Category Archives: Vulnerability

マクドナルドユーザーのパスワードを盗み出すことが可能 [ #cloud ]

JavaScriptで書かれたオープンソースのウェブアプリケーションフレームワークであるAngularJSサンドボックスをバイパスすることで、ユーザーのパスワードを盗む攻撃のXSSをマクドナルドの公式サイトで行えることをエンジニアのTijme Gommersさんが実証しています。http://gigazine.net/news/20170117-stealing-password-mcdonalds/

脆弱性の修正が施された「WordPress 4.7.1」リリース [ #cloud ]

「WordPress 4.7.1」は、WordPressの最新版に相当する。前バージョン「4.7」に存在していた8つの脆弱性が修正されている。この中には、リモートからコードが実行されてしまう恐れのあるものや、データ漏洩の恐れがあるものなどがあるため、利用者は早急なアップデートが強く推奨される。

https://thinkit.co.jp/news/bn/11272

「ActivePerl」に脆弱性、修正版のv5.24.1 Build 2402が公開 [ #cloud ]

カナダのActiveState Corporationは、プログラム言語「Perl」のバイナリディストリビューション「ActivePerl」の最新版v5.24.1 Build 2402を公開した。本バージョンは、脆弱性を修正したセキュリティアップデートとなっている。同梱の変更履歴によると、今回修正された脆弱性は全部で2件。1つは、「Perl」がインクルードディレクトリの配列の末尾から“.(ピリオド)”を適切に削除しないため、権限を取得されてしまうというもの。

http://forest.watch.impress.co.jp/docs/news/1039508.html

アタッシェケースにディレクトリトラバーサルの脆弱性 – アップデートが公開 [ #cloud ]

HiBARA Softwareが提供するオープンソースの暗号化ソフト「アタッシェケース」に細工されたファイルを復号化すると任意のファイルを作成される脆弱性が含まれていることが判明した。脆弱性情報のポータルサイトであるJVNによれば、同製品の一部ファイル名の処理においてディレクトリトラバーサルの脆弱性「CVE-2016-7842」が存在することが明らかとなったもの。

http://www.security-next.com/077462

Microsoft、Windows 10でゼロデイ攻撃対策 [ #cloud ]

Microsoftは1月13日(米国時間)、「Hardening Windows 10 with zero-day exploit mitigations|Microsoft Malware Protection Center」において、これまでWindows 10において発生したカーネルを対象としたゼロデイ攻撃を解析し、問題を修正するのみならずより広い範囲の攻撃に対して有効な対策を講じていると伝えた。

http://news.mynavi.jp/news/2017/01/16/203/

【要ログイン】Windowsなどのパッチ適用にどう対処するか セキュリティ責任者のためのToDoリスト [ #cloud ]

Symantecの年次報告書「インターネットセキュリティ脅威レポート」には、企業が抱える幾つかの大きな懸念事項が取り上げられている。最大の懸念事項の1つに挙げられているのは、脆弱(ぜいじゃく)性に対する適切なパッチ適用プロセスの欠如だ。同報告書では、Symantecが2014~2016年の3年間にスキャンしたWebサイトの75%以上にパッチ未適用の脆弱性が含まれていることを指摘している。

http://techtarget.itmedia.co.jp/tt/news/1701/16/news06.html

WordPressに複数の脆弱性 – 最新版がリリース [ #cloud ]

WordPressの開発者は1月11日(米国時間)、「WordPress 4.7.1 Security and Maintenance Release|WordPress.org」において、脆弱性を修正した最新のセキュリティリリース「WordPress 4.7.1」のリリースを発表した。開発者らはすべてのユーザーに対してこの最新版へのアップグレードを強く推奨している。