セキュリティ研究者は、ASUSのMyAsusソフトウェアに重大な脆弱性を見つけました。2022年8月以降、数百万のユーザーアカウント情報が漏洩している可能性があります。管理者権限を持つハードコードされた暗号化された資格情報により、氏名、生年月日、電話番号、住所、サポートチケットの内容、RMAリクエストなどの機密データへのアクセスが可能でした。研究者はASUSに責任ある開示を行い、5月に修正されました。これは、ソフトウェアセキュリティの重要性と、企業によるセキュリティ研究者へのより良いインセンティブの必要性を強調しています。
続きを読む
セキュリティ研究者が、ASUSのプリインストールされたDriverHubソフトウェアに重大な脆弱性があり、ワンクリックでリモートコード実行(RCE)が可能になることを発見しました。この脆弱性は、安全でないRPC処理に起因しており、攻撃者がオリジンチェックを回避し、管理者権限で任意のコードを実行することを可能にします。研究者は責任ある方法でこの欠陥を報告し、ASUSはその後パッチをリリースしました。重要なのは、これはASUSのマザーボードだけでなく、DriverHubがインストールされているすべてのシステムに影響を与えることです。研究者による詳細なエクスプロイトチェーンは、この脆弱性の深刻さと潜在的な影響を強調しています。
続きを読む
セキュリティ研究者が、ニュージーランドのアプリKiwiServicesで、重大なデータベースの脆弱性を発見しました。簡単なHTTPリクエストを操作することで、認証をバイパスし、ユーザーデータベース全体にアクセスし、氏名、メールアドレス、電話番号などの機密情報を公開しました。研究者は責任ある開示を行い、KiwiServicesは30日以内に脆弱性を修正しました。これは、セキュリティテストと迅速なパッチ適用がいかに重要であるかを示しています。
続きを読む