2023年1月21日
2022年12月3日~2022年12月9日 個人的に気になったセキュリティニュースまとめ
今週はコロナワクチン接種して副反応で大変だった・・・
目次
- 1 パスワード リセット コールは、組織に多額の費用がかかっています
- 2 OpenAI の新しい ChatGPT ボット: それを使ってできる最もクールな 10 のこと
- 3 Chrome ブラウザを今すぐ更新して、積極的に悪用されている新しいゼロデイ脆弱性にパッチを適用する
- 4 脆弱な MD5 アルゴリズムでユーザーのパスワードを保存したフランスの電力会社に罰金
- 5 cs.github.comでは正規表現が有効になる
- 6 GHSL-2022-068: Remote Code Execution (RCE) in PDFMake – CVE-2022-46161
- 7 GHSL-2022-069: Remote Code Execution (RCE) in CircuitVerse – CVE-2022-36038
- 8 20 分以内に CodeQL を使用して RCE を事前認証する
パスワード リセット コールは、組織に多額の費用がかかっています
https://www.bleepingcomputer.com/news/security/password-reset-calls-are-costing-your-org-big-money/
ヘルプデスクへの負荷が大きいよーという話。
機能的にすると脆弱性が出る可能性があるし、人為的にしたらコストがかかるという問題。
けっこう悩ましいなー
OpenAI の新しい ChatGPT ボット: それを使ってできる最もクールな 10 のこと
遊べるおもちゃかなーと思ったら、コードの脆弱性探してくれるのは強すぎる・・・!
とりあえず思い浮かんだ疑問を投げてみるのはよさそうだなー
意識高い系のやつでみた、「問題を解決するより、問題を作る能力が大事」な時代来ちゃうんか?
Chrome ブラウザを今すぐ更新して、積極的に悪用されている新しいゼロデイ脆弱性にパッチを適用する
https://thehackernews.com/2022/11/update-chrome-browser-now-to-patch-new.html
AndroidはRustを導入してメモリ系の脆弱性が減ったみないなのを見た気がするけど、Chromeは導入しないんかな?
脆弱な MD5 アルゴリズムでユーザーのパスワードを保存したフランスの電力会社に罰金
https://thehackernews.com/2022/11/french-electricity-provider-fined-for.html
すご!脆弱なハッシュ使ってパスワード保存しただけで罰金か。
まだまだ平文で保存しているところすらありそうだけどな。
cs.github.comでは正規表現が有効になる
これ出来るようになるだけで機密情報アップロードなどはだいぶ減るだろうな。
GHSL-2022-068: Remote Code Execution (RCE) in PDFMake – CVE-2022-46161
https://securitylab.github.com/advisories/GHSL-2022-068_pdfmake/
リクエストの内容が特に検証されずevalに至るという、シンプルなRCEだぁ・・・
GHSL-2022-069: Remote Code Execution (RCE) in CircuitVerse – CVE-2022-36038
https://securitylab.github.com/advisories/GHSL-2022-069_CircuitVerse/
codeqlで用意されているやつを回したら見つかったそう。
やはりOSSは探せば探すほど見つかるのかな。codeql忘れてたなー・・・
20 分以内に CodeQL を使用して RCE を事前認証する
https://frycos.github.io/vulns4free/2022/12/02/rce-in-20-minutes.html
やっぱcodeqlかぁと思っていたら、ご丁寧なブログが出てきた。
もはや単純に回すだけだ・・・。
検出結果を読んで、脆弱性があるかを判断して、pocを作る技術は要求されるけどそれほど難しいものではないだろう。
ブログ村
SNSでフォローする
