Tech Insights

【CVE-2024-10538】Happy Addons For Elementor 3.12...

2024年11月19日

WordPressプラグインHappy Addons For Elementorのバージョン3.12.5以前に、認証済みユーザーによるクロスサイトスクリプティング攻撃を可能にする脆弱性が発見された。Image Comparisonウィジェットのbefore_labelパラメータにおける入力検証の不備が原因で、悪意のあるスクリプトが実行可能となっている。CVSSスコアは6.4で、深刻度は中程度と評価されている。

【CVE-2024-10538】Happy Addons For Elementor 3.12...

2024年11月19日

WordPressプラグインHappy Addons For Elementorのバージョン3.12.5以前に、認証済みユーザーによるクロスサイトスクリプティング攻撃を可能にする脆弱性が発見された。Image Comparisonウィジェットのbefore_labelパラメータにおける入力検証の不備が原因で、悪意のあるスクリプトが実行可能となっている。CVSSスコアは6.4で、深刻度は中程度と評価されている。

【CVE-2024-52032】Mattermostの脆弱性により未参加のプライベートチャンネ...

2024年11月19日

Mattermost社が自社製品の重要な脆弱性を公開した。Mattermost 10.0.0および9.11.0-9.11.2において、Elasticsearch v8が有効化されている環境下でチャンネルスイッチャーを使用した際、ユーザーがメンバーではないプライベートチャンネルの名前が漏洩する問題が発見された。CVSSスコアは4.3を記録し、情報漏洩のリスクが現実的な脅威として認識されている。

【CVE-2024-52032】Mattermostの脆弱性により未参加のプライベートチャンネ...

2024年11月19日

Mattermost社が自社製品の重要な脆弱性を公開した。Mattermost 10.0.0および9.11.0-9.11.2において、Elasticsearch v8が有効化されている環境下でチャンネルスイッチャーを使用した際、ユーザーがメンバーではないプライベートチャンネルの名前が漏洩する問題が発見された。CVSSスコアは4.3を記録し、情報漏洩のリスクが現実的な脅威として認識されている。

【CVE-2024-51577】WordPressのbpmn.Ioプラグインにストアドクロスサ...

2024年11月19日

WordPressプラグインbpmn.Ioにストアドクロスサイトスクリプティング（XSS）の脆弱性が発見された。CVE-2024-51577として識別されたこの脆弱性は、バージョン1.0以下のすべてのバージョンに影響を及ぼす。CVSSスコアは6.5でミディアムレベルと評価されており、ネットワーク経由での攻撃が可能だが、特権とユーザーの関与が必要とされている。

【CVE-2024-51577】WordPressのbpmn.Ioプラグインにストアドクロスサ...

2024年11月19日

WordPressプラグインbpmn.Ioにストアドクロスサイトスクリプティング（XSS）の脆弱性が発見された。CVE-2024-51577として識別されたこの脆弱性は、バージョン1.0以下のすべてのバージョンに影響を及ぼす。CVSSスコアは6.5でミディアムレベルと評価されており、ネットワーク経由での攻撃が可能だが、特権とユーザーの関与が必要とされている。

【CVE-2024-51485】Ampache7.0.1未満のバージョンでCSRF脆弱性が発見...

2024年11月19日

オーディオ・ビデオストリーミングおよびファイル管理アプリケーションのAmpacheにおいて、プラグインの有効化・無効化機能に関する深刻な脆弱性が発見された。CVE-2024-51485として識別されるこの脆弱性は、CSRFトークンの検証が不十分であることが原因で、攻撃者による不正なプラグイン状態の変更を可能にする。修正版となるバージョン7.0.1が公開され、すべてのユーザーに対して早急なアップデートが推奨されている。

【CVE-2024-51485】Ampache7.0.1未満のバージョンでCSRF脆弱性が発見...

2024年11月19日

オーディオ・ビデオストリーミングおよびファイル管理アプリケーションのAmpacheにおいて、プラグインの有効化・無効化機能に関する深刻な脆弱性が発見された。CVE-2024-51485として識別されるこの脆弱性は、CSRFトークンの検証が不十分であることが原因で、攻撃者による不正なプラグイン状態の変更を可能にする。修正版となるバージョン7.0.1が公開され、すべてのユーザーに対して早急なアップデートが推奨されている。

【CVE-2024-50970】Itsourcecode Online Furniture S...

2024年11月19日

MITREは2024年11月13日、Itsourcecode Online Furniture Shopping Project 1.0のorderview1.phpにSQLインジェクションの脆弱性が存在することを公表した。この脆弱性により、リモートの攻撃者がidパラメータを介して任意のSQLコマンドを実行できる可能性がある。開発者やシステム管理者は早急な対応を迫られている状況だ。

【CVE-2024-50970】Itsourcecode Online Furniture S...

2024年11月19日

MITREは2024年11月13日、Itsourcecode Online Furniture Shopping Project 1.0のorderview1.phpにSQLインジェクションの脆弱性が存在することを公表した。この脆弱性により、リモートの攻撃者がidパラメータを介して任意のSQLコマンドを実行できる可能性がある。開発者やシステム管理者は早急な対応を迫られている状況だ。

【CVE-2024-50852】Tenda G3 v3.0にコマンドインジェクションの脆弱性、...

2024年11月19日

Tenda G3 v3.0 v15.11.0.20において、formSetUSBPartitionUmount関数にコマンドインジェクションの脆弱性が発見された。MITREが【CVE-2024-50852】として識別したこの脆弱性は、攻撃の自動化が可能であり、製品のセキュリティに重大な影響を及ぼす可能性がある。現在、製品の状態に関する情報は提供されておらず、ユーザーは早急なセキュリティ対策の実施を求められている。

【CVE-2024-50852】Tenda G3 v3.0にコマンドインジェクションの脆弱性、...

2024年11月19日

Tenda G3 v3.0 v15.11.0.20において、formSetUSBPartitionUmount関数にコマンドインジェクションの脆弱性が発見された。MITREが【CVE-2024-50852】として識別したこの脆弱性は、攻撃の自動化が可能であり、製品のセキュリティに重大な影響を及ぼす可能性がある。現在、製品の状態に関する情報は提供されておらず、ユーザーは早急なセキュリティ対策の実施を求められている。

【CVE-2024-50310】SIMATIC CP 1543-1 V4.0に認証の不備、非認...

2024年11月19日

Siemens社のSIMATIC CP 1543-1 V4.0において、認証処理の不備による重大な脆弱性が発見された。影響を受けるバージョンV4.0.44からV4.0.50未満のデバイスでは、非認証の攻撃者がリモートからファイルシステムにアクセス可能な状態となっており、CVSS v3.1で7.5、CVSS v4.0で8.7のHIGHスコアが付与されている。早急な対応が必要とされる重大な脆弱性である。

【CVE-2024-50310】SIMATIC CP 1543-1 V4.0に認証の不備、非認...

2024年11月19日

Siemens社のSIMATIC CP 1543-1 V4.0において、認証処理の不備による重大な脆弱性が発見された。影響を受けるバージョンV4.0.44からV4.0.50未満のデバイスでは、非認証の攻撃者がリモートからファイルシステムにアクセス可能な状態となっており、CVSS v3.1で7.5、CVSS v4.0で8.7のHIGHスコアが付与されている。早急な対応が必要とされる重大な脆弱性である。

【CVE-2024-49579】JetBrainsのYouTrackにプラグインiframe関...

2024年11月19日

JetBrainsは、YouTrackの2024.3.47197より前のバージョンにプラグインiframeの脆弱性【CVE-2024-49579】が存在することを公開した。CVSSスコア8.1（High）と評価されるこの脆弱性は、任意のJavaScript実行と不正なAPIリクエストを許可する問題であり、攻撃者による悪用の可能性が指摘されている。ユーザーの関与は必要だが、特権レベルは不要とされており、早急なアップデートによる対策が推奨される。

【CVE-2024-49579】JetBrainsのYouTrackにプラグインiframe関...

2024年11月19日

JetBrainsは、YouTrackの2024.3.47197より前のバージョンにプラグインiframeの脆弱性【CVE-2024-49579】が存在することを公開した。CVSSスコア8.1（High）と評価されるこの脆弱性は、任意のJavaScript実行と不正なAPIリクエストを許可する問題であり、攻撃者による悪用の可能性が指摘されている。ユーザーの関与は必要だが、特権レベルは不要とされており、早急なアップデートによる対策が推奨される。

【CVE-2024-47941】Solid Edge SE2024にバッファオーバーフロー脆弱...

2024年11月19日

Siemensの3D CADソフトウェアSolid Edge SE2024において、バッファオーバーフローの脆弱性が発見された。特別に細工されたPARファイルを処理する際に、割り当てられた構造の末尾を超えて読み取りが発生し、任意のコードが実行される可能性がある。CVSSスコアは3.1で7.8、4.0で7.3と評価されており、V224.0 Update 9より前のすべてのバージョンが影響を受ける。

【CVE-2024-47941】Solid Edge SE2024にバッファオーバーフロー脆弱...

2024年11月19日

Siemensの3D CADソフトウェアSolid Edge SE2024において、バッファオーバーフローの脆弱性が発見された。特別に細工されたPARファイルを処理する際に、割り当てられた構造の末尾を超えて読み取りが発生し、任意のコードが実行される可能性がある。CVSSスコアは3.1で7.8、4.0で7.3と評価されており、V224.0 Update 9より前のすべてのバージョンが影響を受ける。

【CVE-2024-47781】MirahezeのCreateWikiにXSS脆弱性、wiki...

2024年11月19日

MirahezeのCreateWikiにXSS脆弱性が発見され、Special:RequestWikiQueueページでwiki名の不適切なエスケープ処理により任意のHTMLコードが実行可能となる問題が明らかになった。CVSSスコア5.3の中程度の深刻度だが、wiki作成者のセッションを通じた機密情報へのアクセスリスクがあり、早急なパッチ適用が推奨される。

【CVE-2024-47781】MirahezeのCreateWikiにXSS脆弱性、wiki...

2024年11月19日

MirahezeのCreateWikiにXSS脆弱性が発見され、Special:RequestWikiQueueページでwiki名の不適切なエスケープ処理により任意のHTMLコードが実行可能となる問題が明らかになった。CVSSスコア5.3の中程度の深刻度だが、wiki作成者のセッションを通じた機密情報へのアクセスリスクがあり、早急なパッチ適用が推奨される。

【CVE-2024-46892】SINEC INS V1.0 SP2 Update 3未満にセ...

2024年11月19日

Siemens社はSINEC INS V1.0 SP2 Update 3未満のバージョンにおいて、ユーザーアカウントの削除や無効化、権限変更後もセッションが適切に無効化されない脆弱性を公開した。CVSSスコアは3.1で4.9、4.0で6.9と評価され、認証済み攻撃者による不正操作の継続が可能な状態となっている。セキュリティ強化のため、V1.0 SP2 Update 3へのアップデートを提供している。

【CVE-2024-46892】SINEC INS V1.0 SP2 Update 3未満にセ...

2024年11月19日

Siemens社はSINEC INS V1.0 SP2 Update 3未満のバージョンにおいて、ユーザーアカウントの削除や無効化、権限変更後もセッションが適切に無効化されない脆弱性を公開した。CVSSスコアは3.1で4.9、4.0で6.9と評価され、認証済み攻撃者による不正操作の継続が可能な状態となっている。セキュリティ強化のため、V1.0 SP2 Update 3へのアップデートを提供している。

【CVE-2024-46889】SINEC INSにハードコードされた暗号鍵の脆弱性が発見、バ...

2024年11月19日

Siemens社のSINEC INSにおいて、設定ファイルの難読化に使用される暗号鍵材料がハードコードされている脆弱性が発見された。この脆弱性は【CVE-2024-46889】として識別され、V1.0 SP2 Update 3未満のすべてのバージョンに影響を及ぼす。攻撃者がアプリケーションバイナリのリバースエンジニアリングを通じて暗号鍵を取得し、任意のバックアップファイルを復号できる可能性がある。

【CVE-2024-46889】SINEC INSにハードコードされた暗号鍵の脆弱性が発見、バ...

2024年11月19日

Siemens社のSINEC INSにおいて、設定ファイルの難読化に使用される暗号鍵材料がハードコードされている脆弱性が発見された。この脆弱性は【CVE-2024-46889】として識別され、V1.0 SP2 Update 3未満のすべてのバージョンに影響を及ぼす。攻撃者がアプリケーションバイナリのリバースエンジニアリングを通じて暗号鍵を取得し、任意のバックアップファイルを復号できる可能性がある。

【CVE-2024-36513】FortiClientWindows7.2.4以下に特権昇格の...

2024年11月19日

Fortinet社がFortiClientWindowsの複数バージョンに特権昇格の脆弱性が存在することを公開した。CVE-2024-36513として識別されるこの脆弱性は、認証済みユーザーがluaオートパッチスクリプトを介して権限昇格を実行可能。CVSSスコア7.4のHIGHと評価され、早急な対応が必要とされている。影響を受けるバージョンは7.2.4以下、7.0.12以下、6.4の全バージョン。

【CVE-2024-36513】FortiClientWindows7.2.4以下に特権昇格の...

2024年11月19日

Fortinet社がFortiClientWindowsの複数バージョンに特権昇格の脆弱性が存在することを公開した。CVE-2024-36513として識別されるこの脆弱性は、認証済みユーザーがluaオートパッチスクリプトを介して権限昇格を実行可能。CVSSスコア7.4のHIGHと評価され、早急な対応が必要とされている。影響を受けるバージョンは7.2.4以下、7.0.12以下、6.4の全バージョン。

【CVE-2024-36509】FortiWebに認証情報漏洩の脆弱性、管理者パスワードの露出...

2024年11月19日

Fortinet社が公開したFortiWebの脆弱性【CVE-2024-36509】は、認証済み攻撃者がLog Access Eventのログページを通じて他の管理者の暗号化パスワードにアクセス可能な問題だ。影響を受けるバージョンは7.6.0から6.3.23までと広範囲に及び、CWE-497に分類される重要システム情報の露出が指摘されている。CVSSスコアは3.8でLowと評価されているものの、管理者権限の奪取リスクが懸念される。

【CVE-2024-36509】FortiWebに認証情報漏洩の脆弱性、管理者パスワードの露出...

2024年11月19日

Fortinet社が公開したFortiWebの脆弱性【CVE-2024-36509】は、認証済み攻撃者がLog Access Eventのログページを通じて他の管理者の暗号化パスワードにアクセス可能な問題だ。影響を受けるバージョンは7.6.0から6.3.23までと広範囲に及び、CWE-497に分類される重要システム情報の露出が指摘されている。CVSSスコアは3.8でLowと評価されているものの、管理者権限の奪取リスクが懸念される。

つなぐネットがMcloudにオンライン決済機能を追加し、マンション管理のDX化を推進

2024年11月19日

マンションISP国内シェアNo.1のつなぐネットコミュニケーションズが、マンション専用のクラウド管理システム「Mcloud」に共用施設使用料のオンライン決済機能を追加。クレジットカード、PayPay、コンビニ決済に対応し、鍵連携機能と組み合わせることで予約から解錠までをシームレスに実現。2024年11月20日より販売を開始し、マンション管理業務の効率化と省人化を目指す。

つなぐネットがMcloudにオンライン決済機能を追加し、マンション管理のDX化を推進

2024年11月19日

マンションISP国内シェアNo.1のつなぐネットコミュニケーションズが、マンション専用のクラウド管理システム「Mcloud」に共用施設使用料のオンライン決済機能を追加。クレジットカード、PayPay、コンビニ決済に対応し、鍵連携機能と組み合わせることで予約から解錠までをシームレスに実現。2024年11月20日より販売を開始し、マンション管理業務の効率化と省人化を目指す。

横浜高島屋が地元企業4社と連携しサステナブルファッションショーを開催、次世代育成と環境配慮型フ...

2024年11月19日

横浜高島屋は「TSUNAGU ACTION」の一環として、ジョイナス、岩崎学園横浜fカレッジ、フェリス女学院大学と連携した産学連携イベント「YOKOHAMA MIRAIにつなぐファッションショー」を2024年11月24日に開催する。約30のサステナブルなファッションアイテムを紹介し、学生たちがメイクや装飾、モデルを担当。不要衣服の端材を活用した環境配慮型のファッションショーを通じて、循環型社会の実現を目指す。

横浜高島屋が地元企業4社と連携しサステナブルファッションショーを開催、次世代育成と環境配慮型フ...

2024年11月19日

横浜高島屋は「TSUNAGU ACTION」の一環として、ジョイナス、岩崎学園横浜fカレッジ、フェリス女学院大学と連携した産学連携イベント「YOKOHAMA MIRAIにつなぐファッションショー」を2024年11月24日に開催する。約30のサステナブルなファッションアイテムを紹介し、学生たちがメイクや装飾、モデルを担当。不要衣服の端材を活用した環境配慮型のファッションショーを通じて、循環型社会の実現を目指す。

NECネッツエスアイがVirtual Trusted Overlay Networkを発表、C...

2024年11月19日

NECネッツエスアイは2024年11月18日、セキュアかつ高速な通信環境を実現する新コンセプト「Virtual Trusted Overlay Network」を発表した。Cloudbrink社のオーバーレイ型ネットワーク技術を基盤とし、AIによるルート選択と独自のパケット複製技術で通信を最適化。ブロックチェーン技術を活用した分散型IDサービスとの組み合わせにより、セキュアなアクセス認証を実現する。

NECネッツエスアイがVirtual Trusted Overlay Networkを発表、C...

2024年11月19日

NECネッツエスアイは2024年11月18日、セキュアかつ高速な通信環境を実現する新コンセプト「Virtual Trusted Overlay Network」を発表した。Cloudbrink社のオーバーレイ型ネットワーク技術を基盤とし、AIによるルート選択と独自のパケット複製技術で通信を最適化。ブロックチェーン技術を活用した分散型IDサービスとの組み合わせにより、セキュアなアクセス認証を実現する。

パーソルキャリアのHiPro Directが鳥取県週1副社長プロジェクト第3次募集を開始、地方...

2024年11月19日

パーソルキャリアの副業・フリーランス人材マッチングプラットフォーム「HiPro Direct」が、鳥取県のビジネス人材誘致事業「週1副社長プロジェクト2024」の第3次募集を開始。都市部の副業・兼業人材を活用して県内中小企業の経営革新を促進し、年間130名130社のマッチングを目指す。販路開拓やIT化など、地域企業の課題解決に向けた新たな人材活用モデルを展開している。

パーソルキャリアのHiPro Directが鳥取県週1副社長プロジェクト第3次募集を開始、地方...

2024年11月19日

パーソルキャリアの副業・フリーランス人材マッチングプラットフォーム「HiPro Direct」が、鳥取県のビジネス人材誘致事業「週1副社長プロジェクト2024」の第3次募集を開始。都市部の副業・兼業人材を活用して県内中小企業の経営革新を促進し、年間130名130社のマッチングを目指す。販路開拓やIT化など、地域企業の課題解決に向けた新たな人材活用モデルを展開している。

キンドリルジャパンがレインボー認定を初取得、PRIDE指標ゴールド認定は3年連続で社会的インク...

2024年11月19日

キンドリルジャパンがwork with Prideより2024年度レインボー認定を初取得し、PRIDE指標でもゴールド認定を3年連続で獲得した。社内では3つのコミュニティを展開し、執行役員がエグゼクティブスポンサーとして参画。東京レインボープライド2024のゴールドスポンサーやPride Action 30への参画など、社会全体のインクルージョン推進にも注力している。

キンドリルジャパンがレインボー認定を初取得、PRIDE指標ゴールド認定は3年連続で社会的インク...

2024年11月19日

キンドリルジャパンがwork with Prideより2024年度レインボー認定を初取得し、PRIDE指標でもゴールド認定を3年連続で獲得した。社内では3つのコミュニティを展開し、執行役員がエグゼクティブスポンサーとして参画。東京レインボープライド2024のゴールドスポンサーやPride Action 30への参画など、社会全体のインクルージョン推進にも注力している。

トランスコスモスが次世代マーケティングラボaTableを発足、クリエイティブとテクノロジーの融...

2024年11月19日

トランスコスモスは2024年11月18日、次世代のマーケティングソリューションをクリエイティブ視点で研究・実践するラボ「aTable」を発足した。アートディレクターの千原徹也氏との協業により、AI技術とクリエイティブの融合、データ分析とパーソナライズ施策の最適化、縦型動画などの新しい広告形式への対応を進め、生活者とのエンゲージメント強化を目指す。

トランスコスモスが次世代マーケティングラボaTableを発足、クリエイティブとテクノロジーの融...

2024年11月19日

トランスコスモスは2024年11月18日、次世代のマーケティングソリューションをクリエイティブ視点で研究・実践するラボ「aTable」を発足した。アートディレクターの千原徹也氏との協業により、AI技術とクリエイティブの融合、データ分析とパーソナライズ施策の最適化、縦型動画などの新しい広告形式への対応を進め、生活者とのエンゲージメント強化を目指す。

スペースシードホールディングスがメタバースで月面酒蔵を開設、2040年の宇宙発酵技術の可能性を探求

2024年11月19日

スペースシードホールディングスはUrth社のメタバースサービス「metatell」で月面酒蔵のβ版運用を開始した。新潟の津南醸造をモデルに、2040年の酒蔵を現代に再現するコンセプトで設計。バーチャル蔵見学やグローバルカンファレンスが可能で、宇宙環境での発酵技術研究の場として期待される。

スペースシードホールディングスがメタバースで月面酒蔵を開設、2040年の宇宙発酵技術の可能性を探求

2024年11月19日

スペースシードホールディングスはUrth社のメタバースサービス「metatell」で月面酒蔵のβ版運用を開始した。新潟の津南醸造をモデルに、2040年の酒蔵を現代に再現するコンセプトで設計。バーチャル蔵見学やグローバルカンファレンスが可能で、宇宙環境での発酵技術研究の場として期待される。

日立と東邦ガスが水素供給低コスト化に向けたフィジビリティスタディを開始、地域再エネ活用による脱...

2024年11月19日

日立製作所と東邦ガスが環境省の公募事業に採択され、地域再生可能エネルギーを活用したクリーン水素製造のフィジビリティスタディを開始。知多e-メタン製造実証施設を拡張し、地域製造業のCO2を活用したe-メタン製造と、再エネ由来の水素製造プロセスの検証を行う。既存インフラを活用した低コストな水素供給モデルの構築を目指し、地域の脱炭素化に貢献する。

日立と東邦ガスが水素供給低コスト化に向けたフィジビリティスタディを開始、地域再エネ活用による脱...

2024年11月19日

日立製作所と東邦ガスが環境省の公募事業に採択され、地域再生可能エネルギーを活用したクリーン水素製造のフィジビリティスタディを開始。知多e-メタン製造実証施設を拡張し、地域製造業のCO2を活用したe-メタン製造と、再エネ由来の水素製造プロセスの検証を行う。既存インフラを活用した低コストな水素供給モデルの構築を目指し、地域の脱炭素化に貢献する。

株式会社hupodeaが留学生スキルシェアサービスhupoSHAREを展開、企業のグローバル化...

2024年11月19日

株式会社hupodeaが展開する外国人留学生向けスキルシェアサービス「hupoSHARE」が注目を集めている。日本の大学・大学院に通う優秀な留学生と企業をマッチングし、ビザや言語対応などの手続きを代行することで、企業の負担を軽減。海外進出やインバウンド事業に必要なグローバル人材として、採用前のトライアル期間としても活用可能だ。

株式会社hupodeaが留学生スキルシェアサービスhupoSHAREを展開、企業のグローバル化...

2024年11月19日

株式会社hupodeaが展開する外国人留学生向けスキルシェアサービス「hupoSHARE」が注目を集めている。日本の大学・大学院に通う優秀な留学生と企業をマッチングし、ビザや言語対応などの手続きを代行することで、企業の負担を軽減。海外進出やインバウンド事業に必要なグローバル人材として、採用前のトライアル期間としても活用可能だ。

スマートニュースがTop News Display Adsの提供を開始、トップ画面全面での静止...

2024年11月19日

スマートニュース株式会社がブランド広告の新プロダクト「Top News Display Ads」を提供開始。SmartNewsアプリのトップ画面全面での縦型静止画広告配信が可能になり、ブランド認知向上を促進。NTTドコモとの提携によるユーザーリーチ拡大や、Top News Video Adsの出稿数増加を受け、当初予定を前倒しして展開を決定した。

スマートニュースがTop News Display Adsの提供を開始、トップ画面全面での静止...

2024年11月19日

スマートニュース株式会社がブランド広告の新プロダクト「Top News Display Ads」を提供開始。SmartNewsアプリのトップ画面全面での縦型静止画広告配信が可能になり、ブランド認知向上を促進。NTTドコモとの提携によるユーザーリーチ拡大や、Top News Video Adsの出稿数増加を受け、当初予定を前倒しして展開を決定した。

【CVE-2024-50254】Linuxカーネルのbpf_iter_bits_destroy...

2024年11月19日

Linuxカーネルのbpf_iter_bits_destroy()関数における重要な脆弱性が修正された。この問題はビットの動的割り当ての判定処理に起因するメモリリークを引き起こす可能性があり、Linux 6.11以降のバージョンに影響を与える。修正では、nr_bitsの型変更とbit設定方法の改善が実施され、セキュリティの向上が図られている。特に長時間稼働するシステムでは重要な更新となる。

【CVE-2024-50254】Linuxカーネルのbpf_iter_bits_destroy...

2024年11月19日

Linuxカーネルのbpf_iter_bits_destroy()関数における重要な脆弱性が修正された。この問題はビットの動的割り当ての判定処理に起因するメモリリークを引き起こす可能性があり、Linux 6.11以降のバージョンに影響を与える。修正では、nr_bitsの型変更とbit設定方法の改善が実施され、セキュリティの向上が図られている。特に長時間稼働するシステムでは重要な更新となる。

【CVE-2024-50251】Linuxカーネルのnetfilterモジュールに脆弱性、複数...

2024年11月19日

kernel.orgは2024年11月9日、Linuxカーネルのnetfilterモジュールに重大な脆弱性【CVE-2024-50251】を発見したと発表した。nft_payloadモジュールにおいて、offsetとlengthのパラメータがskbuffの長さを超える場合にskb_checksum()関数でBUG_ON()が発生する問題が確認されている。影響を受けるバージョンは4.5以降で、すでに複数のバージョンで修正パッチが提供されている。

【CVE-2024-50251】Linuxカーネルのnetfilterモジュールに脆弱性、複数...

2024年11月19日

kernel.orgは2024年11月9日、Linuxカーネルのnetfilterモジュールに重大な脆弱性【CVE-2024-50251】を発見したと発表した。nft_payloadモジュールにおいて、offsetとlengthのパラメータがskbuffの長さを超える場合にskb_checksum()関数でBUG_ON()が発生する問題が確認されている。影響を受けるバージョンは4.5以降で、すでに複数のバージョンで修正パッチが提供されている。

【CVE-2024-50239】Linuxカーネルのqmp-usb-legacyドライバにNU...

2024年11月19日

Linuxカーネルのqmp-usb-legacyドライバにおいて、ランタイムサスペンド時にNULLポインタ参照が発生する脆弱性が発見された。この問題は、コミット413db06c05e7によってプラットフォームデバイスドライバデータの初期化処理が削除されたことに起因している。現在、修正パッチがリリースされ、Linux 6.6.60、6.11.7、6.12-rc6以降のバージョンで対応が完了している。

【CVE-2024-50239】Linuxカーネルのqmp-usb-legacyドライバにNU...

2024年11月19日

Linuxカーネルのqmp-usb-legacyドライバにおいて、ランタイムサスペンド時にNULLポインタ参照が発生する脆弱性が発見された。この問題は、コミット413db06c05e7によってプラットフォームデバイスドライバデータの初期化処理が削除されたことに起因している。現在、修正パッチがリリースされ、Linux 6.6.60、6.11.7、6.12-rc6以降のバージョンで対応が完了している。

Adobe Audition 24.4.6以前に境界外読み取りの脆弱性を確認、メモリ情報の漏洩...

2024年11月19日

Adobe社は音声編集ソフトウェアAuditionのバージョン23.6.9、24.4.6以前に境界外読み取りの脆弱性【CVE-2024-47449】を確認した。この脆弱性により、攻撃者は機密性の高いメモリ情報を漏洩させ、ASLRなどの緩和策をバイパスする可能性がある。CVSSスコアは5.5（中程度）で、攻撃には悪意のあるファイルを開く必要があるため、ユーザーの迅速なアップデートが推奨される。

Adobe Audition 24.4.6以前に境界外読み取りの脆弱性を確認、メモリ情報の漏洩...

2024年11月19日

Adobe社は音声編集ソフトウェアAuditionのバージョン23.6.9、24.4.6以前に境界外読み取りの脆弱性【CVE-2024-47449】を確認した。この脆弱性により、攻撃者は機密性の高いメモリ情報を漏洩させ、ASLRなどの緩和策をバイパスする可能性がある。CVSSスコアは5.5（中程度）で、攻撃には悪意のあるファイルを開く必要があるため、ユーザーの迅速なアップデートが推奨される。

【CVE-2024-44196】macOS Ventura 13.7.1とSonoma 14....

2024年11月19日

Appleが公開したmacOS Ventura 13.7.1とmacOS Sonoma 14.7.1のセキュリティアップデートにより、ファイルシステムの保護領域に関する権限の問題が修正された。CVSSスコア7.5と高い深刻度を示すこの脆弱性は、アプリケーションが保護された部分を変更できてしまう問題を含んでおり、追加の制限によって対処されている。

【CVE-2024-44196】macOS Ventura 13.7.1とSonoma 14....

2024年11月19日

Appleが公開したmacOS Ventura 13.7.1とmacOS Sonoma 14.7.1のセキュリティアップデートにより、ファイルシステムの保護領域に関する権限の問題が修正された。CVSSスコア7.5と高い深刻度を示すこの脆弱性は、アプリケーションが保護された部分を変更できてしまう問題を含んでおり、追加の制限によって対処されている。

【CVE-2024-50237】Linuxカーネルのwifi mac80211モジュールに脆弱...

2024年11月19日

Linuxカーネルのwifi mac80211モジュールに、停止状態のvifをドライバーに渡すことでシステムクラッシュを引き起こす可能性のある脆弱性が発見された。この問題は【CVE-2024-50237】として識別され、Linux3.19から6.12-rc6まで広範囲に影響を及ぼすことが判明。開発チームは各バージョンに対応した修正パッチを提供し、セキュリティと安定性の向上を図った。

【CVE-2024-50237】Linuxカーネルのwifi mac80211モジュールに脆弱...

2024年11月19日

Linuxカーネルのwifi mac80211モジュールに、停止状態のvifをドライバーに渡すことでシステムクラッシュを引き起こす可能性のある脆弱性が発見された。この問題は【CVE-2024-50237】として識別され、Linux3.19から6.12-rc6まで広範囲に影響を及ぼすことが判明。開発チームは各バージョンに対応した修正パッチを提供し、セキュリティと安定性の向上を図った。