「アニメの痴女の皆さんは単純に暑いんだとおもう」胸のあいた服を着用したら「胸周りの熱と汗がこもって苦痛」という排熱の脆弱性が相当マシになった
帝王 @naniwosuruder 胸のあいた服を着用してみて分かったんだけど、日頃苦痛に思ってる「鳩尾、下乳、胸の正中線のところにとにかく熱と汗がこもって苦痛」という排熱の脆弱性が相当マシになったわけ パフォーマンス向上 アニメの痴女の皆さんは単純に暑いんだとおもう しんどいよね わかるよ 2024-06-06 16:37:40 帝王 @naniwosuruder ある程度の質量が胸にあると、日常生活レベルの運動(歩行、昇降)でも面倒がかかる 痛い 姿勢も前に傾くのでデバフの元 故にしっかりホールドできる外骨格としてのワイヤー入りブラが必須 これがなあ、暑いんだよ………………………ワークマンは今すぐ鳩尾のところに冷房ついてるブラ出せよ…… 2024-06-06 17:11:39
Next.jsでSSRF(=Server Side Request Forgery)の脆弱性が発覚したことが社内で話題になったので、まとめておこうと思います。対象の脆弱性は以下です。 脆弱性の概要 SSRF脆弱性は本来到達できないサーバーに対して、公開されてるサーバーを経由してアクセスすることができてしまう脆弱性です。 今回のNext.jsの脆弱性はhttpヘッダーのHostを書き換えることで、self hostingなNext.jsサーバーから任意のhttpリクエストを送信できてしまうというものです。これは、外部には公開してない内部APIに対するリクエストも可能になるため、SSRF攻撃になりえます。 今回の脆弱性の対象は、以下の条件を満たしている必要があります。 Next.jsをself hostingで運用している Next.jsアプリケーションがServer Actionsを利用して
グーグルは5月9日(現地時間)、デスクトップ版「Google Chrome」をアップデートした。重大なゼロデイ脆弱性の発見に伴う対処で、Windows、macOS、Linux版が対象となる。 Visualsコンポーネントに起因する脆弱性で、攻撃者は相手のPCからデータを盗んだり、深刻なダメージを与えることができるという。重大度(危険性)のランクは上から2番目の「高」。グーグルでは、すでに本脆弱性の悪用を確認している。 対策済みのバージョンはWindowsおよびmacOS版が「124.0.6367.201/.202」、Linux版が「124.0.6367.201」以降となる。Chromeを起動していれば今後数日から数週間以内にアップデートが自動適用されるが、ブラウザーの設定から「このChromeについて」を選択することで、手動で最新版に更新することも可能だ。
Tenableは2024年6月3日(現地時間)、「Microsoft Azure」(以下、Azure)に深刻な脆弱(ぜいじゃく)性が存在すると伝えた。この脆弱性を悪用することで、信頼できるサービスからのリクエストを偽造し、攻撃者がAzureサービスタグに基づくファイアウォールルールを回避できるとされている。 複数のAzureサービスに見つかった脆弱性 Tenableが警告 Azureサービスタグは、特定のAzureサービスのIP範囲をグループ化することでAzure内のネットワーク分離を簡素化する。ネットワークセキュリティルールを定義して複数のAzureリソースに一貫して適用することが可能とされ、ファイアウォールルールやネットワークセキュリティグループ(NSG)の構成などのアクセス制御を管理するのに便利な機能とされている。 発見された脆弱性は当初、監視ソリューション「Azure Monito
台湾でサイバーセキュリティのコンサルティングサービスを提供しているDEVCOREは2024年6月6日(現地時間)、PHPに緊急度が「緊急」(Critical)に分類される重大なセキュリティ脆弱(ぜいじゃく)性が存在すると伝えた。 PHPに発覚した新たなセキュリティリスク この脆弱性はWindows OSにインストールされている全てのバージョンのPHPに影響を及ぼし、認証されていない攻撃者がリモートから任意のPHPコードを実行する可能性がある。Windowsの文字エンコード変換を処理するベストフィット機能に問題があり、攻撃者はベストフィット機能を悪用することでPHPのコマンドライン引数に任意の文字列を挿入し、悪意のあるPHPコードを実行できる。 特に影響を受けるのはPHP 8.3.8、PHP 8.2.20、PHP 8.1.29より前のバージョンだ。ユーザーは修正済みのバージョンにアップグレー
「以前であれば『一部の攻撃者による限定的な悪用ならまだ猶予はある。直ちに慌てる状況ではない』と判断していたが、最近はその想定が通用しなくなった」――。JPCERTコーディネーションセンター(JPCERT/CC)の佐々木勇人政策担当部長兼早期警戒グループマネージャー脅威アナリストは、脆弱性を突く攻撃者の変化をこう話す。 米Palo Alto Networks(パロアルトネットワークス)製品に脆弱性が見つかり、その情報が米国の脆弱性情報データベースNVD(National Vulunerability Database)に2024年4月12日金曜日(米国時間)に掲載された。JPCERT/CCでは同日夕方から準備に取りかかり、4月13日土曜日に日本国内の企業や組織に向けて注意喚起を発出した。「週明けの注意喚起では、企業などの対応が間に合わなくなると判断した」(佐々木脅威アナリスト)という。 実際
自身のモデムがハッキングされたことを契機に、モデムを運用しているプロバイダのシステムに脆弱(ぜいじゃく)性があることを突き止めたセキュリティエンジニアのサム・カリー氏が、「どのように突き止めたのか」についてブログに投稿しました。 Hacking Millions of Modems (and Investigating Who Hacked My Modem) https://samcurry.net/hacking-millions-of-modems 事の発端は2年前で、カリー氏は自宅のPCからAWSのインスタンスにアクセスした際に「謎のIPアドレスから同じリクエストがリプレイされる」という奇妙な現象に遭遇しました。下のログファイルに残されている記録のうち、「98.161.24.100」はカリー氏のPCのIPアドレスですが、「159.65.76.209」という謎のIPアドレスから同じリ
4人のセキュリティー専門家に聞く、脆弱性対応の秘訣
セキュリティーに「絶対大丈夫」はない。そして、企業ごとにシステムやネットワークの構成、事業内容などは様々。1つの脆弱性への対応をとっても、ケース・バイ・ケースで難しい。そんな難しい脆弱性対応で失敗しないためにはどんな策があるか。4人のセキュリティー専門家へのインタビューを掲載する。 佐々木 勇人氏 JPCERTコーディネーションセンター 政策担当部長兼早期警戒グループマネージャー脅威アナリスト 脆弱性の深刻度を測るCVSS(Common Vulnerability Scoring System、共通脆弱性評価システム)の値は個別の悪用の蓋然性を正確に示し切れていない課題はあるものの、年間に大量の脆弱性をユーザーがさばかなければならない際の指標にはなる。一定の目安として採用する手はある。 ただ、システムに与える影響は各社で判断するしかない。脆弱性情報を見て理解できるだけの知見が必要なので、ベ
アメリカ製の消費者向けスパイウェアアプリ「pcTattletale」がハッキングされ、公式サイト上で内部データを公開されるという事態が発生しました。pcTattletaleには脆弱性が存在しており、これを悪用してホテルの宿泊客の個人情報がインターネット上で流出するという事態が発生したばかりでした。 Spyware app pcTattletale was hacked and its website defaced | TechCrunch https://techcrunch.com/2024/05/25/spyware-app-pctattletale-was-hacked-and-its-website-defaced/ pcTattletaleは「端末の持ち主が知らないうちに」あるいは「端末の持ち主の同意なしに」、端末を追跡することができるというスパイウェアです。一般消費者向けに販
企業・団体で利用するサーバーやパソコン、ネットワーク機器などの機器やソフトウエアに見つかる脆弱性。放っておけば、攻撃者がめざとく見つけて攻撃をしかけてくる。そのスピードはここ2~3年で急速にアップした。企業は速やかな脆弱性対応が必要だ。 極端な話、自分たちが使っている全ての機器のあらゆる脆弱性に速やかに対応すれば良いことになる。だがそれは現実的に不可能な場合が多い。脆弱性の数が多いからだ。 脆弱性の件数は増加傾向にある。米国の国立標準技術研究所(NIST)が管理する脆弱性データベース NVD(National Vulnerability Database)には、日々新しい脆弱性が登録されている。2021年以降は年間2万件を超えた。2024年は5月20日時点で1万6000近く登録され、年間で初めて3万件を超える勢いで増えている。これだけ多くの脆弱性に等しく労力をかけて対応するのは非効率だ。こ
「Fortinet FortiSIEM」にCVSS v3.1スコア10の脆弱性 初期パッチで修正漏れ ただちに確認を
「Fortinet FortiSIEM」にCVSS v3.1のスコア10.0脆弱性が見つかった。初期の修正パッチは不十分で類似のセキュリティ脆弱性に対して対応できていなかったと指摘した。簡単に脆弱性を悪用できるため注意が必要だ。該当する製品を使用している場合には確認を行うことが望まれる。
Appleがバグ修正と複数の脆弱性を修正した「macOS 14.5 Sonoma」を正式にリリースしています。詳細は以下から。 Appleは現地時間2024年05月13日、最新のiPhone/iPadデバイスにバグ修正とセキュリティアップデートを含んだ「iOS/iPadOS 17.5 (12F79)」をリリースしましたが、同時にMacに対しても「macOS 14.5 Sonoma (23F79)」をリリースしたと発表しています。 現在のところ、macOS 14.5の日本語のリリースノートには何も記載されていませんが、英語のリリースノートによると、macOS 14.5ではアメリカとカナダで提供されているApple News+アプリでQuartilesという単語ゲームが可能になったほか、 複数のバグが修正され、CVEベースで22件の脆弱性を修正したそうなので、ユーザーの方はアップデートすること
オランダのセキュリティベンダーCodean Labsは5月20日(現地時間)、「PDF.js」に任意のJavaScriptコードを実行できる脆弱性(CVE-2024-4367)があることを明らかにした。 【画像】実証コード(PoC)が成功した様子 「PDF.js」は、HTML5で構築されたPDFビューワー。「Firefox 19」以降に搭載されている内蔵PDFビューワーなどに用いられている。 PDF形式は複雑なことで有名で、これまでも攻撃のターゲットになってきた。しかし、その多くはC/C++実装のメモリ破壊バグを狙ったものであり、低レベルなメモリアクセスを扱わないJavaScriptで構築された「PDF.js」はそれと無縁に思える。 しかし、Codean Labsによると「PDF.js」でフォントをレンダリングするコードには見落としがあるという。「PDF.js」はパフォーマンスに最適化する
【セキュリティ ニュース】5月のMS月例パッチが公開 - 複数のゼロデイ脆弱性を修正(1ページ目 / 全4ページ):Security NEXT
マイクロソフトは現地時間5月14日、5月の月例セキュリティ更新プログラムを公開した。61件の脆弱性を修正しており、2件の脆弱性いついてはすでに悪用が確認されているという。 今回のアップデートでは、「Windows」や「Office」をはじめ、「Azure」「Power BI」「Microsoft Intune」「Microsoft Dynamics 365」「.NET Core」「Visual Studio」などに明らかとなった脆弱性に対処した。 CVEベースで61件の脆弱性を修正しており、最大重要度を見ると、4段階中もっとも高い「クリティカル(Critical)」とされる脆弱性は、「Microsoft SharePoint Server」に判明した「CVE-2024-30044」の1件。 サイト所有者の権限を持つ場合、「SharePoint Server」の権限で任意のコードを実行するこ
「ランサムウエアで攻撃側のパラダイムシフトが起きた。攻撃者にとって価値がないシステムやデータでも、企業にとって必要なら人質に取って金銭に換えられる。これまで狙われるはずがなかったシステムやデータが狙われるようになった」――。JPCERTコーディネーションセンター(JPCERT/CC)の佐々木勇人政策担当部長兼早期警戒グループマネージャー脅威アナリストは苦い顔をする。 どの規模の企業・団体も攻撃者の標的となる今、脆弱性を放置していれば痛い目に遭うことは明らかだ。しかも攻撃のスピードが増しているため、たった数日間対処しなかっただけで大きな被害を受ける可能性がある。脆弱性に速やかに対応するには、いち早く脆弱性情報を把握し、緊急対応が必要だと分かったときに素早く対処することだ。そのためには、事前の準備が重要になってくる。 対応チームに責任者が必要 まずは、脆弱性に素早く対応するためにどんな準備をし
GitHub - WebAppPentestGuidelines/TriageGuidelines: 脆弱性トリアージガイドライン作成の手引き
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
Fortinetは2024年5月14日(現地時間)、「FortiOS」および「FortiProxy」のSSL-VPNトンネルモードに重大な脆弱(ぜいじゃく)性が見つかったと報告した。影響を受ける製品を使用している場合は早急なアップデートが必要となる。 Fortinetのトンネルモードに重大な脆弱性 急ぎアップデートを 「FG-IR-23-225」として識別されたこの欠陥が悪用された場合、特別に細工したパケットが送信され、IPアドレスを偽装してセキュリティ制御を回避する可能性がある。この問題は、FortiOSおよびFortiProxyの複数のバージョンに影響することが報告されている。 脆弱性の影響を受けるバージョンは以下の通りだ。 FortiOS 7.4(7.4.0 ~ 7.4.1) FortiOS 7.2(7.2.0 ~ 7.2.7) FortiOS 7.0(7.0.0 ~ 7.0.12)
【セキュリティ ニュース】情報公開で混乱招いた「FortiSIEM」の深刻な脆弱性 - PoCが公開に(1ページ目 / 全2ページ):Security NEXT
Fortinetの「FortiSIEM」に判明している既知の脆弱性「CVE-2024-23108」について詳細が公開された。影響が大きく、未修正の場合は早急に対応が必要となる。 詳細が公開された「CVE-2024-23108」は、コマンドインジェクションの脆弱性。リモートより認証を必要とすることなくコードの実行が可能となる。 同時に報告された「CVE-2024-23109」とともに共通脆弱性評価システム「CVSSv3.1」のベーススコアは「10.0」と最高値で、重要度は「クリティカル(Critical)」とレーティングされている。 1月以降に公開された「FortiSIEM 7.2.0」「同7.1.3」「同7.0.3」「同6.7.9」「同6.6.5」「同6.5.3」「同6.4.4」にて修正された。 一定期間を経て、脆弱性を報告したHorizon3.aiが、脆弱性の詳細とともに実証コード(Po
【セキュリティ ニュース】「Zabbix」のサーバに深刻な脆弱性 - 3月の更新で修正済み(1ページ目 / 全1ページ):Security NEXT
「Zabbix」のサーバに深刻な脆弱性が明らかとなった。3月のアップデートで修正済みだという。 現地時間5月17日にセキュリティアドバイザリが公開され、脆弱性「CVE-2024-22120」について明らかにしたもの。同脆弱性に関する詳細や実証コードが公開されている。 スクリプトのコマンド実行後に追加される監査ログの処理において、タイムベースでブラインドSQLインジェクションが可能。データベースから任意の値を取得したり、ユーザーから管理者への権限昇格が可能となるほか、リモートからコマンドを実行されるおそれもある。 共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.1」、重要度は4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。 「同6.4.12」「同6.0.27」および以前のバージョンに影響があり、現地時間3月25日にリリースされた「同6.4.1
セキュリティ研究者によると、この脆弱性はPuTTYの署名処理に存在している。米国国立標準技術研究所(NIST)が定めた楕円曲線「P-521」を使用する楕円曲線デジタル署名アルゴリズム「ECDSA」の実装においてPuTTYの使用するナンス値に偏りがあり、これが脆弱性の原因になっている。 DSAのデジタル署名スキームにおいて使用されるナンス値は一定の範囲内に存在するランダム値でなければならない。この値に偏りがある場合には複数の署名から秘密鍵を算出できるため、ナンス値には安全なランダム値を使う必要がある。 ただし、PuTTYは古い「Windows」など安全な乱数を生成できないOSに対応するために秘密鍵とメッセージを入力に含む決定論的方法によりナンス値を生成していた。「SHA-512」を使用して入力からハッシュ値を生成し、これを必要なビット数に丸め込んでいる。楕円曲線P-256やP-384の場合、
Datadog Japanは、2024年6月4日、DevSecOpsの現状を明らかにする調査レポート「State of DevSecOps 2024」を発表した。 本レポートでは、2024年2月から4月までに収集されたグローバルのデータに基づき「7つの考察」を示している。 Datadog Japanのシニアデベロッパーアドボケイトである萩野たいじ氏は、「昨今、データ侵害や重大な脆弱性に関するニュースが続いており、安全なコードを迅速かつ大規模に配布することは、ソフトウェア業界全体の課題になっている。これに対応すべく加速しているのが、DevSecOpsの採用だ。Datadogは、独自の調査と仮説に基づいて、DevSecOpsの課題ついて分析した」と説明する。 その1:サードパーティの脆弱性の影響を最も受けるのはJavaサービス 考察のひとつ目は、開発言語別の脆弱性が含まれるサービスの割合だ。言
脆弱性対応の課題に挑む次の手とは
企業がセキュリティ対策をすべきITシステムやサービスは多岐にわたり、対応に苦慮するところは多い。サイバー攻撃による被害を減らすために、資産の把握や脆弱性の管理は不可欠だ。人材不足で手が回らない企業もある中、どのように対応するのが良いのだろうか。 日本企業が直面するセキュリティ対策の課題 コロナ禍を経て、多くの企業がテレワークに対応した。多様な環境からITシステムやサービスを利用するようになった結果、企業が対応すべきセキュリティ対策のスコープは拡大している。企業は、エンドポイントセキュリティやゼロトラストネットワークなどでセキュリティを強化し、こうした状況に対処している。 一方、サイバー攻撃は増加し続けている。例えば、ランサムウェアにおいては“攻撃の分業化”が進んでおり、その危険性は増すばかりだ。SBテクノロジーの金澤謙悟氏(執行役員サービス統括 セキュリティ&テクノロジー本部 本部長 兼
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
安全なVPNに繋いだつもりが筒抜け……「TunnelVision」脆弱性をJVNが警告/Windows、macOS、Linux、iOSなどに広く影響
「Git」に深刻度「Critical」の脆弱性 ~「Git for Windows 2.45.1」などが公開/リモートコード実行などにつながるおそれ
Next.jsのSSRF脆弱性 CVE-2024-34351
Javaサービスの90%が重大な脆弱性を抱えている――Datadog調査
「PDF.js」に任意コード実行の脆弱性 ~多くのWebサイト・アプリに影響/「Firefox」内蔵PDFビューワーでも用いられているPDF表示ライブラリ
グーグル「Chrome」に重大なゼロデイ脆弱性 すぐ更新を
複数のAzureサービスに深刻な脆弱性が見つかる 推奨される対策は?
Windows OSにインストールされている全てのPHPに影響 緊急度「Critical」の脆弱性が発覚
猶予はわずか1日、金曜公開の脆弱性が週末にはサイバー攻撃に悪用される
数百万台のモデムを自由に書き換え可能な脆弱性を見つけるまでの経緯をセキュリティエンジニアが報告
すでに悪用の報告あり、「Microsoft Edge」に4件の脆弱性/v124.0.2478.97への更新を
歌声合成ツール「UTAU」に複数の脆弱性、JVNが注意喚起/プロジェクトファイルを開くと任意のOSコマンドが実行されるなど2件
脆弱性の存在が指摘される消費者向けスパイウェア「pcTattletale」のサーバーがハッキングされ内部データが流出
AMD製GPUでも超解像に対応した「VLC media player 3.0.21」が公開【6月11日追記】/古い動画もAIがキレイに。脆弱性の修正も
「Microsoft Edge」で緊急の脆弱性修正、すでに悪用の報告も/v124.0.2478.109への更新を。「Edge 125」のリリースは来週までおあずけか
AirTagの追跡悪用を防止する「iOS 17.5」「iPadOS 17.5」 ~Android 6.0以降も対応/CVE番号ベースで15件の脆弱性にも対処
2024年6月の「Windows Update」がリリース、「Critical」1件を含む49件の脆弱性に対処/「Windows 10 21H2」Enterprise/Educationエディションのサービスは今月が最後
多すぎる脆弱性に素早く適切な「トリアージ」、標準指標CVSSだけに頼っては危険
Apple、バグ修正と複数の脆弱性を修正した「macOS 14.5 Sonoma」を正式にリリース。
「PDF.js」に任意コード実行の脆弱性 ~多くのWebサイト・アプリに影響(窓の杜) - Yahoo!ニュース
「Google Chrome」にゼロデイ脆弱性 ~スクリプトエンジン「V8」に範囲外書き込みの欠陥/Windows環境にはv124.0.6367.207/.208が展開中
「Google Chrome」に緊急アップデート ~「V8」スクリプトエンジンにゼロデイ脆弱性/Windows環境にはv125.0.6422.112/.113が展開中
2024年5月の「Windows Update」がリリース、緊急の脆弱性やゼロデイ脆弱性も/CVE番号ベースで59件の問題へ新たに対処
無理なく始める脆弱性対応の「松竹梅」プラン、事前準備が重要
「FortiOS」および「FortiProxy」のSSL-VPNトンネルモードに重大な脆弱性 急ぎ対処を
32bit版Windowsをサポートする最後の「Wireshark」がリリース ~脆弱性修正も/「Wireshark 4.2.5」「Wireshark 4.0.15」「Wireshark 3.6.23」が公開
「Google Chrome 125」が正式リリース ~ゼロデイ脆弱性を修正/HTML要素の配置指定で役立つ「CSS Anchor Positioning」などの開発者機能に対応
SSHクライアント「PuTTY」に重大な脆弱性 秘密鍵を窃取できる可能性あり
9割のJavaサービスにサードパーティ由来の脆弱性 ― Datadogレポート
「Microsoft Edge」にもセキュリティ更新 ~「V8」スクリプトエンジンにゼロデイ脆弱性/v125.0.2535.67への更新を
Androidアプリ「TP-Link Tether」「TP-Link Tapo」に脆弱性、最新版へのアップデートを
エレコム製「WRC-X5400GS-B」ほかのWi-Fiルーター・中継機11製品に脆弱性、最新版ファームウェアへの更新を
