TT 脆弱性 Blog

脆弱性情報の記録

BINDに複数の脆弱性

【ニュース】

◆BINDに複数の脆弱性 (マイナビニュース, 2017/01/12)
http://news.mynavi.jp/news/2017/01/12/273/

◆ISC Releases Security Updates for BIND (2017/01/11)
https://www.us-cert.gov/ncas/current-activity/2017/01/11/ISC-Releases-Security-Updates-BIND

◆「BIND 9」に複数の深刻な脆弱性 - キャッシュDNSサーバに影響 (Security NEXT, 2017/01/12)
http://www.security-next.com/077327

Kaspersky Lab、Microsoft Outlookに「メールを開いていないのにマルウェアなどに感染する不具合」に関する注意喚起

【概要】

  • 現象
    • メールをOUTLOOKで受け取っただけで感染
  • 脆弱性名称
    • BadWinmail
  • 攻撃方法
    • OLEをメールに埋め込む

【ニュース】

Kaspersky Lab、Microsoft Outlookに「メールを開いていないのにマルウェアなどに感染する不具合」に関する注意喚起 (インプレスビジネスヘッドライン, 2016/01/05)
https://thinkit.co.jp/news/bn/8882

Outlookを起動しただけで感染する脆弱性 - MSはパッチ配布済み (マイナビニュース, 2016/01/06)
http://news.mynavi.jp/news/2016/01/06/361/


【ブログ】

◆メールを開いていないのに感染:Outlook脆弱性 (Kaspersky, 2016/01/05)
https://blog.kaspersky.co.jp/bad-badwinmail/9879/

◆#BadWinMail Demo (Haifei Li)
https://t.co/BaDEBZXCSm

◆#BadWinmail:The "Enterprise Killer" Attack Vector in Microsoft Outlook (Haifei Li)
https://sites.google.com/site/zerodayresearch/BadWinmail.pdf?attredirects=0

Microsoft、脆弱性緩和ツール「EMET 5.1」を公開。アプリケーションとの互換性を向上

【ニュース】

Microsoft脆弱性緩和ツール「EMET 5.1」を公開。アプリケーションとの互換性を向上 (窓の杜, 2014/11/11 15:25)
緩和策の発動時にメモリダンプをローカルに保存する“Local Telemetry”機能が追加
http://forest.watch.impress.co.jp/docs/news/675454.html

制御システム向けのセキュアなCコーディングルール - JPCERT/CC

【概要】

  • ARR38-C ライブラリ関数が無効なポインタを生成しないことを保証する
  • MSC34-C 廃止予定の関数や古い関数を使用しない
  • ARR30-C 境界外を指すポインタや配列添字を生成したり使用したりしない
  • STR31-C 文字データとnull終端文字を格納するために十分な領域を確保する
  • EXP33-C 未初期化のメモリを参照しない
  • EXP39-C 適合しない型のポインタを使って変数にアクセスしない
  • STR32-C 文字列はnull終端させる
  • FIO37-C 読み取られたデータが文字データであると思い込まない
  • MSC30-C 疑似乱数の生成にrand()関数を使用しない
  • MSC32-C 乱数生成器は適切なシード値を与えて使う
  • INT35-C 整数式をより大きなサイズの整数に対して比較や代入をする際には、事前に演算後のサイズで評価する
  • INT30-C 符号無し整数の演算結果がラップアラウンドしないようにする
  • INT32-C 符号付き整数演算がオーバーフローを引き起こさないことを保証する
  • MEM35-C オブジェクトに対して十分なメモリを割り当てる
  • EXP34-C NULL ポインタを参照しない
  • ERR33-C 標準ライブラリのエラーを検出し、対処する
  • MEM30-C 解放済みメモリにアクセスしない
  • ENV33-C コマンドプロセッサが必要ない場合はsystem()を呼び出さない
  • POS36-C 権限は正しい順序で破棄する
  • POS37-C 権限の破棄は確実に行う
  • FIO31-C 同一のファイルを同時に複数回開かない
  • FIO42-C 不要になったファイルは正しくクローズする


【ニュース】

◆制御システム向けのセキュアなCコーディングルール - JPCERT/CC (マイナビニュース, 2014/06/04)
http://news.mynavi.jp/news/2014/06/04/068/

OpenSSLに重大な脆弱性(1)

【ニュース】

◆OpenSSLに脆弱性、クライアントやサーバにメモリ露呈の恐れ (ITmedia, 2014/04/08 07:27)
悪用された場合、最大64Kバイトのメモリが接続されたクライアントやサーバに露呈される恐れがある
http://www.itmedia.co.jp/enterprise/articles/1404/08/news038.html

◆OpenSSLの重大バグが発覚。インターネットの大部分に影響の可能性 (TechCrunch, 2014/04/08)
http://jp.techcrunch.com/2014/04/08/20140407massive-security-bug-in-openssl-could-effect-a-huge-chunk-of-the-internet/

◆ネット上のサイトの約66%が使用するOpenSSLに重大なバグが発見される (Gigazine, 2014/04/08 13:00)
http://gigazine.net/news/20140408-heartbleed-bug/

◆「OpenSSL」暗号ライブラリに重大な脆弱性 (CNet, 2014/04/08 17:51)
http://japan.cnet.com/news/service/35046250/

◆「OpenSSL」の heartbeat拡張に情報漏えいの脆弱性JPCERT/CC (netSecurity, 2014/04/08 18:09)
http://scan.netsecurity.ne.jp/article/2014/04/08/33945.html

◆OpenSSLでメモリ内容を外部から読み取られる脆弱性が発見される (Slashdot, 2014/04/08 18:45)
http://security.slashdot.jp/story/14/04/08/0943225/

◆「OpenSSL」に重大なバグ、秘密鍵や通信内容が見られてしまう脆弱性 (Internet Watch, 2014/04/08 19:46)
http://internet.watch.impress.co.jp/docs/news/20140408_643418.html

◆OpenSSL 1.0.1/1.0.2系に脆弱性秘密鍵漏えいの恐れも (@IT, 2014/04/08 20:08)
米国時間の2014年4月7日、OpenSSLのバージョン1.0.1/1.0.2系に、秘密鍵などの漏えいにつながる恐れのある深刻な脆弱性が発見された
http://www.atmarkit.co.jp/ait/articles/1404/08/news134.html

◆OpenSSLに情報漏えいの危険がある脆弱性JPCERT/CCが注意喚起 (ITPro, 2014/04/08)
http://itpro.nikkeibp.co.jp/article/NEWS/20140408/549282/?top_nhl


【公開情報】

◆OpenSSL の脆弱性対策について(CVE-2014-0160) (IPA, 2014/04/08)
http://www.ipa.go.jp/security/ciadr/vul/20140408-openssl.html

◆OpenSSL の脆弱性に関する注意喚起 (JPCERT/CC, 2014/04/08)
http://www.jpcert.or.jp/at/2014/at140013.html

◆OpenSSL の heartbeat 拡張に情報漏えいの脆弱性 (JVN, 2014/04/08)
https://jvn.jp/vu/JVNVU94401838/index.html

◆OpenSSL Security Advisory [07 Apr 2014] - TLS heartbeat read overrun (CVE-2014-0160) (OpenSSL Project)
https://www.openssl.org/news/secadv_20140407.txt

◆The Heartbleed Bug (Codenomicon)
http://heartbleed.com/

◆OpenSSL 1.0.1に含まれる脆弱性(The Heartbleed Bug)への対応に関するお知らせ (CrossTrust, 2014/04/08)
https://crosstrust.co.jp/company/information/i20140408


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2017