Sassyブログ

埼玉県在住のシステムエンジニアです。基本的にはIT技術関連の内容を中心に発信していきます。たまにゲーム関連ネタも載せます

Web Security情報PickUp!(20210424 - 20210430)

f:id:y_saiki:20210315230255j:plain

20210424 ~ 20210430の間で海外サイトで取り上げられたWebに関連しそうなセキュリティ記事をPickUpして共有していこうと思います。

今週は掲載されていたWeb関連の記事が少なかったので4つとなります。

掲載された記事は以下です。

1. Google Patches Yet Another Serious V8 Vulnerability in Chrome(GoogleがChromeのさらに別の深刻なV8の脆弱性にパッチを当てる)

Chrome 90.0.4430.93 のアップデートがあり、9つのセキュリティバグが修正されました。

アップデート詳細はこちらから確認できます。

Chrome Releases: Stable Channel Update for Desktop

www.securityweek.com

2. Microsoft Edge to add automatic HTTPS option for all domains(すべてのドメインに自動HTTPSオプションを追加するMicrosoftEdge)

Microsoft Edgeが7月下旬に予定しているバージョン92以降からHTTPサイトへアクセスすると自動でHTTPSへリダイレクトされるようになります。

HTTPでサイト運営している方は要注意です。

他のブラウザでもすでに対応が入っていたりするので大丈夫かと思いますが。

www.bleepingcomputer.com

3. GitHub disables Google FloC user tracking on its website(GitHubは、そのWebサイトでのGoogleFloCユーザー追跡を無効にします)

GithubもFLoCをブロックするようですね。

Permissions-Policy: interest-cohort=() をヘッダーにつけて返すことによりFLoCをオプトアウトしているようです。

www.bleepingcomputer.com

4. Command injection flaw in PHP Composer allowed supply-chain attacks(PHP Composerのコマンドインジェクションの欠陥により、サプライチェーン攻撃が可能になりました)

ComposerはPHPのパッケージ管理マネージャーです。
このComposerの脆弱性として追跡されていた NVD - CVE-2021-29472 に対して対処されたようです。

すぐに以下のコマンドを実行してソフトウェアのバージョンを 2.0.13 または 1.10.22 更新してくださいとのこと。

composer.phar self-update

どのような影響があるかはGithubのセキュリティにて記載されています。

Missing argument delimiter can lead to command execution via VCS repository URLs or source download URLs on systems with Mercurial · Advisory · composer/composer · GitHub

securityaffairs.co