興味を持った記事(2022年01月12日) - まっちゃだいふくの日記

セキュリティ

セガがjavascriptでぷよぷよを作るプログラミング講座を出しているが、とても良いプログラミングの教材になっている「写経はとても大事」 - Togetter
Samba Releases Security Update | CISA
SAP Releases January 2022 Security Updates | CISA
- SAP Security Patch Day – January 2022 - Product Security Response at SAP - Community Wiki
2021年第4四半期におけるDDoS攻撃の傾向
O'Reilly Japan - 詳解インシデントレスポンス
- 詳解インシデントレスポンス ―現代のサイバー攻撃に対処するデジタルフォレンジックの基礎から実践まで | Steve Anson, 石川朝久 |本 | 通販 | Amazon
- 「脅威インテリジェンスの教科書」石川朝久/著が素晴らしかったのでベタ褒めする｜ozuma5119 / Yusuke Osumi｜note
Google Docsユーザーは要注意　コメント機能を悪用したサイバー攻撃を観測 - ITmedia エンタープライズ
- コメント機能でユーザーにリンクを送信できる点をフィッシング詐欺やなりすましに悪用される可能性があり、すでにこれを利用したサイバー攻撃も確認されているという。
モバイルキャリアを騙りフィッシングサイトへ誘導する SMS、11月から3倍増 | ScanNetSecurity
イエラエセキュリティのエンジニアがサイボウズ Officeのアドレス帳に関するXSSの脆弱性を報告 | ScanNetSecurity
LogStareとMOTEXが技術提携、LANSCOPEのログ収集・分析に対応 | ScanNetSecurity
- LogStareがMOTEXと技術連携し、LANSCOPEのログ収集とログ分析に正式対応 | AI予測・システム監視・ログ管理を統合したセキュリティ・プラットフォーム LogStare(ログステア)
Microsoft Edge 検索で「やまぐちヘルスラボ」で個人情報閲覧可能に、森ビル都市企画受託 | ScanNetSecurity
- Microsoft Edgeで特定の電話番号を検索した際に「やまぐちヘルスラボ」の会員リストが表示されることが、2021年12月6日夜に外部からの通報で発覚した。
日本被服工業からメール流出し不審メール送信、Emotet感染疑いトレンドマイクロとJPCERT/CC「EmoCheck」で検査 | ScanNetSecurity
フリーの解凍・圧縮ソフト「7-Zip」がVHDX形式仮想ディスクファイルの抽出に対応 - 窓の杜
お客さんからスタバカード貰う→利用履歴から最寄駅特定して｢〇〇駅が最寄りなんだね｣とストーカー被害にあった人の話。｢店長逃げてー！｣ - Togetter
氏名と生年月日でパスワードを割り出していたSNSの不正アクセス事案についてまとめてみた - piyolog
- 被害者のほとんどは自分の名前と生年月日をアカウント名に登録していたとみられ、被害に遭った2名も名前や生年月日に関連するパスワードを設定していた。
with #AzureAD service principals exists on various ways and layers. Therefore, consider all your automation and #DevOps platforms. This includes also #AzureDevOps configuration to prevent direct/indirect abuse of service connections and pipelines. https://t.co/dwOeFBrNQu" / Twitter
総務省｜報道資料｜「地方公共団体における情報セキュリティポリシーに関するガイドライン」（改定案）等に対する意見募集
CISA, FBI, and NSA Release Cybersecurity Advisory on Russian Cyber Threats to U.S. Critical Infrastructure | CISA
ランサムウェア入りUSBメモリを送りつける詐欺が増加中、データを暗号化して使用不能にし元に戻すための身代金を要求する手口 - GIGAZINE
SHIFT SECURITY、4年ぶり改訂の「OWASP TOP10 2021」変更点解説セミナー1/18開催 | ScanNetSecurity
Citrix Releases Security Update for Workspace App for Linux | CISA
Microsoftの電子署名脆弱性突いたサイバー攻撃、世界中に拡散 | TECH+
Log4j 2はオープンソースソフトウェアなんだから「問題を見つけたらあなたが直せ」？：こうしす！　こちら京姫鉄道広報部システム課＠IT支線（31） - ＠IT
働きやすくて面白い。就活の新たな選択肢「国の研究所」がスゴすぎた｜NICTで働く先輩を突撃！ - CanCam.jp（キャンキャン）

Microsoft

2022 年 1 月のセキュリティ更新プログラム (月例) – Microsoft Security Response Center

。悪用条件ありなので詳細を要確認" / Twitter

2022年最初のMicrosoft製品アップデート～「緊急」9件を含む96件の脆弱性に対処 - 窓の杜

2022年1月マイクロソフトセキュリティ更新プログラムに関する注意喚起

Microsoft 製品の脆弱性対策について(2022年1月)：IPA 独立行政法人情報処理推進機構

マイクロソフト、1月の月例パッチ--90件超の脆弱性を修正 - ZDNet Japan

Microsoft Releases January 2022 Security Updates | CISA

Microsoft、リモートコード実行の脆弱性修正を含むWindows月例アップデートを提供開始 - PC Watch

‘Wormable’ Flaw Leads January 2022 Patch Tuesday – Krebs on Security

Cisco Talos Intelligence Group - Comprehensive Threat Intelligence: Microsoft Patch Tuesday for Jan. 2022 — Snort rules and prominent vulnerabilities

Patch Tuesday - January 2022 | Rapid7 Blog

Microsoft Patch Tuesday - January 2022

Zero Day Initiative — The January 2022 Security Update Review

Microsoft Patch Tuesday fixes critical Office RCESecurity Affairs

Microsoft January 2022 Patch Tuesday: Six zero-days, over 90 vulnerabilities fixed | ZDNet

Microsoft January 2022 Patch Tuesday fixes 6 zero-days, 97 flaws

今日は毎月恒例「Windows Update」の日 - GIGAZINE

【セキュリティニュース】MS、2022年最初の月例セキュリティ更新をリリース - 97件に対応（1ページ目 / 全2ページ）：Security NEXT

Adobe

Adobe AcrobatおよびReaderの脆弱性（APSB22-01）に関する注意喚起

Adobe Acrobat および Reader の脆弱性対策について(APSB22-01)(CVE-2021-44701等)：IPA 独立行政法人情報処理推進機構

Adobe Releases Security Updates for Multiple Products | CISA

Security update available for Adobe Acrobat and Reader | APSB22-01：Adobe Security Bulletin

Security Updates Available for Adobe Illustrator | APSB22-02：Adobe Security Bulletin

Security Updates Available for Adobe Bridge | APSB22-03：Adobe Security Bulletin

Security Update Available for Adobe InCopy | APSB22-04：Adobe Security Bulletin

Security Update Available for Adobe InDesign | APSB22-05：Adobe Security Bulletin

OSS「faker.js」と「colors.js」の開発者、自身でライブラリを意図的に改ざん　「ただ働きはもうしない」 - ITmedia NEWS

オープンソースのライブラリ「colors.js」と「faker.js」の開発者であるマラック・スクワイアーズ氏が、それらの最新バージョンに無限ループ処理を仕込むなど、意図的な改ざんを加えたバージョンをリリースしていたことが分かった。
colors.jsは毎週2000万回以上、faker.jsは毎週280万回以上ダウンロードされている人気のライブラリ。それらを使用したプロジェクトに影響を与えることから、ITエンジニアを中心に物議を醸している。
OSS「faker.js」と「colors.js」の開発者、自身でライブラリを意図的に改ざん「ただ働きはもうしない」 - ITmedia NEWS

colorsなどのnpmパッケージに悪意あるコードが含まれている問題について

大企業は無償利用せず金銭的支援を行えと警告したのに改めないので作者がついに激怒、毎週2000万回以上ダウンロードされるcolors.jsとfaker.jsを破壊し使用不能に - GIGAZINE

そんなcolors.jsとfaker.jsの開発者であるMarak氏が、意図的に破損したバージョンをリリースしたことで、これらのライブラリに依存するプロジェクトに影響が出ています。aws-cdkのような人気の高いオープンソースプロジェクトを利用するユーザーがこの異変に気付き、状況を報告しています。
大企業は無償利用せず金銭的支援を行えと警告したのに改めないので作者がついに激怒、毎週2000万回以上ダウンロードされるcolors.jsとfaker.jsを破壊し使用不能に - GIGAZINE

OSSのゆく道：Faker.jsの顛末｜Takahiro Ito｜note

OSS「faker.js」と「colors.js」の開発者、自身でライブラリを意図的に改ざん　「ただ働きはもうしない」 - ITmedia NEWS

OSSで共有地の悲劇が起こることにどう対処するか - 西尾泰和のScrapbox

colors.jsとfaker.jsの作者が自らのライブラリを破損、背後にはオープンソースを悪用する企業への不満？ | OSDN Magazine

MicrosoftがmacOSの脆弱性「powerdir」を解説 - PC Watch

New macOS vulnerability, “powerdir,” could lead to unauthorized user data access - Microsoft Security Blog

with #AzureAD service principals exists on various ways and layers. Therefore, consider all your automation and #DevOps platforms. This includes also #AzureDevOps configuration to prevent direct/indirect abuse of service connections and pipelines. https://t.co/dwOeFBrNQu" / Twitter

Mozilla

Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird | CISA

Firefox 96.0

Firefox 96.0, See All New Features, Updates and Fixes

Security Vulnerabilities fixed in Firefox 96 — Mozilla

「Firefox 96」がリリース～「Cookie Policy: Same-Site=lax」をデフォルト有効化 - 窓の杜

95.0.2 (64 ビット)

96.0 (64 ビット)

ESR 91.5.0

Firefox ESR 91.5.0, See All New Features, Updates and Fixes

Security Vulnerabilities fixed in Firefox ESR 91.5 — Mozilla

Thunderbird

Thunderbird — Release Notes (91.5.0) — Thunderbird

Security Vulnerabilities fixed in Thunderbird 91.5 — Mozilla