「脆弱性」最新記事一覧

関連キーワード

ヘッドライン

20万のサーバとデバイスに依然として脆弱性「Heartbleed」あり

1月23日(米国時間)、Threatpostに掲載された記事「Heartbleed Persists on 200,000 Servers, Devices|Threatpost|The first stop for security news」が、調査した結果、依然として20万ほどのサーバおよびデバイスにOpenSSLの脆弱性であるHeartbleedが存在した状態にあると伝えた。当初危惧されていたように、Heartbleedは今後も長期にわたって存在し続ける可能性がある。

[20:00 1/24]

Apple、クリティカルなカーネル脆弱性を修正

1月23日(米国時間)、Threatpostに掲載された記事「Apple Patches Critical Kernel Vulnerabilities|Threatpost|The first stop for security news」が、AppleからmacOS Sierra、iOS、iWatch、tvOSの複数の脆弱性を修正するパッチの提供が開始されたと伝えた。この脆弱性を悪用されると、特権昇格状態でコードが実行される可能性があり注意が必要。すでにパッチの提供がはじまっていることから、該当するプロダクトを使用している場合は迅速にアップデートを適用することが望まれる。

[18:14 1/24]

ImageMagickの脆弱性を悪用してFacebookサーバを攻撃する方法が発見

fossBytesに1月18日(米国時間)に掲載された記事「How This Hacker Broke Facebook With ImageMagick Flaw And Won $40k Reward」が、オープンソースの画像処理ツール「ImageMagick」の脆弱性を悪用してFacebookのサーバを攻撃する方法が存在していたと伝えた。このバグはすでに報告されており、バグを報告したユーザーには4万米ドルのバグ報告報奨金が支払われたとされている。

[15:30 1/22]

PHP、脆弱性を修正した3つのバージョン公開

PHPデベロップメントチームは1月19日(米国時間)、「PHP: Hypertext Preprocessor」において、3つのバージョンの公開を伝えた。PHPデベロップメントチームは、すべてのユーザーに対してそれぞれの最新版へのアップグレードを推奨している。

[15:30 1/21]

Javaに任意のコード実行の弱性

JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center、JPCERT/CC)は1月18日、「2017年 1月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起」において、Oracle Java SE JDKおよびJREに複数の脆弱性が存在すると伝えた。このセキュリティ脆弱性を悪用されると、プログラムが不正終了させられたり、任意のコードが実行されたりするおそれがあり注意が必要。

[20:00 1/18]

BINDに複数の脆弱性

United States Computer Emergency Readiness Team (US-CERT)は1月11日(米国時間)、「ISC Releases Security Updates for BIND」において、BINDに複数の脆弱性が存在すると伝えた。この脆弱性を悪用されると、リモートからの攻撃によって named が終了するおそれがあるという。

[15:07 1/12]

Adobe FlashとAcrobatに遠隔からコード実行可能な脆弱性

United States Computer Emergency Readiness Team (US-CERT)は1月10日(米国時間)、「Adobe Releases Security Updates」において、Adobe Acrobat、Adobe Acrobat Reader、Adobe Flash Playerに複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、遠隔から攻撃者によって影響を受けたシステムが乗っ取られる危険性があり注意が必要。

[13:40 1/11]

FTC、家庭向けIoTデバイスを脆弱性から守るツールを開発するコンテスト開催

米連邦取引委員会(FTC; U.S. Federal Trade Commission)は1月4日(米国時間)、「IoT Home Inspector Challenge|FEDERAL TRADE COMMISION」において、家庭向けに提供されるIoTデバイスを脆弱性の脅威から守るツールの開発に関するコンペティションを開催すると発表した。賞金は最大で2万5000米ドルとされている。デフォルトパスワードの使用から引き起こされる問題を解決するための機能の追加などもオプションとして盛り込まれている。

[13:30 1/7]

Sucuri、2016第3四半期のWebサイトのサイバー攻撃動向を発表

Sucuriは1月4日(米国時間)、「Hacked Website Report - 2016/Q3」において2016年第3四半期の「Hacked Website Report」の公開を伝えた。どのような手口でWebサイトへのサイバー攻撃や侵入が実施され、どのようなマルウェアが使われていたかの情報がまとめられている。

[11:00 1/6]

Apache HTTP Web Server 2.4に複数の脆弱性 - JPCERT/CC

JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center、JPCERT/CC)は12月21日、「Japan Vulnerability Notes(JVN)」に掲載した記事「JVNVU#99304449: Apache HTTP Web Server 2.4 における複数の脆弱性に対するアップデート」において、Apache HTTP Web Serverの脆弱性について伝えた。該当するソフトウェアを使用している場合は説明されている対策方法などを適用し、早期に問題に対処することが推奨される。

[09:24 12/26]

Ubuntuに遠隔から任意のコードが実行できる脆弱性

12月14日、研究者のDonncha O'Cearbhaill氏が自身のブログで、Ubuntuに遠隔から任意のコードが実行できてしまう脆弱性が存在すると伝えた。Ubuntu 12.10およびこれ以降のUbuntuがこの影響を受けるとされているが、すでに修正版が公開されていることから、該当するプロダクトを使っている場合は迅速にアップデートを適用することが望まれる。

[10:30 12/20]

Facebookメッセンジャーにチャットを盗み見できる脆弱性

セキュリティファームのCynetは12月13日(米国時間)、「Critical Issue Opened Private Chats of Facebook Messenger Users Up to Attackers|Cynet」において、Facebookにいくつかの脆弱性が存在しており、攻撃者は簡単にユーザーのプライベートチャットや写真、プロフィールなどの情報を閲覧できてしまうと伝えた。この攻撃方法は通称「Originull」と呼ばれている。

[13:30 12/17]

Microsoft、重大な脆弱性を修正するアップデート公開

12月13日(米国時間)、Threatpostに掲載された記事「Microsoft Patches Publicly Disclosed IE, Edge Vulnerabilities|Threatpost|The first stop for security news」が、MicrosoftがMicrosoft EdgeおよびMicrosoft Internet Explorerの重大な脆弱性の修正を含むアップデートの提供を開始したと伝えた。

[18:00 12/14]

PHP 7.0およびPHP 5.6脆弱性を修正した最新版登場

PHPデベロップメントチームは12月8日(米国時間)、「PHP: Hypertext Preprocessor」において、脆弱性を修正したバージョン「PHP 7.0.14」および「PHP 5.6.29」の公開を伝えた。PHPデベロップメントチームはそれぞれのユーザーに対して脆弱性が修正された最新版へアップグレードすることを推奨している。

[18:30 12/12]

2016年、攻撃に悪用された脆弱性のトップ10の8つがIEとFlash

Recorded Futureは12月6日(米国時間)、「New Kit, Same Player: Top 10 Vulnerabilities Used by Exploit Kits in 2016」において、2016年にエクスプロイトキットで使われた脆弱性トップ10を発表した。トップ10のうちInternet Explorerが2つ、Flash Playerが6つと、この2つのアプリケーションの脆弱性が大半を占める結果となった。

[15:00 12/10]

Apache HTTP Web Server、HTTP/2処理に脆弱性

JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center、JPCERT/CC)は12月6日、「Japan Vulnerability Notes(JVN)」に掲載した記事「JVNVU#97133859: Apache HTTP Web Server の HTTP/2 プロトコルの処理にサービス運用妨害(DoS)の脆弱性」においてソフトウェアの脆弱性について伝えた。該当するソフトウェアを使用している場合は説明されている対策方法などを適用し、早期に問題に対処することが推奨される。

[09:24 12/9]

6秒ほどでクレジットカード情報を窃取できる脆弱性が発見

fossBytesに12月5日(米国時間)に掲載された記事「Your Credit/Debit Card Can Be Hacked In 6 Seconds Using "Distributed Guessing Attack"」が、クレジットカードおよびデビッドカードの詳細情報をたった6秒で取得できる脆弱性の存在を伝えた。記事では、オンラインで利用するこれらカードの上限額を低く抑えたり、ほかのカードとは別途用意して利用したりすることで、リスクを低減できると指摘している。

[10:03 12/7]

Google、脆弱性を撲滅するソフト「OSS-Fuzz」発表

Googleは12月1日(米国時間)、「Google Online Security Blog: Announcing OSS-Fuzz: Continuous Fuzzing for Open Source Software」において、脆弱性の発見や安定性の向上につながるソフトウェア「OSS-Fuzz」を発表した。これは、複数のツールを組み合わせたソフトウェアで、開発時のクオリティ向上に寄与するツールとして利用できる。

[10:16 12/5]

WordPress、人気eコマースサイトプラグインに脆弱性

11月22日(米国時間)、Threatpostに掲載された記事「WordPress Plugins Leave Online Shoppers Vulnerable|Threatpost|The first stop for security news」が、WordPressで使われている人気の高いeコマースプラグインに脆弱性が存在しているという指摘が出ていることを伝えた。

[16:00 11/24]

300万台のAndroidデバイスに遠隔からのコード実行が可能な脆弱性

11月21日(米国時間)、Threatpostに掲載された記事「Backdoor Found in Firmware of Some Android Devices|Threatpost|The first stop for security news」が、300万台近いAndroidデバイスに遠隔からのコードの実行を許可することにつながる脆弱性が存在していると伝えた。

[14:30 11/24]

脆弱性の発見が続くモバイルOS、セキュリティの課題と対策を考える

2016年は、モバイルセキュリティの信頼性が揺らいだ年であり、モバイルOSのセキュリティの転換期だったと言ってよいだろう。その顕著な例として、AppleがすべてのiOSユーザーへ緊急パッチを配布したことが挙げられる。本稿では、モバイルOSを取り巻くセキュリティの課題とその解決策について考えてみたい。

[10:06 11/24]

iOSにパスコードバイパスの脆弱性

11月17日(米国時間)、Threatpostに掲載された記事「iOS 10 Passcode Bypass Can Access Photos, Contacts|Threatpost|The first stop for security news」が、iOS 8、iOS 9、iOS 10にパスワード入力を行わなくともコンタクト情報および写真データにアクセスできる脆弱性が存在すると伝えた。この脆弱性は最新のiOS 10.2 beta 3にも存在していると説明がある。

[10:38 11/22]

アイ・オーのWi-Fiストレージ「WFS-SR01」、脆弱性対策ファームウェア公開

アイ・オー・データ機器のWi-Fiストレージ「ポケドラ WFS-SR01」にて、既存の脆弱性を解消する最新ファームウェア(Ver.1.11)が公開された。

[17:00 11/16]

Windows Insider Preview、Microsoft Edgeブラウザ報奨金プログラムを改訂

米MicrosoftがWindows Insider Preview上で行っている、Microsoft Edge Web Platformに関する報奨金プログラムの条件が改訂された。

[15:36 11/15]

Microsoft、Googleに指摘されたゼロデイ脆弱性を修正

United States Computer Emergency Readiness Team (US-CERT)は11月8日(米国時間)、「Microsoft Releases Security Updates」において、Microsoftが複数の脆弱性を修正する14個のアップデートを公開したと伝えた。United States Computer Emergency Readiness Teamではユーザーや管理者に対して「Microsoft Security Bulletins」のMS16-129からMS16-142の内容をチェックするとともに、必要に応じてアップデートを適用するように呼びかけている。

[09:31 11/10]

Flash Player、9個のコード実行の脆弱性を修正するパッチ公開

11月8日(米国時間)、Threatpostに掲載された記事「Adobe Patches Nine Code Execution Flaws in Flash Player|Threatpost|The first stop for security news」が、Adobe SystemsからFlash Playerに存在する9個の脆弱性を修正するパッチが公開されたと伝えた。Flash Playerに関しては、ゼロデイの脆弱性を修正するパッチが2週間前に出たばかりで、再び、複数の脆弱性を修正するセキュリティパッチが公開されたことになる。

[15:00 11/9]

ダウンロード10億以上のAndroidアプリのアカウントが乗っ取られるおそれ

fossBytesに11月5日(米国時間)に掲載された記事「This Simple Hack Can Hijack More Than 1 Billion Android App Accounts」が、AndroidアプリのOAuth 2.0の実装に問題があり、遠隔からの攻撃で攻撃者によって対象のアカウントの個人情報が窃取される危険性があると伝えた。簡単な方法であるうえ、すでにこうした脆弱性を抱えたアプリは10億回を超えてダウンロードされていると説明があり注意が必要。

[13:00 11/9]

MySQLに任意のコード実行の脆弱性

11月2日(米国時間)、Threatpostに掲載された記事「Critical MySQL Vulnerabilities Can Lead to Server Compromise|Threatpost|The first stop for security news」が、MySQLおよびMariaDB、PerconaBDに脆弱性が存在しており、影響を受けたシステムの制御権を乗っ取られる危険性があると伝えた。任意コードの実行および特権昇格などが実施可能とされており、最終的にサーバが乗っ取られる危険性があるとされている。

[16:00 11/5]

BINDにサービス終了の脆弱性 - JPCERT/CC

JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center、JPCERT/CC)は11月2日、「ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2016-8864) に関する注意喚起」において、ネームサーバ「BIND」にDoS攻撃を引き起こされる脆弱性が存在すると伝えた。該当するプロダクトを使用している場合は修正されたバージョンへのアップグレードの実施が望まれる。

[13:59 11/4]

アイ・オーのルータ付きWi-Fiストレージ「WFS-SR01」、脆弱性で販売停止

アイ・オー・データ機器の「ポケドラ WFS-SR01」は、SDメモリーカードリーダー、Wi-Fiポケットルーター、モバイルバッテリが一体となったネットワーク機器だが、外部から不正アクセスされる脆弱性が発覚。同社は販売を一時停止する。

[17:57 11/2]

脆弱性 バックナンバー

2017年
2016年
2015年
2014年
2013年
2012年
2011年
2010年
2009年
2008年
2007年

このキーワードについて (パソコン>セキュリティ対策>脆弱性)

脆弱性 トップへ

人気記事

一覧

新着記事