BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ Security Vulnerabilities に関するすべてのコンテンツ

  • 現行のSpectre防御を無効にする新たなエクスプロイト、修正はパフォーマンスに影響

    バージニア大学工学応用科学部(UVA Engineering)の研究者たちが先頃、既存のSpectre防御を回避して、Intel/AMDのマイクロ命令キャッシュから機密を盗み取ることの可能な、新たなSpectreハードウェアエクスプロイトを公開した。IntelとAMDは、新たなガイダンスは不要だと述べている。一方で研究者たちは、修正は展開が困難か、あるいはパフォーマンスの低下を伴う、と指摘する。

  • インフラストラクチャ脆弱性スキャナーのCheckovがコンテキストアウェア評価を追加

    Bridgecrewは、Checkovの最初の2.xバージョンを発表した。Checkovは、Infrastructure as Code(IaC)用のオープンソーススキャナーである。2.0リリースには、再設計されたバックエンドが含まれており、グラフベースになっているため、マルチリソースクエリをより適切に処理できる。250近くの新しいポリシーが追加され、カバレッジも増加している。

  • Intel CPUのマイクロコードを変更可能な2つの未公開インストラクションが発見された

    セキュリティ研究者のMark Ermolov、Dmitry Sklyarov、Maxim Goryachy3氏が、CPUマイクロコードの修正に使用可能な、文書化されていない2つのx86インストラクションを発見した。これらのインストラクションは、ただし、CPUがデバッグモードで動作している場合にのみ実行可能なので、簡単に悪用できるものではない。

  • Linux Foundation Sigstoreがコード署名の暗号化を目指す

    Linux Foundationの支援を受けて、Sigstoreはソフトウェアサプライチェーンをより安全にするために、オープンソースプロジェクトによる暗号化署名の採用を促進する非営利サービスを提供することを目指している。

  • Git Cloneの脆弱性の分析

    新しいGitバージョン2.30.2では、Git2.15以降に影響を与えているGitラージファイルストレージ(LFS)と他のクリーン/スマッジフィルターのセキュリティの脆弱性が修正される。

  • Eclipse資格情報のリークがスナップショットビルドに影響

    Nexus Repository Managerのデプロイ資格情報がGitHubにリークされた。この問題は、2月中旬に脆弱性レポートが提出されたときに広く注目された。資格情報は暗号化されていたが、マスタパスワードもリークされていた。マスタパスワードはプレーンテキストでは保存されていなかったが、デコードは比較的簡単で、他の資格情報を復号化するために使用できた。

  • GoogleがTsunami Security Scannerの機能を拡張

    昨年オープンソースとなったGoogleのTsunamiセキュリティスキャナーは重要なアップデートを行った。アップデートとして、検出機能を拡張し、Webアプリケーションのフィンガープリントに対するサポート追加などを行った。

  • iOSとmacOSでiMessageを強固にするためのサンドボックスとその他の手法

    昨年iMessageでゼロクリックの脆弱性に見舞われた後、Appleはプラットフォームのセキュリティを改善するために懸命に取り組んできた。iOS 14の主な変更点の1つは、BlastDoorである。BlastDoorは、すべての信頼できないメッセージの解析をする緊密にサンドボックス化されたサービスである。また、すべてのシステムライブラリを含む共有キャッシュ領域のランダム化の改善と、ブルートフォース攻撃に対抗するための指数関数的スロットルの使用も提供する。

  • Vulntureによるセキュリティ脆弱性の検出

    Airbnbの情報セキュリティチームが、Vulntureという同社の社内セキュリティ脆弱性報告ツールについて記事を書いた。CVE、NVD、およびその他のベンダデータベースを活用して、インフラストラクチャおよびソフトウェアスタックをスキャンし、脆弱性を検出するツールである。

  • Docker Hub公開イメージ400万の半数に重大な脆弱性が見つかる

    サイバーセキュリティ企業のPrevasioが先日、Docker Hubにある400万近いイメージを分析した結果、51パーセント以上のイメージに悪用可能な脆弱性のあることが判明した。多くは暗号通貨のマイニングに関するもので、オープンなものと非公開のものが含まれる。また、6,432のイメージにはマルウ���アが発見された。

  • SAD DNSの仕組み

    SAD DNSは、DNSキャッシュポイズニングの新たな変種である。攻撃者が悪意を持ったDNSレコードをDNSキャッシュに挿入することで、任意のトラフィックを自身のサーバにリダイレクトし、中間介在者(man-in-the-middle、MITM)になることができる。

  • Git 2.29でSHA-256の実験的サポートを導入

    最新バージョンのGitでは、ファイルハッシュにSHA-1ではなくSHA-256を実験的に使用できるため、攻撃者が元のリポジトリと区別できないHEADを使用して偽装リポジトリを偽造できるという長年の脆弱性が排除される。

  • GitHubコードスキャンはベータ版終了

    1年前、GitHubは、Semmle QLクエリ言語を備えたセマンティックコード分析エンジンのメーカーであるSemmleの買収を発表した。数か月のベータ版を経て、GitHubは現在、すべてのパブリックリポジトリとプライベートリポジトリで新しいCodeQLベースのコードスキャン機能が利用可能になったことを発表している。

  • Synkが改良された脆弱性優先順位付け機能をリリース

    Snykは、セキュリティ脆弱性の優先順位付けを簡略化する、一連の新機能のリリースを発表した。この中には、特定したイシューを評価してスコアを提供する、同社独自のアルゴリズムが含まれている。このアプローチでは、エクスプロイトの完成度(maturity)を考慮し、影響されたコードがアプリケーション実行を通じて到達可能かどうかを分析することが可能である。

  • ChromeとFirefoxの新しいCOOPとCOEPはセキュリティを高めるクロスオリジンポリシー

    Eiji Kitamura氏は先頃、Googleのweb.dev liveでの講演で、ブラウザがクロスオリジンリソースを処理する方法を規定する新しいCOOPおよびCOEPポリシーを公開した。新しいオープナー (COOP) および組み込み (COEP) ポリシーは、以前は無効にされていた強力な機能 (SharedArrayMemoryBufferなど) を復元しながら、Spectre攻撃から保護するクロスオリジン分離環境をセットアップする。

BT

あなたのプロファイルは最新ですか?プロフィールを確認してアップデートしてください。

Eメールを変更すると確認のメールが配信されます。

会社名:
役職:
組織規模:
国:
都道府県:
新しいメールアドレスに確認用のメールを送信します。このポップアップ画面は自動的に閉じられます。