簡単に言うと、 Appleは月曜日にmacOS、iOS、iPadOS、watchOS、Safariのセキュリティパッチをリリースし、悪意のあるWebページが悪用して被害者のコンピュータやガジェットでマルウェアを実行する可能性のある脆弱性を修正した。
つまり、怪しいページを閲覧するだけで、iThingやMacのコントロールを悪意のある人物に渡す可能性があります。Appleは、Cupertinoのコードの一部で使用されているブラウザエンジンであるWebKitに存在する、任意コード実行のセキュリティ脆弱性(CVE-2021-1844)を報告してくれたGoogleの脅威分析グループのClément Lecigne氏とMicrosoft Browser Vulnerability ResearchのAlison Huffman氏に感謝します。
そのため、ユーザーは必要に応じて Safari 14.0.3、macOS Big Sur 11.2.3、watchOS 7.3.2、iOS 14.4.1、iPadOS 14.4.1 にアップグレードする必要があります。
以下は、今日のその他の情報セキュリティニュースの要約です。
Chromeの脆弱性攻撃: Googleは先週、Chromiumブラウザエンジンの音声処理部分に存在する、実環境で悪用されたとされる謎のセキュリティ脆弱性(CVE-2021-21166)を修正しました。このバグは、再びMicrosoft Browser Vulnerability ResearchのAlison Huffman氏によって発見されました。
Google Chrome 89.0.4389.72には、オーディオに関する脆弱性の修正に加え、その他46件のセキュリティパッチが含まれています。Googleのブラウザエンジンを使用しているMicrosoft Edgeもアップデートされています。
SolarWinds: SecureWorksは月曜日、中国を拠点とすると思われるチームが、インターネットに接続されたSolarWindsのサーバー1台以上を悪用し、システムを遠隔操作するためのウェブシェルをインストールしたと発表した。これは、ロシアのサイバースパイとみられる人物が、特定の標的への侵入を目的としてSolarWindsのネットワーク監視ソフトウェアOrionに仕掛けた隠しバックドアとは別のものだとされている。
Microsoft Exchangeの拷問の庭:彼らがEOLできないものを受け入れる平静さを与えてください
続きを読む
Microsoft Exchange:インターネットに接続されたMicrosoft Exchangeサーバーソフトウェアの重大なセキュリティホールを悪用された攻撃者によって、中小企業から政府機関まで3万もの組織が侵害を受けたと推定されています。レドモンドは今月初めにこれらのホールを修正しました。アップデートを適用し、侵害の兆候がないか確認してください。
一方、マルウェアバイツは、悪意のある人物によってリモートコントロールパネルがインストールされた Exchange サーバー 1,000 台がパブリックインターネット上で発見されたと発表した。
準同型暗号:インテルは、マイクロソフトおよび米国政府の科学研究機関である国防高等研究計画局(DARPA)と共同で、準同型暗号を高速化するチップを設計することを約束しました。このチップは商用化され、マイクロソフトのAzureクラウドに搭載される予定です。
この開発は、DARPAの残念ながらDPRIVEプロジェクト(仮想環境におけるデータ保護)の一部となります。準同型暗号は、暗号化されたデータを平文に復号して操作し、出力を暗号化することなく、操作を実行できます。Microsoftはこの技術の支持者です。®
