[B! security][news] efclのブックマーク

efcl id:efcl

securityとnewsに関するefclのブックマーク (21)

Polyfill supply chain attack hits 100K+ sites
by Sansec Forensics Team Published in Threat Research − June 25, 2024 The new Chinese owner of the popular Polyfill JS project injects malware into more than 100 thousand sites. Update June 28th: We are flagging more domains that have been used by the same actor to spread malware since at least June 2023: bootcdn.net, bootcss.com, staticfile.net, staticfile.org, unionadjs.com, xhsbpza.com, union.m
efcl 2024/06/26
`polyfill.io`から読み込んでるコードにはマルウェア的なバックドアが含まれるようになったという話。

JavaScript

polyfill

security

news
リンク
ClassPad.net不正アクセスによる個人情報漏えいの経緯と対策状況について | ClassPad.net
個人情報漏えいの経緯と対策状況について" id="image-e8a288c005" class="cmp-image" it emscope it emtype="http://schema.org/ImageObject"> <span class=\"cmp-text--size-18\">カシオ計算機は、当社のICT教育アプリ﹁ClassPad.net︵クラスパッドドットネット︶﹂のシステムへの不正アクセスにより、﹁ClassPad.net﹂に登録されている国内外の一部のお客様の個人情報が外部に漏えいした件︵2023年10月18日公表︶について、本日までに実施した対策と、今後の対応についてご報告いたします。<br>\r\nお客様をはじめ関係者の皆様にご迷惑とご心配をおかけしておりますこと、改めて深くお詫び申し上げます。<br>\r\n <br>\r\n 当社は、今回の事態を深刻に受
efcl 2023/11/09
開発環境への不正アクセス + 開発環境に本番データがあった問題

security

news
リンク
An update on Chrome Security updates – shipping security fixes to you faster
The latest news and insights from Google on security and safety on the Internet
efcl 2023/08/14
Chrome 116から、2週間ごとのセキュリティリリースが1週間ごとのリリースへと短縮される。

Chrome

security

news
リンク
Discontinued · Issue #533 · patriksimek/vm2
efcl 2023/07/15
Node.jsの`vm`モジュールを使ったSandboxを実現する目的の`vm2`に構造的なSandbox Escapeの脆弱性があるため、メンテナンスを終了するというアナウンス。脆弱性のPoCは2023年8月ごろに公開されるため、isolated-vmのようなモジュールへ

node.js

security

library

issue

news
リンク
Node.js — Thursday February 16 2023 Security Releases
(Update 16-February-2023) Security releases available Updates are now available for the v19.x, v18.x, v16.x, and v14.x Node.js release lines for the following issues. OpenSSL Security updates This security release includes OpenSSL security updates as outlined in the recent OpenSSL security advisory. Impacts: All versions of the 19.x, 18.x, 16.x, and 14.x release lines. Node.js Permissions policies
efcl 2023/02/19
Node.jsのセキュリティアップデート。 Node.js v18.14.1 (LTS)/v19.6.1 (Current)/v16.19.1 (LTS)/v14.21.3 (LTS)がそれぞれリリースされている。

node.js

security

news
リンク
ケフィアグループの破産は28社、元代表2名も個人破産：東京商工リサーチ
日本経済の「現在」を理解するための手がかりとして、TSRが長年蓄積してきた企業情報、倒産情報および公開情報等に基づき、独自の視点に立った分析をまとめて発表しています。
efcl 2023/02/13
> 　上場市場別では、最多は東証プライムの111社（構成比74.0％）が全体の7割以上を占めた。大手企業が中心で、事業範囲や従業員数、顧客数も多く、サイバー犯罪に巻き込まれる可能性が高い。

security

news

company
リンク
CircleCI security alert: Rotate any secrets stored in CircleCI (Updated Jan 13)
CircleCI News Last Updated Mar 13, 2023 14 min read Security update 01/12/2023 - 00:30 UTC We have partnered with AWS to help notify all CircleCI customers whose AWS tokens may have been impacted as part of this security incident. Today, AWS began alerting customers via em ail with lists of potentially impacted tokens. The subject line for this em ail is [Action Required] CircleCI Security Alert to
efcl 2023/01/05
CircleCIのプロジェクトの環境変数とContextが漏洩した可能性がある。期間は2022年12月21日から2023年1月4日。 Projectに紐づく環境変数の一覧を出すスクリプト https://gist.github.com/azu/533a1cfb83e1040d77b6963c9004856d

CI

security

news
リンク
npm security update: Attack campaign using stolen OAuth tokens
Securitynpm security update: Attack campaign using stolen OAuth tokensnpm's impact analysis of the attack campaign using stolen OAuth tokens and additional findings. As of June 2, 2022, GitHub has completed directly notifying all impacted users for whom we were able to detect abuse from the attack on npm. If you have not received a notification directly from GitHub, we do not have evidence that yo
efcl 2022/05/28
HerokuとTravis CIからGitHub OAuth Tokenの流出に関連して、npmが管理していたプライベートリポジトリからAWSへのアクセスキーが盗まれ、npmの一部情報が漏洩した。 2015年のユーザー情報(ユーザー名/メールアドレス/パスワードハッ

npm

security

news
リンク
重要なお知らせ｜クレジットカードはUCカード
efcl 2021/11/26
クレジットカードの流出系のニュースがまとまってる

security

news
リンク
Security issue: compromised npm packages of ua-parser-js (0.7.29, 0.8.0, 1.0.0) - Questions about deprecated npm package ua-parser-js · Issue #536 · faisalman/ua-parser-js
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
efcl 2021/10/25
マルウェアを含むua-parser-js 0.7.29/0.8.0/1.0.0が公開されていたため、それぞれpatch versionとして0.7.30/0.8.1/1.0.1がリリースされた。

npm

security

issue

news
リンク
GitHub Advisory Database now powers npm audit
ProductSecurity GitHub Advisory Database now powers npm auditToday, we’re adding a proxy on top of the GitHub Advisory Database that speaks the `npm audit` protocol. This means that every version of the npm CLI that supports security audits is now talking directly to the GitHub Advisory Database. Supply chain security is one of the most important parts of software development today, and we want to
efcl 2021/10/18
`npm audit`がGitHub Advisory Databaseをみるようになった

npm

security

Github

news
リンク
The npm registry is deprecating TLS 1.0 and TLS 1.1
ProductThe npm registry is deprecating TLS 1.0 and TLS 1.1Beginning October 4, 2021, all connections to npm websites and the npm registry, including for package installation, must use TLS 1.2 or higher. Beginning October 4, 2021, all connections to npm websites and the npm registry—including for package installation—must use TLS 1.2 or higher. GitHub is committed to ensuring the security of our se
efcl 2021/08/25
npm registryでTLS 1.0とTLS 1.1を非推奨化し、2021年9月29日でサポートを終了する予定。 Node.js 0.10.0未満のバージョンを使っているケースやカスタムしたバイナリを使っているケースが対象となるがすでに99%はTLS 1.2を利用している

npm

Github

security

news
リンク
https://bugs.chromium.org/p/chromium/issues/detail?id=1065085
efcl 2021/08/02
Chrome 92でcross origin iframeからのalert/dialog/promptが無効化された。回避方法として、Chrome 96まで有効なReverse Origin Trial、ダイアログUIを自作する方法、postMessageを使って親ドキュメントでダイアログを出す方法など。

Chrome

security

DOM

news
リンク
私のセキュリティ情報収集法を整理してみた（2021年版） - Fox on Security
新年あけましておめでとうございます。毎年年頭に更新している﹁私の情報収集法﹂を今年も公開します。何かの参考になれば幸いです。インプットで参照している情報源︵海外︶海外からの攻撃が主流となる中、海外情報をいち早く把握する事の重要性が増している気がしますので、今年は海外情報源から書きたいと思います。昨年の記事では多くの海外サイトを紹介しましたが、試行錯誤の結果、まとめサイトでもある﹁morningstar SECURITY﹂や﹁DataBreaches.net﹂を押さえておけば、主要サイトが概ねカバーされると分かったので、今年は数を絞っています。サイトキタきつね寸評 morningstar SECURITY 去年と変わりませんが、情報の更新頻度、そして関連ソースの網羅性という意味では、英語系のセキュリティニュースとしては最良の情報ソースの1つかと思います。私は﹁Daily Secur
efcl 2021/01/08
セキュリティ系の情報源のまとめ

security

news
リンク
Resuming SameSite Cookie Changes in July
$200K 1 10th birthday 4 abusive ads 1 abusive notifications 2 accessibility 3 ad blockers 1 ad blocking 2 advanced capabilities 1 android 2 anti abuse 1 anti-deception 1 background periodic sync 1 badging 1 benchmarks 1 beta 83 better ads standards 1 billing 1 birthday 4 blink 2 browser 2 browser interoperability 1 bundles 1 capabilities 6 capable web 1 cds 1 cds18 2 cds2018 1 chrome 35 chrome 81
efcl 2020/05/31
7月14日にリリース予定のChrome 84安定版に合わせて、一時的に停止していたSameSite Cookieのロールアウトが再開される予定

Chrome

security

news
リンク
Temporarily rolling back SameSite Cookie Changes
$200K 1 10th birthday 4 abusive ads 1 abusive notifications 2 accessibility 3 ad blockers 1 ad blocking 2 advanced capabilities 1 android 2 anti abuse 1 anti-deception 1 background periodic sync 1 badging 1 benchmarks 1 beta 83 better ads standards 1 billing 1 birthday 4 blink 2 browser 2 browser interoperability 1 bundles 1 capabilities 6 capable web 1 cds 1 cds18 2 cds2018 1 chrome 35 chrome 81
efcl 2020/04/04
Chrome 80で段階的にロールアウトされていたデフォルトをSameSite=Laxとする変更を、一時的にロールバックしてデフォルトを変更しないようにするとのこと。再展開は夏を目標にしている。

Chrome

news

security
リンク
Yarn support for security alerts
Open SourceProductSecurityYarn support for security alertsYarn now supports security alerts for public and private repositories. GitHub security alerts help developers stay on top of vulnerabilities that impact their dependencies. JavaScript developers already receive alerts for their NPM-based projects that use package.json and package-lock.json manifests. Now developers who use Yarn for dependen
efcl 2019/07/03
GitHub Security Alertがyarn.lockをサポート

Github

security

news

yarn
リンク
Secure Contexts Everywhere – Mozilla Security Blog
Since Let’s Encrypt launched, secure contexts have become much more mature. We have witnessed the successful restriction of existing, as well as new features to secure contexts. The W3C TAG is about to drastically raise the bar to ship features on insecure contexts. All the building blocks are now in place to quicken the adoption of HTTPS and secure contexts, and follow through on our intent to de
efcl 2018/01/16
Firefoxは今後に新しい機能(JavaScript、CSS、HTTP、フォーマットなど)に利用する際にはSecure Contexts(HTTPS)を必須にする方針について。新しいCSS color keywordのような既存部分の変更については例外とする場合があることについてなど

firefox

security

news

WebPlatformAPI
リンク
Sign in - Google Accounts
efcl 2018/01/04
ChromeやFirefoxなどはMeltdown/Spectre(CPUプロセッサに関する脆弱性)を受けて、一時的にSharedArrayBufferの無効化や軽減策として`performance.now()`などの挙動を変更する

JavaScript

security

news

browser
リンク
npm Blog Archive: New Package Moniker rules
The npm blog has been discontinued. Updates from the npm team are now published on the GitHub Blog and the GitHub Changelog. We’ve recently made some changes to how package naming works to better fight typosquatting, and help package authors pick names that stand out. You might have read our post earlier about typosquatting on the npm registry. We responded to this incident with some internal tool
efcl 2017/12/29
npmにパッケージをpublishする際のルールが変更された。パッケージ名に含まれる`.`、`-`、`_`の違いによる区別をしなくなった。 `react-native`と`react.native`を同じものとして扱い、タイプミスを狙った類似パッケージの公開を防

●npm

●news

●security
リンク
1 2 次のページ