2013年2月~2017年11月までの「脆弱性」に関する14のストーリー
すべてのストーリーを見る
- macOS High Sierra
- 安全
- macOS
- 脆弱性
macOS High Sierraのセキュリティ脆弱性が発見されました。修正のためのルートパスワードの設定方法は次のとおりです。
2017年11月28日午後12時45分(太平洋標準時)
アップデート#2 : 公式修正が利用可能になりました。再起動は不要です。
更新: Apple の広報担当者は、アップデートが進行中であるとして、次のような声明を発表しました。
この問題に対処するためのソフトウェアアップデートに取り組んでいます。その間、ルートパスワードを設定することで、Macへの不正アクセスを防ぐことができます。ルートユーザーを有効にしてパスワードを設定するには、こちらの手順に従ってください。ルートユーザーが既に有効になっている場合は、空のパスワードが設定されないように、「ルートパスワードの変更」セクションの手順に従ってください。
macOS High Sierraで新たに発見された脆弱性により、個人データが危険にさらされる可能性があります。開発者のLemi Orhan Ergin氏は、Appleサポートに連絡を取り、発見した脆弱性について問い合わせました。この脆弱性により、macOSマシンに物理的にアクセスできるユーザーは、管理者権限を必要とせずにシステム上の個人ファイルにアクセスし、変更することが可能になります。
ゲストユーザーアカウントのアクセスを無効化していない、またはルートパスワードを変更していないユーザー(おそらくほとんどのユーザー)は、現在この脆弱性の影響を受けています。Appleからの公式修正がリリースされるまでの間、ご自身でセキュリティ対策を講じる方法をご案内いたします。
拡大
拡大
閉じる
- 脆弱性
macOS 10.12.2 で、Thunderbolt デバイスがロックされた Mac からパスワードを取得できる脆弱性が修正されました [ビデオ]
セキュリティ研究者のウルフ・フリスク氏は、macOS 10.12.1 以前の脆弱性の詳細を公開した。この脆弱性により、ロックされた Mac に物理的にアクセスできる人なら誰でも、300 ドルの Thunderbolt デバイスを接続するだけで、パスワードを迅速かつ簡単に取得できる可能性があるという。
拡大
拡大
閉じる
- macOS
- サファリ
- 脆弱性
- パング
PWNFESTでmacOS Sierraで動作するSafariがハッキングされ、ルートアクセスが可能に
セキュリティカンファレンス主催者のヴァンゲリス氏は、PanguとJHのハッカーの合同チームが、macOS Sierraでルートアクセスを可能にするSafariのエクスプロイトを発見し、PWNFESTイベントで提供された最高額の賞金10万ドルを獲得することに成功したとツイートした。
拡大
拡大
閉じる
- マック
- 脆弱性
- スパークルアップデーター
Sparkle Updaterの脆弱性により、膨大な数のMacアプリが乗っ取られる危険にさらされる
Sparkleに新たな脆弱性が発見され、膨大な数のMacアプリケーションが乗っ取られる危険にさらされています。Sparkleとは、App Storeに存在しないサードパーティ製アプリが、ユーザーにアップデートをプッシュするためによく利用するツールです。この乗っ取りハッキングの影響を受けるアプリには、Camtasia、uTorrent、DuetDisplay、Sketchなどがあります。この攻撃はOS X YosemiteとEl Capitanの両方に適用されます(Ars Technica経由)。
拡大
拡大
閉じる
- AAPL社
- マック
- 安全
- アップル社
- OS X
厄介なMacの脆弱性によりリモート攻撃が可能になるが、OS Xの再インストールやドライブのフォーマットでも生き残る
1年以上前のMacに存在する深刻な脆弱性により、攻撃者がマシンを永久に制御できるようになり、ユーザーがOS Xを再インストールしたり、ドライブを再フォーマットしたりしても制御を維持できる可能性がある。
この脆弱性はセキュリティ研究者のペドロ・ビラカ氏によって発見されました。同氏はBIOS(ハードディスクではなくフラッシュメモリに保存されているコード)を再フラッシュする方法を発見しました。つまり、ハードディスクが物理的に交換されたとしても、マシンは依然としてセキュリティ侵害を受け続けるということです… 拡大拡大閉じる
- マック
- 安全
- アップル社
- OS X
- ヨセミテ
OS X 10.10.3アップデートはルートパイプの脆弱性を修正できなかったと元NSA職員が語る
Phoenix; RootPipe Reborn - patrick wardle より Vimeo で公開。
フォーブス誌の報道によると、元NSA職員は、Appleが重大なセキュリティ脆弱性を修正したと主張するOS X 10.10.3アップデートは、実際にはその修正に失敗したと述べた。 現在セキュリティ企業Synackで調査部門を率いるパトリック・ウォードル氏は、Appleがさらなる修正をリリースする時間を確保するため、ビデオで脆弱性を実演した(具体的な方法は明らかにしていない)。
Rootpipeの脆弱性により、Macにローカルアクセスを持つ攻撃者は、追加の認証なしに権限をルートに昇格させ、マシンを完全に制御できるようになります。2人目のセキュリティ研究者もこの脆弱性を確認しました… 拡大拡大閉じる
- アプリ
- iOS
- iPad
- iPhone
- アプリストア
分析会社によると、HTTPSのバグにより1,500のiOSアプリが中間者攻撃に対して脆弱であることが判明
arsTechnicaが指摘したバグのあるコード
分析会社SourceDNA( arsTechnica経由)によると、1,500種類のiOSアプリがサーバーとの安全な接続を確立する方法にバグがあり、中間者攻撃に対して脆弱になっているという。 このバグにより、iPhoneやiPadからデータを傍受する誰かが、HTTPSプロトコルで送信されるログイン情報などの機密情報にアクセスできるようになる。
中間者攻撃は、偽のWi-Fiホットスポットが接続デバイスのデータを傍受することを可能にします。通常、偽のホットスポットは適切なセキュリティ証明書を持っていないため、安全な接続ではこの攻撃は成功しません。しかし、SourceDNAが発見したバグにより、脆弱なアプリは証明書のチェックに失敗します… 拡大拡大閉じる
- iOS
- アメリカ合衆国
- 政府
- 脆弱性
- セキュリティ上の欠陥
米国国土安全保障省がiOSユーザーに「Masque Attack」のセキュリティ欠陥について警告
米国国土安全保障省は木曜日、iOSユーザーに対し、最近発見された「Masque Attack」と呼ばれるセキュリティ脆弱性について警告を発しました。この脆弱性は、ジェイルブレイク済み、未ジェイルブレイクの両方のiPhone、iPad、iPod touchデバイスに影響を及ぼす可能性があります。米国コンピュータ緊急事態対策チームは、この脆弱性の仕組みと、iOSユーザーが自身で防御するための解決策を説明しています。拡大拡大閉じる
- テクノロジー業界
- ウィンドウズ
- iPhone
- 脆弱性
- MacBook
ホーム・デポはセキュリティ侵害の原因をWindowsに帰し、幹部には新しいMacBookとiPhoneを配布
今週初め、ウォール・ストリート・ジャーナルは、ホーム・デポの決済データシステムにおけるセキュリティ侵害について詳細な記事を掲載しました。この侵害により、顧客のクレジットカード口座5,600万件とメールアドレス5,300万件が不正アクセスされました。このセキュリティ侵害の根本原因は、同社のメインコンピュータネットワークにおけるWindowsの脆弱性でした。拡大拡大閉じる
- iCloud
- テクノロジー業界
- 一般的な
- 写真
- リーク
多数の有名人のヌード写真が流出、iCloudハッキングが原因とされる(更新)
インターネット上では、数え切れないほどのセレブのプライベート写真が流出したという報道が飛び交っています(もちろん、リンクは貼りません)。そして、今のところ根拠のない噂ですが、AppleのiCloudプラットフォームの脆弱性を誰かが発見し、それを悪用して画像を入手したという噂もあります。被害に遭ったとされるセレブには、ジェニファー・ローレンス、ケイト・アプトン、アヴリル・リヴィーニュ、メアリー・エリザベス・ウィンステッド、メアリー・ケイト・オルセン、ヒラリー・ダフなど、他にも多数います。
拡大
拡大
閉じる
- AAPL社
- iOS
- マック
- ハウツー
- OS X
Appleは昨日iOSの重大なSSLバグを修正したが、OS Xは依然として危険にさらされている
更新: Apple は OS X の修正が間もなくリリースされると発表しました。
Appleは昨日、iOS 6とApple TV向けの新ビルドと共にiOSアップデート7.0.6をリリースしました。同社によると、このアップデートには「SSL接続検証の修正」が含まれているとのことです。Appleはこのバグについて具体的な情報を提供していませんでしたが、すぐにHacker Newsのトップでその答えが報じられました。この軽微なセキュリティ修正は、実は重大な欠陥であり、理論上は攻撃者が影響を受けるブラウザとほぼすべてのSSL保護サイト間の通信を傍受できる可能性があることが判明しました。さらに、このバグはAppleがまだセキュリティパッチをリリースしていないOS Xの最新ビルドにも存在しています。
CrowdStrike の研究者はレポートの中でこのバグについて次のように説明しています。
この攻撃を成功させるには、攻撃者が中間者(MitM)ネットワーク接続を行える必要があります。これは、攻撃者が被害者と同じ有線または無線ネットワーク上に存在していれば可能です。iOSおよびOS Xプラットフォームの認証ロジックに欠陥があるため、攻撃者は最初の接続ハンドシェイク時にSSL/TLS検証ルーチンをバイパスできます。これにより、攻撃者はお気に入りのウェブメールプロバイダーなどの信頼できるリモートエンドポイントからのアクセスを装い、ユーザーと宛先サーバー間の暗号化トラフィックを完全に傍受し、通信中のデータを改ざんする能力(例えば、システムを制御するためのエクスプロイトを配信するなど)を獲得することが可能になります。
Googleのシニアソフトウェアエンジニアであるアダム・ラングレー氏も、自身のブログImperialVioletでこの欠陥について書き、このバグがあるかどうかを確認するためのテストサイトを作成しました(上図)。拡大拡大閉じる
- iOSデバイス
- 安全
- ハック
- 脆弱性
- SIMカード
2分間のSIMカードハッキングで25%の携帯電話がスパイの標的になる可能性
画像: joyenjoys.com
わずか2分間のSIMカードハッキングで、侵入者はあなたの通話を盗聴したり、あなたの電話番号からテキストメッセージを送信したり、あなたのアカウントからモバイル決済を行ったりできる可能性があります。ドイツのセキュリティ研究者によって発見されたこの脆弱性は、推定7億5000万枚のSIMカードに存在し、これは全SIMカードの約4分の1に相当します。
電話番号を教えていただければ、数分後にはこのSIMカードを遠隔操作し、コピーまで作成できる可能性があります… 展開展開閉じる
- AAPL社
- アップルニュース
- ツイッター
- フェイスブック
- マルウェア
新たなJavaの脆弱性が発見され、研究者はブラウザプラグインを無効にすることを推奨
Javaブラウザプラグインの脆弱性を悪用した、少数の企業向けMacへの攻撃を受けて、セキュリティ企業FireEyeの研究者らは、新たなJavaのゼロデイ脆弱性についてユーザーに注意を促しました。昨日公開されたブログ記事(IDG経由)によると、Java v1.6 Update 41およびJava v1.7 Update 15を実行しているブラウザは、McRATと呼ばれるリモートアクセスツールをインストールするマルウェア攻撃に対して脆弱です。このエクスプロイトは、先月Facebook、Twitter、Apple、その他複数の企業を攻撃した際に使用されたものとは異なると報告されています。先の攻撃を受けて、Appleはユーザー向けにJavaバージョン1.6.0_41へのアップデートをリリースしました。これらの最近の脆弱性は、過去1年間にJavaに対してエクスプロイトに対処するための複数回のアップデートが行われた後に発生しています。
FireEye は、Oracle が問題に対処するまでユーザーに Java を無効にすることを推奨しました。
Oracleに通知済みであり、この脆弱性の発見についてOracleと引き続き協力していきます。この脆弱性は最新のJava 6u41およびJava 7u15バージョンに影響するため、パッチがリリースされるまでブラウザでJavaを無効にすることを強くお勧めします。または、Javaのセキュリティ設定を「高」に設定し、組織外で不明なJavaアプレットを実行しないでください。
Oracleは、MacでJavaをアンインストールするための以下の手順を提供しています。展開展開閉じる
- AAPL社
- アプリ
- iOS
- iPad
- iOSデバイス
iOS 6のバグにより、組織ユーザーは「変更を許可しない」アカウント制限を回避し、承認されていないアプリをインストールできる(更新:修正済み)
更新(2月21日):読者からの報告によると、この問題は修正されたとのことです。iTunes StoreとApp StoreはバックエンドでHTMLを使用しているため、Appleはバックエンドのコード変更を通じてアップデートを「プッシュ」することができます。
今朝の時点で、バグは解消されました!アップデートは不要です!
どうやらアップデートがプッシュされたようです!
App StoreやiTunes Storeでアカウントを変更できなくなりました!
6.0のベータテストをしていた頃を思い出しました。Appleはアップデートのダウンロードに
パスワード入力が不要になる仕様に変更しました(無料アプリも
しばらくの間パスワードなしでダウンロード可能でした)。これもアップデートは必要ありませんでした。iOSをアップデート
しなくてもApp Storeの動作を修正する方法があるようです
。私のデバイスはまだ6.1を使っていて、
まだ6.1.2には移行していません。Appleからの正式な回答があれば嬉しいですが、今のところは正常に動作しています!それと、 App Storeの下部にある
「ギフトの引き換え」と「ギフトの送信」もグレー表示になっています。iTunes Storeでも同様です。
ご存知ない方のためにご説明しますと、iOS 6のリリース時に機能制限設定が強化され、iOSデバイスにリンクされたアカウント全体に対して「変更を許可しない」を選択できるようになりました。このオプションは、デバイスを特定のアカウントのみに制限し、学生やその他のユーザーが教育機関の承認を得ていないアプリをインストールできないようにしたい学校や組織にとって特に便利でした。この制限がなければ、学生や従業員はiOSデバイスにリンクされたiTunesアカウントを簡単に変更できてしまいます。しかし、9to5Macの読者の一人が指摘したように、この設定を回避する裏技がいくつか存在するようです…
拡大
拡大
閉じる
