InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
Lazy FP State Restoreの脆弱性が、ほとんどのIntel Core CPUに影響を与える
インテルは、Coreプロセッサのほとんどに影響を及ぼす新たな脆弱性を明らかにし、SpectreとMeltdownに類似したサイドチャネル攻撃の標的となっている。Lazy FP state restore (CVE-2018-3665)と呼ばれるこの脆弱性により、プロセスは他のプロセスに属するFPU/MMX/SSE/AVXレジスタの内容を推測することができてしまう。
-
PGPとS/MIMEによる暗号化メールに、Efail攻撃に対する脆弱性が見つかる
ドイツとベルギーの研究者グループが、PGPとS/MIMEに脆弱性があり、暗号化されたEメールの平文が漏洩する可能性のあることを発見した。EFF(The Electronic Frontier Foundation)はこの脆弱性を確認し、セキュアなメッセージ交換には代替手段を使用するよう勧告した。しかしながら、GunPGの開発者であるWerner Koch氏は、脆弱性はPGP自体のものではなく、EFFのコメントは大げさ過ぎる、と述べている。
-
Zip Slipディレクトリトラバーサル脆弱性の影響は多くのJavaプロジェクトに
オープンソースとクラウドのセキュリティモニタリング企業であるSnyk社がZip Slipを開示した。これは任意のファイルを上書きする脆弱性で、パスをトラバースするファイル名を持つ、巧妙に作られたZIPアーカイブを使い弱点を突いている。脆弱性は何千ものプロジェクトに影響を与え、そこにはAWS CodePipelineやSpring Integration、LinkedInのPinot、Apache/TwitterのHeron、AlibabaのJStorm、Jenkins、Gradle、Google Cloud Platformが含まれる。
-
Gitの脆弱性により任意のコードが実行できる
Gitサブモジュール名の検証に対する脆弱性により、リモートの攻撃者が開発者マシン上で任意のコードを実行できる。さらに、攻撃者はシステムメモリの一部にアクセスできる。どちらの脆弱性もすでにGit 2.17.1、2.16.4、2.15.2、および他のバージョンでパッチが適用されている。
-
Bank of Ameriaのブロックチェーンデータストレージ特許が公開
On April 12, the United States Patent and Trademark Office (USPTO) released a patent filing from the Bank of America outlining their plans for a permissioned blockchain implementation that enables personal and business data sharing. A user will authorize service providers to securely access their data, but only for the specific records they have access to.
-
IoTデバイスをセキュアにするMicrosoft Azure Sphere
IoTデバイスのセキュリティを改善するため、Microsoftは、インターネットに接続されたマイクロコントローラ(MCU)のためのエンドツーエンドのソリューションであるAzure Sphereを発表した。IoT用に最適化された新しいLinuxカーネルを実行し、クラウドベースのセキュリティサービスを活用するハイブリッドマイクロコントローラを基盤とした3層アーキテクチャを備える。最初のAzure SphereチップであるMT3620はMedia Tek Incが開発したものだ。
-
悪質なバックドアを含むパッケージがNPMに
NPMのセキュリティチームは、実際に悪意のあるバックドアを含んでいた、Cookieパーサになりすましているパッケージを、それに依存する他の3つのパッケージとともに削除した。バックドアによりアタッカーは実行中のサーバに任意のコードをインジェクトして実行することができた。
-
Twitterのパスワードが漏洩した可能性があり、過去最大のデータ漏洩の1つになる可能性がある
5月3日、Twitterはユーザのパスワードが平文で保存されていたバグを明らかにし、修正したことを発表した。影響のあるユーザの数についての情報は公開されておらず、すべてのユーザに対してパスワード変更が推奨されている。すべてのユーザが実際に情報漏洩していた場合、これは歴史上最大の情報漏洩の1つとなる。
-
Amazonが新しいクラウドセキュリティサービスであるAWS Firewall Managerを開始
Amazonは、AWS Firewall Managerと呼ばれる新しいサービスを開始し、AWSの顧客に複数のアカウントに対してAWS Web Application Firewallルールを一元的に設定する方法を提供する。AWS Firewall Managerは、セキュリティとコンプライアンスのためにAmazonが最近開始したいくつかのサービスの一部である。
-
Amazonが認証情報を安全に格納、配布、ローテーションするためのAWS Secrets Managerを提供
AmazonはAWS Secrets Managerの提供開始を発表した。これにより、顧客がAPIやAWS Command Line Interface(CLI)を使用してシークレットを簡単に格納および取得できるようになる。さらに、顧客は、組み込み機能やカスタムのラムダ関数を使用して資格情報をローテーションできる。AWS Secrets Managerを使用すると、分散サービスと分散アプリケーションのシークレット管理を一元化できる。
-
IntelがマルウェアスキャンにGPUの使用を開始
Intelは、GPUを使用してメモリをスキャンしてマルウェアを検出する一連のシリコンベースの機能セットである新しいThread Detection Technology (TDT)を発表した。これにより、CPUをそのタスクから解放し、SpecterとMeltdownから防御する上での影響を緩和する。
-
Googleが新たなクラウドセキュリティツールを導入、DDOS防御、透過性、有用性が向上
Googleは先頃、Google Cloud Platform(GCP)を対象として、クラウドに焦点を当てたセキュリティ強化を新たに導入した。強化された機能には、Cloud Security Command Center (Cloud SCC)、Google Cloud Armor、VPC Service Controlsといった新サービスの他、Gスイート管理者向けの新機能がいくつか含まれている。これらの拡張機能は、クラウドプラットフォームへのGoogleの投資の一部でもある。
-
オブザーバビリティはテストにどう影響するのか
オブザーバビリティ(observability)は現在のシステム状況を明らかにし、ある種のテストを置き換えることができる。低リスクのアプリケーション分野であれば、オブザーバビリティをテストの代役とすることで、継続的デリバリによる迅速なフィードバックと、短時間の変更リリースが可能になる。
-
ChefがInSpec 2.0でクラウドセキュリティの自動化を強化
継続的オートメーションベンダーであるChefは、Chefの無料オープンソースツールの新バージョンであるInSpec 2.0をリリースした。InSpecによって、DevOps・クロスファンクショナルアプリケーションチーム、インフラストラクチャチーム、セキュリティチームがセキュリティルールとコンプライアンスルールをコードで表現できる。そして、ソフトウェア配信のライフサイクル全体を通じてコンプライアンスの問題を評価し、修復できるようになる。
-
構成情報管理SaaSプラットフォームのConfigがプライベートベータを開始
Configは、構成ファイル管理を目的とする、新しいSaaSサービスだ。Bien David氏が2017年に創立した同社は、システムやアプリ、モジュール、環境、サーバインスタンスが使用するコンフィギュレーションの保管とアクセスの簡略化を目標とする。InfoQはConfigを運営するチームに、同サービスが解決する3つの問題について詳しい説明を聞くことにした。