news 世界数百万台のHP社製OMENゲーミングPCにドライバの脆弱性:特権権限で乗っ取りが可能
何百万台ものHP OMENのゲーミングコンピュータが、深刻度の高い脆弱性による攻撃にさらされていることがわかりました。 この脆弱性により、攻撃者がDDOS攻撃を行ったり、特権を昇格させてセキュリティソリューションを無効にしたりする可能性があ...
Vulnerability
news news 「tar」と「npm」に7件の脆弱性があることが発覚
GitHubのセキュリティチームは、npmパッケージの「tar」とnpm CLIで使用される「@npmcli/arborist」に深刻度の高い脆弱性を発見したと発表しました。 tarパッケージは、毎週平均して2,000万回ダウンロードされて...
news Chromeのサイト・アイソレーション機能を狙った新たなCPUサイドチャネル攻撃方法が発見される
オーストラリア、イスラエル、米国の大学の研究者チームが、Site Isolation機能で保護されたGoogle ChromeおよびChromiumベースのブラウザからデータを回復するCPUサイドチャネル攻撃の実装に成功したと発表しました。...
news CISA、Zohoサーバーのゼロデイ脆弱性がすでに攻撃に利用されていることを警告
米国のサイバーセキュリティ・インフラストラクチャ・セキュリティ機関(CISA)は、Zoho ManageEngineサーバの脆弱性がすでに活発に悪用されているため、このゼロデイ脆弱性を修正するよう企業に警告しています。 このCVE-2021...
news マイクロソフト、Office 365ゼロデイ攻撃に対する一時的な対応策を公開
Microsoftは、Windows 10上のOffice 365およびOffice 2019に対する標的型攻撃で悪用されているWindowsのリモートコード実行脆弱性に対する緩和策を公開しました。 マイクロソフトは、特別に細工されたMic...
news JenkinsプロジェクトがConfluenceサーバーのハッキングに伴うセキュリティ侵害を公表
オープンソースの自動化システムとして最も広く利用されているJenkins社は、ハッカーに内部サーバーの1つにアクセスされ暗号通貨マイニングプログラムを実装され、セキュリティ侵害を被ったと発表しました。 ジェンキンスのインフラチームは、廃止さ...
news NetGearのスイッチに存在する「Demon’s Cries」認証バイパスの脆弱性に緊急パッチ:CVSS9.8とほぼ満点
ネットワーク機器ベンダーのNetGearは、複数のスマートスイッチに存在する3つの脆弱性にパッチを適用しました。これらの脆弱性を利用すると、脅威となる人物が認証を回避して機器を乗っ取ることができる脆弱性になっています。 お使いの NETGE...
news 2021年7月に発生したSolarWindsゼロデイ攻撃は中国が関与か
今年7月中旬、SolarWinds社は同社のファイル転送技術「Serv-U」に存在するゼロデイを修正する緊急セキュリティアップデートを公開しました。 その際、SolarWinds社は攻撃の詳細については一切語らず、マイクロソフト社のセキュリ...
news 数十億台のデバイスが影響を受けるBluetoothの新たな脆弱性「BrakTooth」が発見
セキュリティ研究者のチームは、複数の有名ベンダーのシステムオンチップ(SoC)ボードに搭載されているBluetoothソフトウェアスタックに影響を与える16件の脆弱性を発表しました。 これらの脆弱性は、総称して「BrakTooth」と呼ばれ...
news チームコラボレーションソフト「Confluence」に重大な脆弱性:CVSS9.8とほぼ満点:パッチ公開1週間後には攻撃開始されていた
チームコラボレーションサーバーソフトウェア「Confluence」に存在する重大な脆弱性においてインターネットからの大量のスキャンと攻撃の利用をされていることが発覚しました。 CVE-2021-26084として追跡されているこの脆弱性は、C...