脆弱性

CVE	CVE-2023-28205、CVE-2023-28206
影響を受ける製品	iOS、iPadOS、macOS、Safari
脆弱性サマリ	ウェブコンテンツの特別な加工により任意コード実行、またはアプリケーションによるカーネル特権での任意コード実行につながる問題
重大度	不明
RCE	有
攻撃観測	あり
PoC公開	なし

1. The Hacker News is a trusted cybersecurity news platform with over 3.45 million followers on social media. 2. The website offers resources such as a store with free ebooks and freebies, as well as expert-led webinars on cybersecurity topics like securing the identity perimeter. 3. The identity perimeter is a critical focus point in cybersecurity as cybercriminals employ highly sophisticated methods to target users directly. 4. Dor Dali, Head of Research at Cyolo, will share his insights on the topic in an upcoming webinar that covers practical tips, advice, and comparison of ZTNA platforms. 5. The Hacker News also provides breaking news, resources, and cybersecurity certification courses, along with social media accounts and a contact page.

1. The Hacker Newsは、3.45万人以上のフォロワーがいる信頼できるサイバーセキュリティニュースプラットフォームです。
2. このウェブサイトでは、無料の電子書籍や無料のものの他、サイバーセキュリティに関する無料のウェビナーなど、さまざまなリソースが提供されています。
3. アイデンティティペリメーターは、サイバー犯罪者が直接ユーザーを狙い撃ちする高度な攻撃方法を使うことがあり、サイバーセキュリティにおいて重要な焦点となっています。
4. Cyoloのリサーチ部門の責任者であるDor Dali氏が登壇するウェビナーを通じて、ZTNAプラットフォームの比較やアイデンティティペリメーターの実用的なセキュリティの確保方法などが共有されます。
5. The Hacker Newsは、ブレイキングニュース、リソース、サイバーセキュリティ認証コース、ソーシャルメディアアカウントなども提供しています。

脆弱性

CVE	CVE-2023-29017
影響を受ける製品	vm2 JavaScript sandbox module
脆弱性サマリ	非同期処理におけるエラー処理の不備により、リモートコード実行が可能になる
重大度	9.8 (CVSS v3.1基準)
RCE	有
攻撃観測	不明
PoC公開	有

被害状況

事件発生日	不明
被害者名	アメリカの政府機関
被害サマリ	Veritas Backup Execに存在する脆弱性（CVE-2021-27877, CVE-2021-27876, CVE-2021-27878）が悪用され、アルファベット・ブラックキャット・ランサムウェアの一部であるアフィリエイトによって政府機関に不正アクセスされた。
被害額	不明（予想：数百万ドル以上）

攻撃者

攻撃者名	不明
攻撃手法サマリ	Veritas Backup Execに存在する脆弱性を悪用してアルファベット・ブラックキャット・ランサムウェアの一部であるアフィリエイトによる攻撃
マルウェア	アルファベット・ブラックキャット・ランサムウェア
脆弱性	Veritas Backup Execに存在する脆弱性（CVE-2021-27877, CVE-2021-27876, CVE-2021-27878）

脆弱性

CVE	CVE-2023-28206、CVE-2023-28205
影響を受ける製品	iPhone 8以降、iPad Pro、iPad Air 3世代以降、iPad 5世代以降、iPad mini 5世代以降、macOS Venturaを実行中のMac
脆弱性サマリ	iOSurfaceAcceleratorでのアウトオブバウンズライトとWebKitのUse-After-Freeの脆弱性。これにより、任意のコードが実行される可能性があります。
重大度	高
RCE	有
攻撃観測	報告あり
PoC公開	なし

脆弱性

CVE	CVE-2023-29017
影響を受ける製品	VM2 JavaScript sandbox library 3.9.14以前の全バージョン
脆弱性サマリ	VM2 JavaScript sandbox libraryにおける任意のコマンド実行が可能なクリティカルな脆弱性（最高評価の10.0）
重大度	高
RCE	有
攻撃観測	不明
PoC公開	有

VM2 JavaScript sandbox libraryは、JavaScript関連製品で使用されるsandbox環境の一つであり、Node.jsサーバ上で危険なコードを安全に実行するために利用されています。最近の脆弱性（CVE-2023-29017）により、任意のコマンド実行が可能になってしまったことが発表されました。16ヶ月に一回以上ダウンロードされているため、非常に影響範囲が大きいとされています。 PoCはGitHubに公開されています。

被害状況

事件発生日	不明
被害者名	MSI
被害サマリ	台湾のPCベンダーMSIのネットワークがサイバー攻撃によって侵害され、情報サービスシステムが影響を受けた。Money Messageランサムウェアグループが攻撃したとされ、約1.5TBの文書やソースコード、プライベートキー、BIOSファームウェアなどが盗まれ、同グループはMSIに4百万ドルの身代金を要求している。また、不承認で情報が公開されると脅迫している。
被害額	(予想)数百万ドル

攻撃者

攻撃者名	Money Messageランサムウェアグループ
攻撃手法サマリ	不明
マルウェア	Money Messageランサムウェア
脆弱性	不明

被害状況

事件発生日	2017年以降
被害者名	WordPressサイトのオーナー
被害サマリ	WordPressの脆弱性を突いて、1百万のサイトにバックドア「Balad Injector」を仕掛け、不正なテクニカルサポートページや抽選詐欺、プッシュ通知詐欺に誘導した。
被害額	不明（予想）

攻撃者

攻撃者名	不明
攻撃手法サマリ	WordPressの脆弱性を悪用して、マルウェア「Balad Injector」を仕掛けた。
マルウェア	Balad Injector
脆弱性	WordPressの複数のテーマとプラグインの脆弱性

1. Microsoft EdgeがAIを利用した画像生成機能「Image Creator」をリリースした。
2. この機能を使うと、ユーザーはブラウザ内でソーシャルポストやプレゼンテーションなどのための画像を作成できる。
3. Image Creatorは、既存の画像を生成するのではなく、最新のDALL∙Eモデルによって生成された「存在しない」とされる画像を生成することができる。
4. 他に、ファイル共有機能である「Drop」、編集機能「Edit Image」、効率化機能「Efficiency Mode」が追加された。
5. Microsoftは、ユーザーがオンライン上でより生産的かつ創造的に過ごすための機能を積極的に追求している。

被害状況

事件発生日	不明
被害者名	不明
被害サマリ	プロフィットを追求する企業が、無償で提供される非営利団体や法執行機関の支援を支払いを迫る手段を使用し、口止め料金を受け取ろうとしているセクストーション被害に遭う人々を標的にしている。セクストーションは、フィッシングメールや偽のソーシャルメディアのプロファイルを使用し、被害者を騙して暴露的なビデオや画像を共有させ、その後、脅迫目的で使用するデジタル恐喝の手法である。
被害額	不明（予想不可）

攻撃者

攻撃者名	不明（特徴不明）
攻撃手法サマリ	フィッシングメールや偽のソーシャルメディアのプロファイルを使用して被害者を騙す。
マルウェア	不明
脆弱性	不明