はじめる人のびぎねっと。

プライバシーポリシー

びぎねっとITニュース

「GNU Patch」に複数の脆弱性

「GNU Patch」に、複数の脆弱が発見された。影響があるのは「GNU Patch 2.7.6以前」。シンボリックリンク処理に問題があり、特定の入力ファイルでシンボリックリンクを誤って処理してしまう脆弱性(CVE-2019-13636)と、シェルコマンドインジェクションの危険(CVE-2019-13638)。いずれの脆弱性についても修正パッチが提供されており、ユーザはパッチの適用もしくはアップグレードが強く推奨される。

(川原 龍人/びぎねっと)

[関連リンク]
DebianのErrata
GNU Patch

Linux 5.1.17以前にローカルユーザの権限昇格の脆弱性

 packet stormは7月18日(現地時間)、Linuxカーネルに存在する脆弱性に関して注意喚起を発表した。

 今回発表された脆弱性は「Linux 5.1.17以前」のバージョンに存在する。kernel/ptrace.c 中のptrace_linkに不具合があり、ローカルユーザが不正にroot権限を取得される危険がある。重要度は「Important」となっており、危険度の高い脆弱性であることから、ユーザはアップグレードもしくはパッチの適用が強く推奨される。
 

(川原 龍人/びぎねっと)

[関連リンク]
記事本文

Check Point、2019年6月のマルウェアランキングおよび「Emotet」の動向について注意喚起

Check Pointは7月9日(現地時間)、2019年6月のマルウェアランキングおよびバンキングトロジャン「Emotet」の動向について注意喚起を発表した。

PCマルウェアとしてのランキングは1位「XMRig」、2位「Jsecoin」、3位「Cryptoloot」、4位「Dorkbot」となっており、「Emotet」は5位まで下がっている。「Emotet」はこれまで数か月続いていたアクティビティが下がっている。一方、以前にもトロイの木馬が沈黙ののちに猛威を振るった前例はいくつかあり、「Emotet」もメンテナンス・アップデートのために活動が低下している可能性が高く、今後新しい脅威となる可能性が高いとしている。

なお、モバイルマルウェアのランキングは1位「Lotoor」、2位「Triada」、3位「Ztorg」となっている。

(川原 龍人/びぎねっと)

[関連リンク]
記事本文

「OpenSSL」に脆弱性、アップデートリリース

「OpenSSL」に脆弱性が発見された(CVE-2019-1559)。

発見された脆弱性はゼロバイトレコードパディングオラクル。悪用された場合、アプリケーションがプロトコルエラーとなり、サービス停止などを引き起こす危険がある。

この脆弱性を修正した「OpenSSL 1.0.2r」が公開されているため、ユーザはアップデートが強く推奨される。なお、この脆弱性の修正ではないが「OpenSSL 1.1.1b」もリリースされている。

(川原 龍人/びぎねっと)

[関連リンク]
アナウンス

情報処理推進機構、「情報セキュリティ10大脅威 2019」を発表

 情報処理推進機構(IPA)は1月31日、情報セキュリティにおける脅威のうち、2018年に社会的影響が大きかったトピックからトップ10を選出し、「情報セキュリティ10大脅威2019」として発表した。

 「情報セキュリティ10大脅威 2019」は、2018年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案をランキングしたもの。IPAが脅威候補を選出し、「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定した。

ランキングは以下の通り。

個人部門
1位 クレジットカード情報の不正利用
2位 フィッシングによる個人情報等の詐取
3位 不正アプリによるスマートフォン利用者の被害
4位 メールやSNSを使った脅迫・詐欺の手口による金銭要求
5位 ネット上の誹謗・中傷・デマ
6位 偽警告によるインターネット詐欺
7位 インターネットバンキングの不正利用
8位 インターネットサービスへの不正ログイン
9位 ランサムウェアによる被害
10位 IoT 機器の不適切な管理

組織部門
1位 標的型攻撃による被害
2位 ビジネスメール詐欺による被害
3位 ランサムウェアによる被害
4位 サプライチェーンの弱点を悪用した攻撃の高まり
5位 内部不正による情報漏えい
6位 サービス妨害攻撃によるサービスの停止
7位 インターネットサービスからの個人情報の窃取
8位 IoT機器の脆弱性の顕在化
9位 脆弱性対策情報の公開に伴う悪用増加
10位 不注意による情報漏えい

 新たな脅威としてランクインしたのは「メールやSNSを使った脅迫・詐欺の手口による金銭要求」(個人4位)と「サプライチェーンの弱点を利用した攻撃の高まり」(組織4位)。また、本年の個人ランキングでは“だましによる手口”が顕著となっている。また、組織の4位に新規にランクインした「サプライチェーン」も注目すべき事案として取り上げている。

(川原 龍人/びぎねっと)

[関連リンク]
アナウンス
記事本文

JPCERT/CC、2018年9月Microsoftセキュリティ更新プログラムに関する注意喚起を発表

JPCERT/CCは9月13日、2018年9月Microsoftセキュリティ更新プログラムに関する注意喚起を発表した。

2018年9月にリリースされたMicrosoftのセキュリティ更新プログラムには、深刻度が「緊急」のセキュリティ更新プログラムが含まれている。脆弱性を悪用された場合、リモートからの攻撃によって任意のコードが実行されるなどの恐れがあるため、Microsoft製品のユーザはセキュリティ更新プログラムを適用することが強く推奨される。

修正された脆弱性は、Windows Hyper-V のリモートでコードが実行される脆弱性(CVE-2018-0965)、Win32k Graphics のリモートでコードが実行される脆弱性(CVE-2018-8332
)、Chakra スクリプト エンジンのメモリ破損の脆弱性(CVE-2018-8367)、MS XML のリモートでコードが実行される脆弱性(CVE-2018-8420)、.NET Framework のリモートでコードが実行される脆弱性(CVE-2018-8421)など。

ユーザはMicrosoft Updateもしくは Windows Update などを用いて、セキュリティ更新プログラムを適用することができる。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース

ESET、キーボードに残った指からの熱を測定してパスワードを盗む方法について注意喚起

ESETは7月6日(現地時間)、キーボードに残った指からの熱を測定してパスワードを盗む方法について注意喚起を発表した。

今回の発表によると、誰かがキーボードを指でタイピングしたとき、キーボードに指からの熱が移り、この熱を測定することによって、比較的簡単にパスワードを推測することができてしまうという。この方法は、タイピングから数十秒が経過しても推測できてしまうケースがあるという。

なお、発表の中では、タッチタイピングと1本指でのタイピングでは、1本の指だけを使ったタイピングのほうが推測が簡単である旨も記されている。タッチタイピングでは指をホームポジションに置くため、これがノイズとなって推測が少し難しくなる。

(川原 龍人/びぎねっと)

[関連リンク]
記事本文(pdf)

「util-linux」に特権昇格の危険のある脆弱性

「util-linux」に脆弱性が発見された(CVE-2018-7738)。

「util-linux」は、Linuxで多用されるコマンドやユーティリティをまとめたもの。今回「util-linux」の中で発見された脆弱性はumountコマンドに存在し、悪用すると管理者権限を不正に取得されてしまう危険がある。特権昇格の危険があるため、Linuxユーザは速やかにアップデートを適用することが推奨される。

(川原 龍人/びぎねっと)

[関連リンク]
Bug reportRed Hat CVE Database

Linuxカーネルに複数の脆弱性

Linux kernelに2件の脆弱性が報告された。

これらの脆弱性は、「Linux 4.15以前」に存在する(CVE-2017-18216およびCVE-2017-18218)。悪用されると、ローカルからのDoS攻撃が可能になってしまう。各ベンダーからアップデートが提供されているため、該当するバージョンのLinuxカーネルを利用しているユーザにはパッチやアップデートの適用などの対応が推奨される。

(川原 龍人/びぎねっと)

[関連リンク]
Red Hat CVE Database

情報処理推進機構、「情報セキュリティ10大脅威 2018」を発表

 情報処理推進機構は1月30日、情報セキュリティにおける脅威のうち、2017年に社会的影響が大きかったトピックなどを「10大脅威選考会」の投票によりトップ10を選出し、「情報セキュリティ10大脅威2018」として発表した。

 「情報セキュリティ10大脅威 2018」は、2017年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約100名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したもの。2018年の発表では、「個人」と「組織」を合わせた20の脅威のうち、8割の16の脅威が昨年に引き続きランクインした。このように大半の脅威は急に出現したものではなく、また新しい手口でもないため、手口を知り、常に対策を怠らないことが重要としている。

<個人の10大脅威>
1位 インターネットバンキングやクレジットカード情報の不正利用
2位 ランサムウェアによる被害
3位 ネット上の誹謗中傷
4位 スマートフォンやスマートフォンアプリを狙った攻撃の可能性
5位 Webサービスへの不正ログイン
6位 Webサービスからの個人情報の窃取
7位 情報モラル欠如に伴う犯罪の低年齢化
8位 ワンクリック請求などの不当請求
9位 IoT機器の不適切な管理
10位 偽警告

<組織の10大脅威>
1位 標的型攻撃による情報流出
2位 ランサムウェアによる被害
3位 ビジネスメール詐欺
4位 脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加
5位 セキュリティ人材の不足
6位 Webサービスからの個人情報の窃取
7位 IoT機器の脆弱性の顕在化
8位 内部不正による情報漏えい
9位 サービス妨害攻撃によるサービスの停止
10位 犯罪のビジネス化(アンダーグラウンドサービス)

(川原 龍人/びぎねっと)

[関連リンク]
アナウンス

 

このページのTOPへ

Powered by Wordpress