検証って感じじゃないけどなんか知っておきたそうなニュースメモ
あとで読むというより、書いて定着用
Googleは、2022年に8番目のゼロデイを修正する緊急Chromeアップデートをプッシュします
Google pushes emergency Chrome update to fix 8th zero-day in 2022
Google has released an emergency security update for the desktop version of the Chrome web browser, addressing the eighth zero-day vulnerability exploited in at...
www.bleepingcomputer.com
chromeのメモリの脆弱性、無くならんなー。
リスク高い脆弱性を動かしてみたいんだけど、古いバージョンのchromeが手に入らんのよな。
古いバージョンのインストーラーは残しておいた方がいいかも。
現行バージョンでもどうせメモリの脆弱性でるだろうし、ファジングツールのテストがてらファジングしてみようか。
岡山県「きらめきプラザ」不正アクセス発覚
Yahoo!ニュース
Yahoo!ニュースは、新聞・通信社が配信するニュースのほか、映像、雑誌や個人の書き手が執筆する記事など多種多様なニュースを掲載しています。
news.yahoo.co.jp
NW機器単体の脆弱性?
ネットワーク内の端末とかデータに影響ないニュースは珍しい気がした。
サイバー人材、中堅・中小で共有
サイバー人材、中堅・中小で共有 - 日本経済新聞
サイバーセキュリティー人材を中堅・中小企業がシェアする動きが広がっている。サプライチェーン(供給網)を狙う攻撃が増える中、高額なセキュリティー予算を確保できない中堅・中小が協力して対応している。年収が数千万円に上ることもある高度人材の隙間時間をシェアすることでコストは10分の1程度にすることもできる。「経営陣のセキュリ...
www.nikkei.com
高度人材の隙間時間をシェアする
え!?隙間時間に働かされんの・・・!?
年収が数千万円に上ることもある高度人材をコスト10分の1になるくらいに働かされんの・・・?
需要があるのは助かるけど、強い人材になったら激務になるの嫌やなぁ。
2,000 億ドル規模の企業で RCE を取得できなかった方法 — Bug Bounty
How I DIDN’T get an RCE in a 0 Billion company — Bug Bounty
I was hunting for CVE-2021–36356 on my subdomain list of over 1,000,000+ subdomains, and finally got a hit…
medium.com
いったいなんだろうと思って読んだら、既存の脆弱性を使ってバグハントをしていて引っ掛かったと思ったらハニポだったよというもの。
記事の中に書かれているように、バグバウンティ対象の範囲の中にハニポってあるものなんだ。
【GENTOS公式ストア】個人情報漏えいに関するお詫びとお知らせ
気付いたの2022/8/12で、発表2022/11/28かー
この例だけじゃないけど、ニュースで「ペイメントアプリケーションの改ざんが行われたため」ってよく見る気がする。
Visual Studio Code: リモート コード実行
Visual Studio Code: Remote Code Execution
### Summary
An attacker could, through a link or website, take over the computer of a Visual Studio Code user and any computers they were connected to via the ...
github.com
googleのリポジトリにこういうアドバイザリがあるんだっていうのと、エディタのバグハントの観点として役立った。
こういう、コマンド実行できるようなリンクが生成できるんだね。
Stack overflow in ping(8)
https://www.freebsd.org/security/advisories/FreeBSD-SA-22:15.ping.asc
www.freebsd.org
pingなんて息を吸うように使っているものにもレガシーな脆弱性あるんだなぁ
コメント