top of page

Google、アクティブなゼロデイに対処するChromeの重要なパッチを発行

1. 重要な脆弱性により、ownCloudユーザーがデータ侵害にさらされる


著名なオープンソースのファイル共有ソフトウェアである ownCloud は、3つの重大なセキュリティ脆弱性を公表した。そのうちの1つは、管理者のパスワードとメールサーバーの認証情報を暴露する可能性があり、CVSS v3 の最大スコアが 10 である CVE-2023-49103 としてマークされている。この欠陥はウェブサーバーの環境変数に影響し、コンテナ化されたデプロイメントにおいて機密情報を暴露する可能性がある。別の問題は、バージョン10.6.0から10.13.0に影響し、CVSS v3のスコアは9.8で、ユーザーのユーザー名が知られており、署名キーが設定されていない場合に、ファイルへの不正アクセスを可能にします。


3つ目の脆弱性は、CVSS v3で9と評価され、バージョン0.6.1未満のoauth2ライブラリのサブドメイン検証バイパスに関するものである。これらの欠陥が悪用されると、データ漏洩、不正アクセス、フィッシング攻撃につながる可能性がある。これらのリスクを軽減するためには、修正プログラムやアップデートを迅速に適用することが極めて重要であり、特にCLOPのようなランサムウェアグループが世界中の多くの企業を標的として、このような脆弱性を悪用するケースが増えていることを考慮する必要がある。また、潜在的な悪用に対する強固な防御を維持するためには、定期的なセキュリティ対策とコミュニティへの参加も不可欠である。



2. ゼロデイ警告:グーグル・クロームが新たな脆弱性を悪用した攻撃を受ける


グーグルは、ゼロデイ脆弱性(CVE-2023-6345)を含むChromeの7つの脆弱性に対するセキュリティパッチを迅速にリリースした。Googleの脅威分析グループ(TAG)によって発見されたこの重大性の高い欠陥は、オープンソースの2DグラフィックスライブラリSkiaにおける整数オーバーフローの問題を含んでいる。この脆弱性は、システムクラッシュや任意のコード実行のリスクをもたらし、ChromeOS、Android、FlutterなどのSkia搭載製品に影響を与える。


グーグルは詳細情報の公開に慎重で、ユーザーのアップデートが普及するまでアクセスを制限し、直ちに悪用されるリスクを低減している。この最新のアップデートにより、グーグルは今年、Chromeにおける6件のゼロデイに対処したことになり、セキュリティ強化への取り組みを強調している。ユーザーは、Windows版Chromeバージョン119.0.6045.199/.200、macOSおよびLinux版Chromeバージョン119.0.6045.199へのアップデートを強く推奨される。Chromiumベースのブラウザのユーザーは、潜在的な脅威を軽減するために、利用可能になり次第、速やかに修正プログラムを適用する必要があります。



3. Rust-powered SysJokerバックドアを使ったイスラエルへのサイバー攻撃


サイバーセキュリティの専門家は、当初C++バージョンで検出された巧妙なクロスプラットフォームのバックドアであるSysJokerのRustベースの反復を特定した。このマルウェアは、最近、地域紛争の中のイスラエルを標的とするハッカーによって展開されており、Windows、Linux、および macOS システム上で密かに動作している。SysJokerは、インメモリ・ペイロード・ローディング、多様な永続化メカニズムなどの特徴を示し、回避的なテクニックを採用しているため、すべてのOSの亜種で検出されない。精査を避けるため、ランダムなスリープ間隔、複雑な暗号化、PowerShellの変更を永続化に利用している。


システム情報を収集し、コマンド・アンド・コントロール・サーバーと通信する一方で、この新しい反復は、以前のコマンド実行機能を欠いており、ステルス性を高めるために開発者が意図的に動いた可能性を示している。研究者たちは、SysJokerと「Gaza Cybergang」が、特にIsrael Electric Companyに対する攻撃で使用されたテクニックの類似性に基づいて関連する可能性を示唆している。しかし、このような類似性が観察されているにもかかわらず、決定的な関連性は依然として不明である。同様の攻撃を防ぐために、ソフトウェアのアップデート、インシデント対応計画、脅威インテリジェンスに関する連携を優先することが推奨される。



4. 重要な脆弱性への警告:Zyxel NASデバイスが脅威にさらされる


Zyxel 社はこのほど、同社のネットワーク接続ストレージ(NAS)デバイスに、不正なシステムアクセスやコマンド実行を許す可能性のある、重大かつ深刻度の高い複数のセキュリティ脆弱性に対処した。これらの脆弱性には、不適切な認証(CVE-2023-35137)、特定の機能におけるコマンドインジェクションの欠陥(CVE-2023-35138, CVE-2023-37927)、ウェブサーバの細工されたURLを経由したOSコマンド実行(CVE-2023-4473, CVE-2023-4474)が含まれる。


これらのNASシステムは、中小企業やクリエイティブ・プロフェッショナル向けに、一元化されたデータ・ストレージとコラボレーション機能を提供している。具体的な緩和策は提供されていないが、Zyxel社は、影響を受けるNASデバイスを保護するためにファームウェア・アップデートを適用することを強く推奨している。



5. Google Workspaceに設計上の欠陥、攻撃者に不正アクセスを許す


サイバーセキュリティ研究者は、Google Workspaceのドメイン全体委任(DWD)機能内に、DeleFriendと呼ばれる重大な設計上の欠陥を発見した。この脆弱性により、脅威者はスーパー管理者権限の必要性を回避し、権限昇格を実行できる可能性がある。攻撃者は、Google Cloud Platform(GCP)とWorkspaceの既存の委任を操作することで、APIにアクセスし、GmailのメールやGoogle Driveのデータを侵害したり、WorkspaceのAPI全体で不正なアクションを実行したりする可能性がある。


この問題は、特定の秘密鍵ではなく、サービスアカウントのOAuth IDに依存していることに起因しており、ハッカーは、GCPプロジェクトへの限定的なアクセスであっても、複数のJSONウェブトークン(JWT)を生成し、ドメイン全体の委任権限を得ることができる。この悪用により、さまざまなGoogleサービスからの不正なデータアクセスや流出が発生する可能性がある。リスクを軽減するために、IAMユーザーの秘密鍵作成アクセスを制限し、OAuthスコープをGCPリソースの必須権限に制限し、最小権限の原則に従うことが推奨さ れる。



閲覧数:0回0件のコメント

最新記事

すべて表示

AnyDesk、サーバー侵入を確認 パスワード再設定を促す

1. Cloudflareにセキュリティ侵害:Okta攻撃で盗まれた認証トークンを使ってハッキングされる Cloudflareは、2023年11月14日から24日にかけて発生したとみられる国家による攻撃を公表しました。この攻撃は、不正にアクセスされた資格情報を利用して、CloudflareのAtlassianサーバーに不正にアクセスしたものです。侵害により、特定の文書と一部のソースコードに不正アク

アップル、WebKitを悪用した2024年最初のゼロデイを解決

1.新しいDockerマルウェアが暗号のためにCPUを盗み、偽ウェブサイトのトラフィックを増加させる 新しいキャンペーンが、XMRig暗号通貨マイナーと9Hits Viewerソフトウェアのユニークな組み合わせを使用して、脆弱なDockerサービスを悪用しています。これにより、革新的な収益化戦略が示されています。これは、9Hitsアプリケーションをペイロードとして組み込んだマルウェアの最初の例であ

エージェント・テスラ、MSエクセルの欠陥を悪用したフィッシング攻撃を継続中

1. Nimベースのマルウェアを配信するためのおとりMicrosoft Word文書 最近のフィッシング・キャンペーンでは、Microsoft Wordの添付ファイルをおとりとして使用し、Nimでプログラムされたバックドアを配信している。セキュリティアナリストは、NimzaLoader、Nimbda、Dark Powerランサムウェアなどの事例を挙げ、攻撃者がNimに移行していることを示しながら、

bottom of page