タグ: 認証情報

cyberpress.org

Chromeの深刻な脆弱性、任意コード実行攻撃を可能に

Googleは、Chromeブラウザに対する緊急セキュリティアップデートをリリースしました。このアップデートでは33件の脆弱性が修正されており、そのうち7件は攻撃者が影響を受けるシステム上で任意のコードを実行できる可能性がある「Critical(緊急)」評価です。 Stableチャネルは、WindowsおよびMac向

therecord.media

GitHubがTeamPCPによるハッキング被害を確認、顧客データへの影響なし

GitHubは水曜日、ハッキンググループが有毒なソフトウェア拡張機能を通じて従業員のデバイスを侵害した後、数千の内部コードリポジトリへの不正アクセスを調査していると述べました。 これはTeamPCPによる最新の攻撃で、同グループは3月以来、ターゲットがTanStack、Trivy、LiteLLMを含むデベロッパーツ

techradar.com

CISAの請負業者が『極秘』政府AWS鍵をGithubで漏らしたとみられる

「Private‑CISA」という名前の公開GitHubリポジトリが、米国サイバーセキュリティ・インフラ防御庁(CISA)が使用する極秘の内部認証情報とシステムを暴露していたセキュリティ研究者らは漏洩の真正性を確認し、これまで見た中で最悪の政府データ暴露の一つであると説明した請負業者Nightwingが管

techradar.com

NvidiaのGeForce NOWデータ侵害が確認される――だが幸いなことに、ほとんどの人は安全です。理由はこちら

攻撃者がHuggingFace上のOpenAIリポジトリをタイポスクワッティングし、「プライバシーフィルター」モデルに偽装した情報盗聴マルウェアを配布しましたマルウェアはSSLチェックを無効化し、権限をエスカレーションし、認証情報、暗号ウォレット、システムデータを盗むためにsefirahペイロードをデプロ

esecurityplanet.com

Claude Code MCP攻撃が永続的なトークン盗難を可能にする

eSecurity Planetのコンテンツと製品推奨事項は、編集上独立しています。パートナーへのリンクをクリックすると、報酬を得る場合があります。 詳細はこちら AIコーディングアシスタントはエンタープライズSaaSプラットフォームに深く統合されつつありますが、新しい研究によれば、これらの接続は検出が困難

infosecurity-magazine.com

オーストラリア・サイバーセキュリティ・センターがClickFixの脅威について警告を発表

オーストラリア・サイバーセキュリティ・センター(ACSC)が、ClickFixというソーシャルエンジニアリング技術を悪用して強力なパスワード盗取マルウェアを配布する悪意のあるサイバーキャンペーンについて警告を発表しました。 5月7日に発表された警告の中で、オーストラリア信号局(ADC)のACSCは、Vidar Ste

infosecurity-magazine.com

Cursorの拡張機能の脆弱性がデベロッパーのAPIキーを露出

AI搭載の開発ツールであるCursorの高い重要度の脆弱性により、インストールされた拡張機能がユーザーの操作なしに機密情報にアクセスでき、APIキーとセッショントークンを露出させることができます。 LayerXの調査によると、Cursorが秘密情報をローカルに保存する方法に問題があり、権限に関係なくすべての拡張機能が

gbhackers.com

ハッカーがエージェントID管理者ロールを悪用してサービスプリンシパルをハイジャック

Microsoft Entra IDの新しいAgent Identity Platformで重大なスコープに関する脆弱性が最近発見されました。 このセキュリティ欠陥により、Agent ID Administrator ロールが割り当てられたユーザーが、組織のテナント全体で任意のサービスプリンシパルをハイジャックし、潜

gbhackers.com

Vercelがカスタマーアカウントに影響を与えるセキュリティ侵害を確認

Vercelは、特定の内部システムへの不正アクセスを伴うセキュリティ侵害を確認しており、同社はこのインシデントが限定的な数のカスタマーアカウントと保存されたデータに影響を与えたと述べています。 クラウドプラットフォームプロバイダーは、外部のインシデント対応の専門家の支援を得てインシデントを積極的に調査しており、また