【訳】Ivanti社、NATOから報告されたStandalone Sentryの重大なバグを修正 【要約】 Ivanti社はNATOのサイバーセキュリティセンターから報告されたStandalone Sentryの深刻な脆弱性に対処するためのパッチを提供し、顧客に警告した。この脆弱性は認証されて…
【訳】米国防総省は2016年以降、5万件の脆弱性報告を受けた 【要約】 米国防総省のサイバー犯罪センター(DC3)は、2016年以来、50,000件の脆弱性報告を受け、その多くはバグバウンティ・イベント「Hack-the-Pentagon」の後、脆弱性開示プログラム(VDP)を…
【訳】オラクル、macOS 14.4アップデートでアップル製CPUのJavaが壊れると警告 【要約】 オラクルは、最新のmacOS 14.4 SonomaアップデートがアップルのシリコンCPU上でJavaを壊す可能性があるため、アップデートのインストールを延期するよう顧客に警告した…
【ニュース】 ◆CPUの投機的実行悪用した新しい脆弱性「GhostRace」発見 (マイナビニュース, 2024/03/19 08:49) https://news.mynavi.jp/techplus/article/20240319-2908692/
【図表】 出典: https://news.mynavi.jp/techplus/article/20240318-2907282/【ニュース】 ◆パッチ公開後も悪用され続けるWindowsの脆弱性リスト公開 (マイナビニュース, 2024/03/18 09:35) https://news.mynavi.jp/techplus/article/20240318-2907282/
【ニュース】 ◆バックアップ製品「Arcserve UDP」に脆弱性 - 影響大きくPoCも公開 (Security NEXT, 2024/03/14) https://www.security-next.com/154858
【ニュース】 ◆SonicWallの「SonicOS」やメールセキュリティ製品に脆弱性 (Security NEXT, 2024/03/14) https://www.security-next.com/154819
【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2024/03/12 2024/01/26 CVE-2024-24692 NVD ZSB-24009 5.3(Zoom) CWE-367 チェック時間 使用時間 (TOCTOU) レース条件 2024/03/12 2024/01/26 CVE-2024-24693 NVD ZSB-24010 7.2(Zoom)…
【脆弱性リスト】■FortiOS 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2019/06/04 2018/07/06 CVE-2018-13379 NVD FG-IR-20-233FG-IR-18-384 9.8(NVD)9.1(Fortinet) CWE-22 パス・トラバーサル FG-IR-20-233, FG-IR-18-384 2022/10/10 202…
【訳】フォーティネット、エンドポイント管理ソフトウェアの重大なRCEバグを警告 【要約】 フォーティネットは、FortiClient Enterprise Management Server(EMS)ソフトウェアに深刻なリモートコード実行(RCE)脆弱性を修正しました。この欠陥は、DB2 Admi…
【ニュース】 ◆Microsoft、3月月例更新プログラム配信開始、緊急の脆弱性修正 (マイナビニュース, 2024/03/13 13:31) https://news.mynavi.jp/techplus/article/20240313-2905073/
【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2024/03/12 2023/09/14 CVE-2023-42789 NVD FG-IR-23-328 9.8(Fortinet) CWE-787 境界外書き込み 2024/03/12 2023/09/14 CVE-2023-42790 NVD FG-IR-23-327 8.1(Fortinet) CWE-121 ヒー…
【訳】グーグル、昨年バグ報奨金1000万ドルを支払う 【図表】 毎年研究者に支払われる総額(グーグル) 出典: https://www.bleepingcomputer.com/news/google/google-paid-10-million-in-bug-bounty-rewards-last-year/ 【要約】 グーグルは2023年、68カ国の…
【訳】研究者ら、サイバー攻撃に利用可能なMicrosoft SCCMの誤認識を暴露 【図表】 Misconfiguration Managerテクニックの攻撃マトリックス (Duane Michael) 出典: https://www.bleepingcomputer.com/news/security/researchers-expose-microsoft-sccm-misco…
【訳】フォーティネットの重大な欠陥、15万台の露出したデバイスに影響か 【図表】 FortiOSおよびFortiProxyの脆弱なバージョンを持つデバイス (Shadowserver Foundation) 出典: https://www.bleepingcomputer.com/news/security/critical-fortinet-flaw-may…
【訳】QNAP、同社のNASデバイスに重大な認証バイパスの欠陥があることを警告 【要約】 QNAPは、QTS、QuTS hero、QuTScloud、myQNAPcloudなどのNASソフトウェア製品に重大な脆弱性があることを警告した。これにより、攻撃者が認証バイパスやコマンド・SQLイン…
【ニュース】 ◆米当局、「TeamCity」の脆弱性悪用に注意呼びかけ (Security NEXT, 2024/03/08) https://www.security-next.com/154664
【訳】Ivanti:コネクト・セキュアの認証バイパス・バグを直ちに修正せよ 【図表】 出典: https://www.bleepingcomputer.com/news/security/ivanti-patch-new-connect-secure-auth-bypass-bug-immediately/ 【ニュース】 ◆Ivanti: Patch new Connect Secure …
【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2024/02/28 2024/02/05 CVE-2024-25128 NVD Flask 9.1(GitHub) CWE-287 不適切な認証 【ニュース】 ◆「Flask App Builder」に脆弱性 - 「OpenID 2.0」使用時に影響 (Security NEXT, 20…
【訳】AnyCubic、悪用された3Dプリンターのゼロデイ欠陥を新ファームウェアで修正 【図表】 ハッキングされたAnycubicの3Dプリンターに残されたメッセージ (Lilputman) 出典: https://www.bleepingcomputer.com/news/security/anycubic-fixes-exploited-3d-p…
【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2024/03/07 2024/02/27 CVE-2024-24964 NVD SKYSEA - - 2024/03/07 2024/02/27 CVE-2024-21805 NVD SKYSEA - - 【ニュース】 ◆IT資産管理用ツール「SKYSEA Client View」に複数の脆弱…
【訳】TeamCityの重大な欠陥が管理者アカウントの作成に広く悪用されるようになった 【図表】 TeamCityインストールに認証バイパス・バグCVE-2024-27198の脆弱性 (LeakIX) TeamCityインスタンスはすでにCVE-2024-27198によって危険にさらされている (LeakIX)…
【訳】VMware、ESXi、Workstation、Fusionのサンドボックス脱出に関する重大な欠陥を修正 【ニュース】 ◆VMware fixes critical sandbox escape flaws in ESXi, Workstation, and Fusion (BleepingComputer, 2024/03/06 10:39) [VMware、ESXi、Workstation、…
【訳】アップル、iPhoneへの攻撃に悪用された2つの新たなiOSのゼロデイを修正 【ニュース】 ◆Apple fixes two new iOS zero-days exploited in attacks on iPhones (BleepingComputer, 2024/03/05 16:34) [アップル、iPhoneへの攻撃に悪用された2つの新たなi…
【ニュース】 ◆インターホンにリモートからのぞき見できる脆弱性、乗っ取りも簡単 (マイナビニュース, 2024/03/05 15:27) https://news.mynavi.jp/techplus/article/20240305-2898780/
【訳】マストドンに脆弱性、攻撃者にアカウント乗っ取りを許す 【ニュース】 ◆Mastodon vulnerability allows attackers to take over accounts (BleepingComputer, 2024/02/03 10:09) [マストドンに脆弱性、攻撃者にアカウント乗っ取りを許す] https://www.…
【訳】8月以降ゼロデイとして悪用されていたWindowsカーネルのバグが先月修正された 【ニュース】 ◆Windows Kernel bug fixed last month exploited as zero-day since August (BleepingComputer, 2024/03/02 10:09) [8月以降ゼロデイとして悪用されていたWi…
【訳】CISA、マルウェア攻撃に悪用されるMicrosoft Streamingのバグについて警告 【図表】 CVE-2023-29360悪用のタイムライン(チェック・ポイント) 出典: https://www.bleepingcomputer.com/news/security/cisa-warns-of-microsoft-streaming-bug-exploite…
【訳】マイクロソフト、「メモリ不足」クラッシュの原因となるEdgeアップデートを取り下げ 【図表】 Microsoft Edgeのメモリ不足エラー (ソース Reddit) 出典: https://www.bleepingcomputer.com/news/microsoft/microsoft-pulls-edge-update-causing-out-of…
【ニュース】 ◆Ivanti、「外部整合性チェックツールICT」の機能強化版を公開 (Security NEXT, 2024/03/01) https://www.security-next.com/154332
