汎用型自作PCまとめ

当ブログは5ちゃんねる、おーぷん2ちゃんねるから「自作PC」「ITニュース」「ガジェットネタ」関連の話題をまとめています。偶に「オーディオ」や「ゲーム」「プログラミング」などの雑談も。

セキュリティ

コメント(28)  
cyber-security-gf44caa509_640

1: 以下、5ちゃんねるからVIPがお送りします 2023/07/09(日) 23:42:52.306 ID:iQXggE5k0
そろそろ更新で今はカスペルスキー使ってるけどロシアだからやめたい
6台入れたいとなるとなかなか良いのがない

画像の説明文

コメント(28)  
hacker-g3eb20a569_640

1: それでも動く名無し 2023/07/06(木) 11:53:21.07 ID:G0bS08FEr
ノートンとか誰ももう使ってないんか

画像の説明文

コメント(29)  
hacking-g50742fd7c_640

1: 風吹けば名無し 2023/07/03(月) 12:01:02.96 ID:d1iQjRek0
ワイは通算で2回ある

画像の説明文

コメント(22)  
nec_aterm_wg1800hp2_l_01

670: 不明なデバイスさん (ワッチョイ 9deb-OfpS) 2023/06/27(火) 20:13:55.46 ID:WU113qb60
USBポートを搭載したAtermシリーズの脆弱性に関するお知らせ

このたび、USBポートを搭載したAtermシリーズ(生産終了製品)にて「ディレクトリ・トラバーサル」とそれに付随して「格納型クロスサイトスクリプティング」および「OSコマンドインジェクション」の脆弱性が発見されました(※)。

「ディレクトリ・トラバーサル」は、下記表内の製品をルータモードまたはブリッジモード(機種によっては無線LANアクセスポイントモード)で使用しており、USBポートにUSBストレージ(外付けのハードディスクやUSBメモリなど)を取り付けている場合に該当します。

本脆弱性によって、管理者パスワードや無線の暗号化キーの漏洩が懸念されます。

根本的な対策は、当該製品のUSBポートからUSBストレージを取り外すことです。詳細は下記をご確認ください。

付随して発生する「格納型クロスサイトスクリプティング」や「OSコマンドインジェクション」については、下記「対策」の2.①にも記載しておりますように「管理者パスワード」を推測されにくい複雑なものに変更することがリスク軽減策となります。

下記機種についてはサポートが終了しており、ファームウェアの更新は行われません。機器の切り替えをご検討いただきますようお願いいたします。

※ 通常は悪意のある第三者がLAN側から攻撃しない限り発生しません。なお、WAN側からのアクセスを許可している場合はリスクが高まります。

(続きはこちら)
https://www.aterm.jp/support/tech/2023/0627.html
対策
当該製品のUSBポートからUSBストレージを取り外してください。


679: 不明なデバイスさん (ワッチョイ 558c-F8yx) 2023/06/27(火) 21:21:12.17 ID:f88HF9z90
>>670
ボーナス期だからお前らとっとと買い換えろよということですね、分かります

画像の説明文

コメント(19)  
hacking-2903156_640

1: 風吹けば名無し 2023/06/24(土) 03:00:01.80 ID:Z6eCmAQp0
インターネットの履歴とか色々弄って見てたらしい

画像の説明文

コメント(8)  
how-to-install-openssl-1-1-1i-in-centos-8

1: ブレーンワールド(大阪府) [US] 2023/06/19(月) 18:15:27.90 ID:HurCF5kK0● BE:323057825-PLT(13000)
「OpenSSL 1.1.1」のサポート終了まで3カ月……「OpenSSL 3.0/3.1」への移行を

 「OpenSSL 1.1.1」シリーズのサポート終了(End Of Life:EOL)まで、3カ月を切った。開発チームは6月15日(協定世界時)、注意を喚起する公式ブログ記事を公開した。

 「OpenSSL」は、SSL/TLSプロトコルを実装したオープンソースライブラリ。
v1.1.1は5年間のサポートが保証された長期サポート(Long Term Support:LTS)リリースだが、すでにサポートの最終年に入っており、現在はセキュリティフィックスのバックポートのみが実施されている状態だ。

 「OpenSSL 1.1.1」は2018年9月11日にリリースされ、5年間のサポート期間が設定されている。そのため、2023年9月11日にEOLを迎える。それ以降はセキュリティパッチが提供されなくなるため、利用の継続はリスクが大きい。

(続きはこちら)
https://forest.watch.impress.co.jp/docs/news/1509354.html

2: セドナ(東京都) [US] 2023/06/19(月) 18:15:49.13 ID:tWvh/CaA0
(´◦ω◦`)

画像の説明文

コメント(25)  
hacking-2964100_640

1: 以下、5ちゃんねるからVIPがお送りします 2023/06/18(日) 20:28:32.782 ID:AFFn/Bnp0
なんか買ったほうがいい?

画像の説明文

コメント(26)  
stripes-g8e6293d5a_640

1: セドナ(東京都) [US] 2023/06/16(金) 10:25:11.84 ID:3y1kQaM/0 BE:279771991-2BP(1500)
多くの電子機器には、電源が入っているかどうかを示すためのLEDが搭載されています。このLEDをビデオ撮影することで、デバイスの暗号化キーを復元できるという、ビデオベースの暗号解読法をハッカーのベン・ナッシー氏らが明らかにしました。

<中略 どういう技術なのか画像付きで優し解説>

具体的には、Samsung Galaxy S8を充電しているのと同じUSBハブに接続していたスピーカーのLEDをiPhone 13 Pro Maxのカメラで撮影することで、Galaxy S8の378ビットの暗号化キーが得られたとのこと。
 
a09

LEDの色の違いは肉眼では確認できないほどの差でしたが、RGB値には微妙な違いが出ています。
 
a10

また、スマートカードリーダーの場合は16m離れたところからネットワークカメラでLEDを撮影し、映像を分析することで256ビットのECDSAキーが得られています。
 
a12

ナッシー氏らによると、この脆弱(ぜいじゃく)性は電源LEDではなく暗号ライブラリの問題ですが、電源LEDは悪用のための視覚的なインフラを提供してしまっているとのこと。今回実証された攻撃を防ぐ方法は、最新の暗号ライブラリを用いることだそうです。

(続きはこちら)
https://gigazine.net/news/20230614-video-based-cryptanalysis/

解説動画
https://youtu.be/ITqBKRZvS3Y

2: 土星(茸) [PL] 2023/06/16(金) 10:27:35.04 ID:0SpyX3Xw0
つまりLEDにテープ貼れば良いって事だな

画像の説明文

コメント(35)  
Gigabyte-AM3-AMD-78LMT-USB3

3: Socket774 (ワッチョイ 9fdc-/RYi) 2023/06/01(木) 11:38:47.84 ID:xqJTbYXJ0
GIGABYTE製マザーボードに「Windowsへ任意の実行ファイルをインストール可能にする欠陥」が存在することが判明しました。欠陥は200以上のモデルで確認されており、迅速なファームウェアアップデートが推奨されています。

Supply Chain Risk from Gigabyte App Center Backdoor - Eclypsium | Supply Chain Security for the Modern Enterprise

GIGABYTE製マザーボードの欠陥を発見したのは、セキュリティ企業「Eclypsium」です。Eclypsiumによると、自動検知システムによってGIGABYTE製マザーボード搭載PC上で「Windowsの起動プロセス中に実行可能ファイルを書き込む動き」が検出されたとのこと。Eclypsiumが実施した詳細分析によって200を超えるモデルで実行可能ファイルの書き込みが可能であることが明らかになりました。


(続きはこちら)
\(^o^)/オワタ 

6: Socket774 (ワッチョイ ebd4-4NQN) 2023/06/01(木) 14:10:47.68 ID:EKHv77NQ0
>>3
割と深刻というか検証機能くらい付いてると思ってたけど意外とガバガバだったのか

画像の説明文

コメント(14)  
registration-gb3f6bf51b_640

1: 風吹けば名無し 2023/05/01(月) 10:22:01.21 ID:3Xd6qv400
セキュリティガバガバやぞ

画像の説明文

コメント(46)  
hacking-g4173cbb99_640

1: セイチャン(茸) [JP] 2023/04/21(金) 13:46:51.01 ID:TFX5qSlv0 BE:422186189-PLT(12015)
ウエスタンデジタル(WDC)を標的とした大規模なサイバー攻撃は潜在的に深刻かつ長期的な影響を及ぼす可能性があります。

今週、ハッカーの1人がTechCrunchにサイバー攻撃の範囲を開示したようです。ハッカーは約10テラバイトのデータを盗んだが、その中で最も大きな被害をもたらす可能性があるのは「WDCのコードサイニング証明書」だと主張している。ハッカーは署名したニセファイルを公開し、2人のセキュリティ研究者もこのファイルを見て、同社の証明書で署名されていることに同意している。

WDCは、同社が2日に公表したこの攻撃の封じ込めと範囲確定に取り組んでいるため、今のところコメントを出していません。

しかし、ハッカーがアクセスしたコードやデータによっては、サイバー犯罪者が悪意のあるファームウェアを作成し、その真正性を保証するために署名された証明書を作成するという最悪のシナリオが考えられます。そうなると影響を受けたハードウェアの悪意のある活動を検出することが難しくなり実質的に価値がなくなってしまう可能性があります。

Slashdotのコメント欄には「WD製ドライブのファームウェアは現時点では信頼できないと考えるべき」という意見もありました。

ハッカーが何にアクセスし、どのように悪意のあるファームウェアを配信できたのかはまだ不明ですが、ある業界オブザーバーはeSecurity Planetに「最悪のシナリオはWDCが新しいASICと署名のインフラを必要とするだろう」「これは世界中のすべてのASICベンダーにとって警鐘を鳴らすべきものだ」「WDCは何が問題なのかを正確に、しかも迅速に伝える必要がある」と語っています。

https://www.esecurityplanet.com/threats/western-digital-cyber-attack/

2: セイチャン(茸) [JP] 2023/04/21(金) 13:48:08.84 ID:TFX5qSlv0 BE:422186189-PLT(12015)
HDDとSSDが値上がりするかも

画像の説明文

コメント(18)  
web-design-gabb772502_640

1: 七波羅探題 ★ 2023/04/05(水) 21:25:51.82 ID:/mh2eZYj9
JPCERT/CCと情報処理推進機構(IPA)は4月4日、文書作成ソフト「一太郎シリーズ」を含むジャストシステム製品に複数の脆弱性が見つかったと報告した。悪用されるとバッファオーバーフローによりアプリケーションが強制終了する恐れがある。

(中略)

ジャストシステムは同日に修正プログラムを公開。アップデートすることで対処できる。

l_mt1626333_UITYCXRECRFB2

(続きはこちら)
https://www.itmedia.co.jp/news/articles/2304/05/news130.html

5: ウィズコロナの名無しさん 2023/04/05(水) 21:28:15.28 ID:5xxj5RzL0
インターネット老人会へ激震

画像の説明文