Windows環境でコマンドインジェクションを引き起こす脆弱性、複数のプログラミング言語に影響：攻撃の成立条件は限定的

Flatt Securityは、複数のプログラミング言語に存在する、Windows環境でコマンドインジェクションを引き起こす脆弱性に関する解説を公式ブログの英語版で公開した。

» 2024年04月16日 08時00分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　サイバーセキュリティ関連サービスを手掛ける日本のFlatt Securityは2024年4月9日、複数のプログラミング言語に存在する、Windows環境でコマンドインジェクションを引き起こす脆弱（ぜいじゃく）性に関する解説を公式ブログの英語版で公開した。

　それによると、この脆弱性は、特定の条件が満たされた場合に、「CreateProcess」関数に間接的に依存するWindowsアプリケーションに対して攻撃者がコマンドインジェクションを実行できるというものだ。

　同社はこの脆弱性を「BatBadBut」と呼んでいる。バッチファイル（BATch files）に関する脆弱性であり、悪い（BAD）ものだが（BUT）、最悪ではないからだ。

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

「XZ Utils」にバックドア（CVE-2024-3094）の問題　Fedora、Debian、Alpine、Kali、OpenSUSE、Arch Linuxの開発版、実験版に影響
主要なLinuxディストリビューションなどで広く使用されている「XZ Utils」に、悪意あるコードが挿入された問題（CVE-2024-3094）が確認された。
データ侵害を防ぎたいなら、まずは経営陣を守れ　ベライゾン
ベライゾンジャパンは、「2023年度データ漏えい／侵害調査報告書」を公開した。それによるとランサムウェアはデータ侵害全体の24％を占め、インシデント対応にかかる費用はここ2年間で倍増しているという。
Log4j 2はオープンソースソフトウェアなんだから「問題を見つけたらあなたが直せ」？
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす！」の＠ITバージョン。第31列車は、「Log4j 2の脆弱性」です。※このマンガはフィクションです。