20221128-20221202 個人的セキュリティ関連まとめ

検証って感じじゃないけどなんか知っておきたそうなニュースメモ

あとで読むというより、書いて定着用

Googleは、2022年に8番目のゼロデイを修正する緊急Chromeアップデートをプッシュします

https://www.bleepingcomputer.com/news/security/google-pushes-emergency-chrome-update-to-fix-8th-zero-day-in-2022/

chromeのメモリの脆弱性、無くならんなー。

リスク高い脆弱性を動かしてみたいんだけど、古いバージョンのchromeが手に入らんのよな。

古いバージョンのインストーラーは残しておいた方がいいかも。

現行バージョンでもどうせメモリの脆弱性でるだろうし、ファジングツールのテストがてらファジングしてみようか。

岡山県「きらめきプラザ」不正アクセス発覚

https://news.yahoo.co.jp/articles/e9a44458de3ab599063479fe151fa5ecd73bec96

NW機器単体の脆弱性？

ネットワーク内の端末とかデータに影響ないニュースは珍しい気がした。

サイバー人材、中堅・中小で共有

https://www.nikkei.com/article/DGKKZO66272390V21C22A1MM0000/

高度人材の隙間時間をシェアする

え！？隙間時間に働かされんの・・・！？

年収が数千万円に上ることもある高度人材をコスト10分の1になるくらいに働かされんの・・・？

需要があるのは助かるけど、強い人材になったら激務になるの嫌やなぁ。

2,000 億ドル規模の企業で RCE を取得できなかった方法 — Bug Bounty

https://medium.com/@nynan/how-i-didnt-get-an-rce-in-a-200-billion-company-bug-bounty-377afb2fb4ec

いったいなんだろうと思って読んだら、既存の脆弱性を使ってバグハントをしていて引っ掛かったと思ったらハニポだったよというもの。

記事の中に書かれているように、バグバウンティ対象の範囲の中にハニポってあるものなんだ。

【GENTOS公式ストア】個人情報漏えいに関するお詫びとお知らせ

気付いたの2022/8/12で、発表2022/11/28かー

この例だけじゃないけど、ニュースで「ペイメントアプリケーションの改ざんが行われたため」ってよく見る気がする。

Visual Studio Code: リモート コード実行

https://github.com/google/security-research/security/advisories/GHSA-pw56-c55x-cm9m

googleのリポジトリにこういうアドバイザリがあるんだっていうのと、エディタのバグハントの観点として役立った。

こういう、コマンド実行できるようなリンクが生成できるんだね。

Stack overflow in ping(8)

https://www.freebsd.org/security/advisories/FreeBSD-SA-22:15.ping.asc

pingなんて息を吸うように使っているものにもレガシーな脆弱性あるんだなぁ