市場と同じ価格で、あるいはそれを上回る価格で、発見されるすべての脆弱性を組織的な購入で買い上げることにより、サイバー犯罪者たちが脆弱性へアクセスする機会を奪うことの経済性について検討する時が来た」と Frei は主張している。
