Responsible disclosure とは

コンピュータセキュリティなどにおいて、責任ある開示は、脆弱性または問題が修正または修正されることができる一定の期間が経過した後にのみ、脆弱性または問題が開示される脆弱性開示モデルです。この期間は、モデルを完全な開示から区別します。
ハードウェアとソフトウェアの開発者は、間違いを修復するためにしばしば時間とリソースを必要とします。ハッカーやコンピュータセキュリティ科学者は、脆弱性を高い評価を得て一般に知らせることは、社会的責任であるとの見解を示しています。これらの問題を隠すことは、誤った安全を感じる可能性があります。これを回避するために、関係者は、脆弱性を修復し、将来の損害を防ぐ期間に同意し、同意します。脆弱性の潜在的な影響、緊急の修正または回避策の開発および適用に必要な予想される時間、およびその他の要素によっては、この期間は数日から数か月の間で異なる場合があります。インターネットを流通チャネルとして使用してソフトウェアを修正する方が簡単です。
責任感のある開示は、財政的に補償されることを期待しているセキュリティ研究者を満足させることはできませんが、補償を期待してベンダーへの脆弱性を報告するのは恐喝と見ることができます。脆弱性の市場が発達している間、脆弱性の商業化は、脆弱性の開示という概念に結びついて熱く議論されているトピックです。今日、商業脆弱性市場の主な2つの主な企業は、2003年に脆弱性貢献者プログラム(VCP)を開始したiDefenseと2005年に開始されたZDI(Zero Day Initiative)を持つTippingPointです。これらの組織は、材料は買った。 2003年3月から2007年12月の間に、MicrosoftとAppleに影響を及ぼす脆弱性の平均7.5%がVCPまたはZDIのいずれかによって処理されました。バグの賞金を支払って責任ある開示を財務的に支援する独立系企業には、Facebook、Google、Mozilla、Barracuda Networksなどがあります。
Vendor-secは責任公開のメーリングリストでした。すべてではないにしても、多くのCERTグループが責任ある開示を調整している。

Threat (computer) とは

コンピュータセキュリティでは、脅威は潜在的な脅威であり、脆弱性を悪用してセキュリティを侵害し、害を引き起こす可能性があります。
脅威は、「意図的」(すなわち、ハッキング:個々のクラッカーまたは犯罪組織)または「偶発的」(例えば、コンピュータの誤動作の可能性、または地震、火災、または災害のような自然災害の可能性竜巻)またはその他の状況、能力、行動、または出来事。

Covert channel とは

コンピュータセキュリティでは、秘密チャネルは、コンピュータセキュリティポリシーによって通信することが許可されていないプロセス間で情報オブジェクトを転送する機能を作成する攻撃の一種です。 Lampsonによって1973年に作成された用語は、COMPUSECによるアクセス制御の対象となる正当なチャネルと区別するために、「システム負荷に対するサービスプログラムの影響など、情報転送をまったく意図していない」チャネルとして定義されています。

Relay attack とは

コンピュータセキュリティにおけるリレー攻撃は、中間者やリプレイ攻撃に関連するハッキング技術の一種です。古典的な中間者攻撃では、攻撃者は一方の当事者によって開始された2者間の通信を傍受して操作します。古典的なリレー攻撃では、攻撃者は両方の当事者との通信を開始します。攻撃者は、2者間でメッセージを操作したり、必ずしもそれらを読み取ることなくメッセージを中継します。

Heap feng shui とは

コンピュータのセキュリティでは、heap feng shuiは、任意のコードの実行を容易にするためのエクスプロイトで使用される手法です。この技法は、慎重に選択されたサイズのヒープ割り当てを行うことによってヒープのレイアウトを操作しようとします。それは、宇宙の正確なアラインメントの選択を含む美学の古代中国システムである風水の名前を付けられています。

Windows Metafile vulnerability とは

Metafile Image Code ExecutionおよびMICEとも呼ばれるWindowsメタファイル脆弱性は、Microsoft Windowsオペレーティングシステムの一部のバージョンがWindowsメタファイル形式でイメージを処理する方法におけるセキュリティ上の脆弱性です。それは、ユーザの許可なしに、影響を受けるコンピュータ上で任意のコードを実行することを許可します。 2005年12月27日に発見され、影響を受けるコンピュータの最初のレポートは24時間以内に発表されました。マイクロソフトは2006年1月5日にWindows Updateを通じてこの脆弱性を排除するための優先度の高い更新プログラムをリリースしました。この脆弱性を利用する攻撃はWMFの悪用と呼ばれています。
この脆弱性はgdi32.dllにあり、Windows 3.0からWindows Server 2003 R2までのすべてのバージョンのMicrosoft Windowsに存在していました。ただし、攻撃ベースは、NTベースのWindows(Windows NT、Windows 2000、Windows XP、およびWindows Server 2003)にのみ存在します。 Windows NTベースのシステムでこの脆弱性を利用することで、通常はドライブバイダウンロードによるさまざまな種類のマルウェアの伝播が促進されました。
極端なインパクトのため、このバグは2007年のPwnie Awardで「Mass Onnage」と「Breaking the Internet」を受賞しました。

EternalBlue とは

ETERNALBLUE形式のEternalBlueは、以前のNSA従業員の証言に従って、米国国家安全保障局(NSA)によって開発された不正行為です。それは2017年4月14日のShadow Brokersハッカーグループによって流出され、2017年5月12日のWannaCryランサムウェアの全世界攻撃の一部として使用されました。この攻撃は、2017年6月27日に行われた2017年のNotPetyaサイバー攻撃2017年9月5日以降、Retefe banking trojanの一部として使用されることが報告されています。

Common Vulnerabilities and Exposures とは

Common Vulnerabilities and Exposures(CVE)システムは、既知の情報セキュリティ上の脆弱性や被ばくの参照方法を提供します。 Mitre Corporationが運営するNational Cyber​​security FFRDCは、米国国家安全保障省の国家サイバーセキュリティ部門からの資金提供を受けてシステムを維持しています。
セキュリティコンテンツ自動化プロトコルはCVEを使用し、CVE IDはMITERのシステムと米国の脆弱性データベースに記載されています。