Web Security情報PickUp!（20210410 - 20210416）

f:id:y_saiki:20210315230255j:plain

20210410 ～ 20210416の間で海外サイトで取り上げられたWebに関連しそうなセキュリティ記事をPickUpして共有していこうと思います。

掲載された記事は以下です。

1. Facebook ads dropped malware posing as Clubhouse app for PC(Facebook広告は、PC用のClubhouseアプリを装ったマルウェアをドロップしました)

偽のClubhouseアプリの広告がFacebookで出回っていたようですね。
4/5~4/8あたりまで出回っていたらしく今はFacebook側で削除されているようです。

www.hackread.com

2. Mozilla flooded with requests after Apple privacy changes hit Facebook(Appleのプライバシーの変更がFacebookを襲った後、Mozillaはリクエストで溢れかえった)

最近AppleのApp Tracking Transparencyで導入されたプライバシー機能によりオンライン広告は打撃を受けたそうです。
オンライン広告をユーザーに表示するのに必要な分析データを取得するのにユーザーから許可を求めなくてはいけなくなったからだそうです。

www.bleepingcomputer.com

3. Library Dependencies and the Open Source Supply Chain Nightmare(ライブラリの依存関係とオープンソースのサプライチェーンの悪夢)

サードパーティーライブラリを使って作られた商用アプリに含まれるオープンソースの脆弱性を管理する簡単な方法がないことを述べています。
また、これらの複雑性に加えて別の複雑性である「コピーレフト」ライブラリの存在についても述べています。

www.securityweek.com

4. Criminals spread malware using website contact forms with Google URLs(犯罪者は、GoogleのURLを含むWebサイトの連絡フォームを使用してマルウェアを拡散します)

企業のお問い合わせフォームを悪用して、IcedIDというトロイの木馬を従業員に送り込むようです。
Security Primer – IcedID

具体的な手口は標的のWebサイトに著作権で保護された画像を使用しているという偽の問い合わせを送り込み、
お問い合わせ担当者がメールに貼られている著作権を侵害していると思われる画像を表示する予定のsites.google.comページへのリンクをクリックしてgoogleアカウントで認証を行うとJavaScriptファイルを含むZIPファイルを自動的にダウンロードし、
そのJavaScriptファイルはIcedIDマルウェアを.DATファイルとしてダウンロードさせるようです。

www.zdnet.com

5. RCE Exploit Released for Unpatched Chrome, Opera, and Brave Browsers(パッチが適用されていないChrome、Opera、およびBraveブラウザ向けにリリースされたRCEエクスプロイト)

Chromeや、Edge、Opera、Braveなどの他のChromiumベースのブラウザに影響を与える新たに発見された脆弱性の概念実証コードを公開したそうです。

thehackernews.com

6. Brave browser disables Google's FLoC tracking system(ブレイブブラウザはGoogleのFLoC追跡システムを無効にします)

ChromiumベースのブラウザであるBraveがFLocを削除したことと、FLocを批判していることについて述べられています。

FLocを知らない人は以下を参照してください。

Cookieの代わりとなるFLoCとは？わかりやすく解説！ - 秘密計算の国内最大ブログ | Acompany Co., Ltd.

www.zdnet.com

7. Google Chrome, Microsoft Edge zero-day vulnerability shared on Twitter (Google Chrome、Twitterで共有されているMicrosoftEdgeのゼロデイ脆弱性)

GoogleChromeとMicrosoftEdgeで機能するゼロデイリモートコード実行の脆弱性をTwitterで報告したそうです。

www.bleepingcomputer.com

8. RIP: Microsoft Edge Legacy nuked by April Windows Updates(RIP：4月のWindowsUpdateによって削除されたMicrosoftEdge Legacy)

4/13のEdgeのリリースでChromiumベースのEdgeに置き換わったそうです！
これによりすべてのユーザーのEdgeがMicrosoft Edge LegacyからChromium Microsoft Edgeに置きかわります。

www.bleepingcomputer.com

9. New JavaScript Exploit Can Now Carry Out DDR4 Rowhammer Attacks(新しいJavaScriptエクスプロイトがDDR4ロウハンマー攻撃を実行できるようになりました)

DRAMのリフレッシュコマンドと同期させることでブラウザを完全に侵害できるJavaScriptエクスプロイトを開発できてしまい、
ユーザーがその攻撃のリスクにさらされ続けていることを証明したそうです。

ロウハンマーとは何でしょうか？

Row hammer - Wikipedia

メモリの副作用を悪用した攻撃?ですかね。

thehackernews.com

10. Security Bug Allows Attackers to Brick Kubernetes Clusters(セキュリティバグにより、攻撃者はKubernetesクラスターをブリックできます)

Kubernetesが使っているGoライブラリに脆弱性があるようです。

threatpost.com

当ブログに掲載されている広告について

当サイトでは、Google のアクセス解析サービス（Google アナリティクス）と Google の広告配信サービス、Amazonアソシエイト（第三者配信の広告サービス）を使用しています。

これらのサービスは Cookie を使用しておりますが、収集される情報は匿名化されており、当サイトの管理者が個人を特定することはできません。

詳細につきましては、下記をご覧ください。

当サイトは、Amazonアソシエイト（第三者配信の広告サービス）を使用しています。

このような広告配信事業者は、ユーザーの興味に応じた商品やサービスの広告を表示するため、当サイトや他サイトへのアクセスに関する情報『Cookie』(氏名、住所、メールアドレス、電話番号は含まれません) を使用することがあります。

当サイトは、利用ユーザー数やアクセス回数等の統計データを収集することを目的として Google アナリティクスを使用しています。

Google アナリティクスは Cookie を使用しています。

Google アナリティクスの広告向けの機能によって、Google 広告 Cookie と匿名 ID を使ったトラフィックデータが収集されます。

統計データの収集を望まれない場合には Google アナリティクスオプトアウトアドオンを使用することで、Google アナリティクス JavaScript（ga.js、analytics.js、dc.js）によるデータの使用を無効にすることができます。

当サイトは、Google の広告配信サービス（Google のパートナーの第三者配信事業者による広告配信を含みます。）を使用しています。

それにより、Google 及び第三者配信事業者や広告ネットワークの配信する広告が当サイトに掲載されます。

Google を含む第三者配信事業者は Cookie を使用して、当ウェブサイトへの過去のアクセス情報に基づいて広告を配信します。

DoubleClick Cookie を使用することにより、Google や Google のパートナーは当サイトや他のサイトへのアクセス情報に基づいて、適切な広告をユーザーに表示できます。

ユーザーは広告設定で、インタレストベースでの広告掲載に使用される DoubleClick Cookie を無効にできます

その他、Googleの広告におけるCookieの取り扱い詳細については、Googleのポリシーと規約ページをご覧ください。

当ブログへのコメントについて

メールアドレスとURLの入力に関しては、任意となっております。

全てのコメントは管理人であるy_saikiが事前にその内容を確認し、承認した上での掲載となりますことをあらかじめご了承下さい。

次の各号に掲げる内容を含むコメントは管理人の裁量によって承認せず、削除する事があります。

特定の自然人または法人を誹謗し、中傷するもの。
極度にわいせつな内容を含むもの。
禁制品の取引に関するものや、他者を害する行為の依頼など、法律によって禁止されている物品、行為の依頼や斡旋などに関するもの。
その他、公序良俗に反し、または管理人によって承認すべきでないと認められるもの。

初出掲載：2017年4月28日

更新日　：2017年9月14日

Sassyブログ

埼玉県在住のシステムエンジニアです。基本的にはIT技術関連の内容を中心に発信していきます。たまにゲーム関連ネタも載せます

Web Security情報PickUp!（20210410 - 20210416）

1. Facebook ads dropped malware posing as Clubhouse app for PC(Facebook広告は、PC用のClubhouseアプリを装ったマルウェアをドロップしました)

2. Mozilla flooded with requests after Apple privacy changes hit Facebook(Appleのプライバシーの変更がFacebookを襲った後、Mozillaはリクエストで溢れかえった)

3. Library Dependencies and the Open Source Supply Chain Nightmare(ライブラリの依存関係とオープンソースのサプライチェーンの悪夢)

4. Criminals spread malware using website contact forms with Google URLs(犯罪者は、GoogleのURLを含むWebサイトの連絡フォームを使用してマルウェアを拡散します)

5. RCE Exploit Released for Unpatched Chrome, Opera, and Brave Browsers(パッチが適用されていないChrome、Opera、およびBraveブラウザ向けにリリースされたRCEエクスプロイト)

6. Brave browser disables Google's FLoC tracking system(ブレイブブラウザはGoogleのFLoC追跡システムを無効にします)

7. Google Chrome, Microsoft Edge zero-day vulnerability shared on Twitter (Google Chrome、Twitterで共有されているMicrosoftEdgeのゼロデイ脆弱性)

8. RIP: Microsoft Edge Legacy nuked by April Windows Updates(RIP：4月のWindowsUpdateによって削除されたMicrosoftEdge Legacy)

9. New JavaScript Exploit Can Now Carry Out DDR4 Rowhammer Attacks(新しいJavaScriptエクスプロイトがDDR4ロウハンマー攻撃を実行できるようになりました)

10. Security Bug Allows Attackers to Brick Kubernetes Clusters(セキュリティバグにより、攻撃者はKubernetesクラスターをブリックできます)