The best of CES 2025Presenting our 12 finalists, plus the winner of our best in show award.
Engadget | Technology News & Reviews
The best of CES 2025Presenting our 12 finalists, plus the winner of our best in show award.
仮想化製å“多数ã«ã€Œã‚²ã‚¹ãƒˆVM脱出ã€ã®è„†å¼±æ€§ã€å½±éŸ¿ã¯æ¥µã‚ã¦é‡å¤§
悪用ã•ã‚ŒãŸå ´åˆã€æ”»æ’ƒè€…ãŒã‚²ã‚¹ãƒˆä»®æƒ³ãƒžã‚·ãƒ³ï¼ˆVM)ã‹ã‚‰æŠœã‘出ã—ã¦ãƒ›ã‚¹ãƒˆã‚·ã‚¹ãƒ†ãƒ ã«ã‚¢ã‚¯ã‚»ã‚¹ã—ã€ä»»æ„ã®ã‚³ãƒ¼ãƒ‰ã‚’実行ã§ãã¦ã—ã¾ã†æã‚ŒãŒã‚る。ホストシステムã®ä»–ã«ã€ãã®ãƒ›ã‚¹ãƒˆä¸Šã§å®Ÿè¡Œã•ã‚Œã¦ã„ã‚‹ä»–ã®å…¨ã¦ã®VMã«ã‚¢ã‚¯ã‚»ã‚¹ã§ãã¦ã—ã¾ã†å¯èƒ½æ€§ã‚‚ã‚ã‚‹ã¨ã„ã†ã€‚ ã“ã®è„†å¼±æ€§ã¯å¹…広ã„仮想プラットフォームã«å½±éŸ¿ãŒåŠã³ã€ãƒ‡ãƒ•ã‚©ãƒ«ãƒˆã®è¨å®šã«å¯¾ã—ã¦æ”»æ’ƒãŒé€šç”¨ã—ã€ä»»æ„ã®ã‚³ãƒ¼ãƒ‰ã‚’実行ã•ã‚Œã‚‹æã‚ŒãŒã‚ã‚‹ã¨ã„ã†ç‚¹ã§ã€éŽåŽ»ã«è¦‹ã¤ã‹ã£ãŸä»–ã®VMエスケープã®è„†å¼±æ€§ã¨ã¯ç•°ãªã‚‹ã¨CrowdStrikeã¯æŒ‡æ‘˜ã€‚悪用ã•ã‚Œã‚Œã°ä¼æ¥ãªã©ã®çŸ¥çš„è²¡ç”£ã‚„å€‹äººæƒ…å ±ã¨ã„ã£ãŸæƒ…å ±ã®æµå‡ºã«ã¤ãªãŒã‚Šã‹ããªã„ã¨è¦å‘Šã—ã¦ã„る。 脆弱性ã¯ãƒã‚¤ãƒ‘ーãƒã‚¤ã‚¶ãƒ¼ã®ã‚³ãƒ¼ãƒ‰ãƒ™ãƒ¼ã‚¹ã«å˜åœ¨ã™ã‚‹ã“ã¨ã‹ã‚‰ã€ãƒ›ã‚¹ãƒˆOS(Linuxã€Windowsã€Mac OS)ã«é–¢ä¿‚ãªã影響をå—ã‘る。ã¾ãŸã€ã‚²ã‚¹ãƒˆOSã«ã‚‚å·¦å³ã•ã‚Œãªã„。 影響をå—ã‘ã‚‹ã“ã¨ãŒç¢ºèªã•ã‚Œã¦ã„るベンダーã¯QEMUã€Xen Project
glibc ã®è„†å¼±æ€§ CVE-2015-0235(通称:GHOST)ã«ã¤ã„ã¦ã¾ã¨ã‚ã¦ã¿ãŸ - piyolog
2015å¹´1月27æ—¥(ç¾åœ°æ™‚é–“) Qualysã¯glibc(GNU C Library)ã«è„†å¼±æ€§ã‚’発見ã—ã€æƒ…å ±ã‚’å…¬é–‹ã—ã¾ã—ãŸã€‚ã“ã“ã§ã¯é–¢é€£æƒ…å ±ã‚’ã¾ã¨ã‚ã¾ã™ã€‚(暫定ã¾ã¨ã‚ãªã®ã§ç²¾åº¦ä½Žã‚ã€ç¶²ç¾…性無ã—ã§ã™ã€‚。) (1) è„†å¼±æ€§é–¢é€£æƒ…å ± QualysãŒå…¬é–‹ã—ãŸè„†å¼±æ€§æƒ…å ± The GHOST Vulnerability Qualys Security Advisory CVE-2015-0235 注æ„å–šèµ· IPA (注æ„) libc ã®è„†å¼±æ€§å¯¾ç–ã«ã¤ã„ã¦(CVE-2015-0235) 脆弱性ã®æ¦‚è¦ glibcã®__nss_hostname_digits_dots() ã«ãƒ’ープãƒãƒƒãƒ•ã‚¡ã‚ªãƒ¼ãƒãƒ¼ãƒ•ãƒãƒ¼ã®è„†å¼±æ€§ã€‚ 当該関数ã¯glibcã®gethostbyname()ã¨gethostbyname2()ã‹ã‚‰å‘¼ã°ã‚Œã¦ã„る。 アプリケーションã«ã‚ˆã£ã¦ã¯ã€DoSã€ã¾ãŸã¯ãƒªãƒ¢ãƒ¼ãƒˆã‹ã‚‰ä»»æ„ã®ã‚³ãƒ¼ãƒ‰ãŒå®Ÿè¡Œå¯èƒ½ã¨ãªã‚‹å¯èƒ½æ€§
Linuxã«æ·±åˆ»ãªã‚»ã‚ュリティホール「GHOSTã€ã€ä»Šã™ãパッãƒãŒå¿…è¦
Steven J. Vaughan-Nichols (Special to ZDNET.comï¼‰Â ç¿»è¨³æ ¡æ£ï¼šÂ 編集部 2015-01-28 10:04 クラウドセã‚ュリティä¼æ¥Qualysã®ç ”究者ãŒã€Linux GNU Cライブラリ(glibc)ã«æ·±åˆ»ãªã‚»ã‚ュリティホールã§ã‚る「GHOSTã€ï¼ˆCVE-2015-0235)を発見ã—ãŸã€‚ã“ã®è„†å¼±æ€§ã‚’利用ã™ã‚‹ã¨ã€ãƒãƒƒã‚«ãƒ¼ã¯IDやパスワードを知らãªãã¦ã‚‚システムをリモートã‹ã‚‰ä¹—ã£å–ã‚‹ã“ã¨ãŒã§ãる。 Qualysã¯ãŸã ã¡ã«ã“ã®ã‚»ã‚ュリティホールã«ã¤ã„ã¦ä¸»ãªLinuxã®é…布元ã«è¦å‘Šã‚’é€ã‚Šã€å¤šãã®é…布元ãŒã™ã§ã«ãƒ‘ッãƒã‚’公開ã—ã¦ã„る。 ã“ã®ã‚»ã‚ュリティホールã¯ã€glibc-2.2(2000å¹´11月10æ—¥ã«ãƒªãƒªãƒ¼ã‚¹ï¼‰ã‚’使用ã—ã¦ãƒ“ルドã•ã‚ŒãŸã™ã¹ã¦ã®Linuxシステムã«å˜åœ¨ã™ã‚‹ã€‚Qualysã«ã‚ˆã‚Œã°ã€ã“ã®ãƒã‚°ã¯å®Ÿéš›ã«ã¯ã€2013å¹´5月21æ—¥ã«ãƒªãƒªãƒ¼ã‚¹ã•ã‚ŒãŸã€gl
bashã®è„†å¼±æ€§(CVE-2014-6271) #ShellShock ã®é–¢é€£ãƒªãƒ³ã‚¯ã‚’ã¾ã¨ã‚ã¦ã¿ãŸ - piyolog
bashã«è„†å¼±æ€§ãŒç¢ºèªã•ã‚ŒãŸã¨ã—ã¦é¨’ãŽã«ãªã£ã¦ã„ã¾ã™ã€‚ã“ã“ã§ã¯CVE-2014-6271ã«é–¢ã™ã‚‹æƒ…å ±ã‚’ã¾ã¨ã‚ã¾ã™ã€‚ #記載内容ã«ã¤ã„ã¦ã€èª¤ã£ã¦ã„ã‚‹ã€è¿½è¨˜ã—ãŸæ–¹ãŒã„ã„ç‰æƒ…å ±ãŒã”ã–ã„ã¾ã—ãŸã‚‰@piyokangoã¾ã§ã”連絡ãŠé¡˜ã„ã—ã¾ã™ã€‚ è„†å¼±æ€§æƒ…å ± 脆弱性ã®æ„›ç§° ShellShock Bashbug CVEç•ªå· Bash周りã§ç™ºè¡Œã•ã‚Œã¦ã„ã‚‹CVEã¯6ã¤ã€‚ãã®å†…詳細ãŒä¸æ˜Žãªã®ãŒ2ã¤ã€‚(CVE-2014-6277,CVE-2014-6278) CVE 発見者 æƒ³å®šè„…å¨ ç‰¹è¨˜ CVE-2014-6271 Stephane Chazelasæ° ä»»æ„ã®ã‚³ãƒ¼ãƒ‰å®Ÿè¡Œ ShellShockã®ç™ºç«¯ã¨ãªã£ãŸãƒã‚°ã€‚ CVE-2014-7169 Tavis Ormandyæ° ä»»æ„ã®ã‚³ãƒ¼ãƒ‰å®Ÿè¡Œ CVE-2014-6271ä¿®æ£æ¼ã‚Œã«ã‚ˆã‚‹è„†å¼±æ€§ CVE-2014-7186 Redhat DoS ãƒ¡ãƒ¢ãƒªç ´å£Š(Out-of-Bo
OAuthã¨OpenIDã«æ·±åˆ»ãªè„†å¼±æ€§ã‹--Facebookãªã©å¤§æ‰‹ã‚µã‚¤ãƒˆã«å½±éŸ¿ã‚‚
OpenSSLã®è„†å¼±æ€§ã€ŒHeartbleedã€ã«ç¶šãã€äººæ°—ã®ã‚ªãƒ¼ãƒ—ンソースセã‚ュリティソフトウェアã§ã¾ãŸ1ã¤å¤§ããªè„†å¼±æ€§ãŒè¦‹ã¤ã‹ã£ãŸã€‚今回ã€è„†å¼±æ€§ãŒè¦‹ã¤ã‹ã£ãŸã®ã¯ãƒã‚°ã‚¤ãƒ³ãƒ„ールã®ã€ŒOAuthã€ã¨ã€ŒOpenIDã€ã§ã€ã“れらã®ãƒ„ールã¯å¤šæ•°ã®ã‚¦ã‚§ãƒ–サイトã¨ã€Googleã€Facebookã€Microsoftã€LinkedInã¨ã„ã£ãŸãƒ†ã‚¯ãƒŽãƒã‚¸å¤§æ‰‹ã«ä½¿ã‚ã‚Œã¦ã„る。 シンガãƒãƒ¼ãƒ«ã«ã‚ã‚‹Nanyang Technological University(å—æ´‹ç†å·¥å¤§å¦ï¼‰ã§å¦ã¶åšå£«èª²ç¨‹ã®å¦ç”ŸWang Jingæ°ã¯ã€ã€ŒCovert Redirectã€ã¨ã„ã†æ·±åˆ»ãªè„†å¼±æ€§ã«ã‚ˆã£ã¦ã€å½±éŸ¿ã‚’å—ã‘るサイトã®ãƒ‰ãƒ¡ã‚¤ãƒ³ä¸Šã§ãƒã‚°ã‚¤ãƒ³ç”¨ãƒãƒƒãƒ—アップ画é¢ã‚’å½è£…ã§ãã‚‹ã“ã¨ã‚’発見ã—ãŸã€‚Covert Redirectã¯ã€æ—¢çŸ¥ã®ã‚¨ã‚¯ã‚¹ãƒ—ãƒã‚¤ãƒˆãƒ‘ラメータã«åŸºã¥ã„ã¦ã„る。 ãŸã¨ãˆã°ã€æ‚ªæ„ã‚るフィッシングリンクをクリックã™ã‚‹ã¨ã€Faceboo
強烈ãªDNSã‚ャッシュãƒã‚¤ã‚ºãƒ‹ãƒ³ã‚°æ‰‹æ³•ãŒå…¬é–‹ã•ã‚Œã‚‹:Geekãªãºãƒ¼ã˜
本日ã€JPRSãŒç·Šæ€¥ã®æ³¨æ„喚起を公表ã—ã¾ã—ãŸã€‚ 緊急)ã‚ャッシュãƒã‚¤ã‚ºãƒ‹ãƒ³ã‚°æ”»æ’ƒã®å±é™ºæ€§å¢—åŠ ã«ä¼´ã†DNSサーãƒãƒ¼ã®è¨å®šå†ç¢ºèªã«ã¤ã„ã¦ï¼ˆ2014å¹´4月15日公開)- å•ã„åˆã‚ã›UDPãƒãƒ¼ãƒˆã®ãƒ©ãƒ³ãƒ€ãƒ 化ã®é€Ÿã‚„ã‹ãªç¢ºèªãƒ»å¯¾å¿œã‚’å¼·ã推奨 ãã‚Œã«å¯¾ã—ã¦ã€2月ä¸æ—¬ã«è„†å¼±æ€§ã‚’発見ã—ã¦JPRSã¸ã¨å ±å‘Šã—ã¦ã„ãŸéˆ´æœ¨æ°(脆弱性ã¯å‰é‡Žæ°ã¨ã®å…±åŒç™ºè¦‹)ãŒã€JPRSã®æ³¨æ„å–šèµ·ã§ã¯ã€Œå±é™ºæ€§ã‚’よãç†è§£ã—ã¦å¯¾ç–ã‚’ã¨ã‚‹ã«ã‚ãŸã£ã¦å分ãªæƒ…å ±ãŒå«ã¾ã‚Œã¦ã„ã‚‹ã¨ã¯ã„ãˆã¾ã›ã‚“ã€ã¨ã—ã¦ã€ä»¥ä¸‹ã®æƒ…å ±ã‚’å…¬é–‹ã—ã¦ã„ã¾ã™ã€‚ é–‹ã„ãŸãƒ‘ンドラã®ç®± - 長年放置ã•ã‚Œã¦ããŸDNSã®æã‚‹ã¹ãæ¬ é™¥ãŒæ˜Žã‚‰ã‹ã« ã‚ャッシュãƒã‚¤ã‚ºãƒ‹ãƒ³ã‚°ã®é–‹ã„ãŸãƒ‘ンドラã®ç®± ã‚ャッシュãƒã‚¤ã‚ºãƒ‹ãƒ³ã‚°ã®é–‹ã„ãŸãƒ‘ンドラã®ç®± - 2 - 本æ¥ã§ã‚ã‚Œã°ã€ã‚ˆã‚Šä¸Šä½ã‹ã‚‰ã®æ£è¦ã®å›žç”ãŒå„ªå…ˆã•ã‚Œãªã‘ã‚Œã°ãªã‚‰ãªã„ã¯ãšãªã®ã«ã€ä¸‹ä½å´ãŒå„ªå…ˆã•ã‚Œã‚‹ä»•æ§˜ã«ãªã£ã¦ã„ã‚‹ã®ã§ã€å½è£…ã•ã‚ŒãŸãƒ‡ãƒ¼ã‚¿ãŒå„ªå…ˆã•ã‚Œã¦ã—ã¾ã†
æ©Ÿå¯†æƒ…å ±ã‚’å«ã‚€JSONã«ã¯ X-Content-Type-Options: nosniff ã‚’ã¤ã‘ã‚‹ã¹ã - 葉ã£ã±æ—¥è¨˜
Webアプリケーションã«ãŠã„ã¦JSONを用ã„ã¦ãƒ–ラウザ - サーãƒé–“ã§ãƒ‡ãƒ¼ã‚¿ã®ã‚„ã‚Šå–ã‚Šã‚’è¡Œã†ã“ã¨ã¯ã‚‚ã¯ã‚„普通ã®ã“ã¨ã§ã™ãŒã€ã“ã®ã¨ãJSON内ã«ç¬¬ä¸‰è€…ã«æ¼ã‚Œã¦ã¯å›°ã‚‹æ©Ÿå¯†æƒ…å ±ãŒå«ã¾ã‚Œã‚‹å ´åˆã¯ã€å¿…ãš X-Content-Type-Options: nosniff レスãƒãƒ³ã‚¹ãƒ˜ãƒƒãƒ€ã‚’ã¤ã‘るよã†ã«ã—ã¾ã—ょã†(ã‚€ã—ã‚æ©Ÿå¯†æƒ…å ±ã‹ã©ã†ã‹ã«é–¢ã‚らãšã€å…¨ã¦ã®ã‚³ãƒ³ãƒ†ãƒ³ãƒ„ã«ã¤ã‘ã‚‹ã»ã†ãŒã‚ˆã„。関連:X-Content-Type-Options: nosniff ã¤ã‹ã‚ãªã„ã‚„ã¤ã¯æ»ãã°ã„ã„ã®ã«! - 葉ã£ã±æ—¥è¨˜)。 例ãˆã°ã€æ©Ÿå¯†æƒ…å ±ã‚’å«ã‚€ä»¥ä¸‹ã®ã‚ˆã†ãªJSONé…列を返ã™ãƒªã‚½ãƒ¼ã‚¹(http://example.jp/target.json)ãŒã‚ã£ãŸã¨ã—ã¾ã™ã€‚ [ "secret", "data", "is", "here" ] 攻撃者ã¯ç½ ページを作æˆã—ã€ä»¥ä¸‹ã®ã‚ˆã†ã«JSONé…列をvbscriptã¨ã—ã¦èªã¿è¾¼ã¿ã¾ã™ã€‚ã‚‚ã¡ã‚
「UPnP(libupnp)ã«è„†å¼±æ€§ãƒ»WANã‹ã‚‰æ”»æ’ƒå¯èƒ½ã€ã¨ã„ã†è©±ã®ä¸èº«ã‚’調査ã—ã¦ã¿ãŸ
「UPnPã«è„†å¼±æ€§ãŒè¦‹ã¤ã‹ã‚Šã€å±é™ºã ã€ã¨ã„ã†ãƒ‹ãƒ¥ãƒ¼ã‚¹ãŒã„ã‚ã„ã‚ãªWebサイトã«æŽ²è¼‰ã•ã‚Œã¦ã„ã¾ã™ãŒã€ä¾‹ã«ã‚ˆã£ã¦ã¾ãŸä½•è¨€ã£ã¦ã‚‹ã‹ã‚ˆã分ã‹ã‚‰ãªã„部分ãŒå¤šã‹ã£ãŸã®ã§ã€èª¿ã¹ãŸã“ã¨ã‚’書ã„ã¦ãŠãã¾ã™ã€‚ 目次 1. 概è¦2. 日本語サイトã®æƒ…å ±æº3. 「libupnpã®è„†å¼±æ€§ã€ã¯ã€ŒUPnPパケットを使ã£ãŸãƒãƒƒãƒ•ã‚¡ã‚ªãƒ¼ãƒãƒ•ãƒãƒ¼ã€4. 「WANã‹ã‚‰æ”»æ’ƒå¯èƒ½ã€ã¨ã„ã†ãƒ‹ãƒ¥ãƒ¼ã‚¹ã®æ„味5. 「WANã‹ã‚‰ã®SSDPリクエストをå—ã‘付ã‘ã‚‹ã€ãƒ«ãƒ¼ã‚¿ãƒ¼ã¨ã¯ï¼Ÿ6. 「libupnpã€ã¨ã€ŒSSDPリクエストをå—ã‘付ã‘ã¦ã—ã¾ã†è„†å¼±æ€§ã€ã®é–¢ä¿‚ã«ã¤ã„ã¦7. 「WANã‹ã‚‰ã®SSDPã‚’å—ã‘å–ã‚‹ã“ã¨ã€è‡ªä½“ã®å•é¡Œ8. 何ãŒã‚ã£ãŸã‹ã‚‰ãƒ‹ãƒ¥ãƒ¼ã‚¹ã«ãªã£ãŸï¼Ÿ9. 1月29日ã«ã‚ã£ãŸã“ã¨10. 本当ã®ãƒ‹ãƒ¥ãƒ¼ã‚¹ã¯ã€ŒRapid7ã®ãƒ›ãƒ¯ã‚¤ãƒˆãƒšãƒ¼ãƒ‘ーã€ã®å…¬é–‹11. ホワイトペーパーã®ä¸èº«12. ã˜ã‚ƒãã©ã†ã—ã¦è„†å¼±æ€§æƒ…å ±ãŒå‡ºãŸã®ã‹13. çµè«–:見ã¤ã‹ã£ãŸã®ã¯ã€Œè„†
「UPnPã€ã«è„†å¼±æ€§è¦‹ã¤ã‹ã‚‹ã€ãƒ«ãƒ¼ã‚¿ãªã©æ•°åƒä¸‡å°ã«å½±éŸ¿
脆弱性ã«å¯¾å‡¦ã—ãŸæ›´æ–°ç‰ˆã®ã€Œlibupnp 1.6.18ã€ãŒå…¬é–‹ã•ã‚ŒãŸãŒã€ãƒ‘ッãƒãŒè¡Œã渡るã¾ã§ã«ã¯æ™‚é–“ãŒã‹ã‹ã‚‹è¦‹é€šã—。US-CERTã§ã¯ã€å¯èƒ½ã§ã‚ã‚Œã°UPnPを無効ã«ã™ã‚‹ãªã©ã®å¯¾ç–を促ã—ã¦ã„る。 ルータãªã©ã®ãƒãƒƒãƒˆãƒ¯ãƒ¼ã‚¯æ©Ÿå™¨ã«åºƒã使ã‚ã‚Œã¦ã„る「Universal Plug and Playã€ï¼ˆUPnP)ã«è¤‡æ•°ã®è„†å¼±æ€§ãŒç¢ºèªã•ã‚ŒãŸã€‚大手メーカーå„社ã®è£½å“ã‚’å«ã‚€æ•°åƒä¸‡å°ãŒå½±éŸ¿ã‚’å—ã‘ã‚‹ã¨ã•ã‚Œã€ç±³ã‚»ã‚ュリティ機関ã®US-CERTã¯ãƒ¡ãƒ¼ã‚«ãƒ¼ã‚„デベãƒãƒƒãƒ‘ーã«å¯¾ã—ã€ã‚¢ãƒƒãƒ—デートをé©ç”¨ã—ã¦è„†å¼±æ€§ã‚’ä¿®æ£ã™ã‚‹ã‚ˆã†å‘¼ã³æŽ›ã‘ã¦ã„る。 US-CERTãŒ1月29æ—¥ã«å…¬é–‹ã—ãŸã‚»ã‚ãƒ¥ãƒªãƒ†ã‚£æƒ…å ±ã«ã‚ˆã‚Œã°ã€UPnPデãƒã‚¤ã‚¹ç”¨ã®ã‚ªãƒ¼ãƒ—ンソースãƒãƒ¼ã‚¿ãƒ–ルSDKã§ã‚る「libupnpã€ã«ãƒãƒƒãƒ•ã‚¡ã‚ªãƒ¼ãƒãƒ¼ãƒ•ãƒãƒ¼ã®è„†å¼±æ€§ãŒè¤‡æ•°å˜åœ¨ã™ã‚‹ã€‚ã•ã‚‰ã«ã€libupnpを使ã£ã¦ã„るデãƒã‚¤ã‚¹ã¯WANインタフェース経由ã§UPnPクエリーをå—ã‘入れã¦ã—ã¾
1
ãŠçŸ¥ã‚‰ã›
ランã‚ング
ランã‚ング
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
Expired
{{#tags}}- {{label}}
{{/tags}}