検証って感じじゃないけどなんか知っておきたそうなニュースメモ
あとで読むというより、書いて定着用
目次
chromeのメモリの脆弱性、無くならんなー。
リスク高い脆弱性を動かしてみたいんだけど、古いバージョンのchromeが手に入らんのよな。
古いバージョンのインストーラーは残しておいた方がいいかも。
現行バージョンでもどうせメモリの脆弱性でるだろうし、ファジングツールのテストがてらファジングしてみようか。
https://news.yahoo.co.jp/articles/e9a44458de3ab599063479fe151fa5ecd73bec96
NW機器単体の脆弱性?
ネットワーク内の端末とかデータに影響ないニュースは珍しい気がした。
https://www.nikkei.com/article/DGKKZO66272390V21C22A1MM0000/
高度人材の隙間時間をシェアする
え!?隙間時間に働かされんの・・・!?
年収が数千万円に上ることもある高度人材をコスト10分の1になるくらいに働かされんの・・・?
需要があるのは助かるけど、強い人材になったら激務になるの嫌やなぁ。
https://medium.com/@nynan/how-i-didnt-get-an-rce-in-a-200-billion-company-bug-bounty-377afb2fb4ec
いったいなんだろうと思って読んだら、既存の脆弱性を使ってバグハントをしていて引っ掛かったと思ったらハニポだったよというもの。
記事の中に書かれているように、バグバウンティ対象の範囲の中にハニポってあるものなんだ。
気付いたの2022/8/12で、発表2022/11/28かー
この例だけじゃないけど、ニュースで「ペイメントアプリケーションの改ざんが行われたため」ってよく見る気がする。
https://github.com/google/security-research/security/advisories/GHSA-pw56-c55x-cm9m
googleのリポジトリにこういうアドバイザリがあるんだっていうのと、エディタのバグハントの観点として役立った。
こういう、コマンド実行できるようなリンクが生成できるんだね。
https://www.freebsd.org/security/advisories/FreeBSD-SA-22:15.ping.asc
pingなんて息を吸うように使っているものにもレガシーな脆弱性あるんだなぁ