今週はコロナワクチン接種して副反応で大変だった・・・
- パスワード リセット コールは、組織に多額の費用がかかっています
- OpenAI の新しい ChatGPT ボット: それを使ってできる最もクールな 10 のこと
- Chrome ブラウザを今すぐ更新して、積極的に悪用されている新しいゼロデイ脆弱性にパッチを適用する
- 脆弱な MD5 アルゴリズムでユーザーのパスワードを保存したフランスの電力会社に罰金
- cs.github.comでは正規表現が有効になる
- GHSL-2022-068: Remote Code Execution (RCE) in PDFMake – CVE-2022-46161
- GHSL-2022-069: Remote Code Execution (RCE) in CircuitVerse – CVE-2022-36038
- 20 分以内に CodeQL を使用して RCE を事前認証する
パスワード リセット コールは、組織に多額の費用がかかっています
Password Reset Calls Are Costing Your Org Big Money
Research states that the average help desk labor cost for a single password reset is about . With this cost, what can an organization do to lessen the impact...
www.bleepingcomputer.com
ヘルプデスクへの負荷が大きいよーという話。
機能的にすると脆弱性が出る可能性があるし、人為的にしたらコストがかかるという問題。
けっこう悩ましいなー
OpenAI の新しい ChatGPT ボット: それを使ってできる最もクールな 10 のこと
OpenAI's new ChatGPT bot: 10 coolest things you can do with it
From precisely spotting security vulnerabilities in your code, to writing an entire block of functional code on a whim, to opening portals to another dimension,...
www.bleepingcomputer.com
遊べるおもちゃかなーと思ったら、コードの脆弱性探してくれるのは強すぎる・・・!
とりあえず思い浮かんだ疑問を投げてみるのはよさそうだなー
意識高い系のやつでみた、「問題を解決するより、問題を作る能力が大事」な時代来ちゃうんか?
Chrome ブラウザを今すぐ更新して、積極的に悪用されている新しいゼロデイ脆弱性にパッチを適用する
Update Chrome Browser Now to Patch New Actively Exploited Zero-Day Flaw
Google has released an update for the Chrome browser to patch a new, actively exploited zero-day vulnerability (CVE-2022-4135) that resides in the GPU
thehackernews.com
AndroidはRustを導入してメモリ系の脆弱性が減ったみないなのを見た気がするけど、Chromeは導入しないんかな?
脆弱な MD5 アルゴリズムでユーザーのパスワードを保存したフランスの電力会社に罰金
French Electricity Provider Fined for Storing Users’ Passwords with Weak MD5 Algorithm
French data protection watchdog has fined the country's largest electricity provider Electricité de France (EDF) €600,000 for using insecure MD5 hash
thehackernews.com
すご!脆弱なハッシュ使ってパスワード保存しただけで罰金か。
まだまだ平文で保存しているところすらありそうだけどな。
cs.github.comでは正規表現が有効になる
これ出来るようになるだけで機密情報アップロードなどはだいぶ減るだろうな。
GHSL-2022-068: Remote Code Execution (RCE) in PDFMake – CVE-2022-46161
GHSL-2022-068: Remote Code Execution (RCE) in PDFMake - CVE-2022-46161
The dev-playground of pdfmake lacks sandboxing/sanitization of the data sent to the server, which flows to eval().
securitylab.github.com
リクエストの内容が特に検証されずevalに至るという、シンプルなRCEだぁ・・・
GHSL-2022-069: Remote Code Execution (RCE) in CircuitVerse – CVE-2022-36038
GHSL-2022-069: Remote Code Execution (RCE) in CircuitVerse - CVE-2022-36038
A remote code execution (RCE) vulnerability in CircuitVerse allowed authenticated attackers to execute arbitrary code via specially crafted JSON payloads.
securitylab.github.com
codeqlで用意されているやつを回したら見つかったそう。
やはりOSSは探せば探すほど見つかるのかな。codeql忘れてたなー・・・
20 分以内に CodeQL を使用して RCE を事前認証する
Pre-Auth RCE with CodeQL in Under 20 Minutes
This write-up won’t be an intense discussion on security code review techniques this time. We’ll simply let do all the hard work by a third party: CodeQL.
やっぱcodeqlかぁと思っていたら、ご丁寧なブログが出てきた。
もはや単純に回すだけだ・・・。
検出結果を読んで、脆弱性があるかを判断して、pocを作る技術は要求されるけどそれほど難しいものではないだろう。
コメント