ゼロデイウィークリー:SOTU、Adobeのゼロデイ、Symantec RCE、セキュリティ警告の過大評価

ゼロデイズウィークセキュリティーへようこそ、2015年1月23日に終了する週の注目すべきセキュリティニュースアイテムを募集します。エンタープライズ、論争、レポートなどを網羅しています。

今週、オバマ大統領は、インフォセックを間違った方法で擦った。アドビはゼロデイ、シマンテックはリモートでコードを実行し、エンタープライズは不必要なセキュリティ警告などを溺死させている。

[BREAKING] Adob​​eは、NEXT WEEKの0フラッシュにパッチを当てる予定です。 CVEが割り当てられました:#CVE -2015-0311 http://t.co/J0uIzDmxrnを有効に活用

– InfoSec Taylor Swift(@SwiftOnSecurity)2015年1月23日

7日目に神は休息し、悪魔はAndroidの開発を行い、神はかなり怒っていました。

– 私はDevloper(@iamdevloper)2015年1月22日

“非常に重大な脆弱性”が私を判断するのを待っています。 #EveryonesACritic #BringItOn

– セキュリティユーモア(@SecurityHumor)2015年1月21日

これらの携帯電話の3つすべてが優れており、同等のiPhone 6sまたは6s Plusよりも安いです。

最新レビュー

オバマ大統領は、サイバーセキュリティに関して、大統領が連邦議会の演説よりも多くの時間を費やしました。政治家がサイバーセキュリティを重視していることは肯定的な印だが、セキュリティ界の多くは、大統領の提案したサイバーセキュリティ法はブラックハットのハッキングを削減するのに効果がなく、ベンダーや企業が依存しているタイプの調査と侵入テストを犯罪とするソフトウェアとハ​​ードウェアの実装です。

Adobeは、Flash Playerのゼロデイの欠陥がAnglerとして知られているエクスプロイトキットで使用されているという報告を調査しています。シスコのセキュリティ研究者によると、昨年のBlackholeエクスプロイトキットの廃止に続いて、アングラー氏は今年新たに「見る人」だという。

リモートでコードが実行されるSymantec Data Center Security:http://t.co/2wzK5lyTBF

– HDムーア(@hdmoore)2015年1月23日

データの破損を確認しないでください(そしてなぜあなたが本当にあなたが “pwned”になってほしいか)。

セキュリティの基礎を再考する:FUDを超えて移動する方法

Oracleは、膨大な数のエンタープライズ・ソフトウェア製品の4つの年次セキュリティ修正の1つ目として、火曜日に大量のパッチをリリースしました。オラクルの四半期クリティカル・パッチ・アップデートには、Java、Fusion Middleware、Enterprise Manager、MySQLなどの製品に影響を及ぼす169件の問題に対するセキュリティ・アップデートおよびパッチが含まれています。

ロッキーのgifで見たブラックハット映画:ハリウッドの新しいサイバーセキュリティ映画「ブラックハット」は、この週末にオープンし、インフォセックスエリートからの高い評価にもかかわらず、激しく爆撃された。

M2M市場はブラジルに戻ってくる

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

偽陽性の警報に数百万ドルを費やしている米国企業:マルウェアの封じ込めコストに関する新しい報告では、米国の企業が年間約130万米ドル(約86万ポンド)を偽陽性のサイバーセキュリティ警報を扱っていることが明らかになりました。人の時間。

FireEye:エンタープライズは冗長なセキュリティ通知を圧倒しました。 FireEye Australia / NZシステムエンジニアリングのRich Costanzo氏は、組織に重複アラートが氾濫し、重大なアラートが漏れてしまうリスクが高まっていることを強調しました。 2つの別々のFireEye調査(ヨーロッパのCレベル幹部と国際スタッフに焦点を当てた調査)は、ヨーロッパでは過去2年間で警報が着実に増加していることがわかりました。しかし、アラートの解決とフォローアップを担当する人の数は、停滞しているか、場合によっては減少しています。

GoDaddy CSRFの脆弱性により、ドメインテイクオーバーが可能になります。攻撃者は、CSRFの脆弱性を利用して、GoDaddyに登録されているドメインを引き継ぐことができます。この脆弱性は1月18日に修正されました。 Breaking Bits(Dylan Saccomanni)は次のように書いています。「GoDaddyの多くのDNS管理アクションでは、クロスサイトリクエスト偽造防止機能はまったくないことに気付きました(…)修正の予定はないと言われました。

Verizon My FiOSのモバイルアプリケーションの脆弱性により、Verizonの電子メールアカウントへのユーザーアクセスが許可されました。 ThreatPostによって報告されたように、Verizonはセキュリティ研究者のRandy Westergren Jrがこの脆弱性を明らかにした後、先週欠陥を修正した。 HTC 10、LG G5、Samsung Galaxy S7の3つの携帯電話はいずれも抜群の価格で、同等のiPhone 6sまたは6s Plus;続きを読む

Cisco 2015の年間セキュリティレポートでは、政府がオンライン犯罪を減らすためにより多くの支援を提供している一方、犯罪者は組織に対する攻撃を可能にする新しい方法を見つけていることが明らかになりました。

ジャーナリストと元匿名のメンバー、バレット・ブラウンは木曜日にダラスの連邦裁判官によって63ヶ月の懲役刑を宣告された。それでもケビン・ギャラガーは、長い文章がジャーナリストの前例を設定するだろうと警告した。 「基本的には、公然と入手可能な資料を、その内容を知らずに共有すると、盗難されたクレジットカード情報が含まれている可能性があります。訴追される可能性があります。

Online Trust Allianceによれば、企業がリスクのサイバー戦略を再考した場合、2014年上半期のデータ侵害の90%以上が防止されている可能性があります。個人識別情報(PII)の喪失を含むデータ侵害の40%のみが外部からの侵入に起因しており、29%は従業員によって偶発的または悪意のある原因によるものでした。エンタープライズデータセキュリティプロバイダのVormetricによると、米国企業の93%は内部からの脅威に対して脆弱です。

セキュリティ、再考セキュリティの基礎:どのようにFUDを超えて移動するために、イノベーション、?M2M市場は、ブラジルで復活、セキュリティ、セキュリティ、データ侵害を検証しない方法(そして、なぜあなたが本当に “pwned” FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した