Tech Insights

【CVE-2024-47361】WordPressプラグインElementor Addon Elements 1.13.6以前に深刻なアクセス制御の脆弱性が発見

【CVE-2024-47361】WordPressプラグインElementor Addon E...

WPVibesが提供するWordPressプラグインElementor Addon Elementsにおいて、バージョン1.13.6以前に重大なアクセス制御の脆弱性が発見された。CVE-2024-47361として識別されたこの脆弱性は、CVSSスコア6.5の中程度の深刻度を持ち、攻撃の複雑さは低いとされている。既にバージョン1.13.7で修正が実施されており、ユーザーは速やかなアップデートが推奨される。

【CVE-2024-47361】WordPressプラグインElementor Addon E...

WPVibesが提供するWordPressプラグインElementor Addon Elementsにおいて、バージョン1.13.6以前に重大なアクセス制御の脆弱性が発見された。CVE-2024-47361として識別されたこの脆弱性は、CVSSスコア6.5の中程度の深刻度を持ち、攻撃の複雑さは低いとされている。既にバージョン1.13.7で修正が実施されており、ユーザーは速やかなアップデートが推奨される。

【CVE-2024-47314】WordPressのSunshine Photo Cart 3.2.8でアクセス制御の脆弱性が発見、早急な更新が必要に

【CVE-2024-47314】WordPressのSunshine Photo Cart 3...

WordPressプラグインSunshine Photo Cartのバージョン3.2.8以前に、アクセス制御の不備による重大な脆弱性が発見された。CVSS基本値7.1のHighレベルと評価され、ネットワーク経由での攻撃が可能とされている。この脆弱性は特権が必要であるものの攻撃の複雑さは低く、ユーザーの操作も不要とされており、早急なバージョン3.2.9への更新が推奨される。

【CVE-2024-47314】WordPressのSunshine Photo Cart 3...

WordPressプラグインSunshine Photo Cartのバージョン3.2.8以前に、アクセス制御の不備による重大な脆弱性が発見された。CVSS基本値7.1のHighレベルと評価され、ネットワーク経由での攻撃が可能とされている。この脆弱性は特権が必要であるものの攻撃の複雑さは低く、ユーザーの操作も不要とされており、早急なバージョン3.2.9への更新が推奨される。

【CVE-2024-34676】Samsung Mobileデバイスに深刻な脆弱性、字幕ファイル解析時のメモリ破損に注意

【CVE-2024-34676】Samsung Mobileデバイスに深刻な脆弱性、字幕ファイ...

Samsung Mobileは2024年11月6日、Android 12から14搭載デバイスのlibsubextractor.soライブラリに脆弱性が発見されたことを公開した。字幕ファイルの解析時に範囲外書き込みが発生し、メモリ破損につながる可能性がある。CVSSスコアは4.4(Medium)で、攻撃には特権は不要だがユーザーの操作が必要となる。2024年11月のセキュリティアップデートで修正され、SSVCの評価では自動化された攻撃は確認されていない。

【CVE-2024-34676】Samsung Mobileデバイスに深刻な脆弱性、字幕ファイ...

Samsung Mobileは2024年11月6日、Android 12から14搭載デバイスのlibsubextractor.soライブラリに脆弱性が発見されたことを公開した。字幕ファイルの解析時に範囲外書き込みが発生し、メモリ破損につながる可能性がある。CVSSスコアは4.4(Medium)で、攻撃には特権は不要だがユーザーの操作が必要となる。2024年11月のセキュリティアップデートで修正され、SSVCの評価では自動化された攻撃は確認されていない。

【CVE-2024-34674】Samsung MobileのContacts脆弱性、複数ユーザープロファイル間のデータアクセスに関する問題が発覚

【CVE-2024-34674】Samsung MobileのContacts脆弱性、複数ユー...

Samsung MobileのContactsアプリに深刻な脆弱性が発見された。SMR Nov-2024 Release 1以前のバージョンで、物理的な攻撃者によって異なるユーザープロファイル間のデータにアクセスされる可能性がある。CVSSスコアは4.6(MEDIUM)と評価され、Android 12、13、14の各バージョンに影響。SMR Nov-2024 Release 1で修正予定であり、早急なアップデートが推奨される。

【CVE-2024-34674】Samsung MobileのContacts脆弱性、複数ユー...

Samsung MobileのContactsアプリに深刻な脆弱性が発見された。SMR Nov-2024 Release 1以前のバージョンで、物理的な攻撃者によって異なるユーザープロファイル間のデータにアクセスされる可能性がある。CVSSスコアは4.6(MEDIUM)と評価され、Android 12、13、14の各バージョンに影響。SMR Nov-2024 Release 1で修正予定であり、早急なアップデートが推奨される。

【CVE-2024-47074】DataEaseにPostgreSQLデータソースの脆弱性が発見、システム特権取得のリスクが明らかに

【CVE-2024-47074】DataEaseにPostgreSQLデータソースの脆弱性が発...

オープンソースのデータ可視化分析ツールDataEaseにおいて、PostgreSQLデータソースのJDBC接続パラメータに関する深刻な脆弱性が発見された。PgConfigurationクラスがパラメータをフィルタリングせずに直接結合する仕様により、攻撃者がシステム特権を取得できる状態にあった。CVSSスコア9.3の重大な脆弱性は、バージョン1.18.25で修正されている。

【CVE-2024-47074】DataEaseにPostgreSQLデータソースの脆弱性が発...

オープンソースのデータ可視化分析ツールDataEaseにおいて、PostgreSQLデータソースのJDBC接続パラメータに関する深刻な脆弱性が発見された。PgConfigurationクラスがパラメータをフィルタリングせずに直接結合する仕様により、攻撃者がシステム特権を取得できる状態にあった。CVSSスコア9.3の重大な脆弱性は、バージョン1.18.25で修正されている。

【CVE-2024-45403】h2oサーバでHTTP/3に関する脆弱性が発見、アサーション失敗によるDoS攻撃のリスクが浮上

【CVE-2024-45403】h2oサーバでHTTP/3に関する脆弱性が発見、アサーション失...

h2oサーバで重要な脆弱性【CVE-2024-45403】が発見された。リバースプロキシ構成時にHTTP/3リクエストがキャンセルされるとアサーション失敗によるクラッシュが発生し、DoS攻撃に悪用される可能性がある。h2oスタンドアロンサーバはデフォルトで自動再起動するが、並行処理中のリクエストは影響を受ける。commit 1ed32b2で修正済みだが、一時的な対策としてHTTP/3の無効化も可能。

【CVE-2024-45403】h2oサーバでHTTP/3に関する脆弱性が発見、アサーション失...

h2oサーバで重要な脆弱性【CVE-2024-45403】が発見された。リバースプロキシ構成時にHTTP/3リクエストがキャンセルされるとアサーション失敗によるクラッシュが発生し、DoS攻撃に悪用される可能性がある。h2oスタンドアロンサーバはデフォルトで自動再起動するが、並行処理中のリクエストは影響を受ける。commit 1ed32b2で修正済みだが、一時的な対策としてHTTP/3の無効化も可能。

【CVE-2024-6443】ZephyrプロジェクトでUTF8文字列処理の脆弱性が発見、メモリ範囲外読み取りのリスクに対応

【CVE-2024-6443】ZephyrプロジェクトでUTF8文字列処理の脆弱性が発見、メモ...

Zephyr Projectは、utf8_truncにおいて文字列が空の場合にメモリ範囲外読み取りが発生する脆弱性【CVE-2024-6443】を発見した。CVSSスコアは6.3(中)で、攻撃条件の複雑さは低いものの、エクスプロイトの自動化は不可能とされている。この脆弱性は3.6以前のすべてのバージョンに影響を与え、システムの安定性に関わる重要な問題として認識されている。

【CVE-2024-6443】ZephyrプロジェクトでUTF8文字列処理の脆弱性が発見、メモ...

Zephyr Projectは、utf8_truncにおいて文字列が空の場合にメモリ範囲外読み取りが発生する脆弱性【CVE-2024-6443】を発見した。CVSSスコアは6.3(中)で、攻撃条件の複雑さは低いものの、エクスプロイトの自動化は不可能とされている。この脆弱性は3.6以前のすべてのバージョンに影響を与え、システムの安定性に関わる重要な問題として認識されている。

【CVE-2024-6400】Finrotaの決済システムNetahsilatで認証情報が平文保存される重大な脆弱性を確認

【CVE-2024-6400】Finrotaの決済システムNetahsilatで認証情報が平文...

Finrota社の決済システムNetahsilatにおいて、ユーザー名とパスワードが平文で保存される重大な脆弱性が発見された。CVE-2024-6400として報告されたこの問題は、CVSSスコア8.2と高く評価され、特権ユーザーによる機密情報へのアクセスを可能にする。Finrota社はバージョン1.21.10から1.24.03で修正プログラムを提供し、暗号化処理を実装することで対応を完了している。

【CVE-2024-6400】Finrotaの決済システムNetahsilatで認証情報が平文...

Finrota社の決済システムNetahsilatにおいて、ユーザー名とパスワードが平文で保存される重大な脆弱性が発見された。CVE-2024-6400として報告されたこの問題は、CVSSスコア8.2と高く評価され、特権ユーザーによる機密情報へのアクセスを可能にする。Finrota社はバージョン1.21.10から1.24.03で修正プログラムを提供し、暗号化処理を実装することで対応を完了している。

【CVE-2024-50099】Linux kernelのarm64 uprobes機能における脆弱性、メモリアクセス制御の強化へ

【CVE-2024-50099】Linux kernelのarm64 uprobes機能におけ...

Linux kernelの開発チームは、arm64アーキテクチャのuprobesにおけるLDR (literal)サポートの重大な脆弱性を公開した。simulate_ldr_literal()およびsimulate_ldrsw_literal()関数のユーザーメモリアクセスの安全性が確保できていない問題が判明。この問題により、フォールト発生時のカーネルスレッドの停止やシステムのロックアップ、パニックを引き起こす危険性が指摘されている。

【CVE-2024-50099】Linux kernelのarm64 uprobes機能におけ...

Linux kernelの開発チームは、arm64アーキテクチャのuprobesにおけるLDR (literal)サポートの重大な脆弱性を公開した。simulate_ldr_literal()およびsimulate_ldrsw_literal()関数のユーザーメモリアクセスの安全性が確保できていない問題が判明。この問題により、フォールト発生時のカーネルスレッドの停止やシステムのロックアップ、パニックを引き起こす危険性が指摘されている。

【CVE-2024-49949】Linuxカーネルのqdisc_pkt_len_init()に脆弱性、複数バージョンで修正パッチを提供

【CVE-2024-49949】Linuxカーネルのqdisc_pkt_len_init()に...

Linuxカーネルにおいて、qdisc_pkt_len_init()の処理に関する重大な脆弱性が発見された。この脆弱性は特定のGSOパケット特性を持つ攻撃により、カーネルクラッシュを引き起こす可能性がある。開発チームは複数のバージョンで修正パッチを提供し、4.19.323から6.11.3までの広範なバージョンで対応を完了。セキュリティ強化のための追加対策も進行中である。

【CVE-2024-49949】Linuxカーネルのqdisc_pkt_len_init()に...

Linuxカーネルにおいて、qdisc_pkt_len_init()の処理に関する重大な脆弱性が発見された。この脆弱性は特定のGSOパケット特性を持つ攻撃により、カーネルクラッシュを引き起こす可能性がある。開発チームは複数のバージョンで修正パッチを提供し、4.19.323から6.11.3までの広範なバージョンで対応を完了。セキュリティ強化のための追加対策も進行中である。

【CVE-2024-50096】Linuxカーネルのnouveau/dmemに脆弱性が発見、メモリ管理機能の改善でセキュリティを強化

【CVE-2024-50096】Linuxカーネルのnouveau/dmemに脆弱性が発見、メ...

Linuxカーネルのnouveauドライバーのdmemコンポーネントにおいて、メモリ管理に関する重大な脆弱性が発見された。コピーエラー時に機密データが漏洩する可能性があり、ゼロページ割り当てによる対策が実装された。複数のカーネルバージョンに修正パッチが適用され、セキュリティ強化が図られている。CVE-2024-50096として識別されるこの脆弱性は、5.1以降のLinuxカーネルに影響を与える可能性がある。

【CVE-2024-50096】Linuxカーネルのnouveau/dmemに脆弱性が発見、メ...

Linuxカーネルのnouveauドライバーのdmemコンポーネントにおいて、メモリ管理に関する重大な脆弱性が発見された。コピーエラー時に機密データが漏洩する可能性があり、ゼロページ割り当てによる対策が実装された。複数のカーネルバージョンに修正パッチが適用され、セキュリティ強化が図られている。CVE-2024-50096として識別されるこの脆弱性は、5.1以降のLinuxカーネルに影響を与える可能性がある。

【CVE-2024-47358】WordPress用プラグインPopup Maker 1.19.2で認証の脆弱性が発見、アクセス制御機能の不備により権限制御が不十分に

【CVE-2024-47358】WordPress用プラグインPopup Maker 1.19...

Patchstack OÜは2024年11月1日、WordPress用プラグインPopup Makerにおいて認証に関する脆弱性【CVE-2024-47358】を公開した。この脆弱性は適切なアクセス制御リスト(ACL)による制約がない状態で機能にアクセスできてしまう問題であり、バージョン1.19.2以前のバージョンに影響を与えている。対策としてバージョン1.20.0へのアップデートが提供されており、ユーザーは速やかなアップデートが推奨される。

【CVE-2024-47358】WordPress用プラグインPopup Maker 1.19...

Patchstack OÜは2024年11月1日、WordPress用プラグインPopup Makerにおいて認証に関する脆弱性【CVE-2024-47358】を公開した。この脆弱性は適切なアクセス制御リスト(ACL)による制約がない状態で機能にアクセスできてしまう問題であり、バージョン1.19.2以前のバージョンに影響を与えている。対策としてバージョン1.20.0へのアップデートが提供されており、ユーザーは速やかなアップデートが推奨される。

【CVE-2024-25622】h2oサーバでヘッダー設定の継承問題が発覚、アップデートで修正完了へ

【CVE-2024-25622】h2oサーバでヘッダー設定の継承問題が発覚、アップデートで修正完了へ

HTTPサーバh2oにおいて、設定ファイルのスコープ間でヘッダーディレクティブの設定が適切に継承されない脆弱性が発見された。この問題はCVE-2024-25622として識別され、内部スコープでヘッダーディレクティブが使用された際に外部スコープの定義が完全に無視される状態を引き起こしていた。開発チームは既に修正版をリリースしており、ユーザーは最新バージョンへのアップデートを推奨されている。

【CVE-2024-25622】h2oサーバでヘッダー設定の継承問題が発覚、アップデートで修正完了へ

HTTPサーバh2oにおいて、設定ファイルのスコープ間でヘッダーディレクティブの設定が適切に継承されない脆弱性が発見された。この問題はCVE-2024-25622として識別され、内部スコープでヘッダーディレクティブが使用された際に外部スコープの定義が完全に無視される状態を引き起こしていた。開発チームは既に修正版をリリースしており、ユーザーは最新バージョンへのアップデートを推奨されている。

【CVE-2024-50100】Linuxカーネルのdummy-hcdドライバーでタスクハング問題を修正、USBガジェットの安定性が向上

【CVE-2024-50100】Linuxカーネルのdummy-hcdドライバーでタスクハング...

Linuxカーネルの開発チームがUSB gadgetのdummy-hcdドライバーにおけるタスクハング問題の修正を実施。hrtimer APIへの移行時に発生していた問題に対処し、timer_pendingフラグを導入することでURBのデキュー処理の正常化を実現。この修正によりusb_kill_urb()のハング問題が解消され、USBガジェットドライバーの信頼性が向上した。

【CVE-2024-50100】Linuxカーネルのdummy-hcdドライバーでタスクハング...

Linuxカーネルの開発チームがUSB gadgetのdummy-hcdドライバーにおけるタスクハング問題の修正を実施。hrtimer APIへの移行時に発生していた問題に対処し、timer_pendingフラグを導入することでURBのデキュー処理の正常化を実現。この修正によりusb_kill_urb()のハング問題が解消され、USBガジェットドライバーの信頼性が向上した。

【CVE-2024-50105】Linux kernelにSoundwire脆弱性、SC7280カードのストリーム割り当てに問題

【CVE-2024-50105】Linux kernelにSoundwire脆弱性、SC728...

LinuxカーネルにおいてQualcommのSC7280サウンドカードに関する脆弱性が発見された。Soundwireランタイムストリームの割り当て処理の問題により、NULL pointer dereferenceや未初期化メモリアクセスが発生する可能性がある。この問題はLinux 6.8から6.11.5に影響し、6.11.6以降で修正された。

【CVE-2024-50105】Linux kernelにSoundwire脆弱性、SC728...

LinuxカーネルにおいてQualcommのSC7280サウンドカードに関する脆弱性が発見された。Soundwireランタイムストリームの割り当て処理の問題により、NULL pointer dereferenceや未初期化メモリアクセスが発生する可能性がある。この問題はLinux 6.8から6.11.5に影響し、6.11.6以降で修正された。

【CVE-2024-50101】Linux kernelでIOMMU処理の脆弱性を修正、カーネルハングアップの防止に向けた対応を実施

【CVE-2024-50101】Linux kernelでIOMMU処理の脆弱性を修正、カーネ...

Linux kernelの開発チームが重要な脆弱性CVE-2024-50101を修正した。domain_context_clear()関数がPCI以外のデバイスに対してpci_for_each_dma_alias()を不適切に呼び出す問題が発見され、カーネルハングアップのリスクが指摘されていた。Linux version 6.7以降に影響を与えるこの脆弱性は、6.1.114以降などの複数のバージョンで修正パッチがリリースされている。

【CVE-2024-50101】Linux kernelでIOMMU処理の脆弱性を修正、カーネ...

Linux kernelの開発チームが重要な脆弱性CVE-2024-50101を修正した。domain_context_clear()関数がPCI以外のデバイスに対してpci_for_each_dma_alias()を不適切に呼び出す問題が発見され、カーネルハングアップのリスクが指摘されていた。Linux version 6.7以降に影響を与えるこの脆弱性は、6.1.114以降などの複数のバージョンで修正パッチがリリースされている。

【CVE-2024-9576】Linux Workbooth v2.5に特権昇格の脆弱性、管理者権限の不正取得が可能に

【CVE-2024-9576】Linux Workbooth v2.5に特権昇格の脆弱性、管理...

Linux Workbooth v2.5においてネットワーク設定スクリプトを操作することで管理者権限を取得できる特権昇格の脆弱性が発見された。CVSSスコア7.0の高リスクと評価され、CWE-284の不適切なアクセス制御に分類。攻撃の複雑さは高いものの、ユーザーの操作を必要とせず、機密性・完全性・可用性のすべてに高い影響を及ぼす可能性がある深刻な脆弱性となっている。

【CVE-2024-9576】Linux Workbooth v2.5に特権昇格の脆弱性、管理...

Linux Workbooth v2.5においてネットワーク設定スクリプトを操作することで管理者権限を取得できる特権昇格の脆弱性が発見された。CVSSスコア7.0の高リスクと評価され、CWE-284の不適切なアクセス制御に分類。攻撃の複雑さは高いものの、ユーザーの操作を必要とせず、機密性・完全性・可用性のすべてに高い影響を及ぼす可能性がある深刻な脆弱性となっている。

【CVE-2024-47318】PWA for WP & AMP 1.7.72にアクセス制御の脆弱性、最新バージョンへの更新で対応完了

【CVE-2024-47318】PWA for WP & AMP 1.7.72にアクセス制御の...

Magazine3社のWordPress向けプラグインPWA for WP & AMPのバージョン1.7.72以前において、認可機能の欠如による脆弱性が発見された。CVE-2024-47318として識別されたこの脆弱性は、不適切に構成されたアクセス制御セキュリティレベルを悪用される可能性があり、CVSS 3.1で中程度の深刻度と評価されている。対策として1.7.73へのアップデートが提供されており、ユーザーには速やかな更新が推奨される。

【CVE-2024-47318】PWA for WP & AMP 1.7.72にアクセス制御の...

Magazine3社のWordPress向けプラグインPWA for WP & AMPのバージョン1.7.72以前において、認可機能の欠如による脆弱性が発見された。CVE-2024-47318として識別されたこの脆弱性は、不適切に構成されたアクセス制御セキュリティレベルを悪用される可能性があり、CVSS 3.1で中程度の深刻度と評価されている。対策として1.7.73へのアップデートが提供されており、ユーザーには速やかな更新が推奨される。

【CVE-2024-45397】h2oサーバーでアクセス制御バイパスの脆弱性が発覚、TLS/1.3早期データとQUIC 0-RTTで問題に

【CVE-2024-45397】h2oサーバーでアクセス制御バイパスの脆弱性が発覚、TLS/1...

h2oサーバーにおいて、TLS/1.3早期データとQUIC 0-RTTパケットを使用した際にIPアドレスベースのアクセス制御をバイパスできる脆弱性が発見された。CVSSスコア5.9のMEDIUMレベルと評価され、コミット15ed15aで修正済み。TCP FastOpenとQUICの無効化で対策可能だが、近代的なHTTPプロトコルとセキュリティ機能の相互作用における新たな課題として注目される。

【CVE-2024-45397】h2oサーバーでアクセス制御バイパスの脆弱性が発覚、TLS/1...

h2oサーバーにおいて、TLS/1.3早期データとQUIC 0-RTTパケットを使用した際にIPアドレスベースのアクセス制御をバイパスできる脆弱性が発見された。CVSSスコア5.9のMEDIUMレベルと評価され、コミット15ed15aで修正済み。TCP FastOpenとQUICの無効化で対策可能だが、近代的なHTTPプロトコルとセキュリティ機能の相互作用における新たな課題として注目される。

【CVE-2024-34680】Samsung Mobile DeviceでWlanTestの脆弱性が発見、ローカル攻撃による情報漏洩のリスクに対処

【CVE-2024-34680】Samsung Mobile DeviceでWlanTestの...

Samsung Mobileは2024年11月6日、WlanTestにおける重要な通信での暗黙的インテントの使用に関する脆弱性【CVE-2024-34680】を公開した。CVSSスコアは4.0(MEDIUM)で、SMR Nov-2024 Release 1以前のバージョンが影響を受ける。この脆弱性はローカル攻撃者による機密情報の取得を可能にするもので、Android 12、13、14向けのパッチが提供されている。

【CVE-2024-34680】Samsung Mobile DeviceでWlanTestの...

Samsung Mobileは2024年11月6日、WlanTestにおける重要な通信での暗黙的インテントの使用に関する脆弱性【CVE-2024-34680】を公開した。CVSSスコアは4.0(MEDIUM)で、SMR Nov-2024 Release 1以前のバージョンが影響を受ける。この脆弱性はローカル攻撃者による機密情報の取得を可能にするもので、Android 12、13、14向けのパッチが提供されている。

【CVE-2024-34677】SamsungモバイルデバイスのSystem UIに脆弱性、悪意のあるアプリが正規アプリとして表示される危険性

【CVE-2024-34677】SamsungモバイルデバイスのSystem UIに脆弱性、悪...

Samsung MobileがSystem UIにおける機密情報露出の脆弱性【CVE-2024-34677】を公開した。この脆弱性により、悪意のあるアプリケーションが正規のアプリとして表示される可能性があり、ローカル攻撃者による悪用のリスクが指摘されている。CVSS v3.1で4.0(MEDIUM)と評価され、Android 12、13、14搭載デバイスが対象となっており、SMR Nov-2024 Release 1で修正される予定だ。

【CVE-2024-34677】SamsungモバイルデバイスのSystem UIに脆弱性、悪...

Samsung MobileがSystem UIにおける機密情報露出の脆弱性【CVE-2024-34677】を公開した。この脆弱性により、悪意のあるアプリケーションが正規のアプリとして表示される可能性があり、ローカル攻撃者による悪用のリスクが指摘されている。CVSS v3.1で4.0(MEDIUM)と評価され、Android 12、13、14搭載デバイスが対象となっており、SMR Nov-2024 Release 1で修正される予定だ。

Adobe CommerceとMagento Open SourceがCommerce Services Connectorの重大な脆弱性に対処、バージョン3.2.6で修正完了

Adobe CommerceとMagento Open SourceがCommerce Ser...

AdobeはAdobe CommerceとMagento Open SourceのCommerce Services Connector部分に存在する重大な脆弱性CVE-2024-49521に対処するセキュリティアップデート3.2.6を公開した。CVSS基準で7.7のスコアが付与されたSSRF脆弱性は、認証済み管理者によって任意のコード実行が可能な状態であり、早急なアップデートが推奨されている。

Adobe CommerceとMagento Open SourceがCommerce Ser...

AdobeはAdobe CommerceとMagento Open SourceのCommerce Services Connector部分に存在する重大な脆弱性CVE-2024-49521に対処するセキュリティアップデート3.2.6を公開した。CVSS基準で7.7のスコアが付与されたSSRF脆弱性は、認証済み管理者によって任意のコード実行が可能な状態であり、早急なアップデートが推奨されている。

Adobe Photoshop 2023と2024に重大な脆弱性、任意のコード実行が可能な問題をアップデートで修正

Adobe Photoshop 2023と2024に重大な脆弱性、任意のコード実行が可能な問題...

AdobeはPhotoshop 2023とPhotoshop 2024のWindows版とmacOS版に存在する重大な脆弱性を修正するアップデートをリリースした。CVE-2024-49514として報告されたこの脆弱性は、Integer Underflowに起因する任意のコード実行が可能となる問題で、CVSSスコア7.8という高い深刻度が付けられている。Creative Cloud経由でのアップデートが提供され、管理者はAdmin Consoleを使用して展開が可能だ。

Adobe Photoshop 2023と2024に重大な脆弱性、任意のコード実行が可能な問題...

AdobeはPhotoshop 2023とPhotoshop 2024のWindows版とmacOS版に存在する重大な脆弱性を修正するアップデートをリリースした。CVE-2024-49514として報告されたこの脆弱性は、Integer Underflowに起因する任意のコード実行が可能となる問題で、CVSSスコア7.8という高い深刻度が付けられている。Creative Cloud経由でのアップデートが提供され、管理者はAdmin Consoleを使用して展開が可能だ。

Adobe InDesignにHeap-based Buffer Overflowの脆弱性、任意のコード実行とメモリリークの危険性に対処

Adobe InDesignにHeap-based Buffer Overflowの脆弱性、任...

AdobeはInDesignのセキュリティアップデートを2024年11月12日に公開した。ID19.5以前のバージョンで発見された脆弱性は、CVSS基本値7.8の任意のコード実行とCVSS基本値5.5のメモリリークに関するものだ。Creative Cloud経由でID20.0へのアップデートが提供され、管理者向けにはCreative Cloud Packagerによる展開パッケージも用意されている。

Adobe InDesignにHeap-based Buffer Overflowの脆弱性、任...

AdobeはInDesignのセキュリティアップデートを2024年11月12日に公開した。ID19.5以前のバージョンで発見された脆弱性は、CVSS基本値7.8の任意のコード実行とCVSS基本値5.5のメモリリークに関するものだ。Creative Cloud経由でID20.0へのアップデートが提供され、管理者向けにはCreative Cloud Packagerによる展開パッケージも用意されている。

Adobe Illustrator 28.7.1の重大な脆弱性を修正、セキュリティアップデートで任意のコード実行やメモリリークに対処

Adobe Illustrator 28.7.1の重大な脆弱性を修正、セキュリティアップデート...

Adobeは2024年11月12日、Adobe Illustrator 2024のバージョン28.7.1以前に存在する重大なセキュリティ上の脆弱性を修正するアップデートを公開した。Out-of-bounds WriteやHeap-based Buffer Overflowなど9件の深刻な問題が含まれており、任意のコード実行やアプリケーションのサービス拒否、メモリリークなどの問題に対処。WindowsとmacOSの両プラットフォームで確認された脆弱性を修正している。

Adobe Illustrator 28.7.1の重大な脆弱性を修正、セキュリティアップデート...

Adobeは2024年11月12日、Adobe Illustrator 2024のバージョン28.7.1以前に存在する重大なセキュリティ上の脆弱性を修正するアップデートを公開した。Out-of-bounds WriteやHeap-based Buffer Overflowなど9件の深刻な問題が含まれており、任意のコード実行やアプリケーションのサービス拒否、メモリリークなどの問題に対処。WindowsとmacOSの両プラットフォームで確認された脆弱性を修正している。

Adobe Substance 3D Painter 10.1.1で20件の脆弱性に対応、メモリリークや実行拒否の問題を修正

Adobe Substance 3D Painter 10.1.1で20件の脆弱性に対応、メモ...

Adobeは2024年11月12日、Adobe Substance 3D Painter 10.1.1をリリースし、20件の重要な脆弱性に対する修正を実施した。Heap-based Buffer OverflowやOut-of-bounds Writeなどの深刻な脆弱性が修正され、メモリリークや任意のコード実行、アプリケーション実行拒否などの問題に対処している。管理者はAdmin Consoleを通じて更新プログラムを展開可能だ。

Adobe Substance 3D Painter 10.1.1で20件の脆弱性に対応、メモ...

Adobeは2024年11月12日、Adobe Substance 3D Painter 10.1.1をリリースし、20件の重要な脆弱性に対する修正を実施した。Heap-based Buffer OverflowやOut-of-bounds Writeなどの深刻な脆弱性が修正され、メモリリークや任意のコード実行、アプリケーション実行拒否などの問題に対処している。管理者はAdmin Consoleを通じて更新プログラムを展開可能だ。

AdobeがAfter Effects 24.6.3のセキュリティアップデートを公開、重大な脆弱性に対処し安全性が向上

AdobeがAfter Effects 24.6.3のセキュリティアップデートを公開、重大な脆...

AdobeはWindows/macOS向けAdobe After Effectsのセキュリティアップデートを公開した。CVSSスコア7.8の重大な脆弱性を含む複数の問題に対処し、任意のコード実行やメモリリークの脆弱性を修正。影響を受けるバージョンは24.6.2以前および23.6.9以前で、Creative Cloudデスクトップアプリを通じた更新が推奨される。

AdobeがAfter Effects 24.6.3のセキュリティアップデートを公開、重大な脆...

AdobeはWindows/macOS向けAdobe After Effectsのセキュリティアップデートを公開した。CVSSスコア7.8の重大な脆弱性を含む複数の問題に対処し、任意のコード実行やメモリリークの脆弱性を修正。影響を受けるバージョンは24.6.2以前および23.6.9以前で、Creative Cloudデスクトップアプリを通じた更新が推奨される。

Adobe AuditionにOut-of-bounds Read脆弱性が発見、メモリリーク問題の修正アップデートを提供

Adobe AuditionにOut-of-bounds Read脆弱性が発見、メモリリーク問...

AdobeはAdobe Audition 24.4.6以前およびAdobe Audition 23.6.9以前のバージョンに影響を与えるOut-of-bounds Read脆弱性(CVE-2024-47449)に対する修正アップデートを公開した。この脆弱性はメモリリークを引き起こす可能性があり、CVSSスコア5.5の重要な問題として特定されている。Creative Cloudデスクトップアプリを通じてAdobe Audition 24.6.3および25.0への更新が提供される。

Adobe AuditionにOut-of-bounds Read脆弱性が発見、メモリリーク問...

AdobeはAdobe Audition 24.4.6以前およびAdobe Audition 23.6.9以前のバージョンに影響を与えるOut-of-bounds Read脆弱性(CVE-2024-47449)に対する修正アップデートを公開した。この脆弱性はメモリリークを引き起こす可能性があり、CVSSスコア5.5の重要な問題として特定されている。Creative Cloudデスクトップアプリを通じてAdobe Audition 24.6.3および25.0への更新が提供される。

AdobeがBridge 14.1.3と15.0のセキュリティアップデートを公開、メモリリークとアプリケーション動作停止の脆弱性に対処

AdobeがBridge 14.1.3と15.0のセキュリティアップデートを公開、メモリリーク...

Adobeは2024年11月12日、Adobe Bridgeのセキュリティアップデートを公開した。このアップデートでは、メモリリークとアプリケーションの動作停止につながる重要な脆弱性CVE-2024-45147とCVE-2024-47458に対処。Adobe Bridge 13.0.9以前と14.1.2以前のバージョンが影響を受け、新バージョン14.1.3と15.0がリリースされた。

AdobeがBridge 14.1.3と15.0のセキュリティアップデートを公開、メモリリーク...

Adobeは2024年11月12日、Adobe Bridgeのセキュリティアップデートを公開した。このアップデートでは、メモリリークとアプリケーションの動作停止につながる重要な脆弱性CVE-2024-45147とCVE-2024-47458に対処。Adobe Bridge 13.0.9以前と14.1.2以前のバージョンが影響を受け、新バージョン14.1.3と15.0がリリースされた。

【CVE-2024-34675】Samsung Mobile Dex Modeに脆弱性、物理的なアクセス制御の問題でロック解除画面にアクセス可能に

【CVE-2024-34675】Samsung Mobile Dex Modeに脆弱性、物理的...

Samsung MobileはDex Modeにおける物理的なアクセス制御の脆弱性を修正するセキュリティアップデートをSMR Nov-2024 Release 1として公開した。この脆弱性は【CVE-2024-34675】として識別され、CVSSスコア2.4(Low)と評価されているが、物理的な攻撃者がロック解除された画面に一時的にアクセスできてしまう問題が存在している。Android 14搭載端末において深刻な影響を及ぼす可能性があり、速やかなアップデートの適用が推奨される。

【CVE-2024-34675】Samsung Mobile Dex Modeに脆弱性、物理的...

Samsung MobileはDex Modeにおける物理的なアクセス制御の脆弱性を修正するセキュリティアップデートをSMR Nov-2024 Release 1として公開した。この脆弱性は【CVE-2024-34675】として識別され、CVSSスコア2.4(Low)と評価されているが、物理的な攻撃者がロック解除された画面に一時的にアクセスできてしまう問題が存在している。Android 14搭載端末において深刻な影響を及ぼす可能性があり、速やかなアップデートの適用が推奨される。