May 17, 2024

今週の気になるセキュリティニュース - Issue #170 からのメモ

MITRE から不正侵入事案に関する続報

Technical Deep Dive: Understanding the Anatomy of a Cyber Intrusion | MITRE-Engenuity (medium.com) (05/03)

←後で読みたい

 

英国防省で外部からの不正アクセス

Defence Secretary Oral Statement to provide a Defence Personnel Update - 07 May 2024 - GOV.UK (www.gov.uk) (05/07)

『最近、国防省は、悪意のある人物が軍の決済ネットワークの一部にアクセスした兆候を特定しました。

これは防衛省のコアネットワークとは完全に独立した外部システムであり、主要な軍の人事システムには接続されていません。

下院は、それが請負業者によって運営されており、請負業者による潜在的な失敗の証拠があり、それが悪意のある行為者が簡単に侵入できるようにした可能性があることに留意したいと考えています …

政府は先月、これらの新たな脅威に対応するために国防費を増額し、10年後にGDP2.5%に達すると発表しました。』

 

DigiCert が一部の EV 証明書を再発行すると発表

【重要】EV証明書における再発行、ならびに入れ替え手順のご案内 (digicert.com) (05/10)

『首記の件につき、弊社が発行いたしましたEV TLS証明書の一部にBusiness Categoryの記載フォーマットに誤りがあるものを確認し、CA Browser Forum SSL/TLS証明書のBaseline Reuqirementの取り決めにより、2024 5 12日午前1時(日本時間)に、失効しなくてはならないことが判明いたしました。』

 

 

Google  Chrome のゼロデイ脆弱性を修正

Chrome Releases: Stable Channel Update for Desktop (googleblog.com) (05/09)

[N/A][339266700] High CVE-2024-4671: Use after free in Visuals. Reported by Anonymous on 2024-05-07

Google is aware that an exploit for CVE-2024-4671 exists in the wild.

 

「Chrome」に重大なゼロデイ脆弱性--今すぐアップデートを(ZDNET Japan) - Yahoo!ニュース (05/13)

 

マイクロソフト「Edge」に重大な脆弱性 すぐ更新を - 記事詳細|Infoseekニュース (05/13)

CVE-2024-4671……Visualsコンポーネントに関する脆弱性(重大度:高)

CVE-2024-30055……なりすまし(重大度:注意)

 

 Visualsコンポーネントに関する脆弱性は、共通のブラウザエンジンを採用する「Google Chrome」(Chromium)由来のもの。攻撃者が相手のPCからデータを盗んだり、深刻なダメージを与えることも可能で、すでに悪用が確認されている。

 なりすましに関する脆弱性は、Edge固有のものでChromiumとは無関係だ。

 対策済みのバージョンは「124.0.2478.97」。アップデートは自動で順次適用されるが、ブラウザーの設定から「Microsoft Edge について」を選択することで、最新版への手動更新も可能だ。』

 

CISA が脆弱性に関する様々な付加情報を提供する新たな取り組み Vulnrichment を発表

https://www.linkedin.com/feed/update/urn:li:activity:7193995615737901056

『今日、我々は「Vulnrichment」と呼んでいる、CVEsCommon Platform EnumerationCommon Vulnerability Scoring SystemCommon Weakness Enumeration、およびKnown Exploited Vulnerabilitiesを追加することに重点を置いたエンリッチメントの取り組みについて、各組織にお知らせしたいと思います。

 

私たちは、最近1,300件のCVEをエンリッチ化し、提出されたすべてのCVEがエンリッチ化されるよう、引き続き熱心に取り組んでいます。すべてのCVE番号付与機関(CNA)には、CVE.orgに最初にCVEを提出する際に、完全なCVEを提供するようお願いしています。』

 

重要経済安保情報の保護及び活用に関する法律が参議院で可決、成立

閣法 第213回国会 24 重要経済安保情報の保護及び活用に関する法律案 (shugiin.go.jp)

 

経済安保新法が成立 重要情報、適性評価で指定:時事ドットコム (jiji.com) (05/10)



出典

今週の気になるセキュリティニュース - Issue #170 (05/12)

 

投稿者 時刻:

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)