2019年6月12日のtwitterセキュリティクラスタ

とにかく違法性はないので反省してましぇーん
動機→違法性の有無の話が重要であってそんなのはどうでもいい

1,違法性はないから反省してましぇーん
2,動機とかは関係無いから説明する意味もありまぇーん
3,携帯でググりたくなったらググりまーゅ別になければ必要ないけど

#coinhive #コインハイブ

少年審判終わりモナ!
ハハ
(´∀`)
_(_つ/ ̄ ̄ ̄/_
\/___/

勝ち確ガチャ
‍‍
結果は!!?→

┌○┐
│非│ハハ
│行│`ω・`)
│な│ │フショブンッ!
│し│//
└○┘(⌒) 実質無罪
し⌒   完全勝訴


制作・著作
━━━━━
ⓃⓃⓃ

CISAから、医療機器で利用されているDICOM規格で、入力値検証不備による実行コード埋め込みの脆弱性が公開された。概念実証コードありとの事。
windowsの実行コードを送り込むことができる可能性あり。
緩和策は利害関係者と調整中。

ics-cert.us-cert.gov/alerts/ICS-ALE…

“This report was released without coordination with NCCIC or any known vendor.”だそう。
また、NCCICはべての医用画像システムにアンチウイルスソリューションを実装することを推奨するようだ。日本じゃ難しいかも。
攻撃はDICOM通信をするLANへのアクセスが必要と思われ、即問題にはならないか。

レディオヘッドのトム・ヨークのMDがハックされ、18時間分の音源が盗まれる。

ハッカーは15万ドルを要求。

レディオヘッドは18時間分全部を公開、18ポンドで販売。

売り上げは気候危機を訴える環境団体 #ExtinctionRebellion に全額寄付。
talkradio.co.uk/news/radiohead…

1Passwordアカウントの認証にセキュリティキーが利用可能に。ありがたい。 // Introducing support for U2F security keys | 1Password blog.1password.com/introducing-su…

はてなブログに投稿しました #はてなブログ
ECサイトは攻撃を受け続けているのではないか? – Fox on Security
foxsecurity.hatenablog.com/entry/2019/06/…

今月はSandboxEscaper関連のやつがありますが、特段気になるものはなさそうです。奇虎360のメンバーは相変わらずEdgeとかのRCE見つけまくってますね。

Zero Day Initiative — The June 2019 Security Update Review
thezdi.com/blog/2019/6/11… pic.twitter.com/hsOLyKa2bs

Raw hammer 攻撃で書き込みまくってメモリの中身をノイズで汚した後、ECCで防いだとしても、side attack攻撃でメモリの内容を読み取る攻撃ってことかしら。 / “rambleed.com/docs/20190603-…htn.to/3vcpJDB11o

トレンドマイクロ さんいまだに、頻繁なパスワード変更が必要で、パスワード管理ソフトを導入するとよりセキュリティが高くなると説明してることが発覚
blog.livedoor.jp/blackwingcat/a…
このへんなセキュリティ企業はまだ日本にいるのです。たぶん・ω・

流石に一度も使わずに批判するのもアレなので、体験版を今からインストールしてみる( ˘ω˘)

使い始めて30分で脆弱性見つけたんだがどうしてくれよう、このクソアプリ。

2年前、グーグルが見つけた脆弱性ほどひどくないが、パスワードマネージャーのとあるセキュリティ機能が全く無駄になる欠陥。
IPAに報告するかな( ‘ω’)?

npmjs.com/advisories/937
> Version 1.0.1 of leaflet-gpx contained malicious code. The code when executed in the browser would enumerate password, cvc and cardnumber fields from forms and send the extracted values to …

npmjs.com/advisories に同じものがいくつか登録されている。それぞれ最新のバージョンが乗っ取られていた…?

affectedがa year agoなので公開されてから発覚まで結構かかってる…が、どれもdownload数少ないパッケージか

packageもモバイルアプリみたいに細かい権限で制御できるようなったらなんとかなるんだろうか…ならないかな

まとめました / フォレンジック学習向けのイメージデータ – setodaNote soji256.hatenablog.jp/entry/2019/06/…

DNS over HTTPSの悪用事例。
メール添付のhtmlを開くと特定ドメインのTXTレコードのクエリがGoogle public DNSに送信。json形式の回答に含まれるjsが実行され、不審なサイトにリダイレクトされるというもの。

New Spam Campaign Controlled by Attackers via DNS TXT Records bleepingcomputer.com/news/security/…

RAMBleed Attack – Flip Bits to Steal Sensitive Data from Computer Memory thehackernews.com/2019/06/ramble… CVE-2019-0174 “researchers advised users to mitigate the risk by upgrading their memory to DDR4 with targeted row refresh (TRR) enabled”

WEEKLY REPORT 2019-06-12を公開。セキュリティ関連情報は6件。ひとくちメモは、CSA ジャパンが公開した「CSA Japan Summit 2019 講演資料」についてです^TO jpcert.or.jp/wr/2019/wr1922…

ブログで「セキュリティ・キャンプ全国大会『マルウェアの暗号処理を解析しよう』の紹介」を公開しました。2018年度の講義で取り組んだ内容を紹介しています。

insight-jp.nttsecurity.com/post/102flpy/u…

ロシア当局がVPNプロバイダーに接続要請、9社が「ブラリ入り」か ascii.jp/elem/000/001/8…

東京五輪後の日本のIT世界–セキュリティ対策の導入は「免罪符」 japan.zdnet.com/article/351381…

「Windows 10 May 2019 Update」でパスワードレス実現に近づける新機能 japan.zdnet.com/article/351383…

マイクロソフト、6月の月例パッチ公開–88件の脆弱性を修正 japan.zdnet.com/article/351383…

[ITmedia エンタープライズ]「すぐにでも悪用されるのは確実」――Microsoftが2019年6月の月例セキュリティ情報公開 bit.ly/31nLqrb

[ITmedia NEWS]Facebook、ユーザーデータ収集アプリをまたリリース(Android版のみ) bit.ly/31qQQBx

[ITmedia エンタープライズ]「Flash Player」を含む3製品の脆弱性を修正、Adobe Systems bit.ly/2WJigEg

[ITmedia Mobile]「ドラゴンクエストウォーク」β版のシリアルコードが出品 “禁止行為”なのか? bit.ly/2WElLM0

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation