Oracleに関する広範囲のセキュリティ情報が公開 多数の脆弱性も
Oracleから2023年4月版の「Oracle Critical Patch Update Advisory」が発行された。CVSSスコア値が9以上の緊急度の高い脆弱性が数多く報告されている。(2023/4/21)
Oracleが7月のクリティカルパッチアップデートを公開 「Oracle Java」など複数製品が対象
Oracleは2022年7月のクリティカルパッチアップデートを公開した。Oracle Javaを含めた多くの製品がアップデートの対象となっている。内容を確認するとともに迅速にアップデートを適用してほしい。(2022/7/22)
この頃、セキュリティ界隈で:
インサイダーの脅威が浮き彫りに 求められる「ゼロトラスト」のセキュリティ対策
膨大な個人情報を握るIT企業インサイダーによる不正事件が相次いでいる。その背景は。(2020/1/14)
Flash Playerの更新版が公開、未解決の脆弱性を突く攻撃が発生
メールの添付ファイルをクリックして開くと、Office文書に仕込まれたFlash Playerの脆弱性が悪用されて、任意のコードが実行される仕組みだった。(2018/12/6)
「ハッカー視点のセキュリティレポート」の気になる中身【前編】
ハッカーが評価する「脆弱性攻撃ツール」の種類とは? 独自調査で判明
侵入テスト実施者やハッカーを対象とした調査結果をまとめたセキュリティレポートが公開された。IT担当者やベンダーを対象とした一般的な調査からは見えにくかった“真実”とは。(2017/4/25)
Appleに加えMicrosoft、GoogleもFlash排除へ
「Flashの終わり」をセキュリティ専門家が願う“切実な理由”
Googleが状況に応じてFlash形式のコンテンツの再生をブロックする方針を打ち出し、Microsoftも同じ方針で臨む考えだ。こうした動きはFlashの“終わり”を早めるだろうと専門家は指摘する。(2017/1/5)
専門家から疑問の声
Googleが暴いたWindowsのゼロデイ脆弱性、Microsoftは虚をつかれた?
GoogleはMicrosoftのパッチサイクルの間隙にWindowsのゼロデイ脆弱(ぜいじゃく)性を公表した。専門家の間では、Microsoftがこの脆弱性の深刻度を軽視しているのではないかという声が上がっている。(2016/11/17)
Windowsの全バージョンに影響
Windowsの“構造的弱点”を悪用する攻撃手法が判明、パッチ作成すら不可能?
「AtomBombing」という新たな攻撃手法が登場した。Windowsの根幹を担う仕組みを悪用したこの攻撃は、パッチの提供すら困難だという。その脅威とは。(2016/11/9)
インシデント発覚まで2年も
“史上最大規模の情報流出”で露呈したYahoo!の危ういセキュリティ体制
Yahoo!の史上最大規模の情報流出は広範囲に影響を及ぼしている。訴訟が起こされ、米証券取引委員会(SEC)の調査の可能性が浮上し、同社の侵害検知体制と対応策に疑問の声が上がっている。(2016/10/13)
月例ロールアップ方式に変更
「Windows 7/8.1」のアップデート方法が大幅変更へ、“先延ばし”はもうできない?
Microsoftの月例アップデート「Patch Tuesday」が2016年10月に大きく変わる。新しい方式によって、更新作業は簡素になるのか、かえって面倒になるのか。専門家の意見は分かれる。(2016/9/21)
Lenovoのファイル共有アプリに脆弱性、「12345678」のパスワードをハードコード
Windows版のSHAREitでは、Wi-Fiホットスポットに「12345678」という安易なパスワードがハードコードされていた。(2016/1/27)
Intelのドライバ更新ツールに脆弱性、SSL接続使用せず
Intel Driver Update Utilityでは更新ダウンロード用のURLにSSLが使われていなかった。(2016/1/21)
Androidに未解決の脆弱性情報、Googleは「対応せず」方針
Core Securityによれば、AndroidのWi-Fi Directにサービス妨害(DoS)の脆弱性が存在する。Googleは「現時点でフィックスをリリースする予定はない」と返答してきたという。(2015/1/27)
英Sophos、Webセキュリティ対策製品の脆弱性を修正
「Sophos Web Protection Appliance」の脆弱性を悪用された場合、リモートから権限昇格攻撃を仕掛けられ、root権限で任意のコマンドを実行される恐れがあるという。(2013/9/10)
セキュリティ企業、サンドボックスの脆弱性情報をめぐりAppleの対応を批判
セキュリティ企業がAppleのサンドボックスに関する脆弱性を発見したと報告したが、その対応をめぐり、Appleを批判している。(2011/11/16)
Mac OS Xのセキュリティアップデートが公開 131件の脆弱性を解決
Appleは、システムを制御されるなどの恐れがある多数の脆弱性に対処した。(2010/11/11)
Mac OS Xに未解決の脆弱性か、セキュリティ企業が情報公開
Core Securityは、Appleが予定日になってもパッチを公開しなかったため、脆弱性情報の公開に踏み切ったとしている。(2010/11/10)
「Virtual PCの脆弱性」にMicrosoftが反論
Core Securityが公表した問題は「脆弱性ではない」とMicrosoftが反論している。(2010/3/18)
Microsoft Virtual PCに脆弱性情報、セキュリティ企業が公開
Core Securityは、Microsoftの仮想化ソフト「Virtual PC」に未修正の脆弱性が存在すると発表した。(2010/3/17)
IM向けライブラリに深刻な脆弱性、多数製品に影響の恐れ
Pidginなど多数のIMに採用されているライブラリの「libpurple」に脆弱性が見つかった。MSNからのメッセージ受信で悪用される恐れがある。(2009/8/21)
サービス妨害攻撃の可能性も:
産業用機器の管理ソフト「CitectSCADA」に脆弱性
日本でも導入されている産業用オートメーション装置管理ソフト「CitectSCADA」に脆弱性が見つかった。(2008/6/12)
Leopardでは3番目:
Apple、Mac OS X 10.5.3を公開――多数のセキュリティ問題に対処
AppleはMac OS X 10.5.3を公開。セキュリティアップデートでMac OS X 10.4.11の脆弱性にも対処した。(2008/5/29)
日程調整に食い違い?:
Appleのカレンダーソフトに脆弱性、パッチは未公開
ユーザーは、信頼できない.icsのカレンダーファイルを開かないよう、注意する必要がある。(2008/5/23)
基幹インフラの管理ソフトに脆弱性
電気やガスといった基幹インフラの管理に使われる工業用ソフトにサービス停止を誘発する脆弱性が発見された。(2008/5/7)
GoogleのAndroid SDKに脆弱性
Androidの画像コンテンツ処理用のコアライブラリに、複数の脆弱性が存在するという。(2008/3/5)
頻繁な人事異動についていけない
多くの企業でアクセス管理に問題──調査で明らかに
組織内部の脅威によるデータ漏えいは、適切なアクセスガバナンスによって最小限に抑えることができる。だが、このアドバイスに耳を傾けない経営トップが多いようだ。(2008/2/27)
VMwareに脆弱性、仮想化環境からホストOSへ侵入の恐れも
脆弱性を悪用すると、攻撃者が隔離された仮想化環境から抜け出して、ホストシステムに侵入することが可能になるという。(2008/2/26)
Lotus Notesに深刻な脆弱性
Lotus 1-2-3のファイルビューワに脆弱性が存在し、リモートで任意のコードを実行される可能性がある。(2007/11/28)
「AOL Instant Messenger」に危険な脆弱性
問題を悪用されると、ユーザーが何も操作しなくても任意のコードを実行される恐れがあるという。(2007/9/27)
Core Securityが新しいデータベース攻撃手法を発表
黒い帽子をかぶったCore Security Technologiesの研究者たちが、データベース攻撃の新しい手法を紹介する。(2007/7/31)
OpenBSDのIPv6スタックにリモートで悪用可能な脆弱性
OpenBSDのIPv6スタックに脆弱性が見つかり、ソースコードパッチが公開された。(2007/3/15)
GnuPG利用のメールクライアントに署名問題
署名付きのOpenPGPメッセージに攻撃者がテキストを挿入すると、受け取った側はその書き加えられた部分も署名でカバーされ、改ざんが加えられていないと思ってしまう。(2007/3/8)
セキュリティ専門家、「CAとVista」の脆弱性を指摘
専門家はこの問題を受け、アプリケーションベンダーがVistaのセキュリティ機能に自社製品を組み込まない限り、同OSのマルウェア防御ツールを活用できないと指摘している。(2007/2/7)
ICQに複数の脆弱性
ICQでヒープオーバーフローやクロスサイトスクリプティングの脆弱性が発見された。(2006/9/8)
MSが脆弱性悪用コードの存在確認、公開した企業を非難
Microsoftは2月10日に公開されたMSN Messengerの脆弱性を突いたコードの存在を確認し、修正プログラムリリース直後に実証コードを公開した研究機関を非難した。(2005/2/12)