InfoQ ホームページ Security Vulnerabilities に関するすべてのコンテンツ
-
Git 2.29でSHA-256の実験的サポートを導入
最新バージョンのGitでは、ファイルハッシュにSHA-1ではなくSHA-256を実験的に使用できるため、攻撃者が元のリポジトリと区別できないHEADを使用して偽装リポジトリを偽造できるという長年の脆弱性が排除される。
-
GitHubコードスキャンはベータ版終了
1年前、GitHubは、Semmle QLクエリ言語を備えたセマンティックコード分析エンジンのメーカーであるSemmleの買収を発表した。数か月のベータ版を経て、GitHubは現在、すべてのパブリックリポジトリとプライベートリポジトリで新しいCodeQLベースのコードスキャン機能が利用可能になったことを発表している。
-
Synkが改良された脆弱性優先順位付け機能をリリース
Snykは、セキュリティ脆弱性の優先順位付けを簡略化する、一連の新機能のリリースを発表した。この中には、特定したイシューを評価してスコアを提供する、同社独自のアルゴリズムが含まれている。このアプローチでは、エクスプロイトの完成度(maturity)を考慮し、影響されたコードがアプリケーション実行を通じて到達可能かどうかを分析することが可能である。
-
ChromeとFirefoxの新しいCOOPとCOEPはセキュリティを高めるクロスオリジンポリシー
Eiji Kitamura氏は先頃、Googleのweb.dev liveでの講演で、ブラウザがクロスオリジンリソースを処理する方法を規定する新しいCOOPおよびCOEPポリシーを公開した。新しいオープナー (COOP) および組み込み (COEP) ポリシーは、以前は無効にされていた強力な機能 (SharedArrayMemoryBufferなど) を復元しながら、Spectre攻撃から保護するクロスオリジン分離環境をセットアップする。
-
AWSが新しいセキュリティサービスの一般提供を発表:Amazon Detective
最近、Amazon はAmazon Detectiveの一般提供を発表した。AWSのこの新しいセキュリティサービスを使用すると、潜在的なセキュリティ問題や疑わしいアクティビティの根本原因を分析、調査、および迅速に特定できる。
-
MicrosoftがCrypto32.dllの重大な脆弱性を修正
Microsoftは、ECC(Elliptic Curve Cryptography、楕円曲線暗号)認証に影響する重大な脆弱性を修正するため、Windows 10の各バージョンとWindows Server 2019、2016を対象としたパッチをリリースした。この脆弱性は、攻撃者による証明書チェーンの有効性と署名の検証の偽装を可能にするものであるため、迅速なパッチ適用が必要である。
-
172中1つのRSA認証に乱数生成の不備による脆弱性が存在
KeyFactorの研究報告によると、IoTなどネットワークデバイスの多くに、攻撃に対する脆弱性を持った弱いディジタル認証が使用されているという。研究者のJonathan Kilgallin、Ross Vasko両氏が7,500万のRSA認証を分析した��ころ、172に1つの割合で、鍵に共通因数が存在した。つまりそれらは、簡単にクラック可能ということだ。
-
Microsoftがソフトウェアの安全性に関するソリューションとしてRustを検討
Microsoftは現在、ソフトウェアの安全性改善を目的としたRustの導入試験を行っている。RustFest Barcelonaでは同社エンジニアのRyan Levick氏とSebastian Fernandez氏が、MicrosoftがRustを使用する上で直面している課題について講演した。また、Adam Burch氏の説明によれば、同社は現在、低レベルのWindowsコンポーネントの書き直しなどでRustを試験的に使用しているという。
-
GitHubが脆弱性ワークフローを改善してCVE採番機関に
Semmleの買収に伴って、GitHubは、メンテナや開発者による脆弱性の修正と保護を容易にすることを目的とした改善を数多く公開した。この中に、GitHub UIから直接セキュリティアドバイザリを生成し、CVE番号を割り当てる機能が含まれている。
-
iOSの5つのゼロディ脆弱性チェーンが数年にわたってエクスプロイトの対象に
iOS 10からiOS 12まで、ほぼすべてのiOSバージョンに影響する14の脆弱性によって、ハッキングされた多数のWebサイトが訪問者のデバイスを制御し、少なくとも2年間にわたって大量の個人データを盗むことに成功したと、Google Threat Analysis Group(TAG)エンジニアのIan Beer氏が記している。
-
ロボット・ソーシャルエンジニアリング - Brittany Postnikoff氏のQCon New Yorkでの講演より
QCon New Yorkで Brittany Postnikoff氏が、"Robot Social Engineering: Social Engineering Using Physical Robots"と題した講演を行った。学術研究文献から引用した調査結果で氏が示したのは、人は多くの場合において、ロボットを使って操ることができる、ということだ。講演の中心的なメッセージは、ロボットの基本設計の一部としての、セキュリティとプライバシの必要性だ。
-
GitHubは継続的な脆弱性検出のためにSemmleコード分析を統合する
GitHubはスタートアップのSemmleを買収し、継続的統合/継続的デプロイサービスの一部として、継続的脆弱性検出を目指している
-
GitHubがDependabot自動セキュリティPRおよびその他のセキュリティ関連機能を追加
GitHubは、セキュリティ修正を含むアップデートが必要な依存関係のためのPRを作成する機能、より良い脆弱性評価のためのWhiteSourceデータとの統合、依存関係インサイトなど、開発者がコードを保護するための新機能を発表した。
-
Oracle Weblogic Serverにリモートで悪用される可能性のある大きな脆弱性
セキュリティ研究者がOracle Weblogic Server(WLS)に新たにリモートから悪用可能な脆弱性を発見した。CVE-2019-2725はユーザ認証なしでリモートから悪用される可能性があり、全体のCVSSスコアは10のうち9.3であり、重大な脆弱性となる。Oracleはこの問題の影響を受けるサーバのバージョンが10.3.6.0と12.1.3.0であることを記したセキュリティ警告を発表した。
-
セキュリティをもっとインテリジェントに,MicrosoftがAzure Sentinelをリリース
先日のブログ記事でMicrosoftは,インテリジェントなセキュリティ製品にこれまで以上の投資を行う同社の方針を,Azure Sentinelというセキュリティ情報およびイベント管理(SIEM)プロダクトの形で発表した。SIEMはセキュリティの専門家が,サーバやファイアウォール、ルータ、スイッチなど,さまざまなシステムを対象として,ログからセキュリティイベントを集約することのできるデータストアとして使用するものだ。