Tech Insights

【CVE-2024-36476】Linux kernelのRDMA/rtrs脆弱性が修正、メモリ管理の安全性が大幅に向上へ

【CVE-2024-36476】Linux kernelのRDMA/rtrs脆弱性が修正、メモ...

kernel.orgは2025年1月15日にLinux kernelのRDMA/rtrs脆弱性【CVE-2024-36476】の修正を公開した。この脆弱性はib_sge list変数の宣言位置が原因でNULLポインタ参照が発生する可能性があり、特にLinux version 5.8以降のシステムに影響を与えていた。修正によってメモリ管理の信頼性が向上し、システムの安定性が大幅に改善された。

【CVE-2024-36476】Linux kernelのRDMA/rtrs脆弱性が修正、メモ...

kernel.orgは2025年1月15日にLinux kernelのRDMA/rtrs脆弱性【CVE-2024-36476】の修正を公開した。この脆弱性はib_sge list変数の宣言位置が原因でNULLポインタ参照が発生する可能性があり、特にLinux version 5.8以降のシステムに影響を与えていた。修正によってメモリ管理の信頼性が向上し、システムの安定性が大幅に改善された。

【CVE-2025-21338】MicrosoftがGDI+のリモートコード実行の脆弱性を公開、Windows・Office製品群に広範な影響

【CVE-2025-21338】MicrosoftがGDI+のリモートコード実行の脆弱性を公開...

MicrosoftがGDI+における重大な脆弱性【CVE-2025-21338】を公開した。この脆弱性は整数オーバーフローに関連する問題で、CVSSスコア7.8の高リスク脆弱性として評価されている。影響範囲はWindows 10、Windows 11、Windows Serverシリーズ、さらにはOffice製品群まで及び、32ビット、x64、ARM64の各プラットフォームに影響を与える可能性がある。

【CVE-2025-21338】MicrosoftがGDI+のリモートコード実行の脆弱性を公開...

MicrosoftがGDI+における重大な脆弱性【CVE-2025-21338】を公開した。この脆弱性は整数オーバーフローに関連する問題で、CVSSスコア7.8の高リスク脆弱性として評価されている。影響範囲はWindows 10、Windows 11、Windows Serverシリーズ、さらにはOffice製品群まで及び、32ビット、x64、ARM64の各プラットフォームに影響を与える可能性がある。

【CVE-2025-21341】WindowsのDigital Mediaに特権昇格の脆弱性、複数バージョンのOSに影響

【CVE-2025-21341】WindowsのDigital Mediaに特権昇格の脆弱性、...

MicrosoftはWindows Digital Mediaに特権昇格の脆弱性(CVE-2025-21341)を発見し公開した。この脆弱性はWindows 10からWindows 11、Windows Server 2008からWindows Server 2025まで広範なバージョンに影響を与え、CVSS v3.1で6.6の中程度のスコアを記録。物理的なアクセスを必要とするものの、低い特権レベルでユーザーの介入なしに攻撃を実行できる可能性があり、機密性や完全性、可用性に高い影響を及ぼす可能性がある。

【CVE-2025-21341】WindowsのDigital Mediaに特権昇格の脆弱性、...

MicrosoftはWindows Digital Mediaに特権昇格の脆弱性(CVE-2025-21341)を発見し公開した。この脆弱性はWindows 10からWindows 11、Windows Server 2008からWindows Server 2025まで広範なバージョンに影響を与え、CVSS v3.1で6.6の中程度のスコアを記録。物理的なアクセスを必要とするものの、低い特権レベルでユーザーの介入なしに攻撃を実行できる可能性があり、機密性や完全性、可用性に高い影響を及ぼす可能性がある。

【CVE-2025-21354】Microsoft Excelに深刻な脆弱性、複数のOffice製品でパッチ適用が必要に

【CVE-2025-21354】Microsoft Excelに深刻な脆弱性、複数のOffic...

Microsoftは2025年1月14日、Microsoft Excelにリモートコード実行の脆弱性(CVE-2025-21354)を発見したと発表した。この脆弱性はCVSSスコア8.4のHigh深刻度で、Office Online Server、Microsoft Office 2019、Microsoft 365 Apps for Enterprise、Microsoft Office LTSC 2021/2024など、複数の製品に影響を及ぼす。攻撃条件の複雑さが低く、特権も不要なため、早急なパッチ適用が推奨される。

【CVE-2025-21354】Microsoft Excelに深刻な脆弱性、複数のOffic...

Microsoftは2025年1月14日、Microsoft Excelにリモートコード実行の脆弱性(CVE-2025-21354)を発見したと発表した。この脆弱性はCVSSスコア8.4のHigh深刻度で、Office Online Server、Microsoft Office 2019、Microsoft 365 Apps for Enterprise、Microsoft Office LTSC 2021/2024など、複数の製品に影響を及ぼす。攻撃条件の複雑さが低く、特権も不要なため、早急なパッチ適用が推奨される。

【CVE-2025-21343】Windows Web Threat Defense User Serviceに情報漏洩の脆弱性、深刻度高く早急な対応が必要

【CVE-2025-21343】Windows Web Threat Defense User...

Microsoftは2025年1月14日、Windows Web Threat Defense User Serviceにおける情報漏洩の脆弱性を公開した。Windows 11の複数バージョンに影響を与え、CVSSスコアは7.5(HIGH)を記録。ネットワーク経由での攻撃が可能で、特権や利用者の操作を必要としないことから、システム管理者は早急な対応が求められている。修正プログラムはすでに公開されており、該当するバージョンのアップデートが推奨されている。

【CVE-2025-21343】Windows Web Threat Defense User...

Microsoftは2025年1月14日、Windows Web Threat Defense User Serviceにおける情報漏洩の脆弱性を公開した。Windows 11の複数バージョンに影響を与え、CVSSスコアは7.5(HIGH)を記録。ネットワーク経由での攻撃が可能で、特権や利用者の操作を必要としないことから、システム管理者は早急な対応が求められている。修正プログラムはすでに公開されており、該当するバージョンのアップデートが推奨されている。

LINE WORKSが新オプションDrive Plusを提供開始、クラウドストレージ機能が大幅に強化され業務効率向上へ

LINE WORKSが新オプションDrive Plusを提供開始、クラウドストレージ機能が大幅...

LINE WORKS株式会社は2025年1月21日、ビジネスチャット「LINE WORKS」のクラウドストレージ機能「Drive」を拡張する新オプション「Drive Plus」の提供を開始した。複数人でのファイル同時編集やCADファイルビューアーの搭載により、業務効率の向上が期待できる。スタンダードプランでは月額500円から、アドバンストプランでは月額400円から利用可能だ。

LINE WORKSが新オプションDrive Plusを提供開始、クラウドストレージ機能が大幅...

LINE WORKS株式会社は2025年1月21日、ビジネスチャット「LINE WORKS」のクラウドストレージ機能「Drive」を拡張する新オプション「Drive Plus」の提供を開始した。複数人でのファイル同時編集やCADファイルビューアーの搭載により、業務効率の向上が期待できる。スタンダードプランでは月額500円から、アドバンストプランでは月額400円から利用可能だ。

Windows 11 Build 26100.3025が公開、タスクバープレビューとNPU対応機能が強化されユーザビリティが向上

Windows 11 Build 26100.3025が公開、タスクバープレビューとNPU対応...

Windows Insider Programチームが2025年1月21日にWindows 11 Build 26100.3025を公開。タスクバーのプレビュー機能とアニメーションが改善され、NPU搭載デバイスではWindows Studio Effectsの新機能が追加。File Explorerでは共有ファイルへのアクセスが容易になり、Mobile hotspotで6 GHz接続にも対応。マウスカーソルの問題やドメイン参加の問題も修正され、全体的な使い勝手が向上している。

Windows 11 Build 26100.3025が公開、タスクバープレビューとNPU対応...

Windows Insider Programチームが2025年1月21日にWindows 11 Build 26100.3025を公開。タスクバーのプレビュー機能とアニメーションが改善され、NPU搭載デバイスではWindows Studio Effectsの新機能が追加。File Explorerでは共有ファイルへのアクセスが容易になり、Mobile hotspotで6 GHz接続にも対応。マウスカーソルの問題やドメイン参加の問題も修正され、全体的な使い勝手が向上している。

GoogleがAndroid Studio Ladybug Feature Drop 2024.2.2をリリース、GeminiによるAIコーディング支援機能を搭載

GoogleがAndroid Studio Ladybug Feature Drop 2024...

米Googleは2025年1月9日、Android開発環境の最新版「Android Studio Ladybug Feature Drop」(2024.2.2)を安定版としてリリースした。AIコーディング支援機能のGeminiを搭載し、Wear OSタイルアニメーションのプレビュー機能やApp Links Assistantなど、開発者の生産性を向上させる新機能を多数導入している。

GoogleがAndroid Studio Ladybug Feature Drop 2024...

米Googleは2025年1月9日、Android開発環境の最新版「Android Studio Ladybug Feature Drop」(2024.2.2)を安定版としてリリースした。AIコーディング支援機能のGeminiを搭載し、Wear OSタイルアニメーションのプレビュー機能やApp Links Assistantなど、開発者の生産性を向上させる新機能を多数導入している。

セキュアワークスがサイバー脅威の実態レポートを発表、ランサムウェアグループが30%増加し新たな対策が必要に

セキュアワークスがサイバー脅威の実態レポートを発表、ランサムウェアグループが30%増加し新たな...

セキュアワークス株式会社は、2025年1月17日に年次レポート「年次レビュー2024年 脅威の実態」の説明会を開催した。2023年6月から2024年7月の調査期間中、活動中のランサムウェアグループが前年比30%増加し、31の新たなグループが出現。中間者攻撃の増加やAIの悪用拡大など、新たな脅威への対策が求められている。

セキュアワークスがサイバー脅威の実態レポートを発表、ランサムウェアグループが30%増加し新たな...

セキュアワークス株式会社は、2025年1月17日に年次レポート「年次レビュー2024年 脅威の実態」の説明会を開催した。2023年6月から2024年7月の調査期間中、活動中のランサムウェアグループが前年比30%増加し、31の新たなグループが出現。中間者攻撃の増加やAIの悪用拡大など、新たな脅威への対策が求められている。

クリエイティブサーベイがInteractive Map機能をリリース、フォーム構造の可視化により情報共有が容易に

クリエイティブサーベイがInteractive Map機能をリリース、フォーム構造の可視化によ...

クリエイティブサーベイ株式会社は、マルチチャネルフォーム「CREATIVE SURVEY」「Ask One」「Fan Fan Fan」において新機能「Interactive Map」を2025年1月20日にリリースした。フォームの構造とデータの流れをマップビューで可視化し、設定内容の確認や共有を容易にする。これにより設定ミスの防止や属人化の解消、円滑な社内レビューが実現され、より効果的なフォーム作成が可能となる。

クリエイティブサーベイがInteractive Map機能をリリース、フォーム構造の可視化によ...

クリエイティブサーベイ株式会社は、マルチチャネルフォーム「CREATIVE SURVEY」「Ask One」「Fan Fan Fan」において新機能「Interactive Map」を2025年1月20日にリリースした。フォームの構造とデータの流れをマップビューで可視化し、設定内容の確認や共有を容易にする。これにより設定ミスの防止や属人化の解消、円滑な社内レビューが実現され、より効果的なフォーム作成が可能となる。

LINE WORKSがDrive Plusオプションを提供開始、クラウドストレージの機能拡張でチーム作業の効率化を実現

LINE WORKSがDrive Plusオプションを提供開始、クラウドストレージの機能拡張で...

LINE WORKS株式会社は2025年1月21日、クラウドストレージ「Drive」機能を拡張した「Drive Plusオプション」の提供を開始した。複数人での同時編集やCADファイルを含む様々なメディアのプレビュー機能を搭載し、チームでの共同作業を効率化。今後はセキュアファイル共有や画像OCR検索なども追加予定で、料金はスタンダードプランが月額500円、アドバンストプランが月額400円となっている。

LINE WORKSがDrive Plusオプションを提供開始、クラウドストレージの機能拡張で...

LINE WORKS株式会社は2025年1月21日、クラウドストレージ「Drive」機能を拡張した「Drive Plusオプション」の提供を開始した。複数人での同時編集やCADファイルを含む様々なメディアのプレビュー機能を搭載し、チームでの共同作業を効率化。今後はセキュアファイル共有や画像OCR検索なども追加予定で、料金はスタンダードプランが月額500円、アドバンストプランが月額400円となっている。

【CVE-2024-56369】LinuxカーネルのDRMドライバーにおけるゼロ除算の脆弱性が発見、複数バージョンで修正パッチを提供

【CVE-2024-56369】LinuxカーネルのDRMドライバーにおけるゼロ除算の脆弱性が...

Linuxカーネルのdrm_mode_vrefreshにおいて、htotalやvtotalが0の場合にゼロ除算を引き起こす可能性のある脆弱性が発見された。【CVE-2024-56369】として識別されたこの問題は、Linux 5.15.176から6.13までの複数バージョンに影響を与えることが確認されており、kernel.orgから提供される修正パッチの適用が推奨される。システムの安定性確保のため、早急な対応が求められている。

【CVE-2024-56369】LinuxカーネルのDRMドライバーにおけるゼロ除算の脆弱性が...

Linuxカーネルのdrm_mode_vrefreshにおいて、htotalやvtotalが0の場合にゼロ除算を引き起こす可能性のある脆弱性が発見された。【CVE-2024-56369】として識別されたこの問題は、Linux 5.15.176から6.13までの複数バージョンに影響を与えることが確認されており、kernel.orgから提供される修正パッチの適用が推奨される。システムの安定性確保のため、早急な対応が求められている。

【CVE-2024-54680】Linuxカーネルのsmbクライアントでデッドロック脆弱性、TCPタイマー処理の問題で深刻な影響

【CVE-2024-54680】Linuxカーネルのsmbクライアントでデッドロック脆弱性、T...

Linuxカーネルのsmbクライアントにおいて、TCPタイマーのデッドロックに関する重要な脆弱性が発見された。この問題は【CVE-2024-54680】として識別され、特にrmmodコマンド実行後にデッドロックが発生する可能性がある。影響を受けるのはLinux 6.12以降のバージョンで、ネットワーク名前空間の参照カウント管理に起因する問題とされている。修正版がリリースされ、6.6.68以降の6.6系、6.12.7以降の6.12系、6.13以降で対策が施されている。

【CVE-2024-54680】Linuxカーネルのsmbクライアントでデッドロック脆弱性、T...

Linuxカーネルのsmbクライアントにおいて、TCPタイマーのデッドロックに関する重要な脆弱性が発見された。この問題は【CVE-2024-54680】として識別され、特にrmmodコマンド実行後にデッドロックが発生する可能性がある。影響を受けるのはLinux 6.12以降のバージョンで、ネットワーク名前空間の参照カウント管理に起因する問題とされている。修正版がリリースされ、6.6.68以降の6.6系、6.12.7以降の6.12系、6.13以降で対策が施されている。

【CVE-2025-21361】Microsoft Outlookにリモートコード実行の脆弱性、Mac版の複数バージョンに影響

【CVE-2025-21361】Microsoft Outlookにリモートコード実行の脆弱性...

Microsoftは2025年1月14日、Microsoft Outlookにおけるリモートコード実行の脆弱性【CVE-2025-21361】を公開した。この脆弱性はCVSSスコア7.8の高深刻度と評価されており、Microsoft Office LTSC for Mac 2021/2024の特定バージョンに影響を及ぼす。攻撃者によるリモートコード実行の可能性があり、該当バージョンを使用するユーザーは最新版へのアップデートが推奨される。

【CVE-2025-21361】Microsoft Outlookにリモートコード実行の脆弱性...

Microsoftは2025年1月14日、Microsoft Outlookにおけるリモートコード実行の脆弱性【CVE-2025-21361】を公開した。この脆弱性はCVSSスコア7.8の高深刻度と評価されており、Microsoft Office LTSC for Mac 2021/2024の特定バージョンに影響を及ぼす。攻撃者によるリモートコード実行の可能性があり、該当バージョンを使用するユーザーは最新版へのアップデートが推奨される。

【CVE-2025-21374】WindowsのCSC Serviceに情報漏洩の脆弱性、複数バージョンに影響

【CVE-2025-21374】WindowsのCSC Serviceに情報漏洩の脆弱性、複数...

MicrosoftはWindows CSC Serviceにおける情報漏洩の脆弱性【CVE-2025-21374】を公開した。この脆弱性はWindows 10からWindows Server 2025まで広範なバージョンに影響を及ぼし、Out-of-bounds Read(CWE-125)に分類される。深刻度は中程度(CVSS:5.5)で、ローカル権限を持つ攻撃者による悪用が可能となっている。早急なパッチ適用が推奨される。

【CVE-2025-21374】WindowsのCSC Serviceに情報漏洩の脆弱性、複数...

MicrosoftはWindows CSC Serviceにおける情報漏洩の脆弱性【CVE-2025-21374】を公開した。この脆弱性はWindows 10からWindows Server 2025まで広範なバージョンに影響を及ぼし、Out-of-bounds Read(CWE-125)に分類される。深刻度は中程度(CVSS:5.5)で、ローカル権限を持つ攻撃者による悪用が可能となっている。早急なパッチ適用が推奨される。

【CVE-2025-21417】Windows Telephony Serviceに深刻な脆弱性、広範なバージョンのWindowsに影響

【CVE-2025-21417】Windows Telephony Serviceに深刻な脆弱...

MicrosoftがWindows Telephony Serviceにおける重大な脆弱性【CVE-2025-21417】を公開した。CVSS 3.1で8.8のハイリスクと評価され、Windows 10からWindows Server 2025まで幅広いバージョンに影響。CWE-122のヒープベースバッファオーバーフローとして分類され、リモートからのコード実行を可能にする危険性が指摘されている。

【CVE-2025-21417】Windows Telephony Serviceに深刻な脆弱...

MicrosoftがWindows Telephony Serviceにおける重大な脆弱性【CVE-2025-21417】を公開した。CVSS 3.1で8.8のハイリスクと評価され、Windows 10からWindows Server 2025まで幅広いバージョンに影響。CWE-122のヒープベースバッファオーバーフローとして分類され、リモートからのコード実行を可能にする危険性が指摘されている。

MicrosoftがAzure SQL MIに正規表現機能を追加、データベース処理の効率化とクエリ最適化に貢献

MicrosoftがAzure SQL MIに正規表現機能を追加、データベース処理の効率化とク...

MicrosoftはAzure SQL Managed Instanceに正規表現機能のプライベートプレビューを公開した。POSIXスタンダードに準拠した5つの主要な正規表現関数をサポートし、REGEXP_LIKEによるパターンマッチングやREGEXP_COUNTによる出現回数のカウントなど、高度な文字列処理が可能になる。Always-up-to-dateポリシーを選択することで、最新機能へのアクセスが可能だ。

MicrosoftがAzure SQL MIに正規表現機能を追加、データベース処理の効率化とク...

MicrosoftはAzure SQL Managed Instanceに正規表現機能のプライベートプレビューを公開した。POSIXスタンダードに準拠した5つの主要な正規表現関数をサポートし、REGEXP_LIKEによるパターンマッチングやREGEXP_COUNTによる出現回数のカウントなど、高度な文字列処理が可能になる。Always-up-to-dateポリシーを選択することで、最新機能へのアクセスが可能だ。

GitHubがSub-Issues機能をパブリックプレビュー公開、Issueの階層管理と進捗追跡が強化

GitHubがSub-Issues機能をパブリックプレビュー公開、Issueの階層管理と進捗追...

GitHubは2025年1月13日、Issueに親子関係を持たせられる新機能「Sub-Issues」をパブリックプレビュー版として公開した。この機能により、Issueの階層構造化や進捗管理が可能になり、大規模プロジェクトのタスク管理が効率化される。また、Issue Types機能や高度な検索機能も同時に導入され、組織全体での一貫したIssue管理が実現した。

GitHubがSub-Issues機能をパブリックプレビュー公開、Issueの階層管理と進捗追...

GitHubは2025年1月13日、Issueに親子関係を持たせられる新機能「Sub-Issues」をパブリックプレビュー版として公開した。この機能により、Issueの階層構造化や進捗管理が可能になり、大規模プロジェクトのタスク管理が効率化される。また、Issue Types機能や高度な検索機能も同時に導入され、組織全体での一貫したIssue管理が実現した。

【CVE-2024-54101】HuaweiのHarmonyOSとEMUIでDoS脆弱性が発見、複数バージョンのインストールモジュールに影響

【CVE-2024-54101】HuaweiのHarmonyOSとEMUIでDoS脆弱性が発見...

HuaweiはHarmonyOSとEMUIのインストールモジュールにおけるDoS脆弱性【CVE-2024-54101】を公開した。CVSSスコア6.2を記録したこの脆弱性は、HarmonyOSの2.0.0から4.2.0、EMUIの12.0.0から14.0.0まで影響を及ぼす。特権レベルやユーザー関与を必要としない特徴があり、ローカルからの攻撃によりシステムの可用性が損なわれる危険性がある。

【CVE-2024-54101】HuaweiのHarmonyOSとEMUIでDoS脆弱性が発見...

HuaweiはHarmonyOSとEMUIのインストールモジュールにおけるDoS脆弱性【CVE-2024-54101】を公開した。CVSSスコア6.2を記録したこの脆弱性は、HarmonyOSの2.0.0から4.2.0、EMUIの12.0.0から14.0.0まで影響を及ぼす。特権レベルやユーザー関与を必要としない特徴があり、ローカルからの攻撃によりシステムの可用性が損なわれる危険性がある。

【CVE-2024-12614】Passwords Manager 1.4.8に認証バイパスの脆弱性、データ改変のリスクが発生

【CVE-2024-12614】Passwords Manager 1.4.8に認証バイパスの...

WordPressプラグインPasswords Managerにおいて、バージョン1.4.8以前に認証バイパスの脆弱性が発見された。この脆弱性により、認証済みの一般ユーザーがプラグインの設定変更や暗号化キーの更新、パスワードの追加が可能となる。CVSSスコアは7.5(High)と評価され、早急な対応が必要とされている。

【CVE-2024-12614】Passwords Manager 1.4.8に認証バイパスの...

WordPressプラグインPasswords Managerにおいて、バージョン1.4.8以前に認証バイパスの脆弱性が発見された。この脆弱性により、認証済みの一般ユーザーがプラグインの設定変更や暗号化キーの更新、パスワードの追加が可能となる。CVSSスコアは7.5(High)と評価され、早急な対応が必要とされている。

【CVE-2024-12615】WordPress用プラグインPasswords Managerにおける認証済みユーザーによるSQL Injection脆弱性が発見

【CVE-2024-12615】WordPress用プラグインPasswords Manage...

WordfenceはWordPress用プラグインPasswords Managerのバージョン1.4.8以前に、SQL Injection脆弱性が存在することを公開した。この脆弱性は$wpdb->prefix値の不適切なエスケープと既存のSQLクエリの不十分な準備に起因しており、Subscriberレベル以上の権限を持つ認証済みユーザーによって悪用される可能性がある。CVSSスコアは6.5(MEDIUM)と評価されている。

【CVE-2024-12615】WordPress用プラグインPasswords Manage...

WordfenceはWordPress用プラグインPasswords Managerのバージョン1.4.8以前に、SQL Injection脆弱性が存在することを公開した。この脆弱性は$wpdb->prefix値の不適切なエスケープと既存のSQLクエリの不十分な準備に起因しており、Subscriberレベル以上の権限を持つ認証済みユーザーによって悪用される可能性がある。CVSSスコアは6.5(MEDIUM)と評価されている。

【CVE-2024-53689】Linuxカーネル6.11-6.12系にデッドロック脆弱性、queue_attr_store関数のロック処理に問題

【CVE-2024-53689】Linuxカーネル6.11-6.12系にデッドロック脆弱性、q...

Linuxカーネルの開発チームは、ブロックデバイスのキューフリーズ処理とsysfs_lockの取得順序に関する重要な脆弱性を発見した。この問題はqueue_attr_store関数内での処理順序の不適切さに起因し、デバッグファイルシステムへのアクセス時にデッドロックを引き起こす可能性がある。特にLinux 6.11から6.12系のバージョンに影響を及ぼすため、早急な対応が必要とされている。

【CVE-2024-53689】Linuxカーネル6.11-6.12系にデッドロック脆弱性、q...

Linuxカーネルの開発チームは、ブロックデバイスのキューフリーズ処理とsysfs_lockの取得順序に関する重要な脆弱性を発見した。この問題はqueue_attr_store関数内での処理順序の不適切さに起因し、デバッグファイルシステムへのアクセス時にデッドロックを引き起こす可能性がある。特にLinux 6.11から6.12系のバージョンに影響を及ぼすため、早急な対応が必要とされている。

【CVE-2024-12613】Passwords Manager 1.4.8以前のバージョンにSQLインジェクションの脆弱性、認証なしでの攻撃が可能に

【CVE-2024-12613】Passwords Manager 1.4.8以前のバージョン...

WordPressプラグインのPasswords Manager 1.4.8以前のバージョンにSQLインジェクションの脆弱性が発見された。$wpdb->prefix値が適切にエスケープされておらず、SQL文が十分に準備されていないことが原因。認証なしで攻撃が可能で、データベースから機密情報を抽出できる状態にある。CVSSスコア7.5と高く評価され、特に機密性への影響が重大。早急なアップデートが推奨される。

【CVE-2024-12613】Passwords Manager 1.4.8以前のバージョン...

WordPressプラグインのPasswords Manager 1.4.8以前のバージョンにSQLインジェクションの脆弱性が発見された。$wpdb->prefix値が適切にエスケープされておらず、SQL文が十分に準備されていないことが原因。認証なしで攻撃が可能で、データベースから機密情報を抽出できる状態にある。CVSSスコア7.5と高く評価され、特に機密性への影響が重大。早急なアップデートが推奨される。

GitHubがパブリックリポジトリ向けにCobalt 100搭載のArm64ホステッドランナーを無料提供、クラウドネイティブ開発の効率化に貢献

GitHubがパブリックリポジトリ向けにCobalt 100搭載のArm64ホステッドランナー...

GitHubは2025年1月16日、パブリックリポジトリの無料プランユーザーに対してMicrosoftのCobalt 100プロセッサを搭載したLinux Arm64ホステッドランナーの提供を開始した。4つの仮想CPUコアを備え、従来比40%のパフォーマンス向上を実現。Ubuntu 24.04と22.04に対応し、Armネイティブな開発環境を提供することで、開発者の生産性向上に貢献する。

GitHubがパブリックリポジトリ向けにCobalt 100搭載のArm64ホステッドランナー...

GitHubは2025年1月16日、パブリックリポジトリの無料プランユーザーに対してMicrosoftのCobalt 100プロセッサを搭載したLinux Arm64ホステッドランナーの提供を開始した。4つの仮想CPUコアを備え、従来比40%のパフォーマンス向上を実現。Ubuntu 24.04と22.04に対応し、Armネイティブな開発環境を提供することで、開発者の生産性向上に貢献する。

MicrosoftがWindows 11 Build 22631.4825をリリース、タスクバーとファイル共有機能が大幅に改善

MicrosoftがWindows 11 Build 22631.4825をリリース、タスクバ...

MicrosoftはWindows 11 Build 22631.4825のプレビュー版をRelease Preview Channelで公開した。タスクバーのプレビュー表示とアニメーションが改善され、NPU搭載デバイスではWindows Studio Effectsのアイコンがシステムトレイに表示されるようになった。また、ファイルエクスプローラーでの共有機能が強化され、Microsoft アカウントユーザーは共有されたファイルやメール、Teamsチャットに素早くアクセス可能になっている。

MicrosoftがWindows 11 Build 22631.4825をリリース、タスクバ...

MicrosoftはWindows 11 Build 22631.4825のプレビュー版をRelease Preview Channelで公開した。タスクバーのプレビュー表示とアニメーションが改善され、NPU搭載デバイスではWindows Studio Effectsのアイコンがシステムトレイに表示されるようになった。また、ファイルエクスプローラーでの共有機能が強化され、Microsoft アカウントユーザーは共有されたファイルやメール、Teamsチャットに素早くアクセス可能になっている。

【CVE-2024-12851】Element Pack LiteにXSS脆弱性、Contributor以上の権限で任意のスクリプト実行が可能に

【CVE-2024-12851】Element Pack LiteにXSS脆弱性、Contri...

WordPressプラグインElement Pack Liteにおいて、Cookie Consent Widgetのcustom_attributesパラメータに関する脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のWebスクリプトを注入可能で、バージョン5.10.14以前のすべてのバージョンが影響を受ける。CVSSスコアは6.4(MEDIUM)と評価されており、早急な対策が求められる。

【CVE-2024-12851】Element Pack LiteにXSS脆弱性、Contri...

WordPressプラグインElement Pack Liteにおいて、Cookie Consent Widgetのcustom_attributesパラメータに関する脆弱性が発見された。Contributor以上の権限を持つユーザーが任意のWebスクリプトを注入可能で、バージョン5.10.14以前のすべてのバージョンが影響を受ける。CVSSスコアは6.4(MEDIUM)と評価されており、早急な対策が求められる。

【CVE-2024-10862】NEX-Forms 8.7.13にSQLインジェクション脆弱性、管理者権限での攻撃が可能に

【CVE-2024-10862】NEX-Forms 8.7.13にSQLインジェクション脆弱性...

WordPressプラグイン「NEX-Forms – Ultimate Form Builder」の8.7.13以前のバージョンにSQLインジェクションの脆弱性が発見された。CVSSスコア4.9で評価され、管理者権限を持つユーザーが検索パラメータを介して追加のSQLクエリを実行可能。CSRFを介した攻撃も可能なため、データベースから機密情報が抽出されるリスクがある。

【CVE-2024-10862】NEX-Forms 8.7.13にSQLインジェクション脆弱性...

WordPressプラグイン「NEX-Forms – Ultimate Form Builder」の8.7.13以前のバージョンにSQLインジェクションの脆弱性が発見された。CVSSスコア4.9で評価され、管理者権限を持つユーザーが検索パラメータを介して追加のSQLクエリを実行可能。CSRFを介した攻撃も可能なため、データベースから機密情報が抽出されるリスクがある。

【CVE-2025-23022】FreeType 2.8.1に整数オーバーフローの脆弱性が発見、アプリケーションへの影響が懸念される状況に

【CVE-2025-23022】FreeType 2.8.1に整数オーバーフローの脆弱性が発見...

MITRE Corporationは2025年1月10日、FreeType 2.8.1のcf2_doFlex機能に整数オーバーフローの脆弱性が存在することを公開した。CVSSスコア4.0でMedium評価とされており、ローカル環境からの攻撃により、サービス可用性への影響が懸念される。GitLabのイシュートラッカーやDebianセキュリティチームによる追跡が行われており、早急な対策が必要な状況となっている。

【CVE-2025-23022】FreeType 2.8.1に整数オーバーフローの脆弱性が発見...

MITRE Corporationは2025年1月10日、FreeType 2.8.1のcf2_doFlex機能に整数オーバーフローの脆弱性が存在することを公開した。CVSSスコア4.0でMedium評価とされており、ローカル環境からの攻撃により、サービス可用性への影響が懸念される。GitLabのイシュートラッカーやDebianセキュリティチームによる追跡が行われており、早急な対策が必要な状況となっている。

【CVE-2025-0311】Orbit Fox by ThemeIsle 2.10.43にXSS脆弱性、認証済みユーザーによる任意スクリプト実行が可能に

【CVE-2025-0311】Orbit Fox by ThemeIsle 2.10.43にX...

WordPressプラグイン「Orbit Fox by ThemeIsle」のバージョン2.10.43以前にStored XSS脆弱性が発見された。Pricing Table Widgetにおける入力サニタイズと出力エスケープの不備により、Contributor以上の権限を持つユーザーが任意のスクリプトを注入可能。CVSSスコアは6.4で、早急なアップデートが推奨される。

【CVE-2025-0311】Orbit Fox by ThemeIsle 2.10.43にX...

WordPressプラグイン「Orbit Fox by ThemeIsle」のバージョン2.10.43以前にStored XSS脆弱性が発見された。Pricing Table Widgetにおける入力サニタイズと出力エスケープの不備により、Contributor以上の権限を持つユーザーが任意のスクリプトを注入可能。CVSSスコアは6.4で、早急なアップデートが推奨される。

【CVE-2025-0437】Google Chrome 132.0.6834.83より前のバージョンでヒープ破損の脆弱性が発見、重要度Highで早急な対応が必要に

【CVE-2025-0437】Google Chrome 132.0.6834.83より前のバ...

GoogleはGoogle Chrome 132.0.6834.83より前のバージョンにおいて、重要度「High」に分類される脆弱性【CVE-2025-0437】を公開した。Metricsコンポーネントで発見されたこの脆弱性は、Out of bounds readの問題により、攻撃者が細工を施したHTMLページを介してヒープ破損を引き起こす可能性がある。開発チームは修正プログラムを提供し、ユーザーに対して早急なアップデートを推奨している。

【CVE-2025-0437】Google Chrome 132.0.6834.83より前のバ...

GoogleはGoogle Chrome 132.0.6834.83より前のバージョンにおいて、重要度「High」に分類される脆弱性【CVE-2025-0437】を公開した。Metricsコンポーネントで発見されたこの脆弱性は、Out of bounds readの問題により、攻撃者が細工を施したHTMLページを介してヒープ破損を引き起こす可能性がある。開発チームは修正プログラムを提供し、ユーザーに対して早急なアップデートを推奨している。