汎用型自作PCまとめ

当ブログは5ちゃんねるから「自作PC」「ITニュース」「ガジェットネタ」関連の話題をまとめています。偶に「オーディオ」や「ゲーム」「プログラミング」などの雑談も。

    セキュリティ

    コメント(11)  
    hacker-2300772_1280

    79: Socket774 2020/03/26(木) 12:21:18.62 ID:Q/jPKSKt
    AMDの次世代GPUのソースコードが盗まれる、犯人は「100億円以上の価値がある」と買い手を募集

    チップメーカーのAMDが、AMDの次世代GPUアーキテクチャである「Navi」と、Xbox Series Xに採用されている「Arden GPU」に関連するソースコードが不正アクセスによって盗まれたと発表しました。
    盗み出されたソースコードの一部は一時的にGitHubで公開され、犯人は「情報は1億ドル(約110億円)の価値があり、買い手がいなければすべてリークする」と述べています。

    (続きはこちら)
    https://gigazine.net/news/20200326-amd-navi-arden-hacked/
    なんだこの犯人・・・
    85: Socket774 2020/03/26(木) 13:06:17.51 ID:avNt6vk3
    犯人は公開ってなぜかAMDにダメージ与える手法を
    選択してるから競合他社が怪しいってのはわかる

    画像の説明文

    コメント(1)  
    windows10_logo

    1: へっぽこ立て子@エリオット ★ 2020/03/24(火) 13:09:18.02 ID:CAP_USER
     Microsoftは米国時間3月23日、Windowsに遠隔での任意のコード実行が可能になる2件の未修正の脆弱性が存在することを明らかにした。既に修正プログラムの開発に着手しているが、脆弱性を悪用する限定的なサイバー攻撃が発生したとして、緩和策の実施を呼び掛けている。

     2件の脆弱性はAdobe Type Manager Libraryに存在し、Adobe Type 1 PostScript形式を不適切に処理してしまうことに起因する。脆弱性の悪用には、ユーザーに細工したドキュメントを開かせたり、Windowsのプレビューウィンドウで表示したりするなど複数の方法があるという。

    □マイクロソフト公式のページ
    ADV200006 | Type 1 フォント解析のリモートでコードが実行される脆弱性
    https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/ADV200006

    (続きはこちら)
    3: 名刺は切らしておりまして 2020/03/24(火) 13:12:36.33 ID:QZKJqqxS
    無駄な機能が多すぎるねん。なんだよ、プレビュー何とかって(´・ω・`)

    画像の説明文

    コメント(13)  
    registration-3938434_1280

    1: 以下、5ちゃんねるからVIPがお送りします 2020/03/20(金) 15:41:44.823 ID:sS7rbrEX0
    俺「じゃあ12345678」

    サイト「連番は駄目だよ!」

    俺「うーん」

    サイト「アルファベット入れてね!」

    俺「はい」

    サイト「アルファベットと英数字を混ぜ込んでね!」

    俺「うん」

    サイト「大文字と小文字を混ぜてね!」

    俺「・・・」

    サイト「記号も入れてね!」

    俺「もういいや」

    画像の説明文

    コメント(3)  
    personal-data-4667362_1280

    1: 田杉山脈 ★ 2020/03/11(水) 16:32:21.90 ID:CAP_USER
    新型コロナウイルス対策として様々な企業で在宅勤務が推奨される中、VPNに関する発言を耳にする機会が増えた。「大勢が使い始めたので速度が落ちた」「社内からの利用申請が急増した」といった恨み言が中心だが、興味深いものもあった。なんでも「グーグルはテレワークにVPNを使っていない」のだという。

     米グーグルは従業員が在宅勤務をする際にVPNを一切使っていない。インターネット経由で利用できるSaaS(ソフトウエア・アズ・ア・サービス)の「G Suite」などで業務が完結するから、といった単純な話ではない。開発システムや経理システムといったあらゆる種類の社内アプリケーションが全てインターネット経由で利用できるようになっているため、従業員はそもそもVPNを利用する必要がないのだという。

     同社はこうした社内事情を「BeyondCorp」という取り組みとしてWebサイトや論文で公開している。さらに2017年からはグーグルと同じ手法を一般企業が導入できるよう「Google Cloud」のセキュリティーサービスとして提供してもいる。論文を基にその詳細を見ていこう。

    脱VPNの背景に「ゼロトラスト」
     グーグルがVPNを使わなくなった背景には、いわゆる「ゼロトラスト・ネットワーク」の考え方があった。ネットワークは全て危険だと認識し、ネットワークの種類に基づいてアプリケーションへのアクセスを許可しないというのがゼロトラスト・ネットワークである。

    (続きはこちら)
    https://xtech.nikkei.com/atcl/nxt/column/18/00692/031000023/

    5: 名刺は切らしておりまして 2020/03/11(水) 16:39:24.86 ID:gvlNe09Z
    googleに限らず普通じゃないのか

    画像の説明文

    コメント(7)  
    windows10_logo

    484: Socket774 2020/03/12(木) 00:48:39.93 ID:gQcIAmHU
    Windows 10アップデート「KB4535996」に不具合、スリープ問題や故障報告多数

    Microsoftは2月27日(米国時間)、「February 27, 2020—KB4535996 (OS Builds 18362.693 and 18363.693)」において、Windows 10の印刷機能や検索ボックスレンダリングの不具合などを修正するアップデート「KB4535996」を公開した。このアップデートは主に次の不具合を修正するとされている。

    ・ノイズが多い環境で音声プラットフォームアプリケーションが数分間開かない問題
    ・Windows Mixed Reality (WMR)ホーム環境の画質を低下させる問題
    ・ActiveXコンテンツの読み込みを妨げる問題
    ・モダンスタンバイモード中のバッテリパフォーマンス
    ・ユーザーセッションが30分を超えるとMicrosoftナレータが機能しなくなる問題
    ・削除済みキーボードレイアウトがアップデート後にデフォルトとして追加される問題
    ・Windows検索ボックスが適切にレンダリングされない問題
    ・プリンタ設定のユーザーインタフェースが正しくレンダリングされない問題
    ・一部のアプリケーションがネットワークプリンタで印刷できない問題

    (続きはこちら)
    https://news.mynavi.jp/article/20200311-992583/

    さっきWin10のアップデートしちゃったけど・・

    485: Socket774 2020/03/12(木) 01:02:39.20 ID:HpsjZEnn
    windowsちゃんは何で更新する度に不具合をばらまいてしまうん?

    画像の説明文

    コメント(5)  
    intel_logo

    266: Socket774 (ワッチョイ 7e81-9blg) 2020/03/11(水) 17:09:22.71 ID:N7Lq1lW40
    Intel製CPUに新たな脆弱性「LVI」が判明、個人情報や企業の機密情報が流出する可能性も

    Intel製CPUに証明書やパスワードといった機密情報を抜き取られる危険性をもつ脆弱性「Load Value Injection(LVI)」が判明しました。LVIは2018年以降たびたび報告されているCPUの「投機的実行」や「アウトオブオーダー実行」に関する脆弱性のひとつで、個人のコンピューターにおいては個人情報の漏洩、複数のサービスが1つのCPUで稼働しているデータセンターなどでは、権限の低い仮想環境のユーザーによって、権限の高い仮想環境にあるデータが盗まれる危険性が指摘されています。

    LVI: Hijacking Transient Execution with Load Value Injection
    https://lviattack.eu/
    Intel CPUs vulnerable to new LVI attacks | ZDNet
    https://www.zdnet.com/article/intel-cpus-vulnerable-to-new-lvi-attacks/
    LVI Attacks: New Intel CPU Vulnerability Puts Data Centers At Risk
    https://thehackernews.com/2020/03/intel-load-value-injection.html

    今回の脆弱性「LVI」は、CPUの高速化を目的とした、条件分岐前に分岐後の処理を先読みして行う「投機的実行」や、処理が完了する前にその後の処理を先回りして行う「アウトオブオーダー実行」に関するもの。

    01_m


    (続きはこちら)
    https://gigazine.net/news/20200311-lvi-vulnerability/
    またか
    262: Socket774 (ワッチョイ 025c-ijWZ) 2020/03/11(水) 08:54:48.25 ID:zJL2cMgk0
    またSGX無効化したほうがいいですよレベルか
    SGXも足引っ張りまくりだなぁ

    画像の説明文

    コメント(2)  
    hacker-2300772_1280

    1: 首都圏の虎 ★ 2020/03/07(土) 23:14:39.81 ID:MCTJLapL9
    Wi-Fiデバイスに内蔵されたチップのバグにより、世界10億台ものスマホやタブレットの通信が傍受される潜在的脅威が浮上した。

    この脆弱性は、スロバキアのセキュリティ企業ESETが発見し、「Kr00k」と名づけられた。Kr00kは、BroadcommとCypress社製のWi-Fiチップのバグに起因する脆弱性だ。

    この2社のチップは、世界で最も利用されているもので、アップルのMacBookやiPad、iPhoneやアマゾンのキンドルやエコー、サムスンのGalaxyやグーグルのPixelでも採用されている。

    ESETによると、Kr00kはデバイス間通信で利用されるall-zero encryption key(すべてゼロ値の鍵)を引き金とし、サイバー犯罪者がネットワークパケットを解読可能にする脆弱性だという。

    (続きはこちら)
    https://headlines.yahoo.co.jp/article?a=20200306-00032770-forbes-sci
    10: 名無しさん@1周年 2020/03/07(土) 23:18:30.39 ID:GKTbOMwp0
    wifiの脆弱性 深刻なの多いな

    画像の説明文

    コメント(12)  
    intel_logo

    99: Socket774 (ワッチョイ abb1-PIr8) 2020/03/06(金) 16:08:10.96 ID:9kC0LphJ0
    Intel製のCPUには、2018年に「Meltdown」や「Spectre」、2019年には「SPOILER」など、ここ数年多くの脆弱性が判明しています。そうした脆弱性のひとつとして、Intel製CPUのセキュリティシステムである「Intel CSME」に見つかった、「すでに修正パッチを配布済み」の脆弱性が、実は完全には修正不可能なものであることが判明しました。この脆弱性を悪用すると、悪意のあるコードを特権レベルで実行できるほか、著作権保護技術のDRMの回避などが可能になります。

    Positive Technologies: Unfixable vulnerability in Intel chipsets threatens users and content rightsholders
    https://www.ptsecurity.com/ww-en/about/news/unfixable-vulnerability-in-intel-chipsets-threatens-users-and-content-rightsholders/
    Positive Technologies - learn and secure : Intel x86 Root of Trust: loss of trust
    http://blog.ptsecurity.com/2020/03/intelx86-root-of-trust-loss-of-trust.html
    5 years of Intel CPUs and chipsets have a concerning flaw that’s unfixable | Ars Technica
    https://arstechnica.com/information-technology/2020/03/5-years-of-intel-cpus-and-chipsets-have-a-concerning-flaw-thats-unfixable/
    Intel CSME bug is worse than previously thought | ZDNet
    https://www.zdnet.com/article/intel-csme-bug-is-worse-than-previously-thought/

    Intel CSMEはコンピューターがブートする初期段階で動作し、UEFIやBIOS、WindowsのBitLockerなど、Intelの製品をベースとした暗号化機能の中枢を担っているほか、DRMやTPMなど、コンピューターの個体識別にも利用されているセキュリティシステムです。

    Intelは2019年5月にIntel CSMEに関する脆弱性「CVE-2019-0090」を修正するファームウェアパッチ「INTEL-SA-00213」をリリース。当時はCPUに物理的なアクセスができる場合に限り、特権レベルでのコードが実行できる脆弱性だと説明されていました。このパッチは、外部入力の処理を行うISHを経由したIntel CSMEへの攻撃を防ぐことができるとのこと。

    INTEL-SA-00213
    https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00213.html
    02_m

    しかし、セキュリティ企業のPositive Technologiesの研究者が調査した結果、Intel CSMEが起動時にブートROM上で保護されていないことが判明。ISHを経由せずとも、ブートROM読み込み時であれば、悪意のあるコードを実行やDRM回避のほか、USBキーボードからの入力を不正に取得することができることがわかりました。

    (続きはこちら)
    https://gigazine.net/news/20200306-intel-csme-vulnerability/

    105: Socket774 (ワッチョイ 9fbe-Lqe9) 2020/03/06(金) 18:08:05.58 ID:9PKsu1vL0
    パッチあてたと思ったら実は直ってなかったってもうどうすればええんや・・・

    画像の説明文

    コメント(1)  
    NVIDIA_logo

    82: Socket774 (ワッチョイ ca3a-vXeH) 2020/03/02(月) 10:46:27.71 ID:OU6j65j00
    WindowsのGeForceユーザーはv442.50への更新を

      米NVIDIAは2月28日(現地時間)、自社製品のセキュリティ情報を公開した。同社製GPUのディスプレイドライバーと仮想GPU(vGPU)ソフトウェアに複数の脆弱性が存在するという。

     同社が公開したセキュリティ情報によると、GPUディスプレイドライバーで修正された脆弱性は2件。いずれもコントロールパネルコンポーネントに関連する欠陥(CVE-2020-5957、CVE-2020-5958)で、最大の深刻度は“CVSS V3”の基本値で“8.4”。Windows環境の“GeForce”、“Quadro”、“NVS”および“Tesla”に影響し、“GeForce”ディスプレイドライバーの場合、v442.50へのアップデートが推奨されている。

    (続きはこちら)
    https://forest.watch.impress.co.jp/docs/news/1238108.html

    83: Socket774 (ワッチョイ 1b76-p7ie) 2020/03/02(月) 15:18:33.59 ID:OilwnmY60
    脆弱性か
    更新しないと

    画像の説明文

    コメント(4)  
    fingerprint-2904774_1280

    1: ダサブビル(東京都) [GB] 2020/03/02(月) 09:19:27.15 ID:Lgpb7nVm0 BE:324419808-2BP(2000)
     パスワードは複雑にする必要はない。ただ長くすればいい??。米連邦捜査局(FBI)のそんな勧告が話題になっている。
    根拠としているのは、米国立標準技術研究所(NIST)がまとめた最新版のガイドライン。破られにくく、かつ覚えやすい文字列を作り出すため、パスワードではなく「パスフレーズ」の使用を勧めている。
     これまでパスワードといえば、アルファベットの大文字と小文字、数字や記号を使ってできるだけ複雑にするのが望ましいとされてきた。
    ところがNISTの勧告では、パスワードの複雑さよりも、長さの方が、ずっと大切だと説く。

    (続きはこちら)
    https://news.biglobe.ne.jp/it/0302/imn_200302_6983402844.html

    2: ビクテグラビルナトリウム(茸) [US] 2020/03/02(月) 09:20:59.04 ID:uNIG1S/c0
    長いと覚えられないってレスする気だろうが
    それなら4桁を複数回繰り返したらいい

    画像の説明文

    コメント(11)  
    microsoft_defender_logo

    1: 田杉山脈 ★ 2020/02/25(火) 17:32:23.83 ID:CAP_USER
    マイクロソフトは、Linuxに対応したマルウェア対策ソフトウェア「Microsoft Defender ATP for Linux」のパブリックプレビューを発表しました。

    同社はWindows用のMicrosoft Defender ATPに加え、Microsoft Defender ATP for Macもすでに提供しています。新たにLinux対応を行うことで、Windows、Mac、Linuxという主要なデスクトップOSのエンドポイントセキュリティをカバーすることになります。

    下記はLinux対応の発表文からの引用です。

    Today, we’re announcing another step in our journey to offer security from Microsoft with the public preview of Microsoft Defender ATP for Linux. Extending endpoint threat protection to Linux has been a long-time ask from our customers and we’re excited to be able to deliver on that.

    本日、私たちが提供するセキュリティについてさらに大きな一歩を踏み出すことを、Microsoft Defender ATP for Liunxパブリックプレビューとして発表します。エンドポイントにおける脅威からの保護をLinuxにまで拡張することは、多くのお客様から望まれていたことでした。これを発表することができて大変うれしく思います。

    Microsoft Defender ATPとは、Windows 10に搭載されている Windows Defenderのマルウェア対策やアンチウイルス機能に加えて、それぞれのマシンの情報をクラウド上で統合し、セキュリティインシデント情報の一元管理と分析などを行うエンドポイントセキュリティ対策の統合基盤となっています。

    (続きはこちら)
    https://www.publickey1.jp/blog/20/linuxmicrosoft_defender_atp_for_linux.html

    3: 名刺は切らしておりまして 2020/02/25(火) 17:46:21.29 ID:1Coin7fh
    Windows系のウィルスもLinuxサーバー上で手軽に検出できたりしたら便利かな。

    画像の説明文

    コメント(5)  
    hacker-2300772_1280

    1: ホロファガ(宮城県) [US] 2020/02/23(日) 12:28:44.01 ID:C6XPlt2i0● BE:601381941-PLT(13121)
    スプレッドシートに時限式のバグを混入させて仕事を失わないようにしたエンジニアに有罪判決が下る

    多くのIT労働者はハードウェアやソフトウェアの変更に伴って仕事を失うことに危機感を覚えており、継続的に仕事を受注することは非常に重要です。アメリカ・ペンシルベニア州に住むデヴィッド・ティンリーという男は、「スプレッドシートに時限式のバグを埋め込む」ことで継続的に仕事を受注してきましたが、結果的にバグを仕掛けたことが判明して有罪判決を受けてしまいました。

    Siemens Contract Employee Intentionally Damaged Computers by Planting Logic Bombs into Programs He Designed | USAO-WDPA | Department of Justice
    https://www.justice.gov/usao-wdpa/pr/siemens-contract-employee-intentionally-damaged-computers-planting-logic-bombs-programs

    Siemens contractor pleads guilty to planting logic bomb in company spreadsheets | ZDNet
    https://www.zdnet.com/article/siemens-contractor-pleads-guilty-to-planting-logic-bomb-in-company-spreadsheets/

    Contractor admits planting logic bombs in his software to ensure he’d get new work | Ars Technica
    https://arstechnica.com/tech-policy/2019/12/contractor-admits-planting-logic-bombs-in-his-software-to-ensure-hed-get-new-work/

    (続きはこちら)
    https://gigazine.net/news/20200223-logic-bomb-ensure-new-work/

    9: アキフェックス(茸) [SA] 2020/02/23(日) 12:35:04.94 ID:o9qsuZZL0
    こういうのは想像だけにしとけよ馬鹿

    画像の説明文