2020年10月27日掲載分。
Oracle Java SEの7移行のバージョンに不正コードを実行できてしまう脆弱性が見つかったようでパッチが出ています。
米国のFBIが、ホテルなど共用エリアでのテレワークに対してセキュリティ面での注意喚起を行っています。なにかあったのでしょうかね。
2020年10月24日掲示。
情報処理安全確保支援士の資格取得のお金を出してもらっている都合上、役員から「不定期でいいのでセキュリティ情報を発信してくれ」との依頼があったので自社内グループウェアの掲示版に掲載している内容です。若手などには「私の影響をあまりあたえて欲しくない」との指示が各部署に出ているようなので(酷い話です……)、これについても特に用語や技術面での解説はいれず、セキュリティ関連の通告やニュースの内容をせいぜい「すごいですね」くらいの感想を添えて書くようにしています。
で、もう社内の掲示等に自分の痕跡や記録を残したくないので、3日分くらいを残して片っ端からこちらに転記して、掲示版の方は消していくという運用にしました。
次以降、こちらに転記するものにはもう少し加筆するようにしていきますね。
広告ブロックアドインのNano Defenderがトルコ企業?に買収された結果、収集データを外部送信するよう仕様変更されたそうです。利用されているかたはご注意を。
https://280blocker.net/blog/20201016/2590/ (280blocker)
コンポーネント指向な考え方は設計やってると自然に行き着くと思うのですが、それをベースにセキュリティモデルを組み立てておくとセキュリティ面でのレビューがやりやすいかもしれませんね。ゼロトラストセキュリティという考え方も要チェックです。
https://www.atmarkit.co.jp/ait/articles/2010/15/news009.html (@IT)
SCADA(スキャダ)はセンサーやコントローラーで工場などの状態監視や制御を行うシステムの総称です。それのWeb管理アプリに不備があったようで。Webサーバーはサーバーで動くアプリですから、それなりの権限をもっているため、フルパス指定で外部からコマンドをあたえられた場合、Webアプリの作りによっては「本来動かせないものを動かしたり、見る」ことが出来たりします。Webアプリ開発の要注意点です。
https://jvn.jp/vu/JVNVU97695305/index.html (JVN)
10月14日に公開されています。主にクライアント用Windows、Office、Windows Serverですね。会社などのPCはまぁ自動設定されていますが、ご自宅の個人のPCなども更新お忘れ無く。
https://msrc-blog.microsoft.com/2020/10/13/202010-security-updates/ (Microsoft)
