最新記事一覧
直近1カ月の間に、中国に関連する攻撃者がIvantiのVPN製品におけるスタックバッファオーバーフローに関連する重大な脆弱性「CVE-2025-22457」を悪用し始めた。標的には日本も含まれている。
()
FBIとCISAはバッファーオーバーフローの脆弱性を「許しがたい欠陥」と表現し、根絶に向けた取り組みを進めている。これらの脆弱性は特にCやC++で書かれたソフトウェアで起きがちな問題だという。
()
EGセキュアソリューションズは「SiteGuard セキュリティレポート(2024.4Q)」を発表した。攻撃種別で最も多かったのはバッファーオーバーフローだったが、急増と急減という独特の動きを見せている。背景には何があるのか。
()
SSD Secure Disclosureは「Windows 11 23H2」に影響を与えるヒープベースのバッファーオーバーフローの脆弱性CVE-2024-30085を発表した。これを悪用することで特定の条件下で特権昇格が可能になるという。
()
GoogleはLLMを使った新しい研究開発プロジェクト「Naptime」を発表した。NaptimeはC/C++の高度なメモリ破壊やバッファーオーバーフローの脆弱性を発見するのに特化するものだという。
()
Fortinetは、FortiOSおよびFortiProxyの「SSL-VPN」機能におけるヒープベースのバッファオーバーフローの脆弱性を悪用することで、サイバー攻撃者がデバイスを制御できる可能性があると警告した。
()
JPCERT/CCと情報処理推進機構は、文書作成ソフト「一太郎シリーズ」を含むジャストシステム製品に複数の脆弱性が見つかったと報告した。悪用されるとDoS攻撃やバッファオーバーフローを起こされる恐れがある。
()
FortinetのVPN製品に深刻な脆弱性が見つかった。ユーザー企業は迅速に対処する必要があるという。具体的にはどうすればいいのか。
()
FortinetはFortiOSのSSL-VPN機能にヒープベースのバッファオーバーフローの脆弱性が存在すると伝えた。該当製品を使用している場合、直ちにアップデートを適用してほしい。
()
Microsoftが、Microsoft Edgeのバージョン「103.0.1264.49」をStable(安定)チャネルでリリースした。
()
GoogleがChromeブラウザの最新版「v103.0.5060.114」を公開した。4つのセキュリティ修正を含む脆弱性の対策がなされた。
()
Mozillaが提供する暗号ライブラリ「NSS」にヒープオーバーフローの脆弱性が見つかった。悪用されるとクラッシュや任意のコードが実行される危険性がある。複数のアプリケーションが影響を受けるとされており注意が必要だ。
()
Google Chromeのセキュリティアップデート版が公開された。最新版以外のプログラムにはバッファオーバーフローにつながる脆弱性が含まれるため、急いでアップデートしてほしい。
()
sudoにヒープバッファオーバーフローの脆弱性が存在することが明らかになった。攻撃者はユーザーのパスワードを知らなくても特権昇格できるとされる。sudoはmacOSやLinux、UNIX系OSでプリインストールされるコマンドとして広く利用されており、影響範囲が大きい。
()
Webアプリケーションを狙う「バッファオーバーフロー攻撃」による被害を防ぐには、どうすればよいのか。開発から運用までのベストプラクティスを紹介する。
()
メモリ領域の脆弱性「バッファオーバーフロー」はどのように悪用され、どのような危険性をはらんでいるのか。対策のために知っておくべきバッファオーバーフローと、それを悪用した攻撃の裏側を解説する。
()
主なWebアプリケーションの脆弱性を理解することは、セキュリティ対策に役立つ。「バッファオーバーフロー」「CSRF」「アクセス制御の不備」の3つの脆弱性を紹介する。
()
脆弱性対策情報データベース「JVN」は、Android版のLINEアプリに脆弱性が見つかったと発表し、ユーザーに対しアプリをアップデートするよう呼びかけた。
()
「バッファオーバーフロー攻撃」はシステムの一時的な記憶領域を狙った攻撃だ。その具体的な攻撃手法と対策を紹介する。
()
メモリに許容量以上のデータを送り込む「バッファオーバーフロー攻撃」にはさまざまな種類がある。主要な4種類について、それぞれの特徴と攻撃手法について説明する。
()
Linuxで広く使われている「glibc」にバッファオーバーフローの脆弱性が報告されている。修正パッチ適用を急ぎたい。
()
同人ゲームなどに広く使われているスクリプトエンジン「NScripter」にバッファオーバーフローの脆弱性見つかった。
()
バッファオーバーフローの脆弱性が見つかり、対処策などがリリースされている。
()
IPAは、サイトー企画製テキストエディタ「秀丸エディタ」におけるバッファオーバーフローの脆弱性を公表した。
()
2015年1月28日、Linuxで広く利用されているGNU Cライブラリ(glibc)に、バッファオーバーフローの脆弱性が存在することが明らかになった。Red Hat Enterprise Linux 6&7といった安定版のLinuxディストリビューションに影響があるため、注意が必要だ。
()
ヒープオーバーフローと別の手法でヒープ破壊を行うUser After Freeと呼ばれる攻撃と、Use After Freeと一緒に使われることが多い、ヒープスプレーについて紹介します
()
攻撃手法を技術的に理解するための連載、第2回目はバッファーオーバーフローを狙う「スタック」への攻撃を解説します。
()
エンジニアに大人気のQ&Aサービス「Stack Overflow」の使い方を「日本語で」分かりやすく説明するシリーズ、今回は「Badge(評価システム)」の解説です。
()
エンジニアに大人気のQ&Aサービス「Stack Overflow」の使い方を「日本語で」分かりやすく説明するシリーズ、今回は質問と回答の方法です。
()
「Stack Overflow」など英語で表記されている海外Webサービスの使い方を、日本語で分かりやすく解説します。英語Tips連載筆者のSATOKOさんの新連載スタート!
()
本連載の第2回と第3回では主にスタックバッファオーバーフローについて説明しました。今回はそれに関連して、スタックバッファオーバーフロー検知の仕組みに関する話を紹介し、その後、動的メモリ管理に関連する脆弱性を見ていきたいと思います。
()
前回、前々回と、バッファオーバーフローの脆弱性についてみてきました。今回は、整数の取り扱いに関する脆弱性を取り上げたいと思います。
()
前回の説明に続き、今回はISC DHCPのソースコードをサンプルにして、スタックバッファオーバーフローが生じる仕組みと修正方法について説明します。
()
連載の第2回では、Cアプリの脆弱性として頻繁に耳にする「バッファオーバーフロー」の基礎知識と対策の考え方を復習します。
()
米Adobe Systemsは10月8日、「Adobe Flash Player」に、バッファオーバーフローをはじめ多数の深刻な脆弱性が存在することを明らかにし、アップデートを公開した。
()
Shockwave Playerの更新版ではメモリ破損やヒープオーバーフローなどの深刻な脆弱性に対処した。
()
IIJのルータ製品「SEIL」シリーズにバッファオーバーフローとDoSの脆弱性が見つかり、解消するためのファームウェアが公開された。
()
リリースされたNamazu 2.0.20では、バッファオーバーランの脆弱性を解消している。
()
Cyrus SASLライブラリに、任意のコード実行などにつながる脆弱性が見つかった。
()
細工されたファイルを直接開いたり、Webサイトなどで閲覧したりした場合にコードを実行される恐れがある。
()
Symantec製品にバンドルされているAutonomy KeyViewモジュールに、バッファオーバーフローの脆弱性が存在する。
()
ソニー製ネットワークカメラ「SNCシリーズ」にActiveXコントロールに関するバッファオーバーフローの脆弱性が見つかった。
()
Becky! Internet Mailに脆弱性が見つかり、セキュリティアップデートが公開された。
()
ユーザー権限で任意のコードが実行される可能性がある
()
「Webex Meeting Manager」にActiveXコントロール関連の脆弱性が見つかった。
()
NASAは「Common Data Format(CDF)3.2.1」を公開し、バッファオーバーフローの脆弱性に対処した。
()
2007年に連続して見つかった脆弱性とは異なるという。
()
Lotus Notes製品の脆弱性が報告された。IBMは現在パッチで対処中。
()
ファイルのアップロードやダウンロード機能を提供する「BFup ActiveX コントロール」にバッファオーバーフローの脆弱性が発見された。
()
Interstage Application Serverのシングルサインオン機能にバッファオーバーフローの脆弱性が存在する。
()