Tech Insights

【CVE-2024-50258】Linuxカーネルのgso_max_size設定に起因する重大な脆弱性が発見、システムクラッシュのリスクに

【CVE-2024-50258】Linuxカーネルのgso_max_size設定に起因する重大...

Linuxカーネル4.16以降のバージョンにおいて、gso_max_sizeやgso_ipv4_max_sizeの設定値が小さい場合にシステムクラッシュを引き起こす重大な脆弱性が発見された。sk_dst_gso_max_size()関数でのアンダーフローにより、sk->sk_gso_max_sizeがデバイス制限を超過する問題が確認されている。6.6.60、6.11.7、6.12-rc6などの最新バージョンで修正パッチが提供され、最小値チェックの実装により問題が解決された。

【CVE-2024-50258】Linuxカーネルのgso_max_size設定に起因する重大...

Linuxカーネル4.16以降のバージョンにおいて、gso_max_sizeやgso_ipv4_max_sizeの設定値が小さい場合にシステムクラッシュを引き起こす重大な脆弱性が発見された。sk_dst_gso_max_size()関数でのアンダーフローにより、sk->sk_gso_max_sizeがデバイス制限を超過する問題が確認されている。6.6.60、6.11.7、6.12-rc6などの最新バージョンで修正パッチが提供され、最小値チェックの実装により問題が解決された。

【CVE-2024-50255】LinuxカーネルのBluetooth HCIモジュールでnullポインタ参照の脆弱性が発見、システムの安定性に影響

【CVE-2024-50255】LinuxカーネルのBluetooth HCIモジュールでnu...

kernel.orgは2024年11月9日、LinuxカーネルのBluetoothスタックにおける重要な脆弱性CVE-2024-50255を公開した。この脆弱性は__hci_cmd_sync_sk()関数が未知のopcodeに対してNULLを返すことにより、hci_read_supported_codecs関数でnullポインタ参照が発生する問題となっている。影響を受けるバージョンは5.17から6.1.115までで、最新版では修正済みとなっている。

【CVE-2024-50255】LinuxカーネルのBluetooth HCIモジュールでnu...

kernel.orgは2024年11月9日、LinuxカーネルのBluetoothスタックにおける重要な脆弱性CVE-2024-50255を公開した。この脆弱性は__hci_cmd_sync_sk()関数が未知のopcodeに対してNULLを返すことにより、hci_read_supported_codecs関数でnullポインタ参照が発生する問題となっている。影響を受けるバージョンは5.17から6.1.115までで、最新版では修正済みとなっている。

【CVE-2024-47595】SAP Host Agent 7.22に特権昇格の脆弱性、アプリケーションの機密性と整合性に影響

【CVE-2024-47595】SAP Host Agent 7.22に特権昇格の脆弱性、アプ...

SAPは同社のSAP Host Agent 7.22において、sapsysグループのメンバーシップを持つ攻撃者が特権アクセスによって保護されているローカルファイルを置換できる脆弱性を公開した。CVSSスコアは6.3(MEDIUM)を記録しており、攻撃成功時にはアプリケーションの機密性と整合性に重大な影響を及ぼす可能性がある。CWE-266として分類されているこの脆弱性への早急な対応が求められている。

【CVE-2024-47595】SAP Host Agent 7.22に特権昇格の脆弱性、アプ...

SAPは同社のSAP Host Agent 7.22において、sapsysグループのメンバーシップを持つ攻撃者が特権アクセスによって保護されているローカルファイルを置換できる脆弱性を公開した。CVSSスコアは6.3(MEDIUM)を記録しており、攻撃成功時にはアプリケーションの機密性と整合性に重大な影響を及ぼす可能性がある。CWE-266として分類されているこの脆弱性への早急な対応が求められている。

【CVE-2024-47183】Parse Serverで深刻な認証の脆弱性が発見、ロール権限の不正取得が可能に

【CVE-2024-47183】Parse Serverで深刻な認証の脆弱性が発見、ロール権限...

Parse Serverにおいて、カスタムオブジェクトIDを悪用した重大な認証の脆弱性が発見された。CVE-2024-47183として識別されたこの脆弱性は、allowCustomObjectId: trueオプションが設定されている環境で、新規ユーザーが特定のロールの権限を不正に取得できる問題を引き起こす。CVSS v3.1で8.1の深刻度が評価され、バージョン6.5.9と7.3.0で修正された。

【CVE-2024-47183】Parse Serverで深刻な認証の脆弱性が発見、ロール権限...

Parse Serverにおいて、カスタムオブジェクトIDを悪用した重大な認証の脆弱性が発見された。CVE-2024-47183として識別されたこの脆弱性は、allowCustomObjectId: trueオプションが設定されている環境で、新規ユーザーが特定のロールの権限を不正に取得できる問題を引き起こす。CVSS v3.1で8.1の深刻度が評価され、バージョン6.5.9と7.3.0で修正された。

【CVE-2024-46956】Artifex Ghostscript 10.04.0未満に深刻な脆弱性、任意のコード実行が可能に

【CVE-2024-46956】Artifex Ghostscript 10.04.0未満に深...

Artifex Ghostscriptの10.04.0より前のバージョンにおいて、psi/zfile.cのfilenameforall機能に重大な脆弱性が発見された。CVSSスコア7.8の高リスク脆弱性で、攻撃者による任意のコード実行が可能となる。特別な権限は不要だがユーザーの関与が必要となる点が特徴的だ。CISAの分析では自動化可能な攻撃への脆弱性も指摘されており、早急な対応が求められる。

【CVE-2024-46956】Artifex Ghostscript 10.04.0未満に深...

Artifex Ghostscriptの10.04.0より前のバージョンにおいて、psi/zfile.cのfilenameforall機能に重大な脆弱性が発見された。CVSSスコア7.8の高リスク脆弱性で、攻撃者による任意のコード実行が可能となる。特別な権限は不要だがユーザーの関与が必要となる点が特徴的だ。CISAの分析では自動化可能な攻撃への脆弱性も指摘されており、早急な対応が求められる。

【CVE-2024-44296】AppleがiOSやmacOS等の主要OSをアップデート、Content Security Policyの脆弱性に対処

【CVE-2024-44296】AppleがiOSやmacOS等の主要OSをアップデート、Co...

Appleは2024年10月28日、iOS 18.1、iPadOS 18.1、tvOS 18.1、watchOS 11.1、visionOS 2.1、macOS Sequoia 15.1、Safari 18.1など主要OSのセキュリティアップデートを実施した。このアップデートではContent Security Policyの実装における脆弱性【CVE-2024-44296】が修正され、悪意のあるWebコンテンツによるセキュリティポリシーの回避リスクが軽減された。NVDによる評価では、この脆弱性の深刻度はCVSS v3.1でミディアム(5.4)に分類されている。

【CVE-2024-44296】AppleがiOSやmacOS等の主要OSをアップデート、Co...

Appleは2024年10月28日、iOS 18.1、iPadOS 18.1、tvOS 18.1、watchOS 11.1、visionOS 2.1、macOS Sequoia 15.1、Safari 18.1など主要OSのセキュリティアップデートを実施した。このアップデートではContent Security Policyの実装における脆弱性【CVE-2024-44296】が修正され、悪意のあるWebコンテンツによるセキュリティポリシーの回避リスクが軽減された。NVDによる評価では、この脆弱性の深刻度はCVSS v3.1でミディアム(5.4)に分類されている。

【CVE-2024-47443】Adobe After Effects 24.6.2以前に境界外書き込みの脆弱性が発見、任意コード実行のリスクに警戒

【CVE-2024-47443】Adobe After Effects 24.6.2以前に境界...

Adobe After Effectsのバージョン23.6.9および24.6.2以前に、境界外書き込みの脆弱性が発見された。CVE-2024-47443として識別されるこの脆弱性は、攻撃者が悪意のあるファイルを用意し、ユーザーにそれを開かせることで任意のコードを実行できる可能性がある。CVSSスコアは7.8と高く、早急な対応が求められる状況だ。

【CVE-2024-47443】Adobe After Effects 24.6.2以前に境界...

Adobe After Effectsのバージョン23.6.9および24.6.2以前に、境界外書き込みの脆弱性が発見された。CVE-2024-47443として識別されるこの脆弱性は、攻撃者が悪意のあるファイルを用意し、ユーザーにそれを開かせることで任意のコードを実行できる可能性がある。CVSSスコアは7.8と高く、早急な対応が求められる状況だ。

【CVE-2024-47446】After Effects 24.6.2以前にメモリ読み取りの脆弱性、情報漏洩とASLR回避のリスクに警戒

【CVE-2024-47446】After Effects 24.6.2以前にメモリ読み取りの...

Adobeは2024年11月12日、After Effects 23.6.9および24.6.2以前のバージョンに影響を与えるメモリ読み取りの脆弱性を公開した。CVE-2024-47446として識別されるこの脆弱性は、攻撃者が機密メモリの内容を読み取ることでASLRなどの保護機能を回避する可能性がある。CVSSスコアは5.5と中程度だが、機密性への影響は高く評価されており、早急な対応が推奨される。

【CVE-2024-47446】After Effects 24.6.2以前にメモリ読み取りの...

Adobeは2024年11月12日、After Effects 23.6.9および24.6.2以前のバージョンに影響を与えるメモリ読み取りの脆弱性を公開した。CVE-2024-47446として識別されるこの脆弱性は、攻撃者が機密メモリの内容を読み取ることでASLRなどの保護機能を回避する可能性がある。CVSSスコアは5.5と中程度だが、機密性への影響は高く評価されており、早急な対応が推奨される。

【CVE-2024-36507】FortiClientWindowsにDLLハイジャックの脆弱性、複数バージョンで任意コード実行のリスク

【CVE-2024-36507】FortiClientWindowsにDLLハイジャックの脆弱...

FortiClientWindowsの複数バージョンで信頼されていない検索パスの脆弱性が発見された。影響を受けるバージョンは7.4.0、7.2.0から7.2.4、7.0.0から7.0.12で、CVSSスコアは6.7(Medium)と評価されている。DLLハイジャックとソーシャルエンジニアリングを介して攻撃者が任意のコードを実行できる危険性があり、早急な対応が推奨される。

【CVE-2024-36507】FortiClientWindowsにDLLハイジャックの脆弱...

FortiClientWindowsの複数バージョンで信頼されていない検索パスの脆弱性が発見された。影響を受けるバージョンは7.4.0、7.2.0から7.2.4、7.0.0から7.0.12で、CVSSスコアは6.7(Medium)と評価されている。DLLハイジャックとソーシャルエンジニアリングを介して攻撃者が任意のコードを実行できる危険性があり、早急な対応が推奨される。

【CVE-2024-50238】Linuxカーネルのqmp-usbcドライバにNULLポインタ参照の脆弱性、ランタイムサスペンド時の深刻な問題に対処

【CVE-2024-50238】Linuxカーネルのqmp-usbcドライバにNULLポインタ...

Linuxカーネル開発チームは、qmp-usbcドライバにおけるNULLポインタ参照の脆弱性【CVE-2024-50238】を修正するアップデートを公開した。この問題は、プラットフォームデバイスドライバデータの初期化処理が誤って削除されたことに起因しており、ランタイムサスペンド時にNULLポインタ参照が発生する可能性がある。影響を受けるのはLinux 6.9から6.11系列の一部のバージョンとなっている。

【CVE-2024-50238】Linuxカーネルのqmp-usbcドライバにNULLポインタ...

Linuxカーネル開発チームは、qmp-usbcドライバにおけるNULLポインタ参照の脆弱性【CVE-2024-50238】を修正するアップデートを公開した。この問題は、プラットフォームデバイスドライバデータの初期化処理が誤って削除されたことに起因しており、ランタイムサスペンド時にNULLポインタ参照が発生する可能性がある。影響を受けるのはLinux 6.9から6.11系列の一部のバージョンとなっている。

【CVE-2024-50242】Linux kernelがntfs3の脆弱性を修正、ファイルシステムのセキュリティが向上へ

【CVE-2024-50242】Linux kernelがntfs3の脆弱性を修正、ファイルシ...

Linux kernelにおいて、ntfs3ファイルシステムのntfs_file_release機能に関する重要な脆弱性が発見され修正された。この脆弱性は【CVE-2024-50242】として識別され、Linux version 6.6.60、6.11.7、6.12-rc3で修正が実装された。kernel.orgを通じて提供される修正パッチにより、NTFSファイルシステムの安全性が大幅に向上することが期待される。

【CVE-2024-50242】Linux kernelがntfs3の脆弱性を修正、ファイルシ...

Linux kernelにおいて、ntfs3ファイルシステムのntfs_file_release機能に関する重要な脆弱性が発見され修正された。この脆弱性は【CVE-2024-50242】として識別され、Linux version 6.6.60、6.11.7、6.12-rc3で修正が実装された。kernel.orgを通じて提供される修正パッチにより、NTFSファイルシステムの安全性が大幅に向上することが期待される。

【CVE-2024-50250】Linuxカーネルのfsdaxモジュールに深刻な脆弱性、データ整合性とセキュリティに影響

【CVE-2024-50250】Linuxカーネルのfsdaxモジュールに深刻な脆弱性、データ...

Linuxカーネルのfsdaxモジュールにおいて、dax_unshare_iterがブロック全体をコピーしない重大な脆弱性が発見された。この問題により、fsblock境界に位置が揃っていない場合にデータの整合性が損なわれ、ユーザーデータの破損や機密情報の漏洩のリスクがある。影響を受けるバージョンは6.2から6.11まで多岐にわたり、各バージョン向けに修正パッチが提供されている。

【CVE-2024-50250】Linuxカーネルのfsdaxモジュールに深刻な脆弱性、データ...

Linuxカーネルのfsdaxモジュールにおいて、dax_unshare_iterがブロック全体をコピーしない重大な脆弱性が発見された。この問題により、fsblock境界に位置が揃っていない場合にデータの整合性が損なわれ、ユーザーデータの破損や機密情報の漏洩のリスクがある。影響を受けるバージョンは6.2から6.11まで多岐にわたり、各バージョン向けに修正パッチが提供されている。

【CVE-2024-50261】Linuxカーネルのmacsecコンポーネントでuse-after-free脆弱性、参照カウント管理方式による修正を実施

【CVE-2024-50261】Linuxカーネルのmacsecコンポーネントでuse-aft...

Linuxカーネルのmacsecコンポーネントで発見されたuse-after-free脆弱性【CVE-2024-50261】に対する修正が2024年11月9日に実施された。metadata_dstの不適切な解放タイミングに起因する問題に対し、参照カウントベースのdst_release()を採用することで、より安全なメモリ管理を実現。影響を受けるバージョンのユーザーには速やかなアップデートが推奨される。

【CVE-2024-50261】Linuxカーネルのmacsecコンポーネントでuse-aft...

Linuxカーネルのmacsecコンポーネントで発見されたuse-after-free脆弱性【CVE-2024-50261】に対する修正が2024年11月9日に実施された。metadata_dstの不適切な解放タイミングに起因する問題に対し、参照カウントベースのdst_release()を採用することで、より安全なメモリ管理を実現。影響を受けるバージョンのユーザーには速やかなアップデートが推奨される。

【CVE-2024-47444】Adobe After Effects 24.6.2以前にメモリ読み取りの脆弱性、セキュリティ対策の回避が可能に

【CVE-2024-47444】Adobe After Effects 24.6.2以前にメモ...

Adobeは、After Effectsのバージョン23.6.9、24.6.2以前に存在するメモリの範囲外読み取りの脆弱性【CVE-2024-47444】を公開した。この脆弱性は、ユーザーが悪意のあるファイルを開くことで発動し、攻撃者がASLRなどのセキュリティ対策を回避できる可能性がある。CVSSスコアは5.5(MEDIUM)で、早急なアップデートが推奨される。

【CVE-2024-47444】Adobe After Effects 24.6.2以前にメモ...

Adobeは、After Effectsのバージョン23.6.9、24.6.2以前に存在するメモリの範囲外読み取りの脆弱性【CVE-2024-47444】を公開した。この脆弱性は、ユーザーが悪意のあるファイルを開くことで発動し、攻撃者がASLRなどのセキュリティ対策を回避できる可能性がある。CVSSスコアは5.5(MEDIUM)で、早急なアップデートが推奨される。

【CVE-2024-50263】Linuxカーネルのfork処理におけるメモリ管理機能の改善、システムの安定性が向上

【CVE-2024-50263】Linuxカーネルのfork処理におけるメモリ管理機能の改善、...

Linuxカーネルのfork処理におけるkhugepaged、KSMフックの呼び出しタイミングが最適化された。この改善により、不完全な状態のmmに対するフック呼び出しが防止され、メモリマップの複製処理における一貫性が確保された。特にmaple treeを使用した実装において、エントリの一貫性を保ちつつ効率的な処理が実現される。これによりシステムの安定性と信頼性が大幅に向上することが期待される。

【CVE-2024-50263】Linuxカーネルのfork処理におけるメモリ管理機能の改善、...

Linuxカーネルのfork処理におけるkhugepaged、KSMフックの呼び出しタイミングが最適化された。この改善により、不完全な状態のmmに対するフック呼び出しが防止され、メモリマップの複製処理における一貫性が確保された。特にmaple treeを使用した実装において、エントリの一貫性を保ちつつ効率的な処理が実現される。これによりシステムの安定性と信頼性が大幅に向上することが期待される。

【CVE-2024-51377】Faveo Helpdesk 9.2.0にクロスサイトスクリプティングの脆弱性が発見、遠隔からの攻撃が可能に

【CVE-2024-51377】Faveo Helpdesk 9.2.0にクロスサイトスクリプ...

Ladybird Web SolutionのFaveo Helpdesk & Servicedesk 9.2.0において、SubjectとIdentifierフィールドを介して遠隔から任意のコードが実行可能となる重大な脆弱性が発見された。CVSSスコア8.8の高リスク脆弱性として評価されており、攻撃の複雑さは低く特権も不要とされている。CWE-79に分類されるこの脆弱性は、早急な対応が求められる状況となっている。

【CVE-2024-51377】Faveo Helpdesk 9.2.0にクロスサイトスクリプ...

Ladybird Web SolutionのFaveo Helpdesk & Servicedesk 9.2.0において、SubjectとIdentifierフィールドを介して遠隔から任意のコードが実行可能となる重大な脆弱性が発見された。CVSSスコア8.8の高リスク脆弱性として評価されており、攻撃の複雑さは低く特権も不要とされている。CWE-79に分類されるこの脆弱性は、早急な対応が求められる状況となっている。

【CVE-2024-48838】Dell SmartFabric OS10 Softwareに脆弱性、外部からのファイルシステムアクセスが可能な状態に

【CVE-2024-48838】Dell SmartFabric OS10 Softwareに...

Dellは2024年11月12日、SmartFabric OS10 Softwareのバージョン10.5.3.x、10.5.4.x、10.5.5.xにおいて、Files or Directories Accessible to External Partiesの脆弱性を公開した。この脆弱性はCVE-2024-48838として識別され、ローカルアクセス権限を持つ攻撃者によってファイルシステムへのアクセスが可能になる状態であることが判明している。現在、バージョン10.5.6.xでは修正済みである。

【CVE-2024-48838】Dell SmartFabric OS10 Softwareに...

Dellは2024年11月12日、SmartFabric OS10 Softwareのバージョン10.5.3.x、10.5.4.x、10.5.5.xにおいて、Files or Directories Accessible to External Partiesの脆弱性を公開した。この脆弱性はCVE-2024-48838として識別され、ローカルアクセス権限を持つ攻撃者によってファイルシステムへのアクセスが可能になる状態であることが判明している。現在、バージョン10.5.6.xでは修正済みである。

【CVE-2024-11016】Grand Vice InfoのWebopacにSQLインジェクション脆弱性、データベース改ざんのリスクで緊急アップデートを推奨

【CVE-2024-11016】Grand Vice InfoのWebopacにSQLインジェ...

TWCERTは2024年11月11日、Grand Vice InfoのWebopacに深刻なSQLインジェクション脆弱性が存在することを公開した。CVE-2024-11016として識別されるこの脆弱性は、認証不要で遠隔からの攻撃が可能で、データベースの内容を読み取り、改変、削除できる権限が攻撃者に与えられる。CVSSスコアは9.8と最高クラスの評価となっており、影響を受けるバージョン6.0.0-6.5.0および7.0.0-7.2.2のユーザーには早急なアップデートが推奨されている。

【CVE-2024-11016】Grand Vice InfoのWebopacにSQLインジェ...

TWCERTは2024年11月11日、Grand Vice InfoのWebopacに深刻なSQLインジェクション脆弱性が存在することを公開した。CVE-2024-11016として識別されるこの脆弱性は、認証不要で遠隔からの攻撃が可能で、データベースの内容を読み取り、改変、削除できる権限が攻撃者に与えられる。CVSSスコアは9.8と最高クラスの評価となっており、影響を受けるバージョン6.0.0-6.5.0および7.0.0-7.2.2のユーザーには早急なアップデートが推奨されている。

【CVE-2024-49508】Adobe InDesign Desktop ID19.5に深刻な脆弱性、任意のコード実行のリスクで即時対応が必要に

【CVE-2024-49508】Adobe InDesign Desktop ID19.5に深...

Adobe InDesign Desktop ID18.5.2、ID19.5およびそれ以前のバージョンにおいて、ヒープベースのバッファオーバーフローの脆弱性が発見された。CVSSスコア7.8と高い深刻度を示しており、悪意のあるファイルを開くことで攻撃者による任意のコード実行が可能となる。ユーザーの操作を必要とするものの、攻撃の複雑さが低く特権も不要なため、早急な対応が推奨される。

【CVE-2024-49508】Adobe InDesign Desktop ID19.5に深...

Adobe InDesign Desktop ID18.5.2、ID19.5およびそれ以前のバージョンにおいて、ヒープベースのバッファオーバーフローの脆弱性が発見された。CVSSスコア7.8と高い深刻度を示しており、悪意のあるファイルを開くことで攻撃者による任意のコード実行が可能となる。ユーザーの操作を必要とするものの、攻撃の複雑さが低く特権も不要なため、早急な対応が推奨される。

【CVE-2024-49509】InDesign DesktopのID19.5以前にヒープベースバッファオーバーフローの脆弱性、任意のコード実行が可能に

【CVE-2024-49509】InDesign DesktopのID19.5以前にヒープベー...

AdobeのInDesign Desktop ID18.5.3およびID19.5以前のバージョンにおいて、ヒープベースバッファオーバーフローの脆弱性が発見された。悪意のあるファイルを開くことで任意のコード実行が可能となる深刻な問題で、CVSSスコアは7.8と高く評価されている。この脆弱性は現在のユーザー権限でコードが実行される可能性があり、早急な対応が必要とされている。

【CVE-2024-49509】InDesign DesktopのID19.5以前にヒープベー...

AdobeのInDesign Desktop ID18.5.3およびID19.5以前のバージョンにおいて、ヒープベースバッファオーバーフローの脆弱性が発見された。悪意のあるファイルを開くことで任意のコード実行が可能となる深刻な問題で、CVSSスコアは7.8と高く評価されている。この脆弱性は現在のユーザー権限でコードが実行される可能性があり、早急な対応が必要とされている。

【CVE-2024-6985】lollms-webuiにパストラバーサル脆弱性が発見、任意のフォルダ読み取りが可能に

【CVE-2024-6985】lollms-webuiにパストラバーサル脆弱性が発見、任意のフ...

parisneo/lollms-webuiのapi open_personality_folder endpointにパストラバーサル脆弱性が発見された。この脆弱性はpersonality_folderパラメータの不適切な処理により、攻撃者が被害者のコンピュータ上の任意のフォルダを読み取ることを可能にする。CVSSスコアは4.4で中程度の深刻度と評価され、バージョン5.9.0より前のバージョンが影響を受ける。

【CVE-2024-6985】lollms-webuiにパストラバーサル脆弱性が発見、任意のフ...

parisneo/lollms-webuiのapi open_personality_folder endpointにパストラバーサル脆弱性が発見された。この脆弱性はpersonality_folderパラメータの不適切な処理により、攻撃者が被害者のコンピュータ上の任意のフォルダを読み取ることを可能にする。CVSSスコアは4.4で中程度の深刻度と評価され、バージョン5.9.0より前のバージョンが影響を受ける。

【CVE-2024-5474】Lenovo Dolby Vision Provisioningソフトウェアに情報開示の脆弱性、新規インストール時に権限昇格のリスク

【CVE-2024-5474】Lenovo Dolby Vision Provisioning...

LenovoはDolby Vision Provisioningソフトウェアのバージョン2.0.0.2未満に情報開示の脆弱性が存在することを公開した。CVE-2024-5474として識別されるこの脆弱性は、ローカル攻撃者がパッケージのインストール中に昇格した権限でシステム上のファイルを読み取ることを可能にする。CVSSスコアは5.5で中程度のリスクと評価され、既存のインストール環境には影響がないことが確認されている。

【CVE-2024-5474】Lenovo Dolby Vision Provisioning...

LenovoはDolby Vision Provisioningソフトウェアのバージョン2.0.0.2未満に情報開示の脆弱性が存在することを公開した。CVE-2024-5474として識別されるこの脆弱性は、ローカル攻撃者がパッケージのインストール中に昇格した権限でシステム上のファイルを読み取ることを可能にする。CVSSスコアは5.5で中程度のリスクと評価され、既存のインストール環境には影響がないことが確認されている。

【CVE-2024-52358】Responsive Addons for Elementorにクロスサイトスクリプティングの脆弱性、バージョン1.6.0で修正完了

【CVE-2024-52358】Responsive Addons for Elementor...

CyberchimpsのWordPressプラグインResponsive Addons for Elementorにおいて、DOM-Based XSSの脆弱性が発見された。バージョン1.5.4以前が影響を受け、CVSSスコア6.5の中程度の深刻度と評価される。この脆弱性はWebページ生成時の入力の不適切な無害化処理に起因し、バージョン1.6.0で修正が完了している。

【CVE-2024-52358】Responsive Addons for Elementor...

CyberchimpsのWordPressプラグインResponsive Addons for Elementorにおいて、DOM-Based XSSの脆弱性が発見された。バージョン1.5.4以前が影響を受け、CVSSスコア6.5の中程度の深刻度と評価される。この脆弱性はWebページ生成時の入力の不適切な無害化処理に起因し、バージョン1.6.0で修正が完了している。

【CVE-2024-29119】Siemens社のSpectrum Power 7に特権昇格の脆弱性、重要インフラへの影響が懸念される事態に

【CVE-2024-29119】Siemens社のSpectrum Power 7に特権昇格の...

Siemens社のSpectrum Power 7において、V24Q3より前の全バージョンで特権昇格の脆弱性が発見された。CVSSスコアは3.1で7.8、4.0で8.5と高い深刻度を示しており、認証済みローカル攻撃者による特権昇格が可能な状態となっている。CWE-266に分類されるこの脆弱性は、root所有のSUIDバイナリに関連する問題であり、重要インフラへの影響が懸念される。

【CVE-2024-29119】Siemens社のSpectrum Power 7に特権昇格の...

Siemens社のSpectrum Power 7において、V24Q3より前の全バージョンで特権昇格の脆弱性が発見された。CVSSスコアは3.1で7.8、4.0で8.5と高い深刻度を示しており、認証済みローカル攻撃者による特権昇格が可能な状態となっている。CWE-266に分類されるこの脆弱性は、root所有のSUIDバイナリに関連する問題であり、重要インフラへの影響が懸念される。

【CVE-2024-36140】SiemensのOZW672とOZW772にXSS脆弱性、認証済み攻撃者によるJavaScriptコード実行の危険性

【CVE-2024-36140】SiemensのOZW672とOZW772にXSS脆弱性、認証...

SiemensのOZW672とOZW772のユーザーアカウントタブにストアドXSS脆弱性が発見された。V5.2未満の全バージョンが影響を受け、認証済みリモート攻撃者による任意のJavaScriptコードの実行が可能となっている。CVSSスコアはv3.1で6.8(Medium)、v4.0で8.2(High)と評価され、高権限ユーザーへの攻撃リスクが指摘されている。

【CVE-2024-36140】SiemensのOZW672とOZW772にXSS脆弱性、認証...

SiemensのOZW672とOZW772のユーザーアカウントタブにストアドXSS脆弱性が発見された。V5.2未満の全バージョンが影響を受け、認証済みリモート攻撃者による任意のJavaScriptコードの実行が可能となっている。CVSSスコアはv3.1で6.8(Medium)、v4.0で8.2(High)と評価され、高権限ユーザーへの攻撃リスクが指摘されている。

Leaning TechnologiesがWebVM 2.0を公開、ブラウザ上でLinuxデスクトップ環境の完全実行が可能に

Leaning TechnologiesがWebVM 2.0を公開、ブラウザ上でLinuxデス...

Leaning Technologiesは、WebブラウザでLinux環境を実行できる仮想マシンWebVMの新バージョンWebVM 2.0を公開した。WebAssemblyベースの仮想化エンジンCheerpXとストリーミングディスクバックエンドにより、1GB以上のルートファイルシステムをサポートし、XorgとLinuxデスクトップ環境の完全な実行を実現。教育機関や企業での活用が期待される。

Leaning TechnologiesがWebVM 2.0を公開、ブラウザ上でLinuxデス...

Leaning Technologiesは、WebブラウザでLinux環境を実行できる仮想マシンWebVMの新バージョンWebVM 2.0を公開した。WebAssemblyベースの仮想化エンジンCheerpXとストリーミングディスクバックエンドにより、1GB以上のルートファイルシステムをサポートし、XorgとLinuxデスクトップ環境の完全な実行を実現。教育機関や企業での活用が期待される。

GoogleがDocsでGemini画像生成機能を追加、Imagen 3による高品質な画像作成が可能に

GoogleがDocsでGemini画像生成機能を追加、Imagen 3による高品質な画像作成...

GoogleはGoogle Docsに新たにGeminiを活用した画像生成機能を追加した。最新の画像生成モデルImagen 3を採用し、インライン画像とフルブリードカバー画像の両方に対応。写真や水彩画などのスタイル指定やアスペクト比の選択も可能で、レストランメニューやマーケティング資料など幅広い用途に活用できる。Rapid Releaseドメインでは11月15日から、Scheduled Releaseドメインでは12月16日から順次展開される。

GoogleがDocsでGemini画像生成機能を追加、Imagen 3による高品質な画像作成...

GoogleはGoogle Docsに新たにGeminiを活用した画像生成機能を追加した。最新の画像生成モデルImagen 3を採用し、インライン画像とフルブリードカバー画像の両方に対応。写真や水彩画などのスタイル指定やアスペクト比の選択も可能で、レストランメニューやマーケティング資料など幅広い用途に活用できる。Rapid Releaseドメインでは11月15日から、Scheduled Releaseドメインでは12月16日から順次展開される。

Windows 11 Insider Preview Build 22635.4510がリリース、タスクバーとアクセシビリティ機能が大幅に向上

Windows 11 Insider Preview Build 22635.4510がリリー...

MicrosoftがWindows 11 Insider Preview Build 22635.4510をBetaチャンネルでリリース。タスクバーからのファイル共有機能、ゲームパッドキーボードレイアウト、Narratorのスキャンモード強化など、ユーザビリティとアクセシビリティの両面で機能を拡張。音声関連機能の言語ファイル更新にも対応し、より柔軟な操作環境を実現している。

Windows 11 Insider Preview Build 22635.4510がリリー...

MicrosoftがWindows 11 Insider Preview Build 22635.4510をBetaチャンネルでリリース。タスクバーからのファイル共有機能、ゲームパッドキーボードレイアウト、Narratorのスキャンモード強化など、ユーザビリティとアクセシビリティの両面で機能を拡張。音声関連機能の言語ファイル更新にも対応し、より柔軟な操作環境を実現している。

BlackviewがAndroid 15搭載のTab 60 Proを発表、AIパワーセービング機能で長時間駆動を実現

BlackviewがAndroid 15搭載のTab 60 Proを発表、AIパワーセービング...

Blackviewが新型タブレットTab 60 Proを発表。Android 15を搭載し、Private Spaceなどの新しいプライバシー機能を実装。Unisoc T606プロセッサと7700mAhバッテリーを搭載し、AIパワーセービングモードによる電力最適化を実現。さらにAI Magic Eraserなどの高度な写真編集機能も備え、11月18日からAmazonで販売開始予定。

BlackviewがAndroid 15搭載のTab 60 Proを発表、AIパワーセービング...

Blackviewが新型タブレットTab 60 Proを発表。Android 15を搭載し、Private Spaceなどの新しいプライバシー機能を実装。Unisoc T606プロセッサと7700mAhバッテリーを搭載し、AIパワーセービングモードによる電力最適化を実現。さらにAI Magic Eraserなどの高度な写真編集機能も備え、11月18日からAmazonで販売開始予定。

USENとDAZNが飲食店向けスポーツ配信サービスで提携、BtoB市場初のスマートTV搭載セットプランを展開

USENとDAZNが飲食店向けスポーツ配信サービスで提携、BtoB市場初のスマートTV搭載セッ...

USENがDAZNと連携し、BtoB市場初となる商業施設向けスポーツ配信サービス「DAZN FOR BUSINESS」を自社スマートTVに搭載した飲食店向けセットプランの販売を2024年11月13日より開始。3種類のプランを展開し、導入から施工・保守までワンストップで提供。Jリーグやワールドカップ予選など、人気スポーツの配信が可能となっている。

USENとDAZNが飲食店向けスポーツ配信サービスで提携、BtoB市場初のスマートTV搭載セッ...

USENがDAZNと連携し、BtoB市場初となる商業施設向けスポーツ配信サービス「DAZN FOR BUSINESS」を自社スマートTVに搭載した飲食店向けセットプランの販売を2024年11月13日より開始。3種類のプランを展開し、導入から施工・保守までワンストップで提供。Jリーグやワールドカップ予選など、人気スポーツの配信が可能となっている。