最新記事一覧
US-CERTは「バッドプラクティス」(セキュリティリスクの高い悪しき慣行)のリストに「単一要素認証」を追加した。特に重要インフラストラクチャや国家基幹機能サービスでの単一要素認証のみの利用は推奨できないとしている。
()
US-CERTは、広く利用されるSSL/TSLライブラリ「OpenSSL」に脆弱性が発見されたと伝えた。脆弱性を利用されるとサービス運用妨害(DoS:Denial of Service)が引き起こされる危険性がある。
()
2021年3月に入ってからMicrosoft Exchange Serverの脆弱性に関する発表が続いている。次々と新しい情報がでていることから、対応済みの場合も、新しいセキュリティアドバイザリや当局からの発表をくまなく確認する必要がある。
()
US-CERTは、Volgmerが使っているIPアドレスなど感染の兆候となる情報や特徴を公開し、組織に対策を促している。
()
米セキュリティ機関US-CERTも、脆弱性を悪用されればリモートの攻撃者にセンシティブな情報を取得される恐れがあるとして、ユーザーや管理者に対応を呼び掛けた。
()
米US-CERTはこの問題について、悪用されればサービス妨害(DoS)状態を誘発される恐れがあるとして、アップデートの適用を呼び掛けている。
()
SMBの潜在的な脆弱性に関する情報が公開されたとして、SMBのレガシーバージョンを無効にするなどの対策を徹底するよう米US-CERTが呼び掛けた。
()
米セキュリティ機関のUS-CERTによると、一部の脆弱性を悪用されればリモートの攻撃者にシステムを制御される可能性がある。
()
マルウェア「Mirai」による大規模DDoS攻撃の危険が高まったとして、米US-CERTなどがIoTデバイスのデフォルトのパスワードを変更するといった対策を促している。
()
悪用されればサービス妨害(DoS)攻撃を仕掛けられる恐れがあるとして、米セキュリティ機関のUS-CERTも更新版の適用を呼び掛けている。
()
世界的にネットワーク機器を狙う攻撃が増えており、「周辺デバイスだけでは、もはやサイバー侵入からネットワークを守ることはできなくなった」とUS-CERTは指摘する。
()
「支払いに応じたとしても、暗号化されたファイルが戻る保証はない。例えファイルの暗号が解除されても、マルウェアそのものが削除されたわけではない」とUS-CERTは指摘している。
()
JoomlaなどのCMSについては、脆弱性を悪用されてサイバー攻撃に利用されるケースが後を絶たないとして、US-CERTが以前から対策を促していた。
()
システムにパッチを当てない状態が長引くほど、脆弱性を突かれる危険は高まる。「標的型攻撃の85%は防止できる」とUS-CERT。
()
リモートの攻撃者にシステムを制御される恐れがあるとして、米US-CERTもアップデートの適用を呼び掛けている。
()
US-CERTによると、LenovoのノートPCにプリインストールされていたSuperfishには重大な脆弱性があり、暗号化されたWebブラウザのHTTPS通信をリモートの攻撃者に読まれたり、Webサイトを偽装されたりする恐れがある。
()
攻撃を受けて反応しなくなったIMCは、ブレードの電源スイッチを使って再起動するなど物理的な対応を迫られる可能性が高いという。
()
脆弱性に対処した更新版の「libupnp 1.6.18」が公開されたが、パッチが行き渡るまでには時間がかかる見通し。US-CERTでは、可能であればUPnPを無効にするなどの対策を促している。
()
どうしてもJavaを実行する必要がない限りは無効にするようUS-CERTは助言する。今回修正されたのは、攻撃に利用されていた2件の脆弱性のうちの1件にすぎないとの指摘もある。
()
US-CERTは米国時間の1月10日、Java 7 Update 10以前に、任意のコード実行につながる深刻な脆弱性が存在することを報告し、注意を呼び掛けた。
()
悪名高い「Blackhole」や「Nuclear Pack」などのツールキットが既にこの脆弱性を悪用しているという。US-CERTはWebブラウザでJavaを無効にする対策を奨励している。
()
アイリーンに関連した件名、添付ファイル、リンクを含んだメールには注意が必要だ。
()
WebGLはFirefox 4とGoogle Chromeではデフォルトで有効にされ、AppleのSafariにも組み込まれている。US-CERTはWebGLを無効にすることを勧告している。
()
US-CERTによると、米大手メーカーが配布しているUSB充電器用ソフトにバックドアが仕込まれていることが分かった。
()
4月1日を過ぎても警戒を解いてはいけないと、US-CERTは警鐘を鳴らしている。
()
FTCやUS-SERTは、米政府の発表した景気刺激策に便乗する詐欺行為が増加しているとして警戒を呼び掛けた。
()
US-CERTのアラートによると、Microsoftの方法ではWindowsのAutorun機能を適切に無効化できないという。
()
US-CERTや米Microsoftは、MD5はもはや安全ではないと指摘して利用中止を促している。
()
Microsoft Access用のSnapshot Viewerに未修正の脆弱性が発見され、MicrosoftとUS-CERTが注意を呼び掛けている。
()
GNOMEの個人情報管理ツール「Evolution」に脆弱性が見つかり、US-CERTがアップデート適用を呼びかけている。
()
US-CERTはFirefoxとOpera最新版へのアップデートを勧告している。
()
ファイアウォールの設定状態をユーザーが誤認識する可能性が指摘された。SkypeやWorld of Warcraftが機能しなくなるという報告も。
()
US-CERTによると、Axis Communicationsのネットワークカメラに関する脆弱性情報が公開されたという。
()
Gmailに見つかったクロスサイトリクエストフォージェリ(CSRF)の脆弱性についてUS-CERTがアラートを公開した。
()
細工を施したQuickTimeファイルをユーザーが開くと、任意のコードを実行されてしまう恐れがある。
()
中国語フォーラムに投稿されたゼロデイ脆弱性情報を、US-CERTやMcAfeeが確認した。
()
Storm Wormを使ったスパムメールが再び出回っているとして、US-CERTやWebsenseがアラートを出した。
()
US-CERTによると、FlashPix ActiveXコントロールの脆弱性を突いたエクスプロイトが公開された。
()
US-CERTのアラートによると、GDI+のICO解析コンポーネントに整数ゼロ除算の脆弱性が存在する。
()
US-CERTのアドバイザリーによると、GoogleのRSSリーダーにXSRFの脆弱性が存在し、悪用されるとサービスにログインできなくなる可能性がある。
()
US-CERTによると、Intel CentrinoワイヤレスアダプタのWindows用ドライバに脆弱性が存在する。
()
Solarisのtelnetデーモンにゼロデイの脆弱性が発見された。US-CERTやSANSはSolarisのtelnetを無効にするよう強く勧告している。
()
「MySpaceワーム」にも利用されたApple QuickTimeの脆弱性について、US-CERTがアラートを公開して注意を促した。
()
アルカイダが米金融機関にサイバー攻撃を仕掛けるかもしれないとして、US-CERTが警戒を呼び掛けた。
()
Soberワームの亜種が1月5日以降に仕掛ける攻撃に備え、US-CERTや複数のセキュリティ企業が警告を発した。幸いにして今のところ、大きな被害は報告されていない模様だ。
()
US-CERTはMitreなどとともに、ウイルスやワーム、悪意あるコードに対する共通の命名プログラムを10月より開始する計画だ。だが同計画の行く手には障害も残っている。
()
JPCERT/CCやUS-CERTは1月11日、LDAPを実装したディレクトリサーバのいくつかにバッファオーバーフローの脆弱性が存在するとし、情報を公開した。
()
US-CERTはIEの脆弱性報告が相次いでいることを受けて、IE以外のブラウザへの乗り換えを勧めている。IEを捨てて別のブラウザに走ることで、セキュリティ問題は解決されるのだろうか?(IDG)
()
NISCCやUS-CERTなどが、TCPの脆弱性に関する警告を発している。これを悪用するとDoS攻撃が可能になり、「インターネットの大きなパイプを扱う」BGPにも影響する恐れがある。(IDG)
()