タグ: 脆弱性開示

gbhackers.com

AnyDeskのゼロデイ脆弱性、ローカル攻撃者によるシステム全体のサービス拒否を誘発

新たに公表されたAnyDeskのゼロデイ脆弱性が、リモートアクセスソフトウェアの「Send Support Information(サポート情報の送信)」機能を悪用することで、ローカル攻撃者にサービス拒否状態を引き起こさせる恐れがあることが分かりました。Penetrationtesting services この勧告

techradar.com

Microsoftのお騒がせ者、新たなゼロデイPoCで再登場——「LegacyHive」は本当に危険なのか

研究者「Chaotic Eclipse」が、ユーザーレジストリハイブを狙うローカル権限昇格バグ、新たなWindows 11ゼロデイ「LegacyHive」を公開この不具合を悪用すれば攻撃者は低権限アカウントを昇格させられる可能性があるものの、事前にデバイスへのアクセスが必要。CVEも完全なPoCも公開されていない専

helpnetsecurity.com

CISAが自ら得た教訓を、協調的な脆弱性開示ガイダンスに反映

7月9日の水曜日、米サイバーセキュリティ・インフラセキュリティ庁(CISA)と同盟関係にある4つのサイバー当局は、ソフトウェアベンダー向けに協調的な脆弱性開示(CVD)プログラムの構築方法を示すガイドを公開しました。 その6日前、CISAはブログ記事を公開し、あるセキュリティ研究者がCISA自身に対し

cyberpress.org

Claude Coworkの欠陥、攻撃者によるBubblewrapサンドボックス脱出とroot権限奪取を許す

AnthropicのWindows向けClaude Coworkに新たに開示されたサンドボックス脱出チェーンにより、ローカルでコード実行権限を持つ攻撃者が、この製品の隔離されたUbuntu VM内でroot権限を取得し、ネットワーク送信制限を完全に回避できることが判明しました。 Claude CoworkはWindo

infosecurity-magazine.com

「Exploitarium」の投稿者、未開示ゼロデイエクスプロイト公開の理由を語る

匿名のセキュリティ研究者が、オープンソースプロジェクトに存在するゼロデイ脆弱性の概念実証(PoC)エクスプロイトを30件以上、開発元に事前通知することなく公開しました。 この一連の公開情報は「Exploitarium」と名付けられ、Discord上で「bikini」「ashdfrkl」と名乗る人物によってGitHub上