「Android」スマホにハードウェアの脆弱性、4台に1台に影響のおそれ
多くの「Android」スマートフォンで見つかったハードウェア側のセキュリティ上の脆弱(ぜいじゃく)性により、ホワイトハットハッカーが端末に1分たらずで侵入できたことが、新たに報告された。侵入後は、メッセージや仮想通貨(暗号資産)ウォレットのシードフレーズなど、機密性の高いユーザーデータにアクセスできたという。 暗号資産セキュリティハードウェア企業Ledgerの研究部門であるDonjonが米国時間3月11日に公開したレポートによると、この脆弱性は、影響を受けるAndroid端末をUSBケーブルでノートPCに接続するだけで悪用できるという。悪用されると、端末のPINを総当たり方式で自動的に突破され、ストレージの暗号化を解除され、Kraken WalletやPhantomといった人気の仮想通貨ウォレットからシードフレーズを抜き取られるおそれもある。 Donjonによると、この脆弱性はハードウェ
SNMPのオープンソース実装「Net-SNMP」に緊急脆弱性、利用製品に影響及ぼす可能性
net-snmpの開発者らは12月23日(現地時間)、「Net-SNMP snmptrapd vulnerability · Advisory · net-snmp/net-snmp · GitHub」において、簡易ネットワーク管理プロトコル(SNMP: Simple Network Management Protocol)のオープンソース実装「Net-SNMP」から緊急の脆弱性が発見されたと報じた。 この脆弱性を悪用されると、認証されていないユーザーに遠隔からサービス運用妨害(DoS: Denial of Service)を実行される可能性がある。 Net-SNMP snmptrapd vulnerability · Advisory · net-snmp/net-snmp · GitHub 脆弱性に関する情報 脆弱性の情報は次のページにまとまっている。 ZDI-25-1181 | Ze
React Server Componentsの脆弱性 CVE-2025-55182(React2Shell)についてまとめてみた。 - piyolog
2025年12月3日、JavaScriptライブラリ Reactを開発するThe React Teamは、React Server Componentsに深刻な脆弱性が確認されたとして脆弱性情報を公開し、修正版への更新を案内しました。ここでは関連する情報をまとめます。 どんな脆弱性が確認されたの? React Server Function のFlightプロトコルにおいて、信頼できないデータのデシリアライズに関する脆弱性 が確認された。この脆弱性は認証不要でリモートから悪用が可能であり、リモートコード実行(RCE) に至る恐れがある。深刻度は 緊急(CVSS 基本値 10.0) と評価されており、開発元は利用者に対して速やかな対応を呼びかけている。 React はエンタープライズ環境を含む幅広いシステムで採用されており、日本国内でも React を用いたシステムを公開しているホストが多数
国内における脆弱性関連情報を取り扱う全ての皆様へ – 情報セキュリティ早期警戒パートナーシップガイドラインに則した対応に関するお願い – (METI/経済産業省)
昨今の国内における報道等での脆弱性関連情報の取扱いを踏まえて、今般、経済産業省、独立行政法人情報処理推進機構(IPA)、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)及び国家サイバー統括室から、国内の脆弱性関連情報を取り扱う全ての皆様(脆弱性関連情報の発見者、製品開発者やウェブサイト運営者、報道機関その他産業界の皆様等)に向けて、「情報セキュリティ早期警戒パートナーシップガイドライン」に則した対応に関するお願いについてお伝えします。 経済産業省では、経済社会の活力の向上及び持続的発展並びに国民の皆様が安全で安心して暮らせる社会の実現に資することを目的として、ソフトウェア等の脆弱性(※1)を悪用した不正アクセス行為やコンピュータウイルスによる企業活動の停止や情報資産の滅失、個人情報の漏えい等の被害発生を抑制するため、脆弱性関連情報(※2)が発見された場合にそれらをど
脆弱性情報、勝手に開示しないで 経産省などがクギを刺す FeliCaの事例念頭か
経済産業省は9月9日、報道におけるソフトウェアなどの脆弱性情報の取り扱いについて、改めて「情報セキュリティ早期警戒パートナーシップガイドライン」に即した対応を求める声明を出した。8月28日に共同通信が報じた「FeliCa」の事例が念頭にあるとみられる。 このガイドラインでは、発見された脆弱性情報は関係者の間のみで管理され、検証と対策実施が済んでから公表する手順になっている。脆弱性が悪用される可能性を低減させるための措置だ。 しかしFeliCaの件では、IPAやソニーが脆弱性に関する情報を公開していなかったにも関わらず、脆弱性の発見者に取材した報道機関が大々的に報じた。発見者は7月に脆弱性について報告していた。 経産省は、脆弱性の発見者はIPAへの届出を行い、正当な理由がない限り関連情報を第三者に開示しないこと、正当な理由により開示が必要な場合でも、事前にIPAに相談するように求めた。併せて
Ubuntu・RHEL・Fedoraに新たなLinux脆弱性、コアダンプ経由でパスワードハッシュ窃取が可能に
Ubuntu・RHEL・Fedoraに新たなLinux脆弱性、コアダンプ経由でパスワードハッシュ窃取が可能に Qualys脅威研究ユニット(TRU)は2025年5月31日、Ubuntu、Red Hat Enterprise Linux、FedoraのコアダンプハンドラーであるapportとSystemd-coredumpに2つの情報漏洩脆弱性を発見したと発表した。 CVE-2025-5054(CVSSスコア4.7)はCanonical apportパッケージ2.32.0以下に存在するレースコンディション脆弱性で、ローカル攻撃者がネームスペースを活用してPID再利用により機密情報を漏洩させることを可能にする。 CVE-2025-4598(CVSSスコア4.7)はSystemd-coredumpのレースコンディション脆弱性で、攻撃者がSUIDプロセスを強制的にクラッシュさせ非SUIDバイナリに
Google、無料オープンソース脆弱性スキャンツール「OSV-Scanner V2.0.0」公開 コンテナスキャンに対応、その他の新機能は?
Googleは2025年3月17日(米国時間)、オープンソース開発者が自分のプロジェクトに関連する脆弱(ぜいじゃく)性情報にアクセスできる無料ツール「OSV-Scanner」の最新版「OSV-Scanner V2.0.0」の提供を開始した。 OSV Scanner V2.0.0では、2025年1月にオープンソース化した「OSV-SCALIBR」(ソフトウェア構成分析支援ライブラリ)の機能を初めて統合し、複数の新機能が追加されている。 「開発者やセキュリティチームが脆弱性管理をシンプルかつ効率的にすることを目標に、OSV-Scannerに新機能を多数追加した。幅広いフォーマットやエコシステムをサポートする、より包括的な脆弱性スキャナーおよび脆弱性修正ツールに進化した」と、Googleは述べている。 OSV-Scanner V2.0.0の新機能 OSV-SCALIBRによる依存関係抽出の強化
Linuxカーネルに深刻度「重要」の脆弱性 PoCエクスプロイトコードも公開済み
この脆弱性を悪用するには攻撃者が特別に細工したHFS+ファイルシステムをシステムにマウントさせる必要がある。しかし通常はファイルシステムのマウントは管理者権限が必要となるため、悪用の難易度は比較的高い。 ただし一部の「Linux」のディストリビューションではユーザーがループバックデバイスを作成し、ISOやディスクイメージをマウントできる設定になっている。この場合、攻撃者は悪意のあるファイルシステムイメージをユーザーにマウントさせることで脆弱性を悪用できる可能性がある。Ubuntuのデスクトップ環境ではローカルユーザーがudisks2を利用して特定のファイルシステムを自動マウントできる設定がデフォルトで有効になっている場合がある。 SSD Secure Disclosureはこの脆弱性を実証するPoC(概念実証)エクスプロイトコードを公開している。このエクスプロイトは「Linux Kerne
不機嫌ハラスメント、20~30代「夫が謝る」特に多く 親密性調査:朝日新聞
夫婦間で一方が不機嫌になったときに、謝ったりご機嫌を取ったりする傾向は若い男性ほど強い――。そんな実態が、中央大の山田昌弘教授(家族社会学)たちが行った調査から浮かび上がった。パートナーが恒常的に不…
【セキュリティ ニュース】OSS監視カメラシステム「ZoneMinder」に深刻な脆弱性(1ページ目 / 全1ページ):Security NEXT
オープンソースの監視カメラシステム「ZoneMinder」に脆弱性が明らかとなった。 「同1.37」以降のバージョンに、SQLインジェクションの脆弱性「CVE-2024-51482」が存在することが明らかとなったもの。 特定のリクエストに含まれるパラメータが適切にエスケープ処理されていないため、データベースを制御され、データを改ざんされたり、漏洩するおそれがあるという。 開発者は、共通脆弱性評価システム「CVSSv3.1」のベーススコアを最高値である「10.0」、重要度を「クリティカル(Critical)」とレーティングしている。 開発チームは「同1.37.65」にて脆弱性を修正。利用者にアップデートを呼びかけている。 (Security NEXT - 2024/11/12 ) ツイート
ゼロデイ脆弱性でマツダ車のハッキングが可能、ZDIが警告(CVE-2024-8355、CVE-2024-8359他) | Codebook|Security News
ZDI、パッチ不在の脆弱性でマツダ車のハッキングが可能と警告(CVE-2024-8355、CVE-2024-8359他)SecurityWeek – November 8, 2024 トレンドマイクロが運営する脆弱性発見コミュニティ「Zero Day Initiative」(ZDI)は、マツダ車の複数モデルに搭載されているインフォテイメントシステムに数件の脆弱性が存在し、攻撃者にroot権限で任意のコードを実行される危険性などがあると警告した。 ZDIによると、これらの問題はマツダコネクトのコネクティビティ・マスタ・ユニット(CMU)システムがユーザー入力を適切にサニタイズしないために発生しており、攻撃者が特別に細工したUSBデバイスを接続することで同システムにコマンドを送信可能になるという。影響を受けるのは2014〜2021年モデルのMAZDA3とその他の車種で、欠陥が特定されたソフトウ
数億個のAMD製CPUに存在する深刻な脆弱性「Sinkclose」が報告、検出不可能なマルウェアインストールが可能となり、システムの廃棄が必要になる場合も | XenoSpectrum
数億個のAMD製CPUに存在する深刻な脆弱性「Sinkclose」が報告、検出不可能なマルウェアインストールが可能となり、システムの廃棄が必要になる場合も AMD製CPUに10年以上にわたって存在していた深刻な脆弱性「Sinkclose」が発見された。この脆弱性は、2006年以降に製造されたほぼ全てのAMD製プロセッサに影響を与え、システムの非常に奥深くに侵入することを可能とする物であり、場合によってはマシンの修復が不可能となり、マシン自体を廃棄する必要すらある程に深刻な物となっている。 Sinkclose はウイルス対策を回避し、OS の再インストール後も存続する Sinkcloseは、セキュリティ企業IOActiveの研究者Enrique Nissim氏とKrzysztof Okupski氏によって発見された。彼らは、AMDのドキュメントを何度も読み返す中で、この重大な脆弱性を見出した
OpenSSHの脆弱性 CVE-2024-6387についてまとめてみた - piyolog
2024年7月1日、OpenSSHの開発チームは深刻な脆弱性 CVE-2024-6387 が確認されたとしてセキュリティ情報を発出し、脆弱性を修正したバージョンを公開しました。この脆弱性を発見したQualysによれば、既定設定で構成されたsshdが影響を受けるとされ、影響を受けるとみられるインターネット接続可能なホストが多数稼動している状況にあると報告しています。ここでは関連する情報をまとめます。 概要 深刻な脆弱性が確認されたのはOpenSSHサーバー(sshd)コンポーネント。脆弱性を悪用された場合、特権でリモートから認証なしの任意コード実行をされる恐れがある。 悪用にかかる報告などは公表時点でされていないが、glibcベースのLinuxにおいて攻撃が成功することが既に実証がされている。発見者のQualysはこの脆弱性の実証コードを公開しない方針としているが、インターネット上ではPoC
【セキュリティ ニュース】Check Point機器の脆弱性、当初発表よりも影響大 - 国内で多数機器が稼働(1ページ目 / 全2ページ):Security NEXT
Check Point Software Technologiesのゲートウェイ製品にゼロデイ脆弱性「CVE-2024-24919」が明らかとなった問題。当初、パスワードのみを認証に使用する環境が攻撃対象になったと強調されていたが、より多くの利用者が影響を受ける可能性がある。国内では対象機器が多数稼働していると見られ、注意が必要だ。 「CVE-2024-24919」は、同社機器の「リモートアクスVPN」「モバイルアクセス」機能に判明した脆弱性。 同社が提供する「CloudGuard Network」「Quantum Maestro」「Quantum Scalable Chassis」「Quantum Security Gateway」「Quantum Spark Appliance」が影響を受ける。 Check Pointでは、現地時間5月27日にセキュリティアドバイザリを公開し、「CVE
OpenAIのGPT-4はCVEのセキュリティ勧告を読むことで実際の脆弱性を悪用できることが明らかに
OpenAIが開発する大規模言語モデル(LLM)のGPT-4は、一般公開されている脆弱(ぜいじゃく)性を悪用してサイバー攻撃を成功させることが可能であることが最新の研究により明らかになりました。 [2404.08144] LLM Agents can Autonomously Exploit One-day Vulnerabilities https://arxiv.org/abs/2404.08144 GPT-4 can exploit real vulnerabilities by reading advisories • The Register https://www.theregister.com/2024/04/17/gpt4_can_exploit_real_vulnerabilities/ LLM Agents can Autonomously Exploit One-da
NECの無線LANルータAtermシリーズに複数の脆弱性、59製品に影響
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は4月5日、「JVN#82074338: NEC Atermシリーズにおける複数の脆弱性」において、NECの無線LANルータAtermシリーズに複数の脆弱性が存在するとして、注意を呼びかけた。これら脆弱性を悪用されると、遠隔から攻撃者に任意のコマンドを実行される可能性があり注意が必要。 JVN#82074338: NEC Atermシリーズにおける複数の脆弱性 脆弱性に関する情報 脆弱性に関する情報は次のページにまとまっている。 NV24-001: セキュリティ情報 | NEC 公開された脆弱性(CVE)の情報は次のとおり。 CVE-2024-28005 - 攻撃者がTelnetでログインした場合、機器の設定を変
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「アサヒがファイアウォールではなくFAXに救われた事実を考えよ」――キンドリル、サイバーレジリエンスの重要性を強調
葬ったはずでは!? 「Internet Explorer」が蘇るゼロデイ脆弱性、Kasperskyが注意喚起/Windows 10/11の最新パッチを適用しておこう【やじうまの杜】
〈見た目バケモノ〉〈ヒステリーババア〉茨城県警幹部が筑波大・東野篤子教授への侮辱罪で家宅捜索されていた! | 文春オンライン
無料のメールソフト「Thunderbird 115.8.1」が公開 ~不具合や脆弱性を修正/自動更新の設定が無効になっているとタグの更新に失敗する問題の修正など
