TT 脆弱性 Blog

脆弱性情報の記録

Intel Analysis of Speculative Execution Side Channels

【資料】 ◆Intel Analysis of Speculative Execution Side Channels (Intel, 2018/07) https://software.intel.com/sites/default/files/managed/b9/f9/336983-Intel-Analysis-of-Speculative-Execution-Side-Channels-White-Paper.pdf

「Spectre」関連の脆弱性、また新たに発覚 IntelやARMのプロセッサに影響

【ニュース】 ◆「Spectre」関連の脆弱性、また新たに発覚 IntelやARMのプロセッサに影響 (ITmedia, 2018/07/12 12:58) http://www.itmedia.co.jp/news/articles/1807/12/news085.html

Speculative Buffer Overflows: Attacks and Defenses

【資料】 ◆Speculative Buffer Overflows: Attacks and Defenses (MIT, 2018/07/10) https://people.csail.mit.edu/vlk/spectre11.pdf

Samsung製のスマホで撮影した写真が無断で送信されるバグが発生

【ニュース】 ◆Samsung製のスマホで撮影した写真が無断で送信されるバグが発生 (Gigazine, 2018/07/01 09:30) https://gigazine.net/news/20180701-samsung-phones-sending-photos-unknowingly/

インテルのCPUに新たな脆弱性「TLBleed」--インテルは有効性を否定

【ニュース】 ◆インテルのCPUに新たな脆弱性「TLBleed」--インテルは有効性を否定 (ZDNet, 2018/06/27 12:16) https://japan.zdnet.com/article/35121511/

Androidに存在するメモリ関連の脆弱性「RAMpage」、重要情報流出の恐れ

RAMpageの概略を解説したWebサイト (https://rampageattack.com/) 出典: http://www.itmedia.co.jp/enterprise/articles/1806/29/news078.html 【ニュース】 ◆Androidに存在するメモリ関連の脆弱性「RAMpage」、重要情報流出の恐れ (ITmedia, 2018/06/29 09:…

「Mac」向けホワイトリストサービスに脆弱性、アップル製品として偽装が可能

【ニュース】 ◆「Mac」向けホワイトリストサービスに脆弱性、アップル製品として偽装が可能 (ZDNet, 2018/06/13 12:32) https://japan.zdnet.com/article/35120756/

Release Notes June 2018 Security Updates

【公開情報】 ◆Release Notes June 2018 Security Updates (Microsoft, 2018/06/12) https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/7d4489d6-573f-e811-a96f-000d3a33c573

スマートデバイス向け「VMware AirWatch Agent」に深刻な脆弱性

【ニュース】 ◆スマートデバイス向け「VMware AirWatch Agent」に深刻な脆弱性 (Security NEXT, 2018/06/12) http://www.security-next.com/094345

バグ・ハンターがEOSのバグを発見し一週間で120,000ドルを獲得する

【ニュース】 ◆バグ・ハンターがEOSのバグを発見し一週間で120,000ドルを獲得する (Crypt Times, 2018/06/08) https://crypto-times.jp/eos-bug-hunter-earns-120000-usd-in-a-week/

Security updates available for Flash Player | APSB18-19

【公開情報】 ◆Security updates available for Flash Player | APSB18-19 (Adobe, 2018/06/07) https://helpx.adobe.com/security/products/flash-player/apsb18-19.html

「OneDrive」「Skype」などMS製複数アプリに脆弱性 - 修正は次期バージョン以降

【ニュース】 ◆「OneDrive」「Skype」などMS製複数アプリに脆弱性 - 修正は次期バージョン以降 (Security NEXT, 2018/05/18) http://www.security-next.com/093452

「Spectre」「Meltdown」と類似した脆弱性2件が判明 - 数週間以内に更新予定

【概要】 名称 CVE番号 種別 備考 Variant 1 CVE-2017-5753 Spectre Variant 2 CVE-2017-5715 Spectre Variant 3 CVE-2017-5754 Meltdown Variant 3a CVE-2018-3640 Meltdown Variant 4 CVE-2018-3639 Spectre SpectreNG 【ニュース】 ◆「Spectre」「Meltdow…

「BIND 9」に脆弱性、リモートからnamedが異常終了、JPRSやJPCERT/CCが注意喚起

【ニュース】 ◆「BIND 9」に脆弱性、リモートからnamedが異常終了、JPRSやJPCERT/CCが注意喚起 (Internet Watch, 2018/05/21 18:03) https://internet.watch.impress.co.jp/docs/news/1123026.html

セキュリティ機能を回避する「GLitch」攻撃が明らかに - 一部スマホでPoCが動作

【ニュース】 ◆セキュリティ機能を回避する「GLitch」攻撃が明らかに - 一部スマホでPoCが動作 (Security NEXT, 2018/05/08) http://www.security-next.com/093013

Grand Pwning Unit: Accelerating Microarchitectural Attacks with the GPU

【論文】 ◆Grand Pwning Unit: Accelerating Microarchitectural Attacks with the GPU (Pietro Frigo他, 2018/05/03) https://www.vusec.net/wp-content/uploads/2018/05/glitch.pdf

Vulnerability Note VU#283803 Integrated GPUs may allow side-channel and rowhammer attacks using WebGL ("Glitch")

【公開情報】 ◆Vulnerability Note VU#283803 Integrated GPUs may allow side-channel and rowhammer attacks using WebGL ("Glitch") (CERT, 2018/05/03) https://www.kb.cert.org/vuls/id/283803

新しい技術の誕生は新しい脆弱性の誕生--RSAトップが語る「Now Matters」の意味

【ニュース】 ◆新しい技術の誕生は新しい脆弱性の誕生--RSAトップが語る「Now Matters」の意味 (ZDNet, 2018/04/21 08:30) https://japan.zdnet.com/article/35118114/

世界480万台のルーターに脆弱性、セキュリティ企業が指摘

【概要】 ルーターの一般的な機能であるUPnPを悪用 不正アクセスのあったルーターはおよそ6万5000台 悪用の懸念があるルーターの台数は全世界で480万台以上に上る D-Link、ベルキン、Asus、ネットギアなどを含む73のメーカーの400以上のデバイスが問題を指摘…

「Drupal 8」に「Drupalgeddon 2.0」とは異なるあらたな脆弱性 - 重要度は「中」

XSS

【ニュース】 ◆「Drupal 8」に「Drupalgeddon 2.0」とは異なるあらたな脆弱性 - 重要度は「中」 (Security NEXT, 2018/04/19) http://www.security-next.com/092502

「OpenSSL」のRSA鍵生成時に秘密鍵取得されるおそれ - 次期更新で修正予定

【ニュース】 ◆「OpenSSL」のRSA鍵生成時に秘密鍵取得されるおそれ - 次期更新で修正予定 (Security NEXT, 2018/04/19) http://www.security-next.com/092515 【公開情報】 ◆Cache timing vulnerability in RSA Key Generation (OpenSSL, 2018/04/16) https:…

MS「Windows Defender」に深刻な脆弱性、修正パッチをリリース

【ニュース】 ◆MS「Windows Defender」に深刻な脆弱性、修正パッチをリリース (ZDNet, 2018/04/05 11:00) https://japan.zdnet.com/article/35117231/

「iOS 11」標準カメラアプリのQRコード読み取り機能にバグ、表示されるURLとリンク先のウェブサイトを異なるものに設定可能

【ニュース】 ◆「iOS 11」標準カメラアプリのQRコード読み取り機能にバグ、表示されるURLとリンク先のウェブサイトを異なるものに設定可能 (Gigazine, 2018/03/29 12:00) https://gigazine.net/news/20180329-qr-code-bug-ios-11/

Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-002

【ニュース】 ◆Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-002 (Drupal. 2018/03/28) https://www.drupal.org/sa-core-2018-002

QR Code Bug in Apple iOS 11 Could Lead You to Malicious Sites

【ニュース】 ◆QR Code Bug in Apple iOS 11 Could Lead You to Malicious Sites (The Hacker News, 2018/03/27) https://thehackernews.com/2018/03/ios-qr-code-camera.html

iOS camera QR code URL parser bug

【ブログ】 ◆iOS camera QR code URL parser bug (rm-it, 2018/03/24) https://infosec.rm-it.de/2018/03/24/ios-camera-qr-code-url-parser-bug/

GE Healthcareの複数医療機器に認証回避のおそれ - 米機関が注意喚起

【ニュース】 ◆GE Healthcareの複数医療機器に認証回避のおそれ - 米機関が注意喚起 (Security NEXT, 2018/03/20) http://www.security-next.com/091267

AMD、RyzenやEPYCの脆弱性報告に対し声明を発表

AMD

【ニュース】 ◆AMD、RyzenやEPYCの脆弱性報告に対し声明を発表 (マイナビニュース, 2018/03/14 19:00) https://news.mynavi.jp/article/20180314-600588/

GCHQ fears energy smart meters could expose millions of Bretons to hack

【ニュース】 ◆GCHQ fears energy smart meters could expose millions of Bretons to hack (Security Affairs, 2018/03/04) http://securityaffairs.co/wordpress/69819/iot/energy-smart-meters-hack.html

Apache Tomcatに複数の脆弱性、アップデート推奨

【ニュース】 ◆Apache Tomcatに複数の脆弱性、アップデート推奨 (マイナビニュース, 2018/02/24) https://news.mynavi.jp/article/20180224-588506/


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2017