Tech Insights

【CVE-2024-47543】GStreamer 1.24.10未満でバッファ境界外読み取りの脆弱性が発見、最大4GBのメモリ読み取りの可能性

【CVE-2024-47543】GStreamer 1.24.10未満でバッファ境界外読み取り...

GitHubは2024年12月11日、マルチメディアライブラリGStreamerにおいてバッファ境界外読み取りの脆弱性を発見したと発表。qtdemux_parse_container関数内での不適切なlengthパラメータ処理により、最大4GBのプロセスメモリ読み取りやセグメンテーション違反が発生する可能性がある。この問題はバージョン1.24.10で修正され、メモリアクセスの適切な制御が実装された。

【CVE-2024-47543】GStreamer 1.24.10未満でバッファ境界外読み取り...

GitHubは2024年12月11日、マルチメディアライブラリGStreamerにおいてバッファ境界外読み取りの脆弱性を発見したと発表。qtdemux_parse_container関数内での不適切なlengthパラメータ処理により、最大4GBのプロセスメモリ読み取りやセグメンテーション違反が発生する可能性がある。この問題はバージョン1.24.10で修正され、メモリアクセスの適切な制御が実装された。

【CVE-2024-47545】GStreamerがFOURCC_strfパース時の整数アンダーフロー脆弱性を修正、バージョン1.24.10で対応完了

【CVE-2024-47545】GStreamerがFOURCC_strfパース時の整数アンダ...

GStreamerにおいて、FOURCC_strfパース時の整数アンダーフローによるOOB-read脆弱性【CVE-2024-47545】が発見された。qtdemux.c内のqtdemux_parse_trak関数での減算処理において、整数アンダーフローが発生する可能性があり、これによりメモリの不正アクセスが引き起こされる危険性がある。CVSSスコアは6.9(MEDIUM)と評価されており、バージョン1.24.10で修正が完了している。

【CVE-2024-47545】GStreamerがFOURCC_strfパース時の整数アンダ...

GStreamerにおいて、FOURCC_strfパース時の整数アンダーフローによるOOB-read脆弱性【CVE-2024-47545】が発見された。qtdemux.c内のqtdemux_parse_trak関数での減算処理において、整数アンダーフローが発生する可能性があり、これによりメモリの不正アクセスが引き起こされる危険性がある。CVSSスコアは6.9(MEDIUM)と評価されており、バージョン1.24.10で修正が完了している。

【CVE-2024-12654】FabulaTech USB over Network 6.0.6.1にnull pointer dereferenceの脆弱性、ベンダー対応の遅れで深刻度が上昇

【CVE-2024-12654】FabulaTech USB over Network 6.0...

FabulaTech社のUSB over Network 6.0.6.1において、IOCTハンドラーライブラリftusbbus2.sysのfunction 0x220408でnull pointer dereferenceの脆弱性が発見された。CVSSスコア6.8のこの脆弱性は、ローカルからの攻撃によりサービス拒否を引き起こす可能性がある。VulDBによる早期の情報開示にもかかわらず、ベンダーからの応答が得られていない状況が続いている。

【CVE-2024-12654】FabulaTech USB over Network 6.0...

FabulaTech社のUSB over Network 6.0.6.1において、IOCTハンドラーライブラリftusbbus2.sysのfunction 0x220408でnull pointer dereferenceの脆弱性が発見された。CVSSスコア6.8のこの脆弱性は、ローカルからの攻撃によりサービス拒否を引き起こす可能性がある。VulDBによる早期の情報開示にもかかわらず、ベンダーからの応答が得られていない状況が続いている。

【CVE-2024-12658】IObit Advanced SystemCare Utimateにnullポインター参照の脆弱性、深刻な影響の可能性

【CVE-2024-12658】IObit Advanced SystemCare Utima...

IObit Advanced SystemCare Utimateのバージョン17.0.0以下に、深刻なnullポインター参照の脆弱性が発見された。AscRegistryFilter.sysライブラリのIOCTLハンドラーに存在するこの脆弱性は、CVSSスコア6.8を記録し、サービス拒否攻撃に悪用される可能性がある。エクスプロイトコードが公開されており、IObit社の対応の遅れが懸念される状況だ。

【CVE-2024-12658】IObit Advanced SystemCare Utima...

IObit Advanced SystemCare Utimateのバージョン17.0.0以下に、深刻なnullポインター参照の脆弱性が発見された。AscRegistryFilter.sysライブラリのIOCTLハンドラーに存在するこの脆弱性は、CVSSスコア6.8を記録し、サービス拒否攻撃に悪用される可能性がある。エクスプロイトコードが公開されており、IObit社の対応の遅れが懸念される状況だ。

【CVE-2024-12656】FabulaTech USB over Network 6.0.6.1でヌルポインタ参照の脆弱性が発見、ベンダーの対応が課題に

【CVE-2024-12656】FabulaTech USB over Network 6.0...

FabulaTech USB over Network 6.0.6.1のライブラリftusbbus2.sysのIOCTハンドラー機能において、ヌルポインタ参照の脆弱性が発見された。CVE-2024-12656として識別されるこの脆弱性は、CVSSスコア6.8を記録し、ローカルからの攻撃によってサービス拒否攻撃を引き起こす可能性がある。特に懸念されるのは、ベンダーが早期の通知に対して応答を行っていない点であり、ユーザーの安全性確保が課題となっている。

【CVE-2024-12656】FabulaTech USB over Network 6.0...

FabulaTech USB over Network 6.0.6.1のライブラリftusbbus2.sysのIOCTハンドラー機能において、ヌルポインタ参照の脆弱性が発見された。CVE-2024-12656として識別されるこの脆弱性は、CVSSスコア6.8を記録し、ローカルからの攻撃によってサービス拒否攻撃を引き起こす可能性がある。特に懸念されるのは、ベンダーが早期の通知に対して応答を行っていない点であり、ユーザーの安全性確保が課題となっている。

インテックがID認証サービス(認人)にプロビジョニング機能を追加、クラウドサービスのID管理効率化に貢献

インテックがID認証サービス(認人)にプロビジョニング機能を追加、クラウドサービスのID管理効...

インテックは2024年12月17日、クラウド型の認証基盤「ID認証サービス(認人)」に、クラウドサービスのID情報をデータ同期するプロビジョニング機能を追加することを発表した。2025年1月から提供開始予定の新機能により、ID情報の自動同期やユーザー管理の効率化が実現され、セキュリティの向上と運用負荷の軽減が期待される。

インテックがID認証サービス(認人)にプロビジョニング機能を追加、クラウドサービスのID管理効...

インテックは2024年12月17日、クラウド型の認証基盤「ID認証サービス(認人)」に、クラウドサービスのID情報をデータ同期するプロビジョニング機能を追加することを発表した。2025年1月から提供開始予定の新機能により、ID情報の自動同期やユーザー管理の効率化が実現され、セキュリティの向上と運用負荷の軽減が期待される。

堺市が中小企業向けセキュリティワークショップを開催、経営者と担当者それぞれに特化した実践的プログラムを提供

堺市が中小企業向けセキュリティワークショップを開催、経営者と担当者それぞれに特化した実践的プロ...

独立行政法人情報処理推進機構と関西サイバーセキュリティ・ネットワーク事務局が、令和7年2月13日に経営者向けインシデント対応机上演習と情報セキュリティ担当者向けリスク分析ワークショップを開催する。経営者向けにはランサムウェア対応、担当者向けにはリスク分析手法を学ぶ実践的な内容を提供。堺市産業振興センターで開催され、中小企業のセキュリティ対策強化を支援する。

堺市が中小企業向けセキュリティワークショップを開催、経営者と担当者それぞれに特化した実践的プロ...

独立行政法人情報処理推進機構と関西サイバーセキュリティ・ネットワーク事務局が、令和7年2月13日に経営者向けインシデント対応机上演習と情報セキュリティ担当者向けリスク分析ワークショップを開催する。経営者向けにはランサムウェア対応、担当者向けにはリスク分析手法を学ぶ実践的な内容を提供。堺市産業振興センターで開催され、中小企業のセキュリティ対策強化を支援する。

アイエスエフネットがMIERUBASEの新コースを開始、一般職向けの1時間セキュリティ教育で意識の底上げを促進

アイエスエフネットがMIERUBASEの新コースを開始、一般職向けの1時間セキュリティ教育で意...

株式会社アイエスエフネットは、セキュリティ教育サービス「MIERUBASE」に一般職向け1時間コースを新設した。従来のスタンダードコース5時間と2時間コースに加え、サイバーセキュリティの基礎から情報資産の流出対策まで学べる実践的なカリキュラムを提供する。オンサイトとWeb会議形式での受講が可能で、セキュリティ知識の習得と意識の底上げを目指す。

アイエスエフネットがMIERUBASEの新コースを開始、一般職向けの1時間セキュリティ教育で意...

株式会社アイエスエフネットは、セキュリティ教育サービス「MIERUBASE」に一般職向け1時間コースを新設した。従来のスタンダードコース5時間と2時間コースに加え、サイバーセキュリティの基礎から情報資産の流出対策まで学べる実践的なカリキュラムを提供する。オンサイトとWeb会議形式での受講が可能で、セキュリティ知識の習得と意識の底上げを目指す。

【CVE-2024-54048】Adobe Connect 12.6、11.4.7以前のバージョンにXSS脆弱性、リスクレベルは中程度と評価

【CVE-2024-54048】Adobe Connect 12.6、11.4.7以前のバージ...

Adobe Connectの複数バージョンでリフレクテッド型XSSの脆弱性が発見された。CVE-2024-54048として識別されるこの脆弱性は、攻撃者が細工したURLを通じて悪意のあるJavaScriptコードを実行可能。CVSSスコアは5.4で中程度のリスクと評価されており、利用者の関与が必要とされるものの、特権レベルは不要とされている。

【CVE-2024-54048】Adobe Connect 12.6、11.4.7以前のバージ...

Adobe Connectの複数バージョンでリフレクテッド型XSSの脆弱性が発見された。CVE-2024-54048として識別されるこの脆弱性は、攻撃者が細工したURLを通じて悪意のあるJavaScriptコードを実行可能。CVSSスコアは5.4で中程度のリスクと評価されており、利用者の関与が必要とされるものの、特権レベルは不要とされている。

サイバーエージェントがLANSCOPEプロフェッショナルサービスを導入、高度な技術力と柔軟な運用体制で年間数百件の脆弱性診断を実現

サイバーエージェントがLANSCOPEプロフェッショナルサービスを導入、高度な技術力と柔軟な運...

エムオーテックス株式会社は、株式会社サイバーエージェントにおけるLANSCOPEプロフェッショナルサービスの脆弱性診断サービス導入事例を発表した。2019年からの長期にわたる導入実績があり、高い技術力、柔軟なリソース調整、円滑なコミュニケーション力を評価されている。年間数百件の診断を安定的に実施し、サイバーエージェントのセキュリティ向上に貢献している。

サイバーエージェントがLANSCOPEプロフェッショナルサービスを導入、高度な技術力と柔軟な運...

エムオーテックス株式会社は、株式会社サイバーエージェントにおけるLANSCOPEプロフェッショナルサービスの脆弱性診断サービス導入事例を発表した。2019年からの長期にわたる導入実績があり、高い技術力、柔軟なリソース調整、円滑なコミュニケーション力を評価されている。年間数百件の診断を安定的に実施し、サイバーエージェントのセキュリティ向上に貢献している。

NECがWebSAM IT Process Management クラウド V2に生成AI連携オプションを追加、システム運用の効率化と品質向上を実現

NECがWebSAM IT Process Management クラウド V2に生成AI連携...

NECは、ITサービスマネジメントツール「WebSAM IT Process Management クラウド V2」に生成AI連携オプションを追加し、12月20日から販売を開始する。回答文の自動作成や対応履歴の要約表示、回答文のレビュー機能により、システム運用における問い合わせ対応とインシデント管理の効率化を実現。人的リソースの最適化と品質向上の両立を目指す。

NECがWebSAM IT Process Management クラウド V2に生成AI連携...

NECは、ITサービスマネジメントツール「WebSAM IT Process Management クラウド V2」に生成AI連携オプションを追加し、12月20日から販売を開始する。回答文の自動作成や対応履歴の要約表示、回答文のレビュー機能により、システム運用における問い合わせ対応とインシデント管理の効率化を実現。人的リソースの最適化と品質向上の両立を目指す。

【CVE-2024-43730】Adobe Experience Manager 6.5.21以前に格納型XSS脆弱性、悪意のあるスクリプト実行の危険性

【CVE-2024-43730】Adobe Experience Manager 6.5.21...

AdobeはAdobe Experience Manager 6.5.21以前のバージョンに格納型XSS(クロスサイトスクリプティング)の脆弱性が存在することを公開した。この脆弱性により、攻撃者は脆弱なフォームフィールドに悪意のあるスクリプトを注入し、ユーザーのブラウザ上で不正なJavaScriptを実行させることが可能になる。深刻度はCVSS v3.1で5.4(Medium)と評価されており、早急なアップデートが推奨される。

【CVE-2024-43730】Adobe Experience Manager 6.5.21...

AdobeはAdobe Experience Manager 6.5.21以前のバージョンに格納型XSS(クロスサイトスクリプティング)の脆弱性が存在することを公開した。この脆弱性により、攻撃者は脆弱なフォームフィールドに悪意のあるスクリプトを注入し、ユーザーのブラウザ上で不正なJavaScriptを実行させることが可能になる。深刻度はCVSS v3.1で5.4(Medium)と評価されており、早急なアップデートが推奨される。

【CVE-2024-43729】Adobe Experience Manager 6.5.21以前に認証の脆弱性が発見、セキュリティ対策の強化が必要に

【CVE-2024-43729】Adobe Experience Manager 6.5.21...

Adobe Experience Manager 6.5.21以前のバージョンにおいて、不適切な認証による権限昇格の脆弱性が確認された。CVE-2024-43729として識別されたこの脆弱性は、CVSSスコア6.5のミディアムレベルと評価され、攻撃者がユーザー操作なしでセキュリティ機能をバイパスし、不正アクセスを行える可能性がある。システム管理者による早急な対応が求められている。

【CVE-2024-43729】Adobe Experience Manager 6.5.21...

Adobe Experience Manager 6.5.21以前のバージョンにおいて、不適切な認証による権限昇格の脆弱性が確認された。CVE-2024-43729として識別されたこの脆弱性は、CVSSスコア6.5のミディアムレベルと評価され、攻撃者がユーザー操作なしでセキュリティ機能をバイパスし、不正アクセスを行える可能性がある。システム管理者による早急な対応が求められている。

【CVE-2024-43722】Adobe Experience Manager 6.5.21にDOM-based XSS脆弱性、特権レベルとユーザー操作が必要な攻撃の可能性

【CVE-2024-43722】Adobe Experience Manager 6.5.21...

Adobe Experience Manager 6.5.21以前のバージョンにDOM-based XSSの脆弱性が発見された。CVSSスコアは5.4(MEDIUM)で、攻撃には特権レベルとユーザーの操作が必要となる。攻撃者は細工されたURLやユーザー入力を通じてDOMを操作し、被害者のブラウザセッションで任意のスクリプトを実行できる可能性がある。対策として最新バージョンへのアップデートが推奨される。

【CVE-2024-43722】Adobe Experience Manager 6.5.21...

Adobe Experience Manager 6.5.21以前のバージョンにDOM-based XSSの脆弱性が発見された。CVSSスコアは5.4(MEDIUM)で、攻撃には特権レベルとユーザーの操作が必要となる。攻撃者は細工されたURLやユーザー入力を通じてDOMを操作し、被害者のブラウザセッションで任意のスクリプトを実行できる可能性がある。対策として最新バージョンへのアップデートが推奨される。

【CVE-2024-43720】Adobe Experience Manager 6.5.21以前にXSS脆弱性、DOM操作による任意のコード実行のリスクが発生

【CVE-2024-43720】Adobe Experience Manager 6.5.21...

Adobe Experience Manager 6.5.21以前のバージョンにDOMベースのクロスサイトスクリプティング脆弱性が発見された。CVSSスコアは5.4で中程度の深刻度とされ、攻撃者が被害者のブラウザセッション内で任意のコードを実行できる可能性がある。攻撃には特権レベルとユーザーの操作が必要で、悪意のあるリンクをクリックすることでリスクが発生する。

【CVE-2024-43720】Adobe Experience Manager 6.5.21...

Adobe Experience Manager 6.5.21以前のバージョンにDOMベースのクロスサイトスクリプティング脆弱性が発見された。CVSSスコアは5.4で中程度の深刻度とされ、攻撃者が被害者のブラウザセッション内で任意のコードを実行できる可能性がある。攻撃には特権レベルとユーザーの操作が必要で、悪意のあるリンクをクリックすることでリスクが発生する。

【CVE-2024-38921】ROS2とNav2にuse-after-free脆弱性を発見、リモート攻撃の可能性により即時対応が必要に

【CVE-2024-38921】ROS2とNav2にuse-after-free脆弱性を発見、...

Open RoboticsのROS2とNav2 humbleバージョンにおいて、nav2_amclプロセスにuse-after-free脆弱性が発見された。この脆弱性は特別な権限なしでリモート攻撃が可能であり、CVSSスコア9.8という深刻度の高い評価を受けている。攻撃は「/amcl z_rand」のdynamic-parameterの値変更により引き起こされ、システムのセキュリティに重大な影響を及ぼす可能性がある。

【CVE-2024-38921】ROS2とNav2にuse-after-free脆弱性を発見、...

Open RoboticsのROS2とNav2 humbleバージョンにおいて、nav2_amclプロセスにuse-after-free脆弱性が発見された。この脆弱性は特別な権限なしでリモート攻撃が可能であり、CVSSスコア9.8という深刻度の高い評価を受けている。攻撃は「/amcl z_rand」のdynamic-parameterの値変更により引き起こされ、システムのセキュリティに重大な影響を及ぼす可能性がある。

【CVE-2024-12653】FabulaTech USB over Network 6.0.6.1にNULLポインタ参照の脆弱性、ベンダー未対応のまま公開に

【CVE-2024-12653】FabulaTech USB over Network 6.0...

FabulaTech USB over Network 6.0.6.1のIOCTハンドラーライブラリftusbbus2.sysにおいて、機能0x22040Cに関連するNULLポインタ参照の脆弱性が発見された。CVSSスコア6.8(MEDIUM)と評価されるこの問題は、ローカルアクセスによる攻撃が可能で、CWE-476(NULLポインタ参照)およびCWE-404(サービス拒否)に分類される。ベンダーは早期の報告に対して未対応のまま公開された。

【CVE-2024-12653】FabulaTech USB over Network 6.0...

FabulaTech USB over Network 6.0.6.1のIOCTハンドラーライブラリftusbbus2.sysにおいて、機能0x22040Cに関連するNULLポインタ参照の脆弱性が発見された。CVSSスコア6.8(MEDIUM)と評価されるこの問題は、ローカルアクセスによる攻撃が可能で、CWE-476(NULLポインタ参照)およびCWE-404(サービス拒否)に分類される。ベンダーは早期の報告に対して未対応のまま公開された。

SSKがパロアルトネットワークスのCortex XSIAMに対応したセキュリティ運用監視サービスを2025年1月より提供開始、クラウド環境のセキュリティ強化へ

SSKがパロアルトネットワークスのCortex XSIAMに対応したセキュリティ運用監視サービ...

サービス&セキュリティ株式会社は2025年1月より、パロアルトネットワークスの自律型SOCプラットフォームCortex XSIAMを活用したセキュリティ運用監視サービスを開始する。24時間365日の監視体制とインシデント分析・遠隔処置を実施し、クラウド環境のセキュリティ強化を図る。約3,000を超えるプロジェクトでの実績を活かし、多様化するIT環境に対応したセキュリティサービスを展開する。

SSKがパロアルトネットワークスのCortex XSIAMに対応したセキュリティ運用監視サービ...

サービス&セキュリティ株式会社は2025年1月より、パロアルトネットワークスの自律型SOCプラットフォームCortex XSIAMを活用したセキュリティ運用監視サービスを開始する。24時間365日の監視体制とインシデント分析・遠隔処置を実施し、クラウド環境のセキュリティ強化を図る。約3,000を超えるプロジェクトでの実績を活かし、多様化するIT環境に対応したセキュリティサービスを展開する。

アイディルートコンサルティングが情報セキュリティサービス事業ブランドSecure Gen-Xをリリース、次世代のセキュリティ創造へ向け新たな一歩

アイディルートコンサルティングが情報セキュリティサービス事業ブランドSecure Gen-Xを...

アイディルートコンサルティングは2024年12月1日、情報セキュリティサービス事業ブランド「Secure Gen-X」をリリースした。CISOサービスで提供しているコンサルティングサービスメニューを内包し、次世代へ導く指針となりセキュリティの未来を創造することを目指している。2024年3月にチェンジホールディングスグループに参画し、サイバーセキュリティ分野のサービス強化を担う子会社として、製造・金融・製薬業界の大手企業向けにセキュリティ対策の導入支援を展開している。

アイディルートコンサルティングが情報セキュリティサービス事業ブランドSecure Gen-Xを...

アイディルートコンサルティングは2024年12月1日、情報セキュリティサービス事業ブランド「Secure Gen-X」をリリースした。CISOサービスで提供しているコンサルティングサービスメニューを内包し、次世代へ導く指針となりセキュリティの未来を創造することを目指している。2024年3月にチェンジホールディングスグループに参画し、サイバーセキュリティ分野のサービス強化を担う子会社として、製造・金融・製薬業界の大手企業向けにセキュリティ対策の導入支援を展開している。

SOMPOリスクとNaLaLysが不正行為検出AIを活用したコンプライアンス向上サービスを開始、早期発見と意識改革を支援

SOMPOリスクとNaLaLysが不正行為検出AIを活用したコンプライアンス向上サービスを開始...

SOMPOリスクマネジメントと株式会社NaLaLysが連携し、AIを活用した不正行為検知ツールとコンサルティングを組み合わせた新サービスを開始した。メールやチャットから不正の兆候を早期に発見し、従業員の意識改革から有事対応までを包括的に支援する。NaLaLysの最新AIと、SOMPOリスクの豊富な知見を組み合わせることで、企業の持続的な発展に貢献する。

SOMPOリスクとNaLaLysが不正行為検出AIを活用したコンプライアンス向上サービスを開始...

SOMPOリスクマネジメントと株式会社NaLaLysが連携し、AIを活用した不正行為検知ツールとコンサルティングを組み合わせた新サービスを開始した。メールやチャットから不正の兆候を早期に発見し、従業員の意識改革から有事対応までを包括的に支援する。NaLaLysの最新AIと、SOMPOリスクの豊富な知見を組み合わせることで、企業の持続的な発展に貢献する。

保健同人フロンティアが脆弱性管理クラウドyamoryを導入、セキュリティ対策の効率化と強化を実現

保健同人フロンティアが脆弱性管理クラウドyamoryを導入、セキュリティ対策の効率化と強化を実現

保健同人フロンティアが脆弱性管理クラウド「yamory」を導入し、セキュリティ対策を強化。自社開発のストレスチェックツール「HoPEサーベイ」のセキュリティ強化を目的に、脆弱性の自動検知とEOL管理機能を実装。AWS Marketplace経由での導入により、ライセンス契約の簡素化とスムーズな設定を実現した。ITシステム全体の網羅的なセキュリティ対策により、顧客へより安全なサービス提供が可能に。

保健同人フロンティアが脆弱性管理クラウドyamoryを導入、セキュリティ対策の効率化と強化を実現

保健同人フロンティアが脆弱性管理クラウド「yamory」を導入し、セキュリティ対策を強化。自社開発のストレスチェックツール「HoPEサーベイ」のセキュリティ強化を目的に、脆弱性の自動検知とEOL管理機能を実装。AWS Marketplace経由での導入により、ライセンス契約の簡素化とスムーズな設定を実現した。ITシステム全体の網羅的なセキュリティ対策により、顧客へより安全なサービス提供が可能に。

【CVE-2024-9845】Ivanti Automationに特権昇格の脆弱性、CVSSスコア7.8の深刻な問題に

【CVE-2024-9845】Ivanti Automationに特権昇格の脆弱性、CVSSス...

Ivantiは2024年12月11日、Ivanti Automationの2024.4.0.1未満のバージョンにおいて特権昇格の脆弱性が存在することを公表した。CVE-2024-9845として識別されるこの脆弱性は、CVSSスコア7.8と高い深刻度を示しており、ローカルで認証された攻撃者が特権昇格を達成する可能性がある。影響を受けるシステムの管理者には速やかなアップデートが推奨される。

【CVE-2024-9845】Ivanti Automationに特権昇格の脆弱性、CVSSス...

Ivantiは2024年12月11日、Ivanti Automationの2024.4.0.1未満のバージョンにおいて特権昇格の脆弱性が存在することを公表した。CVE-2024-9845として識別されるこの脆弱性は、CVSSスコア7.8と高い深刻度を示しており、ローカルで認証された攻撃者が特権昇格を達成する可能性がある。影響を受けるシステムの管理者には速やかなアップデートが推奨される。

【CVE-2024-54534】AppleがOS製品群全体でメモリ破損の脆弱性に対する包括的なセキュリティ修正を実施

【CVE-2024-54534】AppleがOS製品群全体でメモリ破損の脆弱性に対する包括的な...

Appleは2024年12月11日、watchOS、visionOS、tvOS、macOS、Safari、iOS/iPadOSの主要製品において、メモリ破損に関する重要な脆弱性(CVE-2024-54534)の修正を実施した。この脆弱性は悪意のあるWebコンテンツによってメモリ破損を引き起こす可能性があり、CVSS v3.1で8.8(High)のスコアが付けられている。改善されたメモリ処理機能の実装により、各製品の最新バージョンで問題を修正している。

【CVE-2024-54534】AppleがOS製品群全体でメモリ破損の脆弱性に対する包括的な...

Appleは2024年12月11日、watchOS、visionOS、tvOS、macOS、Safari、iOS/iPadOSの主要製品において、メモリ破損に関する重要な脆弱性(CVE-2024-54534)の修正を実施した。この脆弱性は悪意のあるWebコンテンツによってメモリ破損を引き起こす可能性があり、CVSS v3.1で8.8(High)のスコアが付けられている。改善されたメモリ処理機能の実装により、各製品の最新バージョンで問題を修正している。

【CVE-2024-54115】HuaweiのHarmonyOS 5.0.0にDASHモジュールの脆弱性、システムの可用性に影響の恐れ

【CVE-2024-54115】HuaweiのHarmonyOS 5.0.0にDASHモジュー...

Huaweiは2024年12月12日、HarmonyOS 5.0.0のDASHモジュールに範囲外読み取りの脆弱性が存在することを公表した。CVE-2024-54115として識別されるこの脆弱性は、CVSSスコア4.3のミディアムリスクに分類され、攻撃者による悪用でシステムの可用性に影響を与える可能性がある。CWE-754に分類されるこの問題に対し、Huaweiはセキュリティアップデートを提供している。

【CVE-2024-54115】HuaweiのHarmonyOS 5.0.0にDASHモジュー...

Huaweiは2024年12月12日、HarmonyOS 5.0.0のDASHモジュールに範囲外読み取りの脆弱性が存在することを公表した。CVE-2024-54115として識別されるこの脆弱性は、CVSSスコア4.3のミディアムリスクに分類され、攻撃者による悪用でシステムの可用性に影響を与える可能性がある。CWE-754に分類されるこの問題に対し、Huaweiはセキュリティアップデートを提供している。

【CVE-2024-53960】Adobe Experience Manager 6.5.21にXSS脆弱性、認証済みユーザーからの攻撃に要注意

【CVE-2024-53960】Adobe Experience Manager 6.5.21...

Adobe Experience Manager 6.5.21以前のバージョンに、ストアド型クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.4の中程度の深刻度と評価され、認証済みユーザーによる攻撃の可能性が指摘されている。この脆弱性により、攻撃者は脆弱なフォームフィールドに悪意のあるスクリプトを注入し、ユーザーのブラウザ上で実行させる可能性がある。早急なセキュリティアップデートの適用が推奨される。

【CVE-2024-53960】Adobe Experience Manager 6.5.21...

Adobe Experience Manager 6.5.21以前のバージョンに、ストアド型クロスサイトスクリプティングの脆弱性が発見された。CVSSスコア5.4の中程度の深刻度と評価され、認証済みユーザーによる攻撃の可能性が指摘されている。この脆弱性により、攻撃者は脆弱なフォームフィールドに悪意のあるスクリプトを注入し、ユーザーのブラウザ上で実行させる可能性がある。早急なセキュリティアップデートの適用が推奨される。

【CVE-2024-52857】Adobe Experience Manager 6.5.21以前にXSS脆弱性、悪意のあるスクリプト実行の危険性

【CVE-2024-52857】Adobe Experience Manager 6.5.21...

Adobeは2024年12月10日、Adobe Experience Manager 6.5.21以前のバージョンにおいて、Stored XSS(蓄積型クロスサイトスクリプティング)の脆弱性が発見されたことを公開した。CVE-2024-52857として識別されるこの脆弱性は、攻撃者が脆弱性のあるフォームフィールドに悪意のあるスクリプトを注入することで、被害者のブラウザ上で不正なJavaScriptが実行される可能性がある。

【CVE-2024-52857】Adobe Experience Manager 6.5.21...

Adobeは2024年12月10日、Adobe Experience Manager 6.5.21以前のバージョンにおいて、Stored XSS(蓄積型クロスサイトスクリプティング)の脆弱性が発見されたことを公開した。CVE-2024-52857として識別されるこの脆弱性は、攻撃者が脆弱性のあるフォームフィールドに悪意のあるスクリプトを注入することで、被害者のブラウザ上で不正なJavaScriptが実行される可能性がある。

【CVE-2024-52843】Adobe Experience Manager 6.5.21にXSS脆弱性、コンテンツ管理システムのセキュリティリスクが浮上

【CVE-2024-52843】Adobe Experience Manager 6.5.21...

Adobe Experience Manager 6.5.21以前のバージョンに格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア5.4の中程度の深刻度と評価されており、攻撃者による悪意のあるスクリプト注入が可能となっている。被害者のブラウザでJavaScriptが実行される可能性があり、早急なアップデートが推奨されている。

【CVE-2024-52843】Adobe Experience Manager 6.5.21...

Adobe Experience Manager 6.5.21以前のバージョンに格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVSSスコア5.4の中程度の深刻度と評価されており、攻撃者による悪意のあるスクリプト注入が可能となっている。被害者のブラウザでJavaScriptが実行される可能性があり、早急なアップデートが推奨されている。

【CVE-2024-52831】Adobe Experience Manager 6.5.21に不適切な入力検証の脆弱性、任意のコード実行の危険性が判明

【CVE-2024-52831】Adobe Experience Manager 6.5.21...

Adobe Systemsは2024年12月10日、Adobe Experience Manager 6.5.21以前のバージョンに不適切な入力検証の脆弱性が存在することを公表した。この脆弱性はCVE-2024-52831として識別され、悪意のあるファイルを開くことで任意のコード実行が可能になる。CVSSスコアは3.1で深刻度は低いものの、大規模組織での導入事例が多いことから、適切な対策が求められる。

【CVE-2024-52831】Adobe Experience Manager 6.5.21...

Adobe Systemsは2024年12月10日、Adobe Experience Manager 6.5.21以前のバージョンに不適切な入力検証の脆弱性が存在することを公表した。この脆弱性はCVE-2024-52831として識別され、悪意のあるファイルを開くことで任意のコード実行が可能になる。CVSSスコアは3.1で深刻度は低いものの、大規模組織での導入事例が多いことから、適切な対策が求められる。

【CVE-2024-43052】QualcommのNPUに深刻な脆弱性、Snapdragonなど91製品に影響

【CVE-2024-43052】QualcommのNPUに深刻な脆弱性、Snapdragonな...

Qualcommは2024年12月2日、同社のNPUにおける入力検証の脆弱性を公開した。CVSSスコア7.8の高リスク脆弱性で、Snapdragon AutoやMobileなど91の製品に影響が及ぶ。不正な入力によるメモリ破損を引き起こす可能性があり、特権ユーザーによるローカルでの攻撃リスクが指摘されている。Qualcommは影響を受ける製品のアップデートを提供中。

【CVE-2024-43052】QualcommのNPUに深刻な脆弱性、Snapdragonな...

Qualcommは2024年12月2日、同社のNPUにおける入力検証の脆弱性を公開した。CVSSスコア7.8の高リスク脆弱性で、Snapdragon AutoやMobileなど91の製品に影響が及ぶ。不正な入力によるメモリ破損を引き起こす可能性があり、特権ユーザーによるローカルでの攻撃リスクが指摘されている。Qualcommは影響を受ける製品のアップデートを提供中。

【CVE-2024-12360】code-projects Online Class and Exam Scheduling System 1.0にSQLインジェクションの脆弱性が発見、リモートからの

【CVE-2024-12360】code-projects Online Class and ...

code-projects社のOnline Class and Exam Scheduling System 1.0において、SQLインジェクションの脆弱性が発見された。class_update.phpのid引数の処理に関する脆弱性で、CVE-2024-12360として識別される。CVSSスコアは5.3でMediumレベルと評価されており、リモートからの攻撃が可能。既にエクスプロイトコードも公開されており、早急な対応が必要となる。

【CVE-2024-12360】code-projects Online Class and ...

code-projects社のOnline Class and Exam Scheduling System 1.0において、SQLインジェクションの脆弱性が発見された。class_update.phpのid引数の処理に関する脆弱性で、CVE-2024-12360として識別される。CVSSスコアは5.3でMediumレベルと評価されており、リモートからの攻撃が可能。既にエクスプロイトコードも公開されており、早急な対応が必要となる。