2022年12月3日~2022年12月9日 個人的に気になったセキュリティニュースまとめ

今週はコロナワクチン接種して副反応で大変だった・・・

パスワード リセット コールは、組織に多額の費用がかかっています

https://www.bleepingcomputer.com/news/security/password-reset-calls-are-costing-your-org-big-money/

ヘルプデスクへの負荷が大きいよーという話。

機能的にすると脆弱性が出る可能性があるし、人為的にしたらコストがかかるという問題。

けっこう悩ましいなー

OpenAI の新しい ChatGPT ボット: それを使ってできる最もクールな 10 のこと

https://www.bleepingcomputer.com/news/technology/openais-new-chatgpt-bot-10-coolest-things-you-can-do-with-it/

遊べるおもちゃかなーと思ったら、コードの脆弱性探してくれるのは強すぎる・・・!

とりあえず思い浮かんだ疑問を投げてみるのはよさそうだなー

意識高い系のやつでみた、「問題を解決するより、問題を作る能力が大事」な時代来ちゃうんか?

Chrome ブラウザを今すぐ更新して、積極的に悪用されている新しいゼロデイ脆弱性にパッチを適用する

https://thehackernews.com/2022/11/update-chrome-browser-now-to-patch-new.html

AndroidはRustを導入してメモリ系の脆弱性が減ったみないなのを見た気がするけど、Chromeは導入しないんかな?

脆弱な MD5 アルゴリズムでユーザーのパスワードを保存したフランスの電力会社に罰金

https://thehackernews.com/2022/11/french-electricity-provider-fined-for.html

すご!脆弱なハッシュ使ってパスワード保存しただけで罰金か。

まだまだ平文で保存しているところすらありそうだけどな。

cs.github.comでは正規表現が有効になる

これ出来るようになるだけで機密情報アップロードなどはだいぶ減るだろうな。

GHSL-2022-068: Remote Code Execution (RCE) in PDFMake – CVE-2022-46161

https://securitylab.github.com/advisories/GHSL-2022-068_pdfmake/

リクエストの内容が特に検証されずevalに至るという、シンプルなRCEだぁ・・・

GHSL-2022-069: Remote Code Execution (RCE) in CircuitVerse – CVE-2022-36038

https://securitylab.github.com/advisories/GHSL-2022-069_CircuitVerse/

codeqlで用意されているやつを回したら見つかったそう。

やはりOSSは探せば探すほど見つかるのかな。codeql忘れてたなー・・・

20 分以内に CodeQL を使用して RCE を事前認証する

https://frycos.github.io/vulns4free/2022/12/02/rce-in-20-minutes.html

やっぱcodeqlかぁと思っていたら、ご丁寧なブログが出てきた。

もはや単純に回すだけだ・・・。

検出結果を読んで、脆弱性があるかを判断して、pocを作る技術は要求されるけどそれほど難しいものではないだろう。

スポンサーリンク
ブログ村
PVアクセスランキング にほんブログ村
SNSでフォローする

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です