#usenix
LightNews LightNews
g0rosato.bsky.social
【論文速讀】| USENIX Security’25  PatchAgent:一種模仿人類專家的程序修復Agent
【論文速讀】| USENIX Security’25  PatchAgent:一種模仿人類專家的程序修復Agent
最新論文速讀,點擊詳閱!
www.headline01.com
November 9, 2025 at 2:48 AM
realsushidude.bsky.social
maybe? but also I recently watched part of some 2025 Usenix preso on disclosure (tm) history with a slide that said, roughly, "if you lived [during the disclosure wars] then complain to me afterward" and I can't remember the last time I felt so seen and unseen at the same time

correction: probably.
November 6, 2025 at 3:28 AM
campuscodi.risky.biz
-MrICQ arrested
-US sanctions DPRK money launderers
-India arrests CCTV hackers
-SesameOp malware abuses OpenAI API
-Curly COMrades APT returns
-AMD patches RDSEED failures
-Microsoft patches Teams bugs
-Android and Apple security updates
-KASLR not working on Android
-USENIX Security videos
November 5, 2025 at 9:34 AM
bisset.bsky.social
9 HOURS LEFT!

Election Night in America is important, but let's talk about our REAL main event: the #Usenix #SREcon Americas #CFP deadline!

srecon26americas.usenix.hotcrp.com

Get your talk in tonight so I'll have something better than elections to argue about over Thanksgiving. 🧵1
SREcon26 Americas
srecon26americas.usenix.hotcrp.com
November 4, 2025 at 11:32 PM
campuscodi.risky.biz
Talks from the USENIX Security 2025 security conference, which took place in August, are now available on YouTube

www.youtube.com/playlist?lis...
USENIX Security '25 (Paper Presentations) - YouTube
www.youtube.com
November 4, 2025 at 12:15 AM
adamshostack.bsky.social
Risk isn’t a hammer—and most problems aren’t nails.

I show why quantifying risk won’t fix cyber’s hardest decisions at USENIX '25.

🔨 tinyurl.com/4dj5mj3w
USENIX Security '25 (Enigma Track) - Risk Is Not a Hammer, and Most Hazards Aren't Nails
Risk Is Not a Hammer, and Most Hazards Aren't Nails Adam Shostack, Shostack + Associates "Risk management" has been given a privileged position in security, that of an axiomatic truth. It doesn't…
youtu.be
October 31, 2025 at 5:04 PM
adamshostack.infosec.exchange.ap.brid.gy
Risk isn’t a hammer—and most problems aren’t nails.

I show why quantifying risk won’t fix cyber’s hardest decisions at USENIX '25.

🔨 https://tinyurl.com/4dj5mj3w
USENIX Security '25 (Enigma Track) - Risk Is Not a Hammer, and Most Hazards Aren't Nails
Risk Is Not a Hammer, and Most Hazards Aren't NailsAdam Shostack, Shostack + Associates"Risk management" has been given a privileged position in security, th...
www.youtube.com
October 31, 2025 at 5:04 PM
tfjmp.bsky.social
We’ve released a new version of PIDSMaker, first introduced in our USENIX Security paper [a]!

Special thanks to our first external contributor, Lorenzo Guerra [b] (Telecom Paris), for Apptainer/Singularity support.

1/3
October 31, 2025 at 4:02 PM
bluesky.awakari.com
USENIX Security '25 - EchoLLM: LLM-Augmented Acoustic Eavesdropping Attack on Bone Conduction...

Interest | Match | Feed
Origin
www.youtube.com
October 30, 2025 at 10:09 PM
bluesky.awakari.com
USENIX Security '25 - SOFT: Selective Data Obfuscation for Protecting LLM Fine-tuning against...

Interest | Match | Feed
Origin
www.youtube.com
October 30, 2025 at 10:09 PM
cail.bsky.social
USENIX, too
October 30, 2025 at 8:29 AM
aashiks.bsky.social
mickens.seas.harvard.edu/wisdom-james...

Read the USENIX papers. Be prepared for uncontrollable, tummy aching laughter.
The Wisdom of James Mickens
USENIX articles, Monitorama, NDC Oslo, Oredev
mickens.seas.harvard.edu
October 27, 2025 at 2:38 PM
akapugs.bsky.social
50 years ago today: My first #UNIX users' group conference - the organization that became #USENIX.
October 27, 2025 at 1:58 PM
aka-pugs.mastodon.social.ap.brid.gy
50 years ago today: My first #unix users' group conference - the organization that became #usenix.
October 27, 2025 at 1:58 PM
adamshostack.infosec.exchange.ap.brid.gy
Usenix Enigma talks, including mine, are now live on their Youtube channel.

https://www.youtube.com/watch?v=6rzLuq3XDA0&list=PLbRoZ5Rrl5lfGHokS3h6spFPk_COZJHQl&index=8
October 22, 2025 at 10:37 PM
cursed.monster
This isn’t just at academic publishers. One of my coworkers presented slides at Usenix Security recently and the slide deck loaded by the organizers had been completely “reinterpreted” (read: ruined) by an LLM, and he was not the only one.
October 22, 2025 at 2:06 PM
campuscodi.risky.biz
Talks from Usenix WOOT 2025: www.youtube.com/playlist?lis...

Talks from Usenix VehicleSec 2025:
www.youtube.com/playlist?lis...
WOOT '25 - YouTube
www.youtube.com
October 19, 2025 at 11:28 AM
jade.packet.science
Reminds me of the NSO guy they sent to the audience when Citizen Lab did a talk about Pegasus at USENIX. Really creepy guy, definitely confirmed everything I thought about who would work there.
October 18, 2025 at 4:29 PM
benadida.com
My talk – "Building a Voting Machine Everyone Can Trust" – from USENIX Enigma is now up.

www.usenix.org/conference/u...

Thanks to USENIX Open Access!
Building a Voting Machine Everyone Can Trust | USENIX
www.usenix.org
October 17, 2025 at 4:16 PM
blackhatnews.tokyo
脆弱性スコアって何の役に立つの?ほとんど意味がない

セキュリティ企業Codificの共同創業者兼CEOであるアラム・ホヴェスピアン氏は、セキュリティ脆弱性を特定し脅威リスクを評価するための評価システムは見直しが必要だと述べています。 ホヴェスピアン氏は、CVE(共通脆弱性識別子)脆弱性識別番号システムを調査した結果、CVEの約3分の1は意味がないと主張しています。 彼の分析は、USENIXセキュリティシンポジウムの一環として8月に発表された学術研究を引用しています。論文「Confusing Value with Enumeration: Studying the Use of CVEs…
脆弱性スコアって何の役に立つの?ほとんど意味がない
セキュリティ企業Codificの共同創業者兼CEOであるアラム・ホヴェスピアン氏は、セキュリティ脆弱性を特定し脅威リスクを評価するための評価システムは見直しが必要だと述べています。 ホヴェスピアン氏は、CVE(共通脆弱性識別子)脆弱性識別番号システムを調査した結果、CVEの約3分の1は意味がないと主張しています。 彼の分析は、USENIXセキュリティシンポジウムの一環として8月に発表された学術研究を引用しています。論文「Confusing Value with Enumeration: Studying the Use of CVEs in Academia」(Moritz Schloegelら)は、過去5年間に研究論文で引用された1,803件のCVEのうち34%が、公開で確認されていないか、脆弱とされたソフトウェアプロジェクトの管理者によって異議が唱えられていると報告しています。著者らは、CVEを主張される脆弱性の実世界での影響の代替指標として扱うべきではないと主張しています。 CVEは、セキュリティ研究者がCVE番号付与機関(CNA)に脆弱性を報告することで始まります。CNAは、当初はMITREが担当していましたが、その後他の組織(例:Microsoft)にもCNAの地位を拡大しました。CNAは提出内容を審査・検証し、CVE番号を割り当て、最終的に詳細を公開することになっています。 CNAには企業、オープンソースのメンテナー、財団、サービスプロバイダー、脆弱性研究者、国家コンピュータセキュリティインシデント対応チーム(CSIRT)などが含まれます。CNAはまた、CNA-LR(最終手段のCVE番号付与機関)にCVEの割り当てを委任することもできます。例えばRed Hatなどがこれに該当し、CNAの代理として自らの範囲外のCVEを割り当てたり詳細を公開したりできます。 ホヴェスピアン氏は、CVE割り当てシステムには動機の不一致があると述べています。 「脆弱性研究者は、自身の評判を高めるためにできるだけ多くのCVEを公開しようとする傾向があります」とホヴェスピアン氏は自身の投稿で書いています。「一方で、製品のCNAは自社ソフトウェアの欠陥をさらすCVEを作成する動機がほとんどありません。その一方で、CNA Last Resortは徹底的な検証のための技術的背景が不足していることが多く、正確さよりも迅速な公開を優先しがちです。」 その結果、開発者はこれらの報告に対応しなければならず、異議を唱えるのが難しく、正確性や妥当性に欠ける場合もあります。 ホヴェスピアン氏はまた、脆弱性の重大度をランク付けするためのCVSS(共通脆弱性評価システム)についても調査しました。彼はこれらのスコアが一貫性に欠けていると主張し、「研究によれば、CVEの40%以上が、同じ人物によってわずか9か月後に再評価された際に異なるスコアを受けている」と指摘しています。 また、CVSSスコアで計算を行うことは数学的に正当ではないとも主張しています。CVSSの序数的な数字は脆弱性のリスト内での位置を示すだけであり、本来はセキュリティツールの計算やアルゴリズムで定量的な値として扱うべきではありません。 CVEシステムの問題の例として、ドイツの博士課程学生フロリアン・ハントケ氏が、誰も使っていない廃止されたシステムに対してCVEを作成した事例を挙げています。この脆弱性は当初9.1のCVSSスコアを受けましたが、その後引き下げられました。ハントケ氏は自身の経験をブログ記事で記録し、「CVEの認識と価値を再調整する必要がある」と結論付けています。 ホヴェスピアン氏はまた、CVSSスコア10点中9.8を受けた後に3.3に引き下げられたcurlの脆弱性報告の問題も挙げています。 人気のコマンドラインツールcurlの作成者兼メンテナーであるダニエル・ステンバーグ氏は、The Registerへのメールで、ホヴェスピアン氏の批判は実際の問題を指摘していると述べました。特に、単一のスコアではすべての利用シナリオを正確に反映できない多様な環境で使われる製品やプロジェクトにとっては大きな問題だといいます。 「CVSSは基本スコアを示すものであり、各自が自分の環境やリスク判断を加えるべきですが、実際にはそのように数字が使われていません」とステンバーグ氏は説明しました。 「これが、curlプロジェクトで私たちがCVSSスコアを一切提供しない理由の一つです。世界中で(悪用も含めて)使われる単一のスコアを信頼性を持って設定できるとは思いません。私はしばしば、LinuxカーネルのCNA責任者であるGreg と一緒にこの点を主張しています。彼もまた、自分たちが作成するCVEにはCVSSを設定しません。curlよりもはるかに多くの件数を扱っているにもかかわらずです。」 実際、ステンバーグ氏は今年初めにこのテーマについてブログ記事を書いています。タイトルは「CVSSは私たちにとって死んだも同然」です。 ホヴェスピアン氏は、脆弱性報告を評価する人々の手続き的な改善を主張する一方で、CVEやCVSSスコアにも一定の価値があることは認めています。 「CVEやCVSSが無価値というわけではありません」と彼はThe Registerに提供した声明で述べています。「これらは有用なインプットです。しかし、AppSec戦略全体の基盤にすべきではありません。リスクの共通理解から始め、脅威モデリングや文脈に即したトリアージに基づくべきです。脆弱性ダッシュボードも役立ちますが、科学的な視点で解釈されて初めて意味を持ちます。」® 翻訳元:
blackhatnews.tokyo
October 16, 2025 at 7:57 PM
aurore-fass.bsky.social
Last chance to (self-) nominate for USENIX Security'26 Artifact Evaluation Committee!
You should expect a low load of ~1 artifact for functionality/reproducibility assessments per cycle (max 3 for the whole year).

Please support Open Science and fill the form by Oct 17: forms.gle/WoYRX4govNY1... 🚀
(Self-)Nomination for the USENIX Security '26 Artifact Evaluation Committee (AEC)
For the seventh year, USENIX Security allows the evaluation of artifacts that support a paper: software, hardware, evaluation data and documentation, raw measurement data, raw survey results, mechaniz...
forms.gle
October 16, 2025 at 5:48 AM
ehershey.bsky.social
The 20th USENIX WOOT Conference on Offensive Technologies
October 16, 2025 at 3:44 AM
hacker.at.thenote.app
USENIX 2025: From Existential To Existing Risks Of Generative AI: A Taxonomy Of Who Is At Risk, What Risks Are Prevalent, And How They Arise

Creators, Authors and Presenters: Megan Li and Wendy Bickersteth, Carnegie Mellon University And In Collaboration With Ningjing Tang, Jaso…

#hackernews #news
USENIX 2025: From Existential To Existing Risks Of Generative AI: A Taxonomy Of Who Is At Risk, What Risks Are Prevalent, And How They Arise
Creators, Authors and Presenters: Megan Li and Wendy Bickersteth, Carnegie Mellon University And In Collaboration With Ningjing Tang, Jason Hong, Hong Shen, Hoda Heidari, and Lorrie Cranor Our thanks to USENIX for publishing their Presenter’s outstanding USENIX Enigma ’23 Conference content on the organization’s’ YouTube channel.
securityboulevard.com
October 12, 2025 at 3:49 AM
2rzikkbou3ntafnir2qmmse0gwz.activitypub.awakari.com.ap.brid.gy
USENIX 2025: From Existential To Existing Risks Of Generative AI: A Taxonomy Of Who Is At Risk, What Risks Are Prevalent, And How They Arise Creators, Authors and Presenters: Megan Li and Wendy Bic...

#CISO #Suite #Governance, #Risk #& #Compliance […]

[Original post on securityboulevard.com]
Original post on securityboulevard.com
securityboulevard.com
October 10, 2025 at 8:36 PM
hacker.at.thenote.app
USENIX 2025: PEPR ’25 – OneShield Privacy Guard: Deployable Privacy Solutions for LLMs

Creator, Author and Presenter: Shubhi Asthana, IBM Research

Our thanks to USENIX for publishing their Presenter’s outstanding USENIX Enigma ’23 Conference content on the organization’s’ …

#hackernews #llm #news
USENIX 2025: PEPR ’25 – OneShield Privacy Guard: Deployable Privacy Solutions for LLMs
Creator, Author and Presenter: Shubhi Asthana, IBM Research Our thanks to USENIX for publishing their Presenter’s outstanding USENIX Enigma ’23 Conference content on the organization’s’ YouTube channel.
securityboulevard.com
October 10, 2025 at 4:39 PM