Sassyブログ

埼玉県在住のシステムエンジニアです。多ジャンルなブログですが、基本的にはIT関連の内容を中心に他のちょいちょい他ジャンルの記事も発信していきます。

Web Security情報PickUp!(20210320 - 20210326)

f:id:y_saiki:20210315230255j:plain

20210320 ~ 20210326の間で海外サイトで取り上げられたWebに関連しそうなセキュリティ記事をPickUpして共有していこうと思います。

掲載された記事は以下です。

1. Zoom Screen-Sharing Glitch ‘Briefly’ Leaks Sensitive Data(ズーム画面-グリッチを共有すると、ユーザーの機密データが簡単に漏洩する)

Zoomの画面共有機能の不具合で、画面共有している人のバックグラウンド(共有していない画面)での操作が参加者から閲覧可能となってしまうみたいです。

threatpost.com

2. Popular travel apps are exposing sensitive data of millions of users, report(人気の旅行アプリが数百万人のユーザーの機密データを公開していると報告)

この記事を読んでて気になったのが以下の1文ですね。

.gitなどの機密データを含むファイルを公開せず、本番サーバーに保存しないようにします。

結構やっている人多いのではないかなと思ってます。。。

privacysavvy.com

3. Google Releases PoC Utilizing Spectre Flaw(グーグルはスペクターの欠陥を利用してPoCをリリース)

GoogleがSpectreサイドチャネルの脆弱性を利用する概念実証(POC)をリリースしたそうです。
またGoogleセキュリティチームが、Spectroscope (公式のGoogle製品ではない)と呼ばれるツールを開発したそうです。
このツールは、Web開発者やエンジニアがSpectreなどの脅威からWebサイトを保護するのに役立つそうです。

cyware.com

4. DDoS booters now abuse DTLS servers to amplify attacks(DDoSブーターは、攻撃を増幅するためにDTLSサーバーを悪用するようになりました)

古いDTLSサーバーを悪用してDDos攻撃を増加させているようです.

www.bleepingcomputer.com

5. Mozilla Firefox adopts new privacy-enhancing Referrer Policy(Mozilla Firefoxは、プライバシーを強化する新しいリファラーポリシーを採用しています)

機密性の高いユーザーデータを保護する機能がFireFox87で導入されたようです。
パスやクエリ文字列情報などに含まれる可能性のある機密情報を自動でトリミングしてくれるそうです。

www.bleepingcomputer.com

6. Tackling cross-site request forgery (CSRF) on company websites(会社のWebサイトでのクロスサイトリクエストフォージェリCSRF)への取り組み)

CSRFがどういうものかを説明していると共にCSRFから守るための方法が述べられています。

www.helpnetsecurity.com

7. Hobby Lobby Exposes Customer Data in Cloud Misconfiguration(ホビーロビーがクラウドの設定ミスで顧客データを公開)

クラウドの構成ミスにより顧客データを間違って公開されてしまう事例が発生しています。
AWSでもよくS3のバケットポリシーとかでpublicに設定してしまうケースとかあると思います。クラウドをお使いの皆さん設定ミスには気を付けましょう!

threatpost.com

8. Google removes privacy-focused ClearURLs Chrome extension(Googleはプライバシーに焦点を当てたClearURLsChrome拡張機能を削除します)

ブラウザ拡張機能ClearURLsがChromeウェブストアから削除されたようです。
その理由がClearURLsの機能がGoogleのビジネスに損害を与えているからという。。。

www.bleepingcomputer.com

9. Google Chrome will use HTTPS as default navigation protocol(GoogleChromeはデフォルトのナビゲーションプロトコルとしてHTTPSを使用します)

Chrome90(4/13リリース予定)からURLのデフォルトプロトコルHTTPSに切り替わります。
この切り替わりでHTTPSエンドポイントに直接接続するため、HTTPSサイトの初期読み込み速度が向上 し ます。

www.bleepingcomputer.com

10. OpenSSL fixes severe DoS, certificate validation vulnerabilities(OpenSSLは、深刻なDoS、証明書検証の脆弱性を修正します)

OpenSSL1.1.1から1.1.1jに潜んでいる脆弱性が報告されたました。
それらの脆弱性の修正が1.1.1kで入っているため、アップグレードをお勧めします。

www.bleepingcomputer.com