InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
プロジェクトからプロダクトへの移行に伴う課題
Nationwide Insuranceの元DevOpsテクノロジディレクタであるCarmen DeArdo氏と、Tasktop製品管理担当副社長のNicole Bryan氏が、先日のDevOps Enterprise Summit Londonで、プロジェクトベースからプロダクトベースの組織に移行することの重要性について講演した。
-
NetBSD 8.0がSpectre V2/V4、Meltdown、Lazy FPUの軽減などを提供
NetBSD 8.0は、多くのアーキテクチャー間の移植性を提供するBSDベースのOSのメジャーリリースであるが、Spectre V2/V4、Meltdown、Lazy FPUの脆弱性を軽減し、多くの新機能とバグ修正を提供している。
-
Azure Virtual WANとAzure Firewallの公開プレビューを開始
MicrosoftはAzure Virtual WANとAzure Firewallという、顧客が自社のネットワークをモダン化する新しい2つのサービスを提供する。Azure Virtual WANサービスは大規模なブランチ接続を簡素化し、Azure Firewallは企業がクラウドにセキュリティポリシーを適用できる。どちらのサービスも現在、公開プレビューである。
-
Spectre 1.1および1.2の脆弱性が公開された
CPUの投機的実行の欠陥を利用した2つの新しい脆弱性が最近明らかにされた。Specter 1.1および1.2と呼ばれ、オリジナルのSpecter(Spectre-v1)脆弱性の変種である。Specter 1.1および1.2は、投機的ストアを利用して、Spectre-v1の軽減を逃れるための投機的バッファオーバーフローを作成する。
-
Safariに搭載されたAppleのIntelligent Tracking Preventionはどのように動作するのか
AppleのWebブラウザの最新リリースであるSafari 12には、サードパーティによるクッキーなどを使ったWebユーザの追跡を制限する、“Intelligent Tracking Prevention”(ITP) 2.0が搭載される予定である。
-
OpenIDが主要な支持者であるStackOverflowを失う
OpenIDは最大の支持者の一人を失ってしまった。StackOverflowやその他のQ&A Webサイトの背後にある企業であるStack Exchangeは、2018年7月25日にOpenIDのサポートを完全に廃止する予定である。これは、OpenIDを提供しているWebサイトの長期的傾向として続いている。
-
TLBleedはTLB上でスヌーピングすることで、CPUからの暗号鍵を漏洩できる
TLBleedで知られるIntelプロセッサに影響を及ぼす新しいサイドチャネルの脆弱性は、Translation Look-aside Buffers (TLBs)でスヌーピングすることで情報を漏洩する可能性があると、VUsecセキュリティ研究者Ben Grasは書いている。
-
プライバシとセキュリティを最優先したmacOS MojaveとSafari 12
毎年開催されるDeveloper Conference WWDCでAppleは、同社のデスクトップオペレーティングシステムの最新版であるmacOS Mojaveと、WebブラウザのアップデートであるSafari 12をプレビューした。プライバシとセキュリティの強化がこれらのリリースの最優先事項である、と同社は述べている。
-
MITの研究者がBitcoin Lightning Network上でoracleとスマートコントラクトをテスト
マサチューセッツ工科大学(MIT)は、Bitcoin Lightning Network上でスマートコントラクトを実行したテスト結果を明らかにした。Bitcoinネットワークでスマートコントラクトを実行することに目新しさはないが、oracleと呼ばれる信頼エンティティを使ったことが、Bitcoinブロックチェーン上での氏らのアプローチをユニークなものにしている。
-
顔認識技術の実情
顔認識はマシンラーニングの直接的な応用として、消費者や業界、法執行機関に広く展開されており、日々の生活に利益をもたらす可能性を持つが、一方ではプライバシに関する深刻な懸念をはらんでいる。顔認識モデルはすでに人の能力を越えているが、実世界での適用では問題の残る場合もある。
-
世界500,000台のルータに影響するVPNFile
Ciscoのセキュリティ研究者が、少なくとも54ヶ国500,000台のネットワークデバイスを標的とした、高度なマルウェアシステムであるVPNFilterについて説明したアドバイザリを公開した。
-
Lazy FP State Restoreの脆弱性が、ほとんどのIntel Core CPUに影響を与える
インテルは、Coreプロセッサのほとんどに影響を及ぼす新たな脆弱性を明らかにし、SpectreとMeltdownに類似したサイドチャネル攻撃の標的となっている。Lazy FP state restore (CVE-2018-3665)と呼ばれるこの脆弱性により、プロセスは他のプロセスに属するFPU/MMX/SSE/AVXレジスタの内容を推測することができてしまう。
-
PGPとS/MIMEによる暗号化メールに、Efail攻撃に対する脆弱性が見つかる
ドイツとベルギーの研究者グループが、PGPとS/MIMEに脆弱性があり、暗号化されたEメールの平文が漏洩する可能性のあることを発見した。EFF(The Electronic Frontier Foundation)はこの脆弱性を確認し、セキュアなメッセージ交換には代替手段を使用するよう勧告した。しかしながら、GunPGの開発者であるWerner Koch氏は、脆弱性はPGP自体のものではなく、EFFのコメントは大げさ過ぎる、と述べている。
-
Zip Slipディレクトリトラバーサル脆弱性の影響は多くのJavaプロジェクトに
オープンソースとクラウドのセキュリティモニタリング企業であるSnyk社がZip Slipを開示した。これは任意のファイルを上書きする脆弱性で、パスをトラバースするファイル名を持つ、巧妙に作られたZIPアーカイブを使い弱点を突いている。脆弱性は何千ものプロジェクトに影響を与え、そこにはAWS CodePipelineやSpring Integration、LinkedInのPinot、Apache/TwitterのHeron、AlibabaのJStorm、Jenkins、Gradle、Google Cloud Platformが含まれる。
-
Gitの脆弱性により任意のコードが実行できる
Gitサブモジュール名の検証に対する脆弱性により、リモートの攻撃者が開発者マシン上で任意のコードを実行できる。さらに、攻撃者はシステムメモリの一部にアクセスできる。どちらの脆弱性もすでにGit 2.17.1、2.16.4、2.15.2、および他のバージョンでパッチが適用されている。