日付 |
タイトル・内容 |
29日 |
|
|
|
PHPで作成されたWebアプリケーションにメールの送信機能を追加するためのライブラリ「PHPMailer」にOSコマンドインジェクションの脆弱性が存在し、攻撃コードが公開されている。
「PHPMailer 5.2.18 より前のバージョン」には、OSコマンドインジェクションの脆弱性(CVE-2016-10033)が存在する。この脆弱性が悪用されると、想定される影響はWebアプリケーションの実装によるが、Webアプリケーションの実行権限で任意のOSコマンドが実行される可能性がある。
【対応】
開発者が提供する情報をもとに最新版へアップデートが必要 |
|
IPA・JPCERT/CC |
|
|
|
28日 |
|
28日 |
|
27日 |
|
26日 |
|
26日 |
|
26日 |
|
22日 |
|
22日 |
|
22日 |
|
22日 |
|
|
|
セゾンカード会員向けサービス「セゾンNetアンサー」の利用者を狙ったフィッシング攻撃が11月に引き続き確認されている。偽サイトが大量に設置されており、フィッシング対策協議会では注意を呼びかけている。
偽サイトはデザインから真偽を判断するのは困難な状態。
確認されたフィッシング攻撃では、「重要:必ずお読みください」といった件名でメールを送信。
「第三者によるアクセスを確認した」と利用者の不安を煽り、暫定措置として利用者の登録IDを変更したとだまして偽サイトへ誘導し、ログインIDやパスワード、メールアドレスのほか、クレジットカードの番号や有効期限、セキュリティコードなどの入力を求めていた。
クレディセゾンでは、同様のデザインで個人情報の入力が必要となる「Netアンサー利用登録フォーム」を公開しており、正規サイトのデータが盗用されたものと見られる。11月に確認されたフィッシング攻撃でも同様のページが公開されていた。
同協議会によれば、誘導先のフィッシングサイトとして、すでに19件を確認しているという。いずれも閉鎖されているが、今後も類似した攻撃に対して注意するよう呼びかけている。 |
|
|
|
|
|
21日 |
|
21日 |
|
20日 |
|
20日 |
|
20日 |
|
19日 |
|
19日 |
|
19日 |
|
16日 |
|