[CyRC解析レポート] CVE-2020-7958 Android端末の生体認証データ抽出の脆弱性
この記事ではtrustletの内部を掘り下げ、TEE(Trusted Execution Environment)の実装において、異なるコンポーネントがお互いにどのように協働するのか、そして、どうのように攻撃することができるかについて解説します。
カテゴリ: アプリケーション・セキュリティ, おすすめ, ソフトウェア・セキュリティ・リサーチ
医療機器のUL(およびFDA)規格への適合を支援する方法
FDAが医療機器の市販前申請で参照可能な「Recognized Consensus Standards」としてUL 2900-2-1を採用したことは、世界がより良い方向に変わろうとしていることを意味しています。
カテゴリ: アプリケーション・セキュリティ, 医療業界のセキュリティ, 脆弱性対策
Ghostcat脆弱性(CVE-2020-1938)とは何か
Ghostcatは、Apache Tomcatバージョン6.x、7.x、8.x、および9.xで見つかり、状況によって遠隔コード実行を招く脆弱性です。Apache Tomcatには、デフォルトで有効にされ、ポート8009のすべてのアドレスをリッスンするAJPコネクタが含まれています。この接続は、HTTPといった接続よりも高い信頼性で処理されます。攻撃者がこれを悪用して、意図しないアクションを、信頼されていないユーザーに対して実行します。
カテゴリ: アプリケーション・セキュリティ, オープンソースのセキュリティ
在宅勤務で平常心を失ったり、セキュリティを損なったりしないためのヒント
シノプシスで長期のリモート勤務している従業員から、在宅勤務での平常心と会社資産のセキュリティを保つためのヒントを、予想外にストレスの多い時期を過ごす皆さんにご紹介します。
カテゴリ: アプリケーション・セキュリティ, 開発者支援
レガシー脆弱性への対処法
「壊れていないものを直すな」というアメリカの古いことわざにも知恵が隠されています。だからこそ、格言にもなったのです。
そして、このことわざは使い古しの芝刈り機に当てはまるのかもしれません。しかし、デジタル世界となると、これは時代遅れの「知恵」であり危険です。見かけは何の問題もなく機能しているような多くのシステムやアプリケーションも、数年前に発見された危険な脆弱性をはらんでいるかもしれないからです。多くの組織はこのようなレガシー脆弱性に気付いていません。忘れてしまったか、単に無視している場合もあるでしょう。しかし、攻撃者は忘れていません。
カテゴリ: アプリケーション・セキュリティ, オープンソースのセキュリティ