Tech Insights

【CVE-2024-54102】HarmonyOSのDDRモジュールに競合状態の脆弱性、サービスの機密性に影響の恐れ

【CVE-2024-54102】HarmonyOSのDDRモジュールに競合状態の脆弱性、サービ...

Huawei TechnologiesはHarmonyOSのDDRモジュールに競合状態の脆弱性(CVE-2024-54102)を発見したことを公表した。CVSSスコア6.1(MEDIUM)と評価されたこの脆弱性は、HarmonyOS 4.2.0と5.0.0に影響を与え、サービスの機密性に重大な影響を及ぼす可能性がある。共有リソースの同期処理の不備が原因とされ、適切な対策が求められる。

【CVE-2024-54102】HarmonyOSのDDRモジュールに競合状態の脆弱性、サービ...

Huawei TechnologiesはHarmonyOSのDDRモジュールに競合状態の脆弱性(CVE-2024-54102)を発見したことを公表した。CVSSスコア6.1(MEDIUM)と評価されたこの脆弱性は、HarmonyOS 4.2.0と5.0.0に影響を与え、サービスの機密性に重大な影響を及ぼす可能性がある。共有リソースの同期処理の不備が原因とされ、適切な対策が求められる。

【CVE-2024-56717】Linuxカーネルのocelot_ifh_set_basic()に脆弱性、複数バージョンで修正パッチ提供

【CVE-2024-56717】Linuxカーネルのocelot_ifh_set_basic(...

Linuxカーネルの開発チームが、ocelot_ifh_set_basic()関数におけるIFH SRC_PORTフィールドの設定不具合を修正するセキュリティアップデートを公開した。この問題はCPUによって注入されたパケットの処理に影響を与え、Linux 6.11で発生。Linux 6.1.122、6.6.68、6.12.7、6.13-rc4以降のバージョンで修正され、ocelot switchdevドライバーとfelixセカンダリDSAタグプロトコルに関連するコードパスに影響を及ぼしていた。

【CVE-2024-56717】Linuxカーネルのocelot_ifh_set_basic(...

Linuxカーネルの開発チームが、ocelot_ifh_set_basic()関数におけるIFH SRC_PORTフィールドの設定不具合を修正するセキュリティアップデートを公開した。この問題はCPUによって注入されたパケットの処理に影響を与え、Linux 6.11で発生。Linux 6.1.122、6.6.68、6.12.7、6.13-rc4以降のバージョンで修正され、ocelot switchdevドライバーとfelixセカンダリDSAタグプロトコルに関連するコードパスに影響を及ぼしていた。

【CVE-2024-56716】Linuxカーネルのnetdevsimモジュールに重大な脆弱性、カーネルクラッシュの危険性が浮上

【CVE-2024-56716】Linuxカーネルのnetdevsimモジュールに重大な脆弱性...

Linuxカーネルのnetdevsimモジュールにおいて、nsim_dev_health_break_write()関数でのユーザー入力の検証不備による重大な脆弱性が発見された。この脆弱性により、特定の条件下でカーネルがクラッシュする可能性があり、複数のバージョンに影響が及ぶことが判明。早急なセキュリティパッチの適用が推奨されている。

【CVE-2024-56716】Linuxカーネルのnetdevsimモジュールに重大な脆弱性...

Linuxカーネルのnetdevsimモジュールにおいて、nsim_dev_health_break_write()関数でのユーザー入力の検証不備による重大な脆弱性が発見された。この脆弱性により、特定の条件下でカーネルがクラッシュする可能性があり、複数のバージョンに影響が及ぶことが判明。早急なセキュリティパッチの適用が推奨されている。

【CVE-2024-56454】HarmonyOS 5.0.0の3Dエンジンモジュールに脆弱性、システムの可用性に影響のおそれ

【CVE-2024-56454】HarmonyOS 5.0.0の3Dエンジンモジュールに脆弱性...

Huawei Technologiesは2025年1月8日、HarmonyOS 5.0.0の3DエンジンモジュールにおいてglTFモデルのローディング時の入力パラメータ検証が不十分である脆弱性を公開した。CVE-2024-56454として識別されるこの脆弱性は、CWE-120のバッファオーバーフローに分類され、CVSSスコア5.5(Medium)と評価されている。システムの可用性に影響を与える可能性があり、適切な対応が求められている。

【CVE-2024-56454】HarmonyOS 5.0.0の3Dエンジンモジュールに脆弱性...

Huawei Technologiesは2025年1月8日、HarmonyOS 5.0.0の3DエンジンモジュールにおいてglTFモデルのローディング時の入力パラメータ検証が不十分である脆弱性を公開した。CVE-2024-56454として識別されるこの脆弱性は、CWE-120のバッファオーバーフローに分類され、CVSSスコア5.5(Medium)と評価されている。システムの可用性に影響を与える可能性があり、適切な対応が求められている。

【CVE-2024-56444】HarmonyOS 5.0.0のUIExtensionモジュールに重大な脆弱性、サービスの機密性に影響か

【CVE-2024-56444】HarmonyOS 5.0.0のUIExtensionモジュー...

Huawei社がHarmonyOS 5.0.0のUIExtensionモジュールにおいて、クロスプロセススクリーンスタックの脆弱性を発見した。CVE-2024-56444として識別されたこの問題は、CVSSスコア7.5の高リスク脆弱性とされ、ネットワーク経由での攻撃が可能で、特別な権限なしで実行できる状態であることが判明している。

【CVE-2024-56444】HarmonyOS 5.0.0のUIExtensionモジュー...

Huawei社がHarmonyOS 5.0.0のUIExtensionモジュールにおいて、クロスプロセススクリーンスタックの脆弱性を発見した。CVE-2024-56444として識別されたこの問題は、CVSSスコア7.5の高リスク脆弱性とされ、ネットワーク経由での攻撃が可能で、特別な権限なしで実行できる状態であることが判明している。

【CVE-2025-0282】IvantiのConnect Secureに重大な脆弱性、リモートでの任意コード実行が可能に

【CVE-2025-0282】IvantiのConnect Secureに重大な脆弱性、リモー...

2025年1月8日、IvantiはConnect Secure、Policy Secure、Neurons for ZTA gatewaysにスタックベースのバッファオーバーフロー脆弱性が存在すると発表した。CVE-2025-0282として登録されたこの脆弱性は、認証なしでリモートからのコード実行を可能にする重大な問題で、CVSSスコア9.0と評価されている。影響を受けるバージョンへの速やかな対応が推奨される。

【CVE-2025-0282】IvantiのConnect Secureに重大な脆弱性、リモー...

2025年1月8日、IvantiはConnect Secure、Policy Secure、Neurons for ZTA gatewaysにスタックベースのバッファオーバーフロー脆弱性が存在すると発表した。CVE-2025-0282として登録されたこの脆弱性は、認証なしでリモートからのコード実行を可能にする重大な問題で、CVSSスコア9.0と評価されている。影響を受けるバージョンへの速やかな対応が推奨される。

【CVE-2025-21134】Adobe Illustrator on iPadにInteger Underflow脆弱性、任意のコード実行の危険性が判明

【CVE-2025-21134】Adobe Illustrator on iPadにInteg...

Adobe Illustrator on iPadのバージョン3.0.7以前に、Integer Underflow(整数アンダーフロー)の脆弱性が発見された。CVSSスコア7.8の高リスク評価で、悪意のあるファイルを開くことで攻撃者による任意のコード実行が可能となる。ユーザーの操作を必要とするものの、特権レベルは不要とされており、影響を受けるユーザーには早急なアップデートが推奨される。

【CVE-2025-21134】Adobe Illustrator on iPadにInteg...

Adobe Illustrator on iPadのバージョン3.0.7以前に、Integer Underflow(整数アンダーフロー)の脆弱性が発見された。CVSSスコア7.8の高リスク評価で、悪意のあるファイルを開くことで攻撃者による任意のコード実行が可能となる。ユーザーの操作を必要とするものの、特権レベルは不要とされており、影響を受けるユーザーには早急なアップデートが推奨される。

ZTEジャパンがnubiaブランドのタブレットnubia Pad SEを1月17日より発売、29,800円の高コスパモデルを量販店でも展開

ZTEジャパンがnubiaブランドのタブレットnubia Pad SEを1月17日より発売、2...

ZTEジャパンは2025年1月17日より、nubiaブランドの新タブレット「nubia Pad SE」を発売する。515gの軽量ボディに11インチフルHDディスプレイと4スピーカーを搭載し、7510mAhの大容量バッテリーを実装。店頭予想価格29,800円で、主要ECサイトと全国の家電量販店で販売される。マルチ画面機能やRAM拡張機能も備え、エンターテインメント利用に最適化された高コストパフォーマンスモデルとなっている。

ZTEジャパンがnubiaブランドのタブレットnubia Pad SEを1月17日より発売、2...

ZTEジャパンは2025年1月17日より、nubiaブランドの新タブレット「nubia Pad SE」を発売する。515gの軽量ボディに11インチフルHDディスプレイと4スピーカーを搭載し、7510mAhの大容量バッテリーを実装。店頭予想価格29,800円で、主要ECサイトと全国の家電量販店で販売される。マルチ画面機能やRAM拡張機能も備え、エンターテインメント利用に最適化された高コストパフォーマンスモデルとなっている。

Git for Windowsがセキュリティアップデートをリリース、資格情報漏洩の脆弱性に対処し安全性が向上

Git for Windowsがセキュリティアップデートをリリース、資格情報漏洩の脆弱性に対処...

分散型バージョン管理システムGit for Windowsが2025年1月15日にセキュリティアップデートを公開。最大深刻度「High」の脆弱性CVE-2024-50338を含む5件の脆弱性に対処。Git Credential Managerの改行解釈の不一致による資格情報漏洩の問題を修正し、Git LFSの認証情報フローも改善。現在はGit for Windows 2.47.1(2)などの新バージョンが利用可能。

Git for Windowsがセキュリティアップデートをリリース、資格情報漏洩の脆弱性に対処...

分散型バージョン管理システムGit for Windowsが2025年1月15日にセキュリティアップデートを公開。最大深刻度「High」の脆弱性CVE-2024-50338を含む5件の脆弱性に対処。Git Credential Managerの改行解釈の不一致による資格情報漏洩の問題を修正し、Git LFSの認証情報フローも改善。現在はGit for Windows 2.47.1(2)などの新バージョンが利用可能。

Google ChromeがWindows/Mac/Linux向けに安定版v132をリリース、16件のセキュリティ修正を実施

Google ChromeがWindows/Mac/Linux向けに安定版v132をリリース、...

米Googleは2025年1月14日、デスクトップ向けGoogle Chromeの安定版チャネルをv132.0.6834.83/84へアップデートした。本バージョンではV8エンジンのメモリアクセス問題など16件のセキュリティ修正を実施し、最大7,000ドルの報奨金を設定。Windows/Mac/Linux環境向けに順次展開される。

Google ChromeがWindows/Mac/Linux向けに安定版v132をリリース、...

米Googleは2025年1月14日、デスクトップ向けGoogle Chromeの安定版チャネルをv132.0.6834.83/84へアップデートした。本バージョンではV8エンジンのメモリアクセス問題など16件のセキュリティ修正を実施し、最大7,000ドルの報奨金を設定。Windows/Mac/Linux環境向けに順次展開される。

ソニーがα1 II、α1、α9 IIIの電子署名機能を含むソフトウェアアップデートを開始、真正性カメラソリューションの強化へ

ソニーがα1 II、α1、α9 IIIの電子署名機能を含むソフトウェアアップデートを開始、真正...

ソニーは2025年1月15日より、ミラーレス一眼カメラ3機種のソフトウェアアップデートを開始した。真正性カメラソリューションの一環として電子署名書き込み機能を追加し、C2PA規格に対応。報道機関向けには専用の検証サイトと電子署名ライセンスの有償サービスも提供開始。各機種の動作安定性改善や撮影機能の拡充も実施している。

ソニーがα1 II、α1、α9 IIIの電子署名機能を含むソフトウェアアップデートを開始、真正...

ソニーは2025年1月15日より、ミラーレス一眼カメラ3機種のソフトウェアアップデートを開始した。真正性カメラソリューションの一環として電子署名書き込み機能を追加し、C2PA規格に対応。報道機関向けには専用の検証サイトと電子署名ライセンスの有償サービスも提供開始。各機種の動作安定性改善や撮影機能の拡充も実施している。

Zoom Workplace App for Linux 6.2.10未満でType Confusion脆弱性が発見され権限昇格の危険性が浮上

Zoom Workplace App for Linux 6.2.10未満でType Conf...

Zoomは2025年1月14日、Linux版Zoom Workplace Appに深刻な脆弱性(CVE-2025-0147)を公開した。CVSSスコア8.8の高リスクと評価される本脆弱性は、バージョン6.2.10未満のZoom Workplace App for Linux、Zoom Meeting SDK for Linux、Zoom Video SDK for Linuxに影響を与える。Type Confusionによる権限昇格の可能性があり、早急な最新版へのアップデートが推奨される。

Zoom Workplace App for Linux 6.2.10未満でType Conf...

Zoomは2025年1月14日、Linux版Zoom Workplace Appに深刻な脆弱性(CVE-2025-0147)を公開した。CVSSスコア8.8の高リスクと評価される本脆弱性は、バージョン6.2.10未満のZoom Workplace App for Linux、Zoom Meeting SDK for Linux、Zoom Video SDK for Linuxに影響を与える。Type Confusionによる権限昇格の可能性があり、早急な最新版へのアップデートが推奨される。

Zoom Workplace app for macOSにSymlink followingの脆弱性が発見され、バージョン6.2.10で修正完了

Zoom Workplace app for macOSにSymlink followingの...

Zoomは2025年1月14日、Zoom Workplace app for macOSのバージョン6.2.10未満に存在する脆弱性(CVE-2025-0146)を公開した。インストーラにおけるSymlink followingの問題により、認証済みユーザーがローカルアクセスを通じてサービス拒否攻撃を実行できる可能性がある。影響を受けるのはZoom Workplace app for macOSの他、Zoom Rooms ClientとController、Zoom Meeting SDK、Zoom Video SDKなど複数の関連製品だ。

Zoom Workplace app for macOSにSymlink followingの...

Zoomは2025年1月14日、Zoom Workplace app for macOSのバージョン6.2.10未満に存在する脆弱性(CVE-2025-0146)を公開した。インストーラにおけるSymlink followingの問題により、認証済みユーザーがローカルアクセスを通じてサービス拒否攻撃を実行できる可能性がある。影響を受けるのはZoom Workplace app for macOSの他、Zoom Rooms ClientとController、Zoom Meeting SDK、Zoom Video SDKなど複数の関連製品だ。

ZoomがWorkplace Apps for Windowsの脆弱性を公開、権限昇格の可能性で複数の製品がアップデートの必要性

ZoomがWorkplace Apps for Windowsの脆弱性を公開、権限昇格の可能性...

Zoomは2025年1月14日、Workplace Apps for Windowsに存在する脆弱性(CVE-2025-0145)を公開した。この脆弱性により、認可されたユーザーがローカルアクセスを通じて権限昇格を実行できる可能性がある。影響を受ける製品は複数存在し、Workplace App、VDI Client、Rooms Client、Meeting SDKなど、バージョン6.2.5未満の製品が対象となっている。

ZoomがWorkplace Apps for Windowsの脆弱性を公開、権限昇格の可能性...

Zoomは2025年1月14日、Workplace Apps for Windowsに存在する脆弱性(CVE-2025-0145)を公開した。この脆弱性により、認可されたユーザーがローカルアクセスを通じて権限昇格を実行できる可能性がある。影響を受ける製品は複数存在し、Workplace App、VDI Client、Rooms Client、Meeting SDKなど、バージョン6.2.5未満の製品が対象となっている。

ZoomがWorkplace Appsの脆弱性を公表、Out-of-bounds Writeによる完全性喪失の可能性が判明

ZoomがWorkplace Appsの脆弱性を公表、Out-of-bounds Writeに...

Zoomは2025年1月14日、Zoom Workplace Appsに関するセキュリティアップデートを公開した。CVE-2025-0144として報告された今回の脆弱性は、Out-of-bounds Writeに関する問題で、認証済みユーザーがネットワークアクセスを介してシステムの完全性を損なう可能性がある。CVSSスコアは3.1と評価され、Windows版やmacOS版など全プラットフォームで最新版へのアップデートが推奨されている。

ZoomがWorkplace Appsの脆弱性を公表、Out-of-bounds Writeに...

Zoomは2025年1月14日、Zoom Workplace Appsに関するセキュリティアップデートを公開した。CVE-2025-0144として報告された今回の脆弱性は、Out-of-bounds Writeに関する問題で、認証済みユーザーがネットワークアクセスを介してシステムの完全性を損なう可能性がある。CVSSスコアは3.1と評価され、Windows版やmacOS版など全プラットフォームで最新版へのアップデートが推奨されている。

ZoomがLinux向けWorkplace Appsの脆弱性を修正、バージョン6.2.5で対策完了しサービス拒否攻撃のリスクに対応

ZoomがLinux向けWorkplace Appsの脆弱性を修正、バージョン6.2.5で対策...

ZoomはLinux向けWorkplace Appsにおいて範囲外書き込みの脆弱性CVE-2025-0143を発見し修正した。この脆弱性は悪用されるとサービス拒否攻撃を引き起こす可能性があり、CVSSスコアは4.3で中程度の深刻度となっている。影響を受けるのはバージョン6.2.5未満のZoom Workplace App、Meeting SDK、Video SDKのLinux版で、公式サイトから最新版へのアップデートを推奨している。

ZoomがLinux向けWorkplace Appsの脆弱性を修正、バージョン6.2.5で対策...

ZoomはLinux向けWorkplace Appsにおいて範囲外書き込みの脆弱性CVE-2025-0143を発見し修正した。この脆弱性は悪用されるとサービス拒否攻撃を引き起こす可能性があり、CVSSスコアは4.3で中程度の深刻度となっている。影響を受けるのはバージョン6.2.5未満のZoom Workplace App、Meeting SDK、Video SDKのLinux版で、公式サイトから最新版へのアップデートを推奨している。

Zoom Jenkins bot pluginにセキュリティ脆弱性、機密情報漏洩のリスクが発覚し最新バージョンでの対応を推奨

Zoom Jenkins bot pluginにセキュリティ脆弱性、機密情報漏洩のリスクが発覚...

Jenkins CVE Numbering AuthorityはZoom Jenkins bot pluginのバージョン1.6未満に存在する機密情報漏洩の脆弱性をCVE-2025-0142として公開した。CVSSスコア4.3のミディアムレベルと評価され、認証済みユーザーによるネットワークアクセスを通じた情報漏洩が可能な状態となっている。ユーザーには最新バージョンへの速やかなアップデートが推奨されている。

Zoom Jenkins bot pluginにセキュリティ脆弱性、機密情報漏洩のリスクが発覚...

Jenkins CVE Numbering AuthorityはZoom Jenkins bot pluginのバージョン1.6未満に存在する機密情報漏洩の脆弱性をCVE-2025-0142として公開した。CVSSスコア4.3のミディアムレベルと評価され、認証済みユーザーによるネットワークアクセスを通じた情報漏洩が可能な状態となっている。ユーザーには最新バージョンへの速やかなアップデートが推奨されている。

【CVE-2025-0283】IvantiのConnect Secureなど複数製品にスタックベースのバッファオーバーフロー脆弱性、特権昇格のリスクに

【CVE-2025-0283】IvantiのConnect Secureなど複数製品にスタック...

Ivantiは2025年1月8日、Connect Secure、Policy Secure、Neurons for ZTAゲートウェイの複数バージョンにおいて、スタックベースのバッファオーバーフローの脆弱性を公開した。この脆弱性はCVE-2025-0283として識別され、CVSSスコアは7.0(重要)と評価されている。認証済みのローカル攻撃者による特権昇格のリスクがあり、各製品の最新バージョンへのアップデートによる対策が推奨される。

【CVE-2025-0283】IvantiのConnect Secureなど複数製品にスタック...

Ivantiは2025年1月8日、Connect Secure、Policy Secure、Neurons for ZTAゲートウェイの複数バージョンにおいて、スタックベースのバッファオーバーフローの脆弱性を公開した。この脆弱性はCVE-2025-0283として識別され、CVSSスコアは7.0(重要)と評価されている。認証済みのローカル攻撃者による特権昇格のリスクがあり、各製品の最新バージョンへのアップデートによる対策が推奨される。

【CVE-2025-0229】code-projects Travel Management System 1.0にSQLインジェクションの脆弱性、情報漏洩のリスクに早急な対応が必要

【CVE-2025-0229】code-projects Travel Management ...

VulDBは2025年1月5日、code-projects社のTravel Management System 1.0においてSQLインジェクションの脆弱性を発見したことを公開した。この脆弱性はenquiry.phpファイルの処理に関連しており、複数のパラメータを介した攻撃が可能となっている。CVSSスコアは中程度と評価されているものの、リモートからの攻撃が可能で攻撃条件の複雑さが低いため、早急な対策が必要な状況となっている。

【CVE-2025-0229】code-projects Travel Management ...

VulDBは2025年1月5日、code-projects社のTravel Management System 1.0においてSQLインジェクションの脆弱性を発見したことを公開した。この脆弱性はenquiry.phpファイルの処理に関連しており、複数のパラメータを介した攻撃が可能となっている。CVSSスコアは中程度と評価されているものの、リモートからの攻撃が可能で攻撃条件の複雑さが低いため、早急な対策が必要な状況となっている。

【CVE-2025-0213】Campcodes Project Management System 1.0に無制限アップロードの脆弱性が発見、リモート攻撃のリスクが拡大

【CVE-2025-0213】Campcodes Project Management Sys...

Campcodes Project Management System 1.0のupdate_forms.phpファイルに重大な脆弱性が発見され、無制限のファイルアップロードが可能となることが判明した。CVE-2025-0213として識別されるこの脆弱性は、CWE-434(無制限アップロード)とCWE-284(アクセス制御の不適切な実装)に分類され、CVSSスコア6.3(MEDIUM)を記録している。既に攻撃コードが公開されており、早急なセキュリティ対策が求められている。

【CVE-2025-0213】Campcodes Project Management Sys...

Campcodes Project Management System 1.0のupdate_forms.phpファイルに重大な脆弱性が発見され、無制限のファイルアップロードが可能となることが判明した。CVE-2025-0213として識別されるこの脆弱性は、CWE-434(無制限アップロード)とCWE-284(アクセス制御の不適切な実装)に分類され、CVSSスコア6.3(MEDIUM)を記録している。既に攻撃コードが公開されており、早急なセキュリティ対策が求められている。

【CVE-2025-0210】School Faculty Scheduling System 1.0にSQLインジェクションの脆弱性、遠隔からの攻撃が可能に

【CVE-2025-0210】School Faculty Scheduling System...

Campcodes社のSchool Faculty Scheduling System 1.0において、admin/ajax.phpのログイン機能にSQLインジェクションの脆弱性が発見された。CVE-2025-0210として識別されたこの脆弱性は、遠隔から攻撃可能でCVSSスコアは最大7.3(HIGH)と評価されている。既に攻撃コードが公開されており、早急な対策が必要とされている。

【CVE-2025-0210】School Faculty Scheduling System...

Campcodes社のSchool Faculty Scheduling System 1.0において、admin/ajax.phpのログイン機能にSQLインジェクションの脆弱性が発見された。CVE-2025-0210として識別されたこの脆弱性は、遠隔から攻撃可能でCVSSスコアは最大7.3(HIGH)と評価されている。既に攻撃コードが公開されており、早急な対策が必要とされている。

【CVE-2024-56452】HarmonyOS 5.0.0でglTFモデル読み込み時の脆弱性を確認、バッファオーバーフローのリスクに対応

【CVE-2024-56452】HarmonyOS 5.0.0でglTFモデル読み込み時の脆弱...

Huawei社がHarmonyOS 5.0.0の3Dエンジンモジュールにおいて、glTFモデル読み込み時の入力パラメータ検証が不十分である脆弱性を公開した。CVE-2024-56452として識別されるこの脆弱性は、クラシックバッファオーバーフロー(CWE-120)に分類され、CVSS v3.1での評価スコアは5.5となっている。物理的なアクセスを必要とするものの、システムの可用性に影響を与える可能性があるため、注意が必要だ。

【CVE-2024-56452】HarmonyOS 5.0.0でglTFモデル読み込み時の脆弱...

Huawei社がHarmonyOS 5.0.0の3Dエンジンモジュールにおいて、glTFモデル読み込み時の入力パラメータ検証が不十分である脆弱性を公開した。CVE-2024-56452として識別されるこの脆弱性は、クラシックバッファオーバーフロー(CWE-120)に分類され、CVSS v3.1での評価スコアは5.5となっている。物理的なアクセスを必要とするものの、システムの可用性に影響を与える可能性があるため、注意が必要だ。

【CVE-2024-56449】HarmonyOSとEMUIにアカウントモジュールの権限昇格脆弱性が発見、早急な対策が必要に

【CVE-2024-56449】HarmonyOSとEMUIにアカウントモジュールの権限昇格脆...

Huawei社のHarmonyOSとEMUIにおいて、アカウントモジュールに権限昇格の脆弱性が発見された。CVE-2024-56449として識別されたこの脆弱性は、HarmonyOS 2.0.0から4.2.0までの6バージョンとEMUI 12.0.0から14.0.0までの3バージョンに影響を与える。CVSSスコアは6.6でミディアムレベルの深刻度となっており、早急なセキュリティアップデートの適用が推奨されている。

【CVE-2024-56449】HarmonyOSとEMUIにアカウントモジュールの権限昇格脆...

Huawei社のHarmonyOSとEMUIにおいて、アカウントモジュールに権限昇格の脆弱性が発見された。CVE-2024-56449として識別されたこの脆弱性は、HarmonyOS 2.0.0から4.2.0までの6バージョンとEMUI 12.0.0から14.0.0までの3バージョンに影響を与える。CVSSスコアは6.6でミディアムレベルの深刻度となっており、早急なセキュリティアップデートの適用が推奨されている。

【CVE-2024-56448】HarmonyOSとEMUIでアクセス制御の脆弱性、ウィジェットモジュールの可用性に影響の懸念

【CVE-2024-56448】HarmonyOSとEMUIでアクセス制御の脆弱性、ウィジェッ...

Huawei Technologiesは2025年1月8日、HarmonyOSおよびEMUIに存在する不適切なアクセス制御の脆弱性を公開した。影響を受けるバージョンはHarmonyOS 2.0.0から4.2.0、EMUI 12.0.0から14.0.0まで。CVSSスコアは6.7(MEDIUM)で、ホーム画面ウィジェットモジュールの可用性に影響を与える可能性がある。脆弱性はCWE-94に分類され、高権限での攻撃が可能。

【CVE-2024-56448】HarmonyOSとEMUIでアクセス制御の脆弱性、ウィジェッ...

Huawei Technologiesは2025年1月8日、HarmonyOSおよびEMUIに存在する不適切なアクセス制御の脆弱性を公開した。影響を受けるバージョンはHarmonyOS 2.0.0から4.2.0、EMUI 12.0.0から14.0.0まで。CVSSスコアは6.7(MEDIUM)で、ホーム画面ウィジェットモジュールの可用性に影響を与える可能性がある。脆弱性はCWE-94に分類され、高権限での攻撃が可能。

【CVE-2024-56446】HarmonyOS 5.0.0の通知モジュールに脆弱性、システムの可用性に影響のおそれ

【CVE-2024-56446】HarmonyOS 5.0.0の通知モジュールに脆弱性、システ...

Huawei社がHarmonyOS 5.0.0の通知モジュールにおける変数の初期化に関する脆弱性を公開。CVE-2024-56446として識別され、CWE-457に分類される問題で、CVSS 3.1でスコア4.0を記録。攻撃が成功した場合、システムの可用性に影響を与える可能性があり、特権不要でローカルからの攻撃が可能。SSVCによる評価では自動化された攻撃の可能性はなく、技術的影響は部分的と判断された。

【CVE-2024-56446】HarmonyOS 5.0.0の通知モジュールに脆弱性、システ...

Huawei社がHarmonyOS 5.0.0の通知モジュールにおける変数の初期化に関する脆弱性を公開。CVE-2024-56446として識別され、CWE-457に分類される問題で、CVSS 3.1でスコア4.0を記録。攻撃が成功した場合、システムの可用性に影響を与える可能性があり、特権不要でローカルからの攻撃が可能。SSVCによる評価では自動化された攻撃の可能性はなく、技術的影響は部分的と判断された。

【CVE-2024-56443】HarmonyOS 5.0.0のUIExtensionモジュールに脆弱性、サービスの機密性に影響の可能性

【CVE-2024-56443】HarmonyOS 5.0.0のUIExtensionモジュー...

Huawei Technologiesは2025年1月8日、HarmonyOS 5.0.0のUIExtensionモジュールにクロスプロセススクリーンスタックの脆弱性が存在することを公表した。CVSSスコア6.2のミディアムレベルの脆弱性であり、認証なしでローカルからアクセス可能で、攻撃の複雑さは低いとされている。CWE-200の機密情報露出に分類され、サービスの機密性に影響を与える可能性がある重要な脆弱性だ。

【CVE-2024-56443】HarmonyOS 5.0.0のUIExtensionモジュー...

Huawei Technologiesは2025年1月8日、HarmonyOS 5.0.0のUIExtensionモジュールにクロスプロセススクリーンスタックの脆弱性が存在することを公表した。CVSSスコア6.2のミディアムレベルの脆弱性であり、認証なしでローカルからアクセス可能で、攻撃の複雑さは低いとされている。CWE-200の機密情報露出に分類され、サービスの機密性に影響を与える可能性がある重要な脆弱性だ。

【CVE-2024-56442】HuaweiのHarmonyOSとEMUIにNFC脆弱性、複数バージョンで機能異常のリスクが発生

【CVE-2024-56442】HuaweiのHarmonyOSとEMUIにNFC脆弱性、複数...

Huawei社が2025年1月8日、HarmonyOSとEMUIのNFCサービスモジュールにおいて、ネイティブAPIの実装不備による脆弱性を公開した。CVE-2024-56442として識別されるこの脆弱性は、HarmonyOS 2.0.0から3.1.0およびEMUI 12.0.0、13.0.0に影響を与え、特定条件下で機能の異常動作を引き起こす可能性がある。CVSS評価では深刻度5.5(Medium)と評価されており、早急な対応が推奨される。

【CVE-2024-56442】HuaweiのHarmonyOSとEMUIにNFC脆弱性、複数...

Huawei社が2025年1月8日、HarmonyOSとEMUIのNFCサービスモジュールにおいて、ネイティブAPIの実装不備による脆弱性を公開した。CVE-2024-56442として識別されるこの脆弱性は、HarmonyOS 2.0.0から3.1.0およびEMUI 12.0.0、13.0.0に影響を与え、特定条件下で機能の異常動作を引き起こす可能性がある。CVSS評価では深刻度5.5(Medium)と評価されており、早急な対応が推奨される。

【CVE-2024-56440】HarmonyOSとEMUIのConnectivityモジュールに権限制御の脆弱性、複数バージョンで機能異常の可能性

【CVE-2024-56440】HarmonyOSとEMUIのConnectivityモジュー...

Huawei社がHarmonyOSとEMUIのConnectivityモジュールにおける権限制御の脆弱性を公開した。CVE-2024-56440として識別されるこの脆弱性は、HarmonyOSの4.2.0から3.0.0、EMUIの14.0.0と13.0.0の各バージョンに影響を与える。CVSS v3.1で6.2(Medium)と評価され、ローカルからの攻撃により機能の異常動作を引き起こす可能性がある。現時点で自動化された攻撃は確認されていない。

【CVE-2024-56440】HarmonyOSとEMUIのConnectivityモジュー...

Huawei社がHarmonyOSとEMUIのConnectivityモジュールにおける権限制御の脆弱性を公開した。CVE-2024-56440として識別されるこの脆弱性は、HarmonyOSの4.2.0から3.0.0、EMUIの14.0.0と13.0.0の各バージョンに影響を与える。CVSS v3.1で6.2(Medium)と評価され、ローカルからの攻撃により機能の異常動作を引き起こす可能性がある。現時点で自動化された攻撃は確認されていない。

【CVE-2024-56439】HarmonyOS 5.0.0の認証モジュールに脆弱性、サービスの機密性に影響のおそれ

【CVE-2024-56439】HarmonyOS 5.0.0の認証モジュールに脆弱性、サービ...

Huawei Technologiesは2025年1月8日、HarmonyOS 5.0.0の認証モジュールにアクセス制御の脆弱性が存在することを公開した。CVE-2024-56439として識別されるこの脆弱性は、CVSSスコア7.5(High)と評価され、攻撃者が特権を持っている場合にサービスの機密性に影響を及ぼす可能性がある。SSVCによる評価では自動化された攻撃の可能性はないとされているが、技術的影響は全体に及ぶ可能性があり、早急な対応が求められている。

【CVE-2024-56439】HarmonyOS 5.0.0の認証モジュールに脆弱性、サービ...

Huawei Technologiesは2025年1月8日、HarmonyOS 5.0.0の認証モジュールにアクセス制御の脆弱性が存在することを公開した。CVE-2024-56439として識別されるこの脆弱性は、CVSSスコア7.5(High)と評価され、攻撃者が特権を持っている場合にサービスの機密性に影響を及ぼす可能性がある。SSVCによる評価では自動化された攻撃の可能性はないとされているが、技術的影響は全体に及ぶ可能性があり、早急な対応が求められている。

【CVE-2024-49071】MicrosoftがWindows Defenderの情報漏洩脆弱性を公開、Global Files検索のインデックスに関する認可の不備が発覚

【CVE-2024-49071】MicrosoftがWindows Defenderの情報漏洩...

Microsoftは2024年12月12日、Windows DefenderにおけるGlobal Files検索のインデックスに関連する情報漏洩の脆弱性【CVE-2024-49071】を公開した。CVSSスコア6.5の中程度の深刻度と評価され、権限を持つ攻撃者がネットワーク経由で機密情報を取得できる可能性が指摘されている。Microsoft Defender for Endpoint for Windowsの全バージョンが影響を受けるとされ、対策の検討が進められている。

【CVE-2024-49071】MicrosoftがWindows Defenderの情報漏洩...

Microsoftは2024年12月12日、Windows DefenderにおけるGlobal Files検索のインデックスに関連する情報漏洩の脆弱性【CVE-2024-49071】を公開した。CVSSスコア6.5の中程度の深刻度と評価され、権限を持つ攻撃者がネットワーク経由で機密情報を取得できる可能性が指摘されている。Microsoft Defender for Endpoint for Windowsの全バージョンが影響を受けるとされ、対策の検討が進められている。