狙われやすい30の脆弱性
狙われやすい30の脆弱性
US-CERT にて “Top 30 Targeted High Risk Vulnerabilities” が公開されている。
Top 30 Targeted High Risk Vulnerabilities | US-CERT
This Alert provides information on the 30 most commonly exploited vulnerabilities used in these attacks, along with…www.us-cert.gov
This Alert provides information on the 30 most commonly exploited vulnerabilities used in these attacks, along with…www.us-cert.gov
サイバー攻撃で狙われるすごく危険な脆弱性、4ベンダー30種が公開
システムにパッチを当てない状態が長引くほど、脆弱性を突かれる危険は高まる。「標的型攻撃の85%は防止できる」とUS-CERT。www.itmedia.co.jp
システムにパッチを当てない状態が長引くほど、脆弱性を突かれる危険は高まる。「標的型攻撃の85%は防止できる」とUS-CERT。www.itmedia.co.jp
今回公開されているリストは Microsoft, Oracle, Adobe の各製品の脆弱性と OpenSSL の脆弱性だ。 OpenSSL の脆弱性とは昨年大騒ぎになった Heartbleed のことである。
該当するベンダ及び製品をお持ちの方はアップデートのし忘れがないか確認すること。
こうしたソフトウェアの脆弱性を突く攻撃について、US-CERTでは「標的型攻撃の85%は防止できる」と解説する。メーカー各社が脆弱性修正のパッチ を公開すると、攻撃側はそのコードをリバースエンジニアリングして攻撃コードを開発する。この作業にかかる時間は24時間~4日ほど。システムにパッチを 当てない状態が長引くほど、脆弱性を突かれる危険は高まるといい、「タイムリーなパッチ適用は、ネットワークが攻撃にさらされる危険を最低限に抑えるため に組織が取れる、低コストかつ最も効果的な対策の1つ」とUS-CERTは強調する。
主要な製品のバージョンを調べてくれる「MyJVNバージョンチェッカ」というツールを IPA が提供している(Java 版と .NET 版がある)
こうしたツールを使う手もある。(ただし MyJVN バージョンチェッカは Windows のレジストリを見てるだけのようなので,たとえば Portable Edition の Firefox や Thunderbird は検出できない。この場合はやはり手動で確認していくしかない)
(5月8日 追記) 日本語の記事が出ました