ITmedia総合  >  キーワード一覧  >  C

  • 関連の記事

「CVSS」関連の最新 ニュース・レビュー・解説 記事 まとめ

Common Vulnerability Scoring System:共通脆弱性評価システム

Oracleの四半期パッチ公開、NoSQLデータベースなどに重大な脆弱性
特に、NoSQL Databaseの脆弱性は、ユーザー認証なしでネットワークを介して悪用される恐れがあり、危険度が極めて高い。(2019/10/16)

IntelのCPUに「NetCAT」の脆弱性、重要情報流出の恐れ
発見者は「ネットワークベースのキャッシュサイドチャネル攻撃が、現実の脅威であることが示された」と解説している。(2019/9/12)

Androidに未解決の脆弱性を発見、ZDIが公開
Androidに存在する権限昇格の脆弱性に関する情報を、ZDIが公開した。Googleが9月のAndroid月例パッチで修正した脆弱性の中には、この問題は含まれていなかった。(2019/9/6)

転職サイトのビズリーチ、OSSの脆弱性管理ツールを開発 きっかけは「社内の悩み」
ビズリーチが、オープンソースソフトウェア(OSS)の脆弱性管理ツール「yamory」を公開。サイバーセキュリティ事業に参入した。このyamoryは、現場の悩みから生まれたツールだという。(2019/8/29)

無料動画プレーヤー「VLC」に未解決の脆弱性、不正な動画ファイルで悪用の恐れも
「唯一の対策は、パッチがリリースされるまでこのプレーヤーの使用を控えることかもしれない」とESETは勧告している。(2019/7/24)

Oracleの四半期パッチ公開、データベースなどに極めて深刻な脆弱性
データベースやJava SE(Standard Edition)を含む多数の製品を対象として、計319件の脆弱性が修正された。(2019/7/17)

Rowhammer対策も無効
「RAMBleed」とは? 物理メモリからデータを盗む新手の手口
セキュリティ研究者が発見したRowhammer攻撃の亜種「RAMBleed」は、物理メモリからデータを盗むことが可能だ。従来の対策では被害を防ぐことができない可能性がある。(2019/7/16)

Oracle、WebLogicの臨時アップデート公開 既に攻撃が発生
米セキュリティ機関によれば、この脆弱性については既に悪用の横行が伝えられていた。(2019/6/21)

セキュリティ・アディッショナルタイム(32):
深夜のXSS講座も? サイボウズのバグハンター合宿がやたら楽しそうな件
ソフトウェアに含まれるバグや脆弱性を見つける者たちが1カ所に集まり、集中的に脆弱性を見つけ出す「バグハンター合宿」をサイボウズが開催した。なぜ、わざわざ脆弱性報奨金制度を展開し、合宿まで実施するのだろうか。(2019/6/6)

OSSのセキュリティリスクをどう低減するか?:
PR:OSS脆弱性情報の収集・管理・適用を、シンプル・確実にする方法
厳しいコスト削減要請やデジタルトランスフォーメーション(DX: Digital transformation)を背景に、オープンソースソフトウェア(OSS: Open Source Software)の活用が拡大している。コストを抑えながら、必要なソフトウェアを自由に利用したり組み合わせたりできる点はOSSの大きな利点だが、脆弱性情報の収集・管理をはじめ、セキュリティリスクにもしっかりと対応しなければ甚大なダメージを被るリスクも隠れている。だが、ただでさえ多忙な業務の中、一体どうすれば多種多様なOSSの脆弱性情報を確実に収集・管理できるのだろうか? 日立製作所(以下、日立) に話を聞いた。(2019/6/5)

Windowsタスクスケジューラに未解決の脆弱性、悪用コードも公開
コンセプト実証の悪用コードをGitHubで公開した人物は、さらに複数の未解決の脆弱性情報を公開すると予告している。(2019/5/23)

パスワードが盗まれる恐れも――IntelのCPUに重要情報流出につながる新たな脆弱性が発覚
「Meltdown」「Spectre」と同様、現代的な設計のプロセッサに含まれる投機的実行の仕組みが悪用され、パスワードやWebブラウザの閲覧履歴、暗号鍵といった重要な情報が流出する恐れがある。(2019/5/15)

OracleのWebLogicに未解決の脆弱性報告、4月に公開した対策パッチが不完全だった可能性も
OracleのWebLogicに未解決の脆弱性があったとセキュリティ機関SANS Internet Storm Centerが同社のブログで報告した。Oracleが2018年4月に公開した対策パッチが不完全だった可能性が指摘されている。(2019/4/26)

あなたのスマホが危ないかも――BroadcomのWi-Fiチップセットに脆弱性、CERT/CCが注意喚起
BroadcomのWi-FiチップはスマートフォンからノートPC、スマートTV、IoTデバイスに至るまで幅広い製品に使われているため、脆弱性が見つかった場合のリスクは大きい。(2019/4/19)

米Oracle、定例セキュリティ更新プログラム公開 データベースやFusion Middlewareに深刻な脆弱性
Oracle Databaseをはじめ、Fusion MiddlewareやMySQL、Java SEなど多数の製品を対象に、計297件の脆弱性が修正された。(2019/4/18)

Cisco IOS XE、半年に1度のセキュリティ情報公開 危険度「高」の脆弱性対応も
Ciscoはルーターなど多数の製品に搭載されている「IOS」「IOS XE」の脆弱性に対処した。これとは別に、スモールビジネス向けルーターの未解決の脆弱性に関する情報も公開した。(2019/3/29)

「ベアメタルクラウド」の弱点、セキュリティ企業が指摘 情報盗まれる恐れも
セキュリティ企業の米Eclypsiumによると、クラウド各社が提供する「ベアメタルクラウド」の弱点と、以前から指摘されていたBMCファームウェアの脆弱性を組み合わせれば、DoS攻撃を仕掛けられたり、情報を盗まれたりする恐れがあるという。(2019/2/27)

Oracle、定例セキュリティ更新プログラムを公開 計284件の脆弱性を修正
Database ServerやJava SEをはじめ、Oracleの多数の製品を対象として、合計で284件の脆弱性を修正している。(2019/1/17)

Windowsに未解決の脆弱性報告、任意のコード実行の恐れ
脆弱性はVCardファイル(VCF)の処理に起因する。悪用されれば、リモートの攻撃者に任意のコードを実行される恐れがある。(2019/1/16)

コンテナセキュリティ、5つの勘所とは?:
PR:DevSecOpsも実現できる。コンテナアプリを脅威から簡単・確実に守る方法
Web/モバイルアプリケーションが重要な顧客接点となっている近年、ITサービス開発・改善のスピードを獲得するべく、コンテナ活用に乗り出す企業が増えている。だが重要なのは「スピード」だけではない。セキュリティも確実に担保しなければ自社の社会的信頼を失墜させてしまう。ではスピードやポータビリティといったコンテナのメリットを享受しながら確実にセキュリティを担保するためにはどうすればよいのか? コンテナセキュリティに詳しいソフトバンク コマース&サービスの竹石渡氏に話を聞いた。(2018/12/7)

CrucialやSamsung製のSSDでも脆弱性を確認:
自己暗号化ドライブに複数の脆弱性、WindowsのBitLockerなどに影響
悪用されればドライブの暗号が解読される恐れがある。Crucial(Micron)やSamsungのSSD、そしてWindowsのBitLockerなどが影響を受ける。(2018/11/8)

OpenAMコンソーシアムがソースコード公開に至った狙いとは:
PR:オープンソースソフトウェアのシングルサインオン製品が求められる理由
多くの企業が複数の業務システムやアプリケーションを利用してビジネス活動を進めているため、IDとパスワードが増加している。またテレワークをはじめとした業務改革の推進により、クラウドサービスやモバイル利用者の利便性を損なうことなく自社のセキュリティポリシーを適応する仕組みが求められている。こうした課題を解決するのがシングルサインオン製品だ。中でも、オープンソースソフトウェアの「OpenAM」に改めて注目が集まっている。(2018/11/5)

X.Orgに特権昇格の脆弱性、LinuxやOpenBSDに影響
悪用されれば権限を昇格されたり、任意のファイルを上書きされたりする恐れがある。(2018/10/30)

OpenSCAPで脆弱性対策はどう変わる?(3):
SCAPの構成要素、XCCDF(セキュリティ設定チェックリスト記述形式)、OVAL(セキュリティ検査言語)とは
本連載では、グローバルスタンダードになっている「SCAP」(セキュリティ設定共通化手順)、およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。今回は、XCCDF(セキュリティ設定チェックリスト記述形式)、OVAL(セキュリティ検査言語)について。(2018/10/18)

Oracle、Javaやデータベースなど301件の脆弱性を修正 速やかに適用を
Oracle製品では、既知の脆弱性の悪用を試みる事案も相次いでおり、ユーザーがパッチの適用を怠ったことが原因で攻撃を受ける場合もある。(2018/10/17)

「Vuls祭り#4」で披露:
フューチャー、OSSの「Vuls」と商用版「FutureVuls」をバージョンアップ
フューチャーは、2018年8月末にオープンソースソフトウェアの脆弱性スキャナー「Vuls」のv0.5.0をリリースし、Vulsを基にした商用サービス「FutureVuls」も大幅にバージョンアップした。(2018/9/20)

Intel暗号鍵に危険度「高」の脆弱性、ファームウェア更新で対処
Intel MEの暗号鍵に関連する脆弱性が発見された。重要な情報の改ざんや流出の可能性が指摘されている。(2018/9/14)

OpenSCAPで脆弱性対策はどう変わる?(2):
SCAPの構成要素、CWE(共通脆弱性タイプ)、CCE(共通セキュリティ設定一覧)とは
本連載では、グローバルスタンダードになっている「SCAP」(セキュリティ設定共通化手順)、およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。今回は、CWE(共通脆弱性タイプ)、CCE(共通セキュリティ設定一覧)について。(2018/9/5)

@ITセキュリティセミナー2018.6-7:
他社の「有事」を自分事として生かす「平時」であれ――セキュリティリサーチャーズが示す、平時と有事の対応指針とは
@ITは、2018年6〜7月に、「@ITセキュリティセミナー」を開催した。本稿では、piyokango氏、インターネットイニシアティブ 根岸征史氏、ソフトバンク・テクノロジー 辻伸弘氏による特別講演「昼下がりのセキュリティリサーチャーズ〜平時と有事の狭間で〜」の内容をお伝えする。(2018/9/6)

Windowsタスクスケジューラに未解決の脆弱性、悪用コードも公開
ローカルユーザーに悪用された場合、権限を昇格されてシステム特権を獲得される恐れがある。(2018/8/29)

Intel CPUの「SGX」機能に新たな脆弱性、仮想マシンなどにも影響
脆弱性はIntelのSGX機能をサポートしているプロセッサが影響を受けるほか、他のOSやシステム管理モード(SMM)、仮想化ソフトウェア(VMM)などに影響を及ぼす可能性のある脆弱性も見つかった。(2018/8/15)

Bluetoothの実装に脆弱性、AppleやIntelの製品に影響
無線通信の圏内にいる攻撃者が中間者攻撃を仕掛けて暗号鍵を入手し、デバイスメッセージの傍受や復号、改ざんなどを行うことができてしまう恐れがある。(2018/7/25)

Oracleの四半期パッチ公開、データベースやJavaの深刻な脆弱性を修正
今回のパッチでは計334件の脆弱性に対処した。データベースやJavaなど多数の製品に、危険度の極めて高い脆弱性が存在している。(2018/7/18)

OpenSCAPで脆弱性対策はどう変わる?(1):
SCAP(セキュリティ設定共通化手順)とは何か――CVE、CVSS、CPEについて
本連載では、グローバルスタンダードになっている「SCAP」(セキュリティ設定共通化手順)、およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。初回は、SCAPの概要について。(2018/7/12)

Intelプロセッサに新たな脆弱性、投機的実行機能に関連
脆弱性は、Coreベースプロセッサの「Lazy FP state restore」という機能に存在する。「Spectre」「Meltdown」と同様に、投機的実行の仕組みに関連しているという。(2018/6/15)

新たに「Meltdown」「Spectre」関連の脆弱性、IntelはBIOSアップデートの準備
Intelなどのプロセッサに発覚した「Meltdown」「Spectre」と呼ばれる脆弱性に関連して、新たに2件の脆弱性が確認された。(2018/5/22)

Android端末に「Rowhammer攻撃」、ChromeやFirefoxに脆弱性
DRAMの設計上の弱点を突く「Rowhammer攻撃」を仕掛け、Webブラウザのセキュリティ対策をかわせてしまう脆弱性が発見された。(2018/5/7)

254件の脆弱性を修正:
Oracleの四半期パッチ公開、データベースやJavaなどの脆弱性に対処
今回の定例パッチでは計254件の脆弱性を修正した。Database Server、Fusion Middleware、Java SE、MySQL、Oracle Virtualizationなど多数の製品が対象となる。(2018/4/19)

直ちにアップデートを:
Windows 7とServer 2008の臨時アップデート公開 Meltdownの対策パッチで生まれた脆弱性に対処
Windows 7とWindows Server 2008 R2で2018年1月以降にリリースされた更新プログラムをインストールしていた場合は、直ちに今回の更新プログラムをインストールする必要がある。(2018/4/2)

セキュリティ・アディッショナルタイム(21):
10分で脆弱性が見つかった、バグハンターと開発者が共同合宿で得たこと
缶詰め状態で集中して脆弱(ぜいじゃく)性を見つけてもらう「バグハンター合宿」を、サイボウズが2017年11月3〜4日に実施。予想以上に多くの報告を受理しただけでなく、サービス開発者とバグハンターの双方に気付きが生まれた。(2018/2/14)

Ciscoセキュリティ製品の脆弱性突く攻撃を確認、直ちに対応を
Ciscoのセキュリティ担当者は、「直ちにパッチ適用を。今のところ下手なDoSだが、現実に悪用が観測された」と呼び掛けている。(2018/2/13)

Ciscoのセキュリティ製品に極めて重大な脆弱性、修正版のアップデート公開
危険度は最大の「10.0」。当初公開していたアップデートでは不十分だったことも分かり、修正版のアップデートが2月5日に公開された。(2018/2/7)

脆弱性の総数と深刻なものの件数がともに急増:
2017年の脆弱性報告件数は過去最高の約1万4700件、まだ隠れた脆弱性がある可能性も:ESET
ESETによると、2017年は脆弱性の報告件数が前年比で2倍以上に増えて過去最高となり、中でも重大な脆弱性が近年の傾向に沿って急激に増加した。(2018/2/7)

ITmedia エンタープライズ セキュリティセミナーレポート:
“役員も巻き込んで”危機意識を共有 ジャパンネット銀行の“脅威を自分ごと化させる”CSIRT
サイバーセキュリティに関するさまざまな取り組みで知られるジャパンネット銀行。2013年に立ち上げた「JNB-CSIRT」は、役員も訓練に巻き込んで危機意識を共有するなど、サイバー攻撃を“自分ごと化”する活動が特長だ。(2018/2/7)

CiscoのASAソフトウェアに重大な脆弱性、多数の製品に影響
危険度を示すCVSSベーススコアは最高値の10.0。間もなく開幕するセキュリティカンファレンスで詳しい内容の発表が予定されているという。(2018/1/31)

Oracleが四半期パッチ公開、Intel CPUの脆弱性に対処
Spectreと呼ばれる脆弱性の緩和策は、Sun Systems製品とOracle Virtualization向けのパッチに含まれている。(2018/1/17)

HPの法人向けプリンタに脆弱性、セキュリティ研究者が実証マルウェアを作成
HPはファームウェアの更新版を公開し、ユーザーに対してできるだけ早く対応するよう呼び掛けている。(2017/11/24)

PCやサーバ、IoTプラットフォームに影響:
Intelプロセッサの管理エンジンに脆弱性、直ちにファームウェアの更新を
Intelのプロセッサを搭載したPCやサーバ、IoTプラットフォームに影響が及ぶ恐れがあり、OEMから更新版のファームウェアを入手するよう強く勧告している。(2017/11/22)

PeopleSoftに影響する重大な脆弱性、Oracleが臨時パッチで対処
PeopleSoftに含まれる「Tuxedo」に極めて深刻な脆弱性が発見された。Oracleでは、できるだけ早くパッチを適用するよう強く勧告している。(2017/11/17)

IEEEの電子設計暗号規格に脆弱性、半導体大手の製品に影響の恐れ
まだ未確認ながら、半導体大手の製品が影響を受ける可能性が指摘されている。(2017/11/7)



2013年のα7発売から5年経ち、キヤノン、ニコン、パナソニック、シグマがフルサイズミラーレスを相次いで発表した。デジタルだからこそのミラーレス方式は、技術改良を積み重ねて一眼レフ方式に劣っていた点を克服してきており、高級カメラとしても勢いは明らかだ。

言葉としてもはや真新しいものではないが、半導体、デバイス、ネットワーク等のインフラが成熟し、過去の夢想であったクラウドのコンセプトが真に現実化する段階に来ている。
【こちらもご覧ください】
Cloud USER by ITmedia NEWS
クラウドサービスのレビューサイト:ITreview

これからの世の中を大きく変えるであろうテクノロジーのひとつが自動運転だろう。現状のトップランナーにはIT企業が目立ち、自動車市場/交通・輸送サービス市場を中心に激変は避けられない。日本の産業構造にも大きな影響を持つ、まさに破壊的イノベーションとなりそうだ。