Sassyブログ

埼玉県在住のシステムエンジニアです。基本的にはIT技術関連の内容を中心に発信していきます。たまにゲーム関連ネタも載せます

Web Security情報PickUp!(20210522 - 20210528)

f:id:y_saiki:20210315230255j:plain

20210522 ~ 20210528の間で海外サイトで取り上げられたWebに関連しそうなセキュリティ記事をPickUpして共有していこうと思います。

掲載された記事は以下です。

1. PHP Abused for Web Skimming Attacks(Webスキミング攻撃でPHPが悪用される)

PHPはWebの世界では最も使用されているプログラミング言語ですが、もっともセキュリティリスクが存在する言語でもあります。

WordPressを始め多くのCMSPHPで実装されており、個人で簡単にECサイトなどを構築することができますがそれを管理する人がただ構築だけしてサイトを運用しているだけでは危険です。

PHPがバージョンアップされたらパッチを当ててあげる必要があり、定期的にシステムのメンテナンスしないとすぐにクラッカーの標的になってしまうからです。

なので企業で運用していたらあまりないかもしれないですが、個人などで運用する人はここら辺もしっかり考えておきたいところですね。

cyware.com

2. WP Statistics Bug Allows Attackers to Lift Data from WordPress Sites(WP統計バグにより、攻撃者はWordPressサイトからデータを持ち上げることができます)

WordPressWP Statisticsというプラグインを導入している方で13.0.8未満を使用している管理者はすぐにバージョン13.0.8のパッチを適用してください。

SQLインジェクション脆弱性が潜んでいます。

SQL injection in WP Statistics plugin for WordPress

threatpost.com

3. Wormable Windows HTTP vulnerability also affects WinRM servers(ワーム可能なWindowsHTTPの脆弱性は、WinRMサーバーにも影響を及ぼします)

私はWindows IISサーバーを使用しているプロダクトにかかわったことが無いですし、どれほどの利用されているのかさえ分かりませんが

Windows10 または Windows Serverのバージョンが2004または20H2を使用している場合に脆弱性が潜んでいるそうです。

WinRMを悪用するそうですが、これをできてしまうと誰でもリモートからアクセスできてしまうということでしょうか。

www.bleepingcomputer.com

4. Restaurant Reservation System Patches Easy-to-Exploit XSS Bug(レストラン予約システムが悪用しやすいXSSバグにパッチを当てる)

ReDiRestaurant ReservationというWordPressプラグインの予約フォームの「コメント」フィールドにXSS脆弱性があるようです。

これは 2021/03/07 以前のバージョンに影響しパッチが適用された v21.0426 へのアップデートが必要です。

threatpost.com

5. How data manipulation could be used to trick fraud detection algorithms on e-commerce sites(データ操作を使用して、eコマースサイトで不正検出アルゴリズムをだます方法)

デーバポイスニング攻撃というのをしかけて、サイトのAIシステムのトレーニングデータを改ざんして不正な取引を成立させるようなサイバー攻撃があるようです。

www.helpnetsecurity.com

6. Overlooked vulnerabilities in GraphQL open the door to cross-site request forgery attacks(GraphQLの見落とされた脆弱性は、クロスサイトリクエストフォージェリ攻撃への扉を開きます)

GraphQLを使用するエンドポイントは、クロスサイトリクエストフォージェリCSRF)攻撃を軽減できないため悪用される可能性があるようです。

portswigger.net

7. Google Patches 32 Vulnerabilities With Release of Chrome 91(何千ものChrome拡張機能がセキュリティヘッダーの改ざんを発見)

Google Chrome 91 にて32もの脆弱性に対するパッチが適用されるようです。

特に重要なのは、ヒープバッファオーバーフロー脆弱性「CVE-2021-30521」です。

www.securityweek.com

 その他Chrome91で追加された機能等はこちらをご覧ください。

youtu.be

8. How to password-protect your Google activity historyGoogleのアクティビティ履歴をパスワードで保護する方法)

アクティビティは、特定の興味に合わせてサービスや広告を調整したり、製品を改善したりするために使用されます。

このアクティビティにパスワードをかける機能が追加されたそうです。

www.bleepingcomputer.com