Tech Insights

株式会社EntaarがISMS認証を取得、DX推進AIエージェントの情報セキュリティ管理体制を強化

株式会社EntaarがISMS認証を取得、DX推進AIエージェントの情報セキュリティ管理体制を強化

株式会社EntaarがDX推進AIエージェントEntaarの情報セキュリティ強化のため、ISO/IEC 27001およびJIS Q 27001認証を取得した。数千名規模以上の大手企業での利用拡大に向け、IT部門を起点とした全社横断的なDX施策の実行支援における情報セキュリティ管理体制を確立。今後も継続的な改善により、企業のDXパートナーとしての信頼性向上を目指す。

株式会社EntaarがISMS認証を取得、DX推進AIエージェントの情報セキュリティ管理体制を強化

株式会社EntaarがDX推進AIエージェントEntaarの情報セキュリティ強化のため、ISO/IEC 27001およびJIS Q 27001認証を取得した。数千名規模以上の大手企業での利用拡大に向け、IT部門を起点とした全社横断的なDX施策の実行支援における情報セキュリティ管理体制を確立。今後も継続的な改善により、企業のDXパートナーとしての信頼性向上を目指す。

KAGOYAが月額定額のプライベートGPUクラウドサービスを開始、企業のAI活用とデータセキュリティ強化に貢献

KAGOYAが月額定額のプライベートGPUクラウドサービスを開始、企業のAI活用とデータセキュ...

カゴヤ・ジャパン株式会社が2024年11月20日に新たなプライベートGPUクラウドサービスを開始した。NVIDIA製高性能GPUを搭載したサーバーを専有利用できる環境を月額定額で提供し、企業の生成AIや機械学習の活用を促進する。自社データセンターでの運用により高度なセキュリティを確保し、製造業や医療分野など機密データを扱う企業のニーズに対応する。

KAGOYAが月額定額のプライベートGPUクラウドサービスを開始、企業のAI活用とデータセキュ...

カゴヤ・ジャパン株式会社が2024年11月20日に新たなプライベートGPUクラウドサービスを開始した。NVIDIA製高性能GPUを搭載したサーバーを専有利用できる環境を月額定額で提供し、企業の生成AIや機械学習の活用を促進する。自社データセンターでの運用により高度なセキュリティを確保し、製造業や医療分野など機密データを扱う企業のニーズに対応する。

ヌーラボがNulab Passのユーザープロビジョニング機能を正式リリース、情報漏洩とアカウント管理の課題を解決へ

ヌーラボがNulab Passのユーザープロビジョニング機能を正式リリース、情報漏洩とアカウン...

株式会社ヌーラボは組織のセキュリティとガバナンスを強化するNulab Passにおいて、IDプロバイダーとアプリケーション間でユーザー情報や権限を同期するユーザープロビジョニング機能を正式リリースした。この機能により、BacklogやCacooなどのヌーラボサービスのアカウント管理が効率化され、情報漏洩や不正アクセスなどのセキュリティリスクを軽減することが可能となる。

ヌーラボがNulab Passのユーザープロビジョニング機能を正式リリース、情報漏洩とアカウン...

株式会社ヌーラボは組織のセキュリティとガバナンスを強化するNulab Passにおいて、IDプロバイダーとアプリケーション間でユーザー情報や権限を同期するユーザープロビジョニング機能を正式リリースした。この機能により、BacklogやCacooなどのヌーラボサービスのアカウント管理が効率化され、情報漏洩や不正アクセスなどのセキュリティリスクを軽減することが可能となる。

株式会社QueueがEdgeTech+ 2024に出展、AIダッシュボードプラットフォームMorphによるデータ活用促進へ

株式会社QueueがEdgeTech+ 2024に出展、AIダッシュボードプラットフォームMo...

株式会社Queueが「EdgeTech+ 2024」に出展し、PythonベースのAIダッシュボード開発プラットフォーム「Morph」を展示する。Morphは非構造化データのAI処理、自然言語クエリ、ドキュメント生成などの機能を提供し、VS CodeベースのエディターやAI開発支援機能を搭載することで、企業のデータ活用を促進する。展示会では342社・団体が参加し、約140の講演が実施される予定だ。

株式会社QueueがEdgeTech+ 2024に出展、AIダッシュボードプラットフォームMo...

株式会社Queueが「EdgeTech+ 2024」に出展し、PythonベースのAIダッシュボード開発プラットフォーム「Morph」を展示する。Morphは非構造化データのAI処理、自然言語クエリ、ドキュメント生成などの機能を提供し、VS CodeベースのエディターやAI開発支援機能を搭載することで、企業のデータ活用を促進する。展示会では342社・団体が参加し、約140の講演が実施される予定だ。

セガサミーグループがSTORM®を導入、セキュリティポリシー強化と大容量データ転送の両立を実現

セガサミーグループがSTORM®を導入、セキュリティポリシー強化と大容量データ転送の両立を実現

ユニゾンシステムズの高速ファイル転送システムSTORM®がセガサミーホールディングスに導入された。セキュリティーポリシーの強化とデータ量増加への対応が課題となる中、放送局やゲーム業界での豊富な導入実績を評価されての採用となった。カスタマイズ開発によってセキュリティ要件を満たしつつ、既存の運用フローを維持したままでのシステム刷新を実現している。

セガサミーグループがSTORM®を導入、セキュリティポリシー強化と大容量データ転送の両立を実現

ユニゾンシステムズの高速ファイル転送システムSTORM®がセガサミーホールディングスに導入された。セキュリティーポリシーの強化とデータ量増加への対応が課題となる中、放送局やゲーム業界での豊富な導入実績を評価されての採用となった。カスタマイズ開発によってセキュリティ要件を満たしつつ、既存の運用フローを維持したままでのシステム刷新を実現している。

【CVE-2024-52298】macro-pdfviewerに深刻な権限昇格の脆弱性、PDFファイルへの不正アクセスが可能に

【CVE-2024-52298】macro-pdfviewerに深刻な権限昇格の脆弱性、PDF...

GitHubが公開したXWiki用PDFビューアマクロmacro-pdfviewerの脆弱性情報によると、「Delegate my view right」機能を悪用することで、攻撃者が権限のないPDFファイルに最終編集者の権限でアクセス可能になることが判明。CVSS v3.1で深刻度7.5(高)と評価され、バージョン2.5.6で修正された。早急なアップデートが推奨される。

【CVE-2024-52298】macro-pdfviewerに深刻な権限昇格の脆弱性、PDF...

GitHubが公開したXWiki用PDFビューアマクロmacro-pdfviewerの脆弱性情報によると、「Delegate my view right」機能を悪用することで、攻撃者が権限のないPDFファイルに最終編集者の権限でアクセス可能になることが判明。CVSS v3.1で深刻度7.5(高)と評価され、バージョン2.5.6で修正された。早急なアップデートが推奨される。

【CVE-2024-45611】GLPIにストアードXSSの脆弱性が発見、version 10.0.17で修正されたアクセス制御の問題に対応

【CVE-2024-45611】GLPIにストアードXSSの脆弱性が発見、version 10...

GitHubは2024年11月15日、資産・IT管理ソフトウェアGLPIにおいてストアードXSSの脆弱性を発見したことを公開した。認証済みユーザーがアクセス制御ポリシーをバイパスし、他のユーザーアカウントに紐付いた非公開RSSフィードを作成できる問題が確認されている。version 0.84から10.0.17未満のすべてのバージョンに影響があり、早急なアップグレードが推奨される。

【CVE-2024-45611】GLPIにストアードXSSの脆弱性が発見、version 10...

GitHubは2024年11月15日、資産・IT管理ソフトウェアGLPIにおいてストアードXSSの脆弱性を発見したことを公開した。認証済みユーザーがアクセス制御ポリシーをバイパスし、他のユーザーアカウントに紐付いた非公開RSSフィードを作成できる問題が確認されている。version 0.84から10.0.17未満のすべてのバージョンに影響があり、早急なアップグレードが推奨される。

Googleが教育機関向けWorkspaceを機能強化、教育者による学生向けサードパーティアプリのアクセス管理が効率化

Googleが教育機関向けWorkspaceを機能強化、教育者による学生向けサードパーティアプ...

Googleは教育機関向けGoogle Workspaceのサードパーティアプリ管理機能を強化し、2024年11月19日にリリースした。教育者が学生に代わってアプリアクセスを要求できる新ワークフローを導入し、18歳以上のユーザーに対して自身または他者に代わってのアプリ要求権限を付与可能に。管理者はAdmin consoleから要求を確認・対応でき、Education FundamentalsなどのプランでGoogle Workspaceの利用が可能だ。

Googleが教育機関向けWorkspaceを機能強化、教育者による学生向けサードパーティアプ...

Googleは教育機関向けGoogle Workspaceのサードパーティアプリ管理機能を強化し、2024年11月19日にリリースした。教育者が学生に代わってアプリアクセスを要求できる新ワークフローを導入し、18歳以上のユーザーに対して自身または他者に代わってのアプリ要求権限を付与可能に。管理者はAdmin consoleから要求を確認・対応でき、Education FundamentalsなどのプランでGoogle Workspaceの利用が可能だ。

山口県庁がmoconaviを1,200ID導入、BYODによる働き方改革とコミュニケーション環境の整備を実現

山口県庁がmoconaviを1,200ID導入、BYODによる働き方改革とコミュニケーション環...

レコモット株式会社は山口県庁にリモートアクセスサービス「moconavi」を1,200ID導入したことを発表。BYODの活用により業務効率化とコミュニケーション環境の整備を実現。従来の貸与PCによるリモートアクセスシステムと比較し、申請手続きの簡素化や即応性の向上、ファイルアクセスの利便性向上などが達成された。

山口県庁がmoconaviを1,200ID導入、BYODによる働き方改革とコミュニケーション環...

レコモット株式会社は山口県庁にリモートアクセスサービス「moconavi」を1,200ID導入したことを発表。BYODの活用により業務効率化とコミュニケーション環境の整備を実現。従来の貸与PCによるリモートアクセスシステムと比較し、申請手続きの簡素化や即応性の向上、ファイルアクセスの利便性向上などが達成された。

法人向けChatGPTサービスChatSenseが英語表示に対応、グローバルでの利用拡大へ向けて機能を強化

法人向けChatGPTサービスChatSenseが英語表示に対応、グローバルでの利用拡大へ向け...

株式会社ナレッジセンスは法人向けChatGPTサービス「ChatSense」の英語表示機能を2024年11月19日にリリースした。東証プライム上場企業を含む400社以上に導入実績を持つChatSenseは、メンバー画面の英語表示により国内外での利用がより簡単になった。セキュアな環境でのChatGPT活用に加え、プロンプト共有などの独自機能も特徴的だ。

法人向けChatGPTサービスChatSenseが英語表示に対応、グローバルでの利用拡大へ向け...

株式会社ナレッジセンスは法人向けChatGPTサービス「ChatSense」の英語表示機能を2024年11月19日にリリースした。東証プライム上場企業を含む400社以上に導入実績を持つChatSenseは、メンバー画面の英語表示により国内外での利用がより簡単になった。セキュアな環境でのChatGPT活用に加え、プロンプト共有などの独自機能も特徴的だ。

Windows 11バージョン24H2で管理者権限のないユーザーがタイムゾーン変更不可に、代替手段としてコントロールパネルの利用を推奨

Windows 11バージョン24H2で管理者権限のないユーザーがタイムゾーン変更不可に、代替...

Microsoftが2024年11月18日にWindows 11バージョン24H2で発生している問題について公開した。管理者権限を持たないユーザーがWindows Settingsの日付と時刻ページでタイムゾーンを変更できない現象が確認されており、コントロールパネルの日付と時刻セクションを使用することで問題を回避できる。現在Microsoftは調査を進めており、今後のWindows updateで解決策を提供する予定だ。

Windows 11バージョン24H2で管理者権限のないユーザーがタイムゾーン変更不可に、代替...

Microsoftが2024年11月18日にWindows 11バージョン24H2で発生している問題について公開した。管理者権限を持たないユーザーがWindows Settingsの日付と時刻ページでタイムゾーンを変更できない現象が確認されており、コントロールパネルの日付と時刻セクションを使用することで問題を回避できる。現在Microsoftは調査を進めており、今後のWindows updateで解決策を提供する予定だ。

【CVE-2024-52355】WordPress OSM – OpenStreetMapプラグイン6.1.2にXSS脆弱性、バージョン6.1.3で修正完了

【CVE-2024-52355】WordPress OSM – OpenStreetMapプラ...

Patchstack OÜがWordPress OSM – OpenStreetMapプラグインにおけるXSS脆弱性を発見した。この脆弱性はバージョン6.1.2以前に影響し、CVSS v3.1で中程度(6.5)と評価された。攻撃には特権レベルとユーザーの操作が必要だが、情報漏洩やコンテンツ改ざんのリスクがある。Hyumikaはバージョン6.1.3で脆弱性を修正し、ユーザーに早急なアップデートを推奨している。

【CVE-2024-52355】WordPress OSM – OpenStreetMapプラ...

Patchstack OÜがWordPress OSM – OpenStreetMapプラグインにおけるXSS脆弱性を発見した。この脆弱性はバージョン6.1.2以前に影響し、CVSS v3.1で中程度(6.5)と評価された。攻撃には特権レベルとユーザーの操作が必要だが、情報漏洩やコンテンツ改ざんのリスクがある。Hyumikaはバージョン6.1.3で脆弱性を修正し、ユーザーに早急なアップデートを推奨している。

【CVE-2024-52299】XWikiのPDFビューワーマクロに深刻な脆弱性、アクセス権限チェックの不備で添付ファイルが閲覧可能に

【CVE-2024-52299】XWikiのPDFビューワーマクロに深刻な脆弱性、アクセス権限...

XWikiのPDFビューワーマクロにおいて、アクセス権限のチェック機能が正しく動作せず、XWiki.PDFViewerServiceの閲覧権限を持つユーザーが任意の添付ファイルにアクセスできる脆弱性が発見された。CVSSスコア7.5の高深刻度であり、影響を受けるバージョンは1.6.2以上2.5.6未満。修正版となる2.5.6が公開されており、早急なアップデートが推奨される。

【CVE-2024-52299】XWikiのPDFビューワーマクロに深刻な脆弱性、アクセス権限...

XWikiのPDFビューワーマクロにおいて、アクセス権限のチェック機能が正しく動作せず、XWiki.PDFViewerServiceの閲覧権限を持つユーザーが任意の添付ファイルにアクセスできる脆弱性が発見された。CVSSスコア7.5の高深刻度であり、影響を受けるバージョンは1.6.2以上2.5.6未満。修正版となる2.5.6が公開されており、早急なアップデートが推奨される。

【CVE-2024-49514】Photoshop Desktop 25.11以前に整数アンダーフロー脆弱性、任意コード実行の危険性

【CVE-2024-49514】Photoshop Desktop 25.11以前に整数アンダ...

AdobeはPhotoshop Desktop 24.7.3版と25.11版以前のバージョンにおいて整数アンダーフロー脆弱性を発見し公開した。CVSSスコア7.8のHighレベルと評価されており、悪意のあるファイルを開くことで攻撃者が任意のコードを実行可能。特別な権限は不要で攻撃の複雑さも低く、早急な対策が必要とされている。

【CVE-2024-49514】Photoshop Desktop 25.11以前に整数アンダ...

AdobeはPhotoshop Desktop 24.7.3版と25.11版以前のバージョンにおいて整数アンダーフロー脆弱性を発見し公開した。CVSSスコア7.8のHighレベルと評価されており、悪意のあるファイルを開くことで攻撃者が任意のコードを実行可能。特別な権限は不要で攻撃の複雑さも低く、早急な対策が必要とされている。

【CVE-2024-49012】Microsoft SQL Serverに深刻な脆弱性、リモートコード実行の可能性が判明

【CVE-2024-49012】Microsoft SQL Serverに深刻な脆弱性、リモー...

MicrosoftはSQL Server Native Clientに存在する深刻な脆弱性【CVE-2024-49012】を公開した。この脆弱性はヒープベースのバッファオーバーフローによってリモートコード実行が可能となるもので、CVSS v3.1で8.8のハイリスクと評価されている。SQL Server 2016 Service Pack 3からSQL Server 2019まで複数のバージョンに影響があり、早急なパッチ適用が推奨される。

【CVE-2024-49012】Microsoft SQL Serverに深刻な脆弱性、リモー...

MicrosoftはSQL Server Native Clientに存在する深刻な脆弱性【CVE-2024-49012】を公開した。この脆弱性はヒープベースのバッファオーバーフローによってリモートコード実行が可能となるもので、CVSS v3.1で8.8のハイリスクと評価されている。SQL Server 2016 Service Pack 3からSQL Server 2019まで複数のバージョンに影響があり、早急なパッチ適用が推奨される。

【CVE-2024-45642】IBM Security ReaQta 3.12でXSS脆弱性を発見、特権ユーザーによる不正コード実行のリスクに

【CVE-2024-45642】IBM Security ReaQta 3.12でXSS脆弱性...

IBMは2024年11月14日、IBM Security ReaQta 3.12におけるクロスサイトスクリプティングの脆弱性を公開した。本脆弱性は特権ユーザーによる任意のJavaScriptコード埋め込みを可能とし、信頼済みセッション内での認証情報漏洩のリスクをもたらす。CVSSスコア5.3(MEDIUM)と評価され、クロスドメインホワイトリストの過度な許容性が原因とされている。

【CVE-2024-45642】IBM Security ReaQta 3.12でXSS脆弱性...

IBMは2024年11月14日、IBM Security ReaQta 3.12におけるクロスサイトスクリプティングの脆弱性を公開した。本脆弱性は特権ユーザーによる任意のJavaScriptコード埋め込みを可能とし、信頼済みセッション内での認証情報漏洩のリスクをもたらす。CVSSスコア5.3(MEDIUM)と評価され、クロスドメインホワイトリストの過度な許容性が原因とされている。

MicrosoftがAzure DevOpsのManaged DevOps Poolsを一般提供開始、開発者の生産性とCI/CDインフラの管理効率が向上

MicrosoftがAzure DevOpsのManaged DevOps Poolsを一般提...

MicrosoftはAzure DevOpsのCI/CD機能を強化するManaged DevOps Poolsの一般提供を2024年11月18日に開始した。Scale Set agentsの柔軟性とMicrosoft Hosted agentsの保守性を組み合わせ、新規Azure地域対応やUbuntu 24.04サポート、Key Vault証明書連携など、開発者の生産性向上とインフラ管理の効率化を実現する新機能が追加されている。

MicrosoftがAzure DevOpsのManaged DevOps Poolsを一般提...

MicrosoftはAzure DevOpsのCI/CD機能を強化するManaged DevOps Poolsの一般提供を2024年11月18日に開始した。Scale Set agentsの柔軟性とMicrosoft Hosted agentsの保守性を組み合わせ、新規Azure地域対応やUbuntu 24.04サポート、Key Vault証明書連携など、開発者の生産性向上とインフラ管理の効率化を実現する新機能が追加されている。

GoogleがGoogle Drive Chat appを自動インストール化、ドキュメント共同作業の効率が大幅に向上

GoogleがGoogle Drive Chat appを自動インストール化、ドキュメント共同...

GoogleはGoogle Drive Chat appを自動インストールで提供開始し、Google Chatでのドキュメントコメントへの直接応答を可能にした。Docs、Sheets、Slidesでのコメント管理や共有設定の効率化に加え、外部ユーザーからの通知に対するセキュリティ機能も強化。2024年11月18日から2025年1月15日にかけて順次展開され、すべてのGoogle Workspaceユーザーが利用可能になる。

GoogleがGoogle Drive Chat appを自動インストール化、ドキュメント共同...

GoogleはGoogle Drive Chat appを自動インストールで提供開始し、Google Chatでのドキュメントコメントへの直接応答を可能にした。Docs、Sheets、Slidesでのコメント管理や共有設定の効率化に加え、外部ユーザーからの通知に対するセキュリティ機能も強化。2024年11月18日から2025年1月15日にかけて順次展開され、すべてのGoogle Workspaceユーザーが利用可能になる。

【CVE-2024-47442】After Effects 24.6.2以前に境界外書き込みの脆弱性、任意のコード実行のリスクで早急な対応が必要

【CVE-2024-47442】After Effects 24.6.2以前に境界外書き込みの...

Adobe社がAfter Effects 24.6.2以前のバージョンに境界外書き込みの脆弱性が存在することを公表した。CVE-2024-47442として識別されるこの脆弱性は、CVSS 3.1で7.8の高い深刻度を記録。悪意のあるファイルを開くことで攻撃が成立し、現在のユーザー権限でコードが実行される可能性があるため、早急なアップデートが推奨される。

【CVE-2024-47442】After Effects 24.6.2以前に境界外書き込みの...

Adobe社がAfter Effects 24.6.2以前のバージョンに境界外書き込みの脆弱性が存在することを公表した。CVE-2024-47442として識別されるこの脆弱性は、CVSS 3.1で7.8の高い深刻度を記録。悪意のあるファイルを開くことで攻撃が成立し、現在のユーザー権限でコードが実行される可能性があるため、早急なアップデートが推奨される。

【CVE-2024-51584】Marquee Elementor with Posts 1.2.0にXSS脆弱性が発見、WordPressサイトのセキュリティリスクが増大

【CVE-2024-51584】Marquee Elementor with Posts 1....

Patchstack OÜは2024年11月10日、WordPress用プラグインMarquee Elementor with Postsにクロスサイトスクリプティング脆弱性が存在することを公開した。CVSSスコア6.5のミディアムレベルと評価されたこの脆弱性は、バージョン1.2.0以前の全てのバージョンに影響を及ぼす。DOM-Based XSSとして分類され、Webページ生成時の入力値の不適切な処理が原因とされている。

【CVE-2024-51584】Marquee Elementor with Posts 1....

Patchstack OÜは2024年11月10日、WordPress用プラグインMarquee Elementor with Postsにクロスサイトスクリプティング脆弱性が存在することを公開した。CVSSスコア6.5のミディアムレベルと評価されたこの脆弱性は、バージョン1.2.0以前の全てのバージョンに影響を及ぼす。DOM-Based XSSとして分類され、Webページ生成時の入力値の不適切な処理が原因とされている。

【CVE-2024-49505】OpenSUSE MirrorCacheにXSS脆弱性、バージョン1.083で修正完了

【CVE-2024-49505】OpenSUSE MirrorCacheにXSS脆弱性、バージ...

OpenSUSE TumbleweedのMirrorCacheにおいて、REGEXとPパラメータを介して任意のJavaScriptコードが実行可能となるXSS脆弱性が発見された。CVSSスコア5.3のMedium評価で、バージョン1.083未満が影響を受ける。特別な権限なしで攻撃可能だが、エクスプロイトの自動化は困難とされている。最新バージョン1.083へのアップデートで対策可能だ。

【CVE-2024-49505】OpenSUSE MirrorCacheにXSS脆弱性、バージ...

OpenSUSE TumbleweedのMirrorCacheにおいて、REGEXとPパラメータを介して任意のJavaScriptコードが実行可能となるXSS脆弱性が発見された。CVSSスコア5.3のMedium評価で、バージョン1.083未満が影響を受ける。特別な権限なしで攻撃可能だが、エクスプロイトの自動化は困難とされている。最新バージョン1.083へのアップデートで対策可能だ。

【CVE-2024-52032】Mattermostの脆弱性により未参加のプライベートチャンネル名が漏洩する問題が発覚

【CVE-2024-52032】Mattermostの脆弱性により未参加のプライベートチャンネ...

Mattermost社が自社製品の重要な脆弱性を公開した。Mattermost 10.0.0および9.11.0-9.11.2において、Elasticsearch v8が有効化されている環境下でチャンネルスイッチャーを使用した際、ユーザーがメンバーではないプライベートチャンネルの名前が漏洩する問題が発見された。CVSSスコアは4.3を記録し、情報漏洩のリスクが現実的な脅威として認識されている。

【CVE-2024-52032】Mattermostの脆弱性により未参加のプライベートチャンネ...

Mattermost社が自社製品の重要な脆弱性を公開した。Mattermost 10.0.0および9.11.0-9.11.2において、Elasticsearch v8が有効化されている環境下でチャンネルスイッチャーを使用した際、ユーザーがメンバーではないプライベートチャンネルの名前が漏洩する問題が発見された。CVSSスコアは4.3を記録し、情報漏洩のリスクが現実的な脅威として認識されている。

【CVE-2024-49579】JetBrainsのYouTrackにプラグインiframe関連の重大な脆弱性、任意のJavaScript実行とAPIリクエストの不正利用が可能に

【CVE-2024-49579】JetBrainsのYouTrackにプラグインiframe関...

JetBrainsは、YouTrackの2024.3.47197より前のバージョンにプラグインiframeの脆弱性【CVE-2024-49579】が存在することを公開した。CVSSスコア8.1(High)と評価されるこの脆弱性は、任意のJavaScript実行と不正なAPIリクエストを許可する問題であり、攻撃者による悪用の可能性が指摘されている。ユーザーの関与は必要だが、特権レベルは不要とされており、早急なアップデートによる対策が推奨される。

【CVE-2024-49579】JetBrainsのYouTrackにプラグインiframe関...

JetBrainsは、YouTrackの2024.3.47197より前のバージョンにプラグインiframeの脆弱性【CVE-2024-49579】が存在することを公開した。CVSSスコア8.1(High)と評価されるこの脆弱性は、任意のJavaScript実行と不正なAPIリクエストを許可する問題であり、攻撃者による悪用の可能性が指摘されている。ユーザーの関与は必要だが、特権レベルは不要とされており、早急なアップデートによる対策が推奨される。

【CVE-2024-46892】SINEC INS V1.0 SP2 Update 3未満にセッション管理の脆弱性、アカウント無効化後も不正アクセスの可能性

【CVE-2024-46892】SINEC INS V1.0 SP2 Update 3未満にセ...

Siemens社はSINEC INS V1.0 SP2 Update 3未満のバージョンにおいて、ユーザーアカウントの削除や無効化、権限変更後もセッションが適切に無効化されない脆弱性を公開した。CVSSスコアは3.1で4.9、4.0で6.9と評価され、認証済み攻撃者による不正操作の継続が可能な状態となっている。セキュリティ強化のため、V1.0 SP2 Update 3へのアップデートを提供している。

【CVE-2024-46892】SINEC INS V1.0 SP2 Update 3未満にセ...

Siemens社はSINEC INS V1.0 SP2 Update 3未満のバージョンにおいて、ユーザーアカウントの削除や無効化、権限変更後もセッションが適切に無効化されない脆弱性を公開した。CVSSスコアは3.1で4.9、4.0で6.9と評価され、認証済み攻撃者による不正操作の継続が可能な状態となっている。セキュリティ強化のため、V1.0 SP2 Update 3へのアップデートを提供している。

【CVE-2024-47595】SAP Host Agent 7.22に特権昇格の脆弱性、アプリケーションの機密性と整合性に影響

【CVE-2024-47595】SAP Host Agent 7.22に特権昇格の脆弱性、アプ...

SAPは同社のSAP Host Agent 7.22において、sapsysグループのメンバーシップを持つ攻撃者が特権アクセスによって保護されているローカルファイルを置換できる脆弱性を公開した。CVSSスコアは6.3(MEDIUM)を記録しており、攻撃成功時にはアプリケーションの機密性と整合性に重大な影響を及ぼす可能性がある。CWE-266として分類されているこの脆弱性への早急な対応が求められている。

【CVE-2024-47595】SAP Host Agent 7.22に特権昇格の脆弱性、アプ...

SAPは同社のSAP Host Agent 7.22において、sapsysグループのメンバーシップを持つ攻撃者が特権アクセスによって保護されているローカルファイルを置換できる脆弱性を公開した。CVSSスコアは6.3(MEDIUM)を記録しており、攻撃成功時にはアプリケーションの機密性と整合性に重大な影響を及ぼす可能性がある。CWE-266として分類されているこの脆弱性への早急な対応が求められている。

【CVE-2024-44296】AppleがiOSやmacOS等の主要OSをアップデート、Content Security Policyの脆弱性に対処

【CVE-2024-44296】AppleがiOSやmacOS等の主要OSをアップデート、Co...

Appleは2024年10月28日、iOS 18.1、iPadOS 18.1、tvOS 18.1、watchOS 11.1、visionOS 2.1、macOS Sequoia 15.1、Safari 18.1など主要OSのセキュリティアップデートを実施した。このアップデートではContent Security Policyの実装における脆弱性【CVE-2024-44296】が修正され、悪意のあるWebコンテンツによるセキュリティポリシーの回避リスクが軽減された。NVDによる評価では、この脆弱性の深刻度はCVSS v3.1でミディアム(5.4)に分類されている。

【CVE-2024-44296】AppleがiOSやmacOS等の主要OSをアップデート、Co...

Appleは2024年10月28日、iOS 18.1、iPadOS 18.1、tvOS 18.1、watchOS 11.1、visionOS 2.1、macOS Sequoia 15.1、Safari 18.1など主要OSのセキュリティアップデートを実施した。このアップデートではContent Security Policyの実装における脆弱性【CVE-2024-44296】が修正され、悪意のあるWebコンテンツによるセキュリティポリシーの回避リスクが軽減された。NVDによる評価では、この脆弱性の深刻度はCVSS v3.1でミディアム(5.4)に分類されている。

【CVE-2024-5474】Lenovo Dolby Vision Provisioningソフトウェアに情報開示の脆弱性、新規インストール時に権限昇格のリスク

【CVE-2024-5474】Lenovo Dolby Vision Provisioning...

LenovoはDolby Vision Provisioningソフトウェアのバージョン2.0.0.2未満に情報開示の脆弱性が存在することを公開した。CVE-2024-5474として識別されるこの脆弱性は、ローカル攻撃者がパッケージのインストール中に昇格した権限でシステム上のファイルを読み取ることを可能にする。CVSSスコアは5.5で中程度のリスクと評価され、既存のインストール環境には影響がないことが確認されている。

【CVE-2024-5474】Lenovo Dolby Vision Provisioning...

LenovoはDolby Vision Provisioningソフトウェアのバージョン2.0.0.2未満に情報開示の脆弱性が存在することを公開した。CVE-2024-5474として識別されるこの脆弱性は、ローカル攻撃者がパッケージのインストール中に昇格した権限でシステム上のファイルを読み取ることを可能にする。CVSSスコアは5.5で中程度のリスクと評価され、既存のインストール環境には影響がないことが確認されている。

ZscalerがZero Trust Segmentationを発表、ランサムウェア対策とインフラコスト削減を実現へ

ZscalerがZero Trust Segmentationを発表、ランサムウェア対策とイン...

クラウドセキュリティ企業のZscalerが、拠点や工場、データセンター、パブリッククラウドとの安全な接続を実現するゼロトラストセグメンテーションソリューションを発表。ランサムウェアの拡散防止とインフラコストの50%削減を実現し、IoTデバイスやOTシステムも数時間以内に安全にセグメント化が可能。AWSとAzureに対応し、2025年2月にはGCPにも対応予定。

ZscalerがZero Trust Segmentationを発表、ランサムウェア対策とイン...

クラウドセキュリティ企業のZscalerが、拠点や工場、データセンター、パブリッククラウドとの安全な接続を実現するゼロトラストセグメンテーションソリューションを発表。ランサムウェアの拡散防止とインフラコストの50%削減を実現し、IoTデバイスやOTシステムも数時間以内に安全にセグメント化が可能。AWSとAzureに対応し、2025年2月にはGCPにも対応予定。

NetAppとRed Hatが協業を拡大し仮想環境の管理機能を強化、エンタープライズアプリケーションの開発効率が向上へ

NetAppとRed Hatが協業を拡大し仮想環境の管理機能を強化、エンタープライズアプリケー...

NetAppはRed Hatとの協業を拡大し、仮想環境におけるエンタープライズアプリケーションの開発と管理を合理化する新機能を発表した。TridentのCSI統合によりONTAPの高度な機能への直接アクセスが可能になり、Cisco FlexPodでは新しい検証済みデザインを提供。これにより、オンプレミスやハイブリッドマルチクラウドでの仮想環境管理の柔軟性が向上し、AIワークロードの実行も容易になる。

NetAppとRed Hatが協業を拡大し仮想環境の管理機能を強化、エンタープライズアプリケー...

NetAppはRed Hatとの協業を拡大し、仮想環境におけるエンタープライズアプリケーションの開発と管理を合理化する新機能を発表した。TridentのCSI統合によりONTAPの高度な機能への直接アクセスが可能になり、Cisco FlexPodでは新しい検証済みデザインを提供。これにより、オンプレミスやハイブリッドマルチクラウドでの仮想環境管理の柔軟性が向上し、AIワークロードの実行も容易になる。

【CVE-2024-10265】Form Maker by 10Web 1.15.30にクロスサイトスクリプティングの脆弱性、未認証攻撃者によるスクリプト実行のリスク

【CVE-2024-10265】Form Maker by 10Web 1.15.30にクロス...

WordfenceはWordPress用プラグイン「Form Maker by 10Web」のバージョン1.15.30以前に存在するクロスサイトスクリプティングの脆弱性を公開した。add_query_argパラメータのエスケープ処理が不適切なため、未認証の攻撃者が悪意のあるスクリプトを注入できる可能性がある。CVSS基本値6.1のMEDIUMと評価されており、早急な対応が推奨される。

【CVE-2024-10265】Form Maker by 10Web 1.15.30にクロス...

WordfenceはWordPress用プラグイン「Form Maker by 10Web」のバージョン1.15.30以前に存在するクロスサイトスクリプティングの脆弱性を公開した。add_query_argパラメータのエスケープ処理が不適切なため、未認証の攻撃者が悪意のあるスクリプトを注入できる可能性がある。CVSS基本値6.1のMEDIUMと評価されており、早急な対応が推奨される。