Sassyブログ

埼玉県在住のシステムエンジニアです。基本的にはIT技術関連の内容を中心に発信していきます。たまにゲーム関連ネタも載せます

Web Security情報PickUp!(20210410 - 20210416)

f:id:y_saiki:20210315230255j:plain

20210410 ~ 20210416の間で海外サイトで取り上げられたWebに関連しそうなセキュリティ記事をPickUpして共有していこうと思います。

掲載された記事は以下です。

1. Facebook ads dropped malware posing as Clubhouse app for PC(Facebook広告は、PC用のClubhouseアプリを装ったマルウェアをドロップしました)

偽のClubhouseアプリの広告がFacebookで出回っていたようですね。
4/5~4/8あたりまで出回っていたらしく今はFacebook側で削除されているようです。

www.hackread.com

2. Mozilla flooded with requests after Apple privacy changes hit Facebook(Appleのプライバシーの変更がFacebookを襲った後、Mozillaはリクエストで溢れかえった)

最近AppleのApp Tracking Transparencyで導入されたプライバシー機能によりオンライン広告は打撃を受けたそうです。
オンライン広告をユーザーに表示するのに必要な分析データを取得するのにユーザーから許可を求めなくてはいけなくなったからだそうです。

www.bleepingcomputer.com

3. Library Dependencies and the Open Source Supply Chain Nightmare(ライブラリの依存関係とオープンソースのサプライチェーンの悪夢)

サードパーティーライブラリを使って作られた商用アプリに含まれるオープンソースの脆弱性を管理する簡単な方法がないことを述べています。
また、これらの複雑性に加えて別の複雑性である「コピーレフト」ライブラリの存在についても述べています。

www.securityweek.com

4. Criminals spread malware using website contact forms with Google URLs(犯罪者は、GoogleのURLを含むWebサイトの連絡フォームを使用してマルウェアを拡散します)

企業のお問い合わせフォームを悪用して、IcedIDというトロイの木馬を従業員に送り込むようです。
Security Primer – IcedID

具体的な手口は標的のWebサイトに著作権で保護された画像を使用しているという偽の問い合わせを送り込み、
お問い合わせ担当者がメールに貼られている著作権を侵害していると思われる画像を表示する予定のsites.google.comページへのリンクをクリックしてgoogleアカウントで認証を行うとJavaScriptファイルを含むZIPファイルを自動的にダウンロードし、
そのJavaScriptファイルはIcedIDマルウェアを.DATファイルとしてダウンロードさせるようです。

www.zdnet.com

5. RCE Exploit Released for Unpatched Chrome, Opera, and Brave Browsers(パッチが適用されていないChrome、Opera、およびBraveブラウザ向けにリリースされたRCEエクスプロイト)

Chromeや、Edge、Opera、Braveなどの他のChromiumベースのブラウザに影響を与える新たに発見された脆弱性の概念実証コードを公開したそうです。

thehackernews.com

6. Brave browser disables Google's FLoC tracking system(ブレイブブラウザはGoogleのFLoC追跡システムを無効にします)

ChromiumベースのブラウザであるBraveがFLocを削除したことと、FLocを批判していることについて述べられています。

FLocを知らない人は以下を参照してください。

Cookieの代わりとなるFLoCとは?わかりやすく解説! - 秘密計算の国内最大ブログ | Acompany Co., Ltd.

www.zdnet.com

7. Google Chrome, Microsoft Edge zero-day vulnerability shared on Twitter (Google Chrome、Twitterで共有されているMicrosoftEdgeのゼロデイ脆弱性)

GoogleChromeとMicrosoftEdgeで機能するゼロデイリモートコード実行の脆弱性をTwitterで報告したそうです。

www.bleepingcomputer.com

8. RIP: Microsoft Edge Legacy nuked by April Windows Updates(RIP:4月のWindowsUpdateによって削除されたMicrosoftEdge Legacy)

4/13のEdgeのリリースでChromiumベースのEdgeに置き換わったそうです!
これによりすべてのユーザーのEdgeがMicrosoft Edge LegacyからChromium Microsoft Edgeに置きかわります。

www.bleepingcomputer.com

9. New JavaScript Exploit Can Now Carry Out DDR4 Rowhammer Attacks(新しいJavaScriptエクスプロイトがDDR4ロウハンマー攻撃を実行できるようになりました)

DRAMのリフレッシュコマンドと同期させることでブラウザを完全に侵害できるJavaScriptエクスプロイトを開発できてしまい、
ユーザーがその攻撃のリスクにさらされ続けていることを証明したそうです。

ロウハンマーとは何でしょうか?

Row hammer - Wikipedia

メモリの副作用を悪用した攻撃?ですかね。

thehackernews.com

10. Security Bug Allows Attackers to Brick Kubernetes Clusters(セキュリティバグにより、攻撃者はKubernetesクラスターをブリックできます)

Kubernetesが使っているGoライブラリに脆弱性があるようです。

threatpost.com