セキュリティで今週:Samba、Wormhole Crypto Heist、Bogus Cve

Sambaは非常に大きな脆弱性、CVE-202-44142を持っています。 4.15.5と同様に。 TrendMicroの研究者によって見つけられ、この認証されていないRCEのバグはCVSS 9.9で評価されます。節約猶予は、それが有効にされるフルーツVFSモジュールを必要とすることです。これは、MacOSクライアントとサーバー相互コップをサポートするために利用されます。有効になっている場合、デフォルト設定は脆弱です。 POCのコードがすぐに減少する可能性が高いため、攻撃は野生では見られませんでしたが、POCコードが遅くなる可能性が高いため、更新されるだけでなく更新されます。

ワームホールの暗号化

1つの注目に値する販売ポイント、web3は賢明な契約であり、介入なしで非常に迅速に連動する可能性があるブロックチェーンで直接実行されるビットコンピュータプログラムです。グラールな欠点がこれらのものであることは、介入なしで、非常に迅速に送金できるコンピュータプログラムです。今週は、攻撃者がワームホールブリッジを通して326百万ドルのエセラーを盗んだとき、職場での賢明な契約のもう1つの例でした。 CryptoCurrency Bridgeは、2つの異なるブロックチェーン上のリンクされた契約として存在するサービスです。これらの契約により、片側に通貨を入れて、他のブロックチェーンに効率的に通貨を譲渡することができます。私たちが何が悪かったのかを理解することは、[Kelvin Fichter]も同様に[SmartControcts]として適切に理解されています。

ブリッジが転送を行うと、トークンは1つのブロックチェーン上のWISE契約に堆積され、転送メッセージが生成されます。このメッセージはデジタル検査アカウントチェックのようなものです。ブリッジのもう一方の端は「チェック」のシグネチャーを検証します。この問題は、橋の一方の側で、検証ルーチンがエンドユーザーによって、そしてコードがそれをキャッチしなかったということです。

それは暑い点検詐欺です。攻撃者は、偽装された転送メッセージを作成し、Bogus検証ルーチンを提供し、ブリッジはそれを本物として受け入れました。お金の大部分は、他のユーザーの有効なトークンが開催されていた、そして攻撃者がそれらの民族トークンの90,000人で歩き回っていました。

9.8 CVEはそうではありませんでした

安全性およびセキュリティ報告書を扱うことは困難になる可能性があります。たとえば、英語はすべての最初の言語ではありませんので、文法の間違いと同様にスペルで電子メールが入手可能な場合は、それを拒否するのが簡単ですが、これらの電子メールは本当に深刻な問題を知らせています。それ以降は、ChromeのDevToolsが最初に初めてChromeのDevToolsを見つけたので、レポートを入手しています。

CVE-2022-0329はそれらの一つでした。懸念されるバンドルはPythonライブラリです。ロギングライブラリのメジャーCVE? Webは一括して1つのLog4Jスタイルの問題についてまとめてブレースされています。それから、より多くの人々が脆弱性報告書とバグ報告を見て、そして問題の妥当性に関する課題の質問を見始めました。そんなに、CVEが取り消されたこと。 githubが自動通知を発送していたというそのような高い安全性とセキュリティの問題として、バグ以外のバグがどのように評価されましたか。

理論的な脆弱性は、LOGURUの依存関係として含まれているPICKLEライブラリが、信頼されていないデータを安全に逆シリアル化しない逆シリアライゼーションの問題でした。それが有効な問題ですが、レポートは、Roguruが信頼できないデータを危険な方法で逆シリアル化することができる方法を正確に説明できませんでした。

ここでプレイするというアイデアは、「気密ハッチウェイ」です。任意の種類のコードベースまたはシステムでは、プログラムデータを操作することができる点がコードの実行をもたらす可能性がある。これは、そのアサルトがすでにプログラムを管理している必要があることを実行するときに気密ハッチウェイの背後にあります。この場合、ピクルスが逆シリアル化する項目を開発できる場合は、任意のコードの実行がすでにあります。それはそのようなインスタンスを修復するのに適していない状態ではありませんが、それは脆弱性を修復していません。

これがレールから出たところです。 [デルガン]は、Loguruの後ろのデザイナーが本当の脆弱性ではなかった、しかし彼はそのアイデアを中心にいくつかのコード強化を行うことを望んでいるので、承認された元の脆弱性報告書をマークしました。このセットでは、自動化された機械類を動かし、CVEが発行されました。そのCVEは、問題の素朴な包括的な、おそらく自動化された動作も同様に信じられないほど深刻に設定されました。この自動化されたフレンジーは、誰かが最後に踏み込まれる前に、すべての方法をGithub Advisoryに続けています。n。

Windows Eop Pop

1月、Microsoft Patched CVE-2022-21882、Win32コードのWindowsのエスカレーション。それをあなたにトリックさせないでください、それは64ビットバージョンの窓に存在します。あなたがあなたの最新情報の後ろになっているならば、あなたはこのバグのために概念の証明が下がったので、忙しくしたいかもしれません。これはパッチバイパスとして報告されており、これはこの基本的にはCVE-2021-1732とまったく同じ課題になりました。

QNAPが更新されました

そして個人がチェックされています
これらのスタイルのガジェットがまだランサムウェア窃盗犯のためのもう1つの魅力的なターゲットであるため、安全性とセキュリティゲームを伸ばすためにQNAPと他のNASプロデューサーが必要とされています。そのため、QNAPが「Deadbolt」マルウェアキャンペーンで悪用されていた欠陥を見つけたとき、彼らは自動更新を有効にしたすべての個人に更新を強制的に押すことを選択しました。これは、更新が通常インストールされると同時に、再起動に要求の同意を得て、これは自発的に再起動され、おそらく最悪の場合のデータの損失を引き起こします。

QNAPは自分の考えを主題のredditスレッドに提供しています。少なくとも1つの個人は、この関数が無効になっていた、そして更新がまだ自動インストールされているのかなり強調性です。どうしたの?

公式の答えがあります。以前のアップデートでは、新しい機能が追加されました。これは自動アップデートとして機能しますが、大きな問題が発生した場合に限ります。これは必要なプッシュを有効にする設定、およびデフォルトはオンになります。 (公平性では、それはパッチノートにありました。)これらのような電化製品上の更新を処理することは常に困難であり、そしてランサムウェアの迫り良きリスクも粘着性にさえします。

それで、あなたはどう思いますか、QNAPは顧客の世話をするだけでしたか?あるいはこれは、ロックされたファイリングカップボードの底部の地下に掲載されています。コメントで理解しましょう、または不審者があなたのものであるならば、列に捧げられた新しいチャンネル!

Leave a Reply

Your email address will not be published.

Related Post

ニューラルネットワーク:あなたはそれをとても単純に持っていますニューラルネットワーク:あなたはそれをとても単純に持っています

ニューラルネットワークは現在、ハッカーの数、学生、研究者、そして企業の数が増えています。最後の復活は、World Wide WebやNo Leural Network Toolsがほとんどまたはまったくなかった場合、80年代、90秒にありました。現在の復活は2006年頃に始まりました。ハッカーの観点から、他のリソースと他のリソースと同様に提供されたのは、今すぐ申し出されていますか。私自身のために、ラズベリーPIのGPUはいいでしょう。 80年代と90年代 ニューラルネットワーク80S / 90年代の本だけでなく、MAGS ヤングズのために、米国が世界的な幅広いウェブの前に何もすることができたのだろうか、ハードコピー雑誌は私たちが新しいことを意識させるのに巨大な部分を演じました。それほどそれは科学系誌の1992年9月の特別な問題であり、神経学的ネットワークに紹介された脳、生物学的および人工的な種類の両方を紹介しました。 それからあなたは自分のニューラルネットワークをスクラッチから書くか、または他の誰かからのソースコードを順序付けることができます。私はその科学的アメリカの問題のアマチュア科学者列からフロッピーを秩序だった。あなたはあなたのためにすべての低レベル、複雑な数学をするニューラルネットワークライブラリを同様に購入するかもしれません。トロント大学からのXERIONと呼ばれる無料シミュレータも同様でした。 本屋の科学のセクションに目を向けておくことは、被験者の時折の本を上げました。伝統的なものは、Rumelhart、McClelland et al。鉱山の好ましいものは、神経計算であり、自己組織化マップ:ロボットアームを制御するニューラルネットワークに興味を持っていた場合に有用である。 あなたが参加するかもしれない会議と同様に短いコースと同様に短いコースがありました。 1994年に参加したセミナーは、その後、Geoffrey Hinton、Toronto大学、そして今でも現場のリーダーです。当時の最善の年次セミナーは、今日はまだ強くなっている神経情報処理システム会議でした。 そして最後に、私は公開された論文のためにライブラリを命じることを思い出します。私のセミナー論文のスタック、プログラム配布資料、コピー記事、およびその期間からの手書きノートは約3インチの厚さです。 それから物事は比較的静かになった。ニューラルネットワークはいくつかのアプリケーションで使用を発見したが、彼らは限られた研究界の外で、世界の視点と同様に彼らの誇大宣伝に住んでいなかった、彼らは問題を止めた。いくつかのブレークスルーとともに、そしてそれから最後に2006年頃には、再び世界中で展開されたので、物事は静かに残った。 現在が届きます 私たちはここでのツールに焦点を当てていますが、これは主に行われました。 3層以上の深さを超えるネットワークのための新しいテクニック、今や深いニューラルネットワークと呼ばれる トレーニングをスピードアップするためのGPU(グラフィック処理単位)の使用 多数のサンプルを含むトレーニングデータの可用性 ニューラルネットワークフレームワーク 現在、さまざまなライセンスで無料のライセンスを無料で使用するためのダウンロードのために提供されているフレームワークと呼ばれる数多くのニューラルネットワークライブラリがあり、それらの多くはオープンソースフレームワークです。より人気のあるもののほとんどは、GPU上のニューラルネットワークを実行することができます。また、ほとんどの種類のネットワークをサポートするのに十分な柔軟性があります。 これがより人気のあるもののほとんどがあります。彼らはすべてFNNを除いてGPUサポートを受けています。 テンソルフロー 言語:Python、C

自動キノコの栽培の耕作は美味しい揚げ物自動キノコの栽培の耕作は美味しい揚げ物

[Kyle Gabriel]を知っています。できるだけ。結果は自分自身のために話し、いくつかのおいしい揚げカキはそれを見せる! フライオーキのキシュームは、傷から成長した。 きのこの栽培の最も影響力のある条件は、温度、湿度、およびCO2濃度であり、環境条件の取り扱いを自動化して、安価なハードウェアと部品を活用しながら、定期的な写真を撮る能力を持つオープンソースシステムです。物事に目を向けてください。 「Kyle」のドキュメント「包括的な」と呼ばれていない、そして彼は仕事場のための陽圧空気ろ過システムの設定からすべてのものを取り組んでいます。そして収穫。彼は揚げキノコのための美味しいレシピを含みます。それはそれよりも詳しくはありません。 私たちは[カイル]の前の仕事を見ました、そしてそれは継続的な洗練を見るのは素晴らしいです。下に埋め込まれたビデオで全体のことのツアーをチェックしてください(または自分を空腹にしたい場合は16:11にスキップしてください。)