※本記事は筆者styprが英語で執筆した記事を株式会社Flatt Security社内で日本語に翻訳したものになります。 TL;DR Node.jsのエコシステムで最も人気のあるMySQLパッケージの一つである mysqljs/mysql (https://github.com/mysqljs/mysql)において、クエリのエスケープ関数の予期せぬ動作がSQLインジェクションを引き起こす可能性があることが判明しました。 通常、クエリのエスケープ関数やプレースホルダはSQLインジェクションを防ぐことが知られています。しかし、mysqljs/mysql は、値の種類によってエスケープ方法が異なることが知られており、攻撃者が異なる値の種類でパラメータを渡すと、最終的に予期せぬ動作を引き起こす可能性があります。予期せぬ動作とは、バグのような動作やSQLインジェクションなどです。 ほぼすべてのオンラ
2021年12月10日、Javaベースのログ出力ライブラリ「Apache Log4j」の2.x系バージョン(以降はLog4j2と記載)で確認された深刻な脆弱性を修正したバージョンが公開されました。セキュリティ関係組織では過去話題になったHeartbleedやShellshockと同レベルの脆弱性とも評価しています。ここでは関連する情報をまとめます。 1.何が起きたの? Javaベースのログ出力ライブラリLog4j2で深刻な脆弱性(CVE-2021-44228)を修正したバージョンが公開された。その後も修正が不完全であったことなどを理由に2件の脆弱性が修正された。 広く利用されているライブラリであるため影響を受ける対象が多く存在するとみられ、攻撃が容易であることから2014年のHeartbleed、Shellshock以来の危険性があるとみる向きもあり、The Apache Software
ホーム ニュース 『マインクラフト』Java版にセキュリティ上の問題が判明。チャットからでも攻撃受ける可能性あり、開発元はパッチ配信 『マインクラフト』Java版などに利用されるライブラリに、緊急度の高い脆弱性が見つかったようだ。影響はプレイヤーおよびサーバー側、どちらにも及ぶ。開発元Mojang Studiosは脆弱性に対応する緊急修正パッチを配信。ゲームおよびランチャーの再起動によるアップデートと、サーバー管理者への対応を呼びかけている。 『マインクラフト』は、世界的に広い人気を誇るサンドボックスゲーム。今回発見された問題は、本作Java版が利用しているJava向けライブラリ「Apache Log4j 2」のゼロデイ脆弱性に起因するものだ。このライブラリは、Javaで構築されたソフトウェア上でのログ記録を助けるロギングツール。Apacheソフトウェア財団のもと、オープンソース(Apac
Webセキュリティ製品などを手掛ける米LunaSecの報告によると、Minecraftの他、ゲームプラットフォームのSteamやAppleの「iCloud」もこの脆弱性を持つことが分かっており、影響は広範囲に及ぶと考えられるという。 この脆弱性の影響があるのは、Log4jのバージョン2.0から2.14.1までと当初みられていたが、Log4jのGitHub上の議論では、1.x系も同様の脆弱性を抱えていることが報告されている。対策には、修正済みのバージョンである2.15.0-rc2へのアップデートが推奨されている。 セキュリティニュースサイト「Cyber Kendra」によれば、この脆弱性に対して付与されるCVE番号は「CVE-2021-44228」という。 脆弱性の報告を受け、Twitter上ではITエンジニアたちが続々反応。「やばすぎる」「思っていたよりずっとひどいバグだった」「なぜこんな
2021年4月20日、国内約200の組織をターゲットにしたサイバー攻撃が2016年に行われていたとして、攻撃に関連するサーバーの契約に係った男を警視庁公安部が書類送検したと報じられました。捜査は現在も行われており他関係者の情報も報じられています。ここでは関連する情報をまとめます。 攻撃発信元サーバーに係った男を書類送検 書類送検されたのは中国共産党員 中国籍の男で、既に中国へ帰国。中国の大手情報通信企業勤務で日本滞在中もシステムエンジニアの職に就いていた。*1 容疑は私電磁記録不正作出・同供用。2016年9月から17年4月、5回にわたり虚偽の氏名、住所を使い国内レンタルサーバー業者と契約。サーバー利用に必要なアカウント情報を取得した疑い。 男は中国国内から契約を行い、転売サイトでアカウントを販売。Tickと呼称されるグループがそのアカウントを入手し一連の攻撃に悪用されたとされる。 捜査にあ
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 広く普及している「SQLite」データベースエンジンにセキュリティ上の脆弱性が発見された。この脆弱性により、膨大な数のデスクトップアプリやモバイルアプリがリスクにさらされているという。 TencentのBladeセキュリティチームによって発見されたこの脆弱性が悪用された場合、被害者のコンピュータ上において悪意のあるコードの実行が可能になるとともに、それほど深刻ではないケースでもプログラムメモリのリークやプログラムのクラッシュが引き起こされる可能性がある。 SQLiteは膨大な数のアプリに組み込まれているため、この脆弱性はIoTデバイスからデスクトップソフトウェア、ウェブブラウザ、「Android」アプリ、「iOS」アプリに至るまでの広範
いま話題のCPU脆弱性Meltdownですが、 各OSベンダーからカーネルのパッチが配布され始めました。 個人で利用しているEC2にパッチを適用して、ベンチマークをとったところ、 トータルスコアが25%低下という結果が出ましたのでまとめます。 ※環境やCPUの種類やベンチマークの取り方で変わるので、 必ずしも全ての環境においてこの結果が正しいわけではありません。 環境とスペック EC2インスタンスタイプ:t2.midium OS: 3.10.0-693.11.6.el7.x86_64 (CentOS 7) CPU: Intel(R) Xeon(R) CPU E5-2676 v3 @ 2.40GHz (2コア) 結論 コンテキストスイッチの速度が低下する。 Meltdown関連の記事にもあるように、 パッチ適用によってカーネルモードとユーザモードのアドレス空間を分離する措置が取られるため、
2018年1月3日にCPUに関連する3つの脆弱性情報が公開されました。報告者によるとこれらの脆弱性はMeltdown、Spectreと呼称されています。ここでは関連情報をまとめます。 脆弱性の概要 報告者が脆弱性情報を次の専用サイトで公開した。 Meltdown and Spectre (またはこちら) 3つの脆弱性の概要をまとめると次の通り。 脆弱性の名称 Meltdown Spectre CVE CVE-2017-5754(Rogue data cache load) CVE-2017-5753(Bounds check bypass) CVE-2017-5715(Branch target injection) 影響を受けるCPU Intel Intel、AMD、ARM CVSSv3 基本値 4.7(JPCERT/CC) 5.6(NIST) ←に同じ PoC 報告者非公開 論文中にx
2. アジェンダ • 最近の侵入事件に学ぶ – メルカリ CDNキャッシュからの情報漏えい – WordPress REST API の脆弱性 – GMOペイメントゲートウェイのクレジットカート情報漏洩事件 – 日本テレビの侵入事件 – パイプドビッツ WebDAVの設定不備による情報漏洩 – イプサ クレジットカード情報漏洩事件 • まとめ Copyright © 2012-2017 EG Secure Solutions Inc. 2 3. 徳丸浩の自己紹介 • 経歴 – 1985年 京セラ株式会社入社 – 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年 KCCS退職、HASHコンサルティング株式会社(現EGセキュアソリューションズ株式会社)設立 • 経験したこと – 京セラ入社当時はCAD、計算幾何学、数値シミュレーションなどを担当 –
この攻撃では、Androidのパーミッションを悪用し、ユーザーに気づかれないまま端末を制御できてしまうという。 米ジョージア工科大学の研究者が、Androidのパーミッションを悪用してユーザーに気づかれないまま端末を制御できてしまう攻撃方法を発見したとして、5月22日付で論文を発表した。この攻撃を「Cloak & Dagger」と命名して解説サイトも公開している。 それによると、この攻撃はAndroidの「System Alert Window」(draw on top)と「Bind Accessibility Service」(a11y)という2つのパーミッションを単独で、または組み合わせて利用する。 この2つのパーミッションは、GoogleのPlay Storeからインストールしたアプリであれば、ユーザーに許可を求める画面が表示されないため、ユーザーに気づかれないまま攻撃を成功させるこ
日本マイクロソフトは5月9日、マルウェア対策機能「Microsoft Malware Protection Engine」(MPE)の脆弱(ぜいじゃく)性(CVE-2017-0290)を修正する更新プログラムを公開した。 脆弱性の内容は、特別に細工されたファイルをスキャンした場合に、遠隔で任意のコードが実行されるというもの。ユーザーは、攻撃者が添付したファイルのメール受信やWebサイトの閲覧などをするだけで、細工したファイルをスキャンさせられてしまうという。 影響を受けるのは、MPEのバージョン「1.1.13701.0」以前。マルウェア対策ソフトウェア「Windows Defender」「Microsoft Security Essentials」の他、企業向けの「Windows Intune Endpoint Protection」「Microsoft System Center End
2016年9月22日(木)。こんなメールが私のもとに飛び込んできました。 件名: ares_create_query OOB write c-aresプロジェクト のメンテナのひとりとして、c-aresにセキュリティ問題の恐れがあるというメールを受け取ったのです。実際、そのとおりでした。この問題を知らせてくれたのは、かつてChromeOSの脆弱性をGoogleに報告したこともある人でした。 このc-aresの不具合を悪用すると、 ChromeOS上で、rootユーザーとしてJavaScriptのコードを実行できる ことがわかりました。ChromeOS史上最悪の脆弱性かもしれません。報告者には、相当な額の報奨金が贈られることでしょう。 この動きを実現したり、どうやって実現するのかを説明したりするのはとても面倒な作業だったでしょう。報告者がこれを発見したこと、そしてさらに深く掘り下げて、再現可
攻撃に利用された場合、root権限で任意のコードを実行され、サーバを制御される可能性が指摘されている。 米Oracle傘下のオープンソースデータベース「MySQL」に未解決の脆弱性が見つかったとして、セキュリティ研究者が9月12日に概略やコンセプト実証コードを公開した。サイバー攻撃に利用された場合、root権限で任意のコードを実行され、サーバを制御される可能性が指摘されている。 研究者のDawid Golunski氏が公開した情報によれば、MySQLの脆弱性は複数発見され、、中でも特に深刻な1件については、リモートの攻撃者がMySQLの設定ファイルに不正な内容を仕込むSQLインジェクション攻撃に利用される恐れがある。 この脆弱性は、MySQLの最新版を含む5.7系、5.6系、5.5系の全バージョンに、デフォルトの状態で存在する。現時点でOracle MySQLサーバの脆弱性修正パッチは存在
By Faris Algosaibi iPhoneのiOSに存在する脆弱性を突いたゼロデイ攻撃により、リンクを踏むだけでiPhoneのフルコントロールを奪われてしまう凶悪なマルウェアの存在が明らかになりました。発見した研究者の報告により、Appleは即座に緊急パッチを公開して対応しています。 Government Hackers Caught Using Unprecedented iPhone Spy Tool | Motherboard https://motherboard.vice.com/read/government-hackers-iphone-hacking-jailbreak-nso-group?utm_source=mbtwitter トロント大学のCitizen Labの研究者は、アラブ首長国連邦の人権活動家から「不審なメッセージを受け取った」という報告を受けました。
Qualcomm製チップを搭載したAndroid端末に脆弱性が発見され、端末が攻撃者に乗っ取られる可能性があると判明しました。研究者らによると、この脆弱性は9億台以上のAndroid端末に影響するとのこと。この状況を受け、「自分の使っているAndroid端末に脆弱性があるのか」ということを調べられるアプリが公開されています。 QuadRooter: New Android Vulnerabilities in Over 900 Million Devices | Check Point Blog http://blog.checkpoint.com/2016/08/07/quadrooter/ Qualcomm製チップには4つの脆弱性があり、まとめて「QuadRooter」と呼ばれています。今回発見された脆弱性のうちどれか1つを利用すると、攻撃者は特定のアプリをターゲットにインストールさせ
The best of CES 2025Presenting our 12 finalists, plus the winner of our best in show award.
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く