Tech Insights

【CVE-2024-34679】Samsung Mobile DevicesでCraneの権限設定に脆弱性、セキュリティアップデートで対応へ

【CVE-2024-34679】Samsung Mobile DevicesでCraneの権限...

Samsung Mobileは2024年11月6日、Android 14搭載モバイルデバイスのセキュリティアップデートを公開した。Craneコンポーネントに権限設定の不備が発見され、ローカル攻撃者による電話権限ファイルへの不正アクセスが可能な状態となっていた。CVSSスコア4.0の中程度の脆弱性として評価され、SMR Nov-2024 Release 1で修正が実施されている。

【CVE-2024-34679】Samsung Mobile DevicesでCraneの権限...

Samsung Mobileは2024年11月6日、Android 14搭載モバイルデバイスのセキュリティアップデートを公開した。Craneコンポーネントに権限設定の不備が発見され、ローカル攻撃者による電話権限ファイルへの不正アクセスが可能な状態となっていた。CVSSスコア4.0の中程度の脆弱性として評価され、SMR Nov-2024 Release 1で修正が実施されている。

【CVE-2024-47361】WordPressプラグインElementor Addon Elements 1.13.6以前に深刻なアクセス制御の脆弱性が発見

【CVE-2024-47361】WordPressプラグインElementor Addon E...

WPVibesが提供するWordPressプラグインElementor Addon Elementsにおいて、バージョン1.13.6以前に重大なアクセス制御の脆弱性が発見された。CVE-2024-47361として識別されたこの脆弱性は、CVSSスコア6.5の中程度の深刻度を持ち、攻撃の複雑さは低いとされている。既にバージョン1.13.7で修正が実施されており、ユーザーは速やかなアップデートが推奨される。

【CVE-2024-47361】WordPressプラグインElementor Addon E...

WPVibesが提供するWordPressプラグインElementor Addon Elementsにおいて、バージョン1.13.6以前に重大なアクセス制御の脆弱性が発見された。CVE-2024-47361として識別されたこの脆弱性は、CVSSスコア6.5の中程度の深刻度を持ち、攻撃の複雑さは低いとされている。既にバージョン1.13.7で修正が実施されており、ユーザーは速やかなアップデートが推奨される。

【CVE-2024-47317】WP QuadsのWordPress広告プラグインにアクセス制御の脆弱性、バージョン2.0.84以前に影響

【CVE-2024-47317】WP QuadsのWordPress広告プラグインにアクセス制...

WordPressの広告プラグインWP Quadsにアクセス制御の脆弱性が発見された。バージョン2.0.84以前が影響を受け、認可の欠如(CWE-862)により適切なアクセス制御が機能しない状態となっている。CVSSスコアは4.3(MEDIUM)で、特権レベルは必要だが攻撃の複雑さは低いと評価されている。対策としてバージョン2.0.85以降への更新が推奨される。

【CVE-2024-47317】WP QuadsのWordPress広告プラグインにアクセス制...

WordPressの広告プラグインWP Quadsにアクセス制御の脆弱性が発見された。バージョン2.0.84以前が影響を受け、認可の欠如(CWE-862)により適切なアクセス制御が機能しない状態となっている。CVSSスコアは4.3(MEDIUM)で、特権レベルは必要だが攻撃の複雑さは低いと評価されている。対策としてバージョン2.0.85以降への更新が推奨される。

【CVE-2024-47314】WordPressのSunshine Photo Cart 3.2.8でアクセス制御の脆弱性が発見、早急な更新が必要に

【CVE-2024-47314】WordPressのSunshine Photo Cart 3...

WordPressプラグインSunshine Photo Cartのバージョン3.2.8以前に、アクセス制御の不備による重大な脆弱性が発見された。CVSS基本値7.1のHighレベルと評価され、ネットワーク経由での攻撃が可能とされている。この脆弱性は特権が必要であるものの攻撃の複雑さは低く、ユーザーの操作も不要とされており、早急なバージョン3.2.9への更新が推奨される。

【CVE-2024-47314】WordPressのSunshine Photo Cart 3...

WordPressプラグインSunshine Photo Cartのバージョン3.2.8以前に、アクセス制御の不備による重大な脆弱性が発見された。CVSS基本値7.1のHighレベルと評価され、ネットワーク経由での攻撃が可能とされている。この脆弱性は特権が必要であるものの攻撃の複雑さは低く、ユーザーの操作も不要とされており、早急なバージョン3.2.9への更新が推奨される。

【CVE-2024-47311】WordPressプラグインWheel of Life 1.1.8にアクセス制御の脆弱性、認証回避のリスクに注意

【CVE-2024-47311】WordPressプラグインWheel of Life 1.1...

Kraft PluginsのWordPressプラグインWheel of Lifeにおいて、認証回避による重大な脆弱性が発見された。CVE-2024-47311として識別されるこの問題は、CWE-862のMissing Authorizationに分類され、CVSSスコア5.3(MEDIUM)と評価されている。影響を受けるバージョンは1.1.8以前で、バージョン1.1.9で修正済み。早急なアップデートが推奨される。

【CVE-2024-47311】WordPressプラグインWheel of Life 1.1...

Kraft PluginsのWordPressプラグインWheel of Lifeにおいて、認証回避による重大な脆弱性が発見された。CVE-2024-47311として識別されるこの問題は、CWE-862のMissing Authorizationに分類され、CVSSスコア5.3(MEDIUM)と評価されている。影響を受けるバージョンは1.1.8以前で、バージョン1.1.9で修正済み。早急なアップデートが推奨される。

【CVE-2024-34676】Samsung Mobileデバイスに深刻な脆弱性、字幕ファイル解析時のメモリ破損に注意

【CVE-2024-34676】Samsung Mobileデバイスに深刻な脆弱性、字幕ファイ...

Samsung Mobileは2024年11月6日、Android 12から14搭載デバイスのlibsubextractor.soライブラリに脆弱性が発見されたことを公開した。字幕ファイルの解析時に範囲外書き込みが発生し、メモリ破損につながる可能性がある。CVSSスコアは4.4(Medium)で、攻撃には特権は不要だがユーザーの操作が必要となる。2024年11月のセキュリティアップデートで修正され、SSVCの評価では自動化された攻撃は確認されていない。

【CVE-2024-34676】Samsung Mobileデバイスに深刻な脆弱性、字幕ファイ...

Samsung Mobileは2024年11月6日、Android 12から14搭載デバイスのlibsubextractor.soライブラリに脆弱性が発見されたことを公開した。字幕ファイルの解析時に範囲外書き込みが発生し、メモリ破損につながる可能性がある。CVSSスコアは4.4(Medium)で、攻撃には特権は不要だがユーザーの操作が必要となる。2024年11月のセキュリティアップデートで修正され、SSVCの評価では自動化された攻撃は確認されていない。

【CVE-2024-34674】Samsung MobileのContacts脆弱性、複数ユーザープロファイル間のデータアクセスに関する問題が発覚

【CVE-2024-34674】Samsung MobileのContacts脆弱性、複数ユー...

Samsung MobileのContactsアプリに深刻な脆弱性が発見された。SMR Nov-2024 Release 1以前のバージョンで、物理的な攻撃者によって異なるユーザープロファイル間のデータにアクセスされる可能性がある。CVSSスコアは4.6(MEDIUM)と評価され、Android 12、13、14の各バージョンに影響。SMR Nov-2024 Release 1で修正予定であり、早急なアップデートが推奨される。

【CVE-2024-34674】Samsung MobileのContacts脆弱性、複数ユー...

Samsung MobileのContactsアプリに深刻な脆弱性が発見された。SMR Nov-2024 Release 1以前のバージョンで、物理的な攻撃者によって異なるユーザープロファイル間のデータにアクセスされる可能性がある。CVSSスコアは4.6(MEDIUM)と評価され、Android 12、13、14の各バージョンに影響。SMR Nov-2024 Release 1で修正予定であり、早急なアップデートが推奨される。

【CVE-2024-47321】WordPress用プラグインWP Datepicker 2.1.1に権限管理の脆弱性、システムへの不正アクセスのリスクが発生

【CVE-2024-47321】WordPress用プラグインWP Datepicker 2....

WordPress用プラグインWP Datepickerにおいて、アクセス制御機能が適切に実装されていない脆弱性が発見された。CVE-2024-47321として識別されるこの脆弱性は、バージョン2.1.1以前に影響し、CVSS v3.1で6.5(Medium)と評価されている。特別な権限や利用者の操作なしにシステムにアクセス可能となる深刻な問題であり、開発元は修正版となるバージョン2.1.2をリリースしている。

【CVE-2024-47321】WordPress用プラグインWP Datepicker 2....

WordPress用プラグインWP Datepickerにおいて、アクセス制御機能が適切に実装されていない脆弱性が発見された。CVE-2024-47321として識別されるこの脆弱性は、バージョン2.1.1以前に影響し、CVSS v3.1で6.5(Medium)と評価されている。特別な権限や利用者の操作なしにシステムにアクセス可能となる深刻な問題であり、開発元は修正版となるバージョン2.1.2をリリースしている。

【CVE-2024-45403】h2oサーバでHTTP/3に関する脆弱性が発見、アサーション失敗によるDoS攻撃のリスクが浮上

【CVE-2024-45403】h2oサーバでHTTP/3に関する脆弱性が発見、アサーション失...

h2oサーバで重要な脆弱性【CVE-2024-45403】が発見された。リバースプロキシ構成時にHTTP/3リクエストがキャンセルされるとアサーション失敗によるクラッシュが発生し、DoS攻撃に悪用される可能性がある。h2oスタンドアロンサーバはデフォルトで自動再起動するが、並行処理中のリクエストは影響を受ける。commit 1ed32b2で修正済みだが、一時的な対策としてHTTP/3の無効化も可能。

【CVE-2024-45403】h2oサーバでHTTP/3に関する脆弱性が発見、アサーション失...

h2oサーバで重要な脆弱性【CVE-2024-45403】が発見された。リバースプロキシ構成時にHTTP/3リクエストがキャンセルされるとアサーション失敗によるクラッシュが発生し、DoS攻撃に悪用される可能性がある。h2oスタンドアロンサーバはデフォルトで自動再起動するが、並行処理中のリクエストは影響を受ける。commit 1ed32b2で修正済みだが、一時的な対策としてHTTP/3の無効化も可能。

【CVE-2024-6400】Finrotaの決済システムNetahsilatで認証情報が平文保存される重大な脆弱性を確認

【CVE-2024-6400】Finrotaの決済システムNetahsilatで認証情報が平文...

Finrota社の決済システムNetahsilatにおいて、ユーザー名とパスワードが平文で保存される重大な脆弱性が発見された。CVE-2024-6400として報告されたこの問題は、CVSSスコア8.2と高く評価され、特権ユーザーによる機密情報へのアクセスを可能にする。Finrota社はバージョン1.21.10から1.24.03で修正プログラムを提供し、暗号化処理を実装することで対応を完了している。

【CVE-2024-6400】Finrotaの決済システムNetahsilatで認証情報が平文...

Finrota社の決済システムNetahsilatにおいて、ユーザー名とパスワードが平文で保存される重大な脆弱性が発見された。CVE-2024-6400として報告されたこの問題は、CVSSスコア8.2と高く評価され、特権ユーザーによる機密情報へのアクセスを可能にする。Finrota社はバージョン1.21.10から1.24.03で修正プログラムを提供し、暗号化処理を実装することで対応を完了している。

【CVE-2024-50099】Linux kernelのarm64 uprobes機能における脆弱性、メモリアクセス制御の強化へ

【CVE-2024-50099】Linux kernelのarm64 uprobes機能におけ...

Linux kernelの開発チームは、arm64アーキテクチャのuprobesにおけるLDR (literal)サポートの重大な脆弱性を公開した。simulate_ldr_literal()およびsimulate_ldrsw_literal()関数のユーザーメモリアクセスの安全性が確保できていない問題が判明。この問題により、フォールト発生時のカーネルスレッドの停止やシステムのロックアップ、パニックを引き起こす危険性が指摘されている。

【CVE-2024-50099】Linux kernelのarm64 uprobes機能におけ...

Linux kernelの開発チームは、arm64アーキテクチャのuprobesにおけるLDR (literal)サポートの重大な脆弱性を公開した。simulate_ldr_literal()およびsimulate_ldrsw_literal()関数のユーザーメモリアクセスの安全性が確保できていない問題が判明。この問題により、フォールト発生時のカーネルスレッドの停止やシステムのロックアップ、パニックを引き起こす危険性が指摘されている。

【CVE-2024-49949】Linuxカーネルのqdisc_pkt_len_init()に脆弱性、複数バージョンで修正パッチを提供

【CVE-2024-49949】Linuxカーネルのqdisc_pkt_len_init()に...

Linuxカーネルにおいて、qdisc_pkt_len_init()の処理に関する重大な脆弱性が発見された。この脆弱性は特定のGSOパケット特性を持つ攻撃により、カーネルクラッシュを引き起こす可能性がある。開発チームは複数のバージョンで修正パッチを提供し、4.19.323から6.11.3までの広範なバージョンで対応を完了。セキュリティ強化のための追加対策も進行中である。

【CVE-2024-49949】Linuxカーネルのqdisc_pkt_len_init()に...

Linuxカーネルにおいて、qdisc_pkt_len_init()の処理に関する重大な脆弱性が発見された。この脆弱性は特定のGSOパケット特性を持つ攻撃により、カーネルクラッシュを引き起こす可能性がある。開発チームは複数のバージョンで修正パッチを提供し、4.19.323から6.11.3までの広範なバージョンで対応を完了。セキュリティ強化のための追加対策も進行中である。

【CVE-2024-50096】Linuxカーネルのnouveau/dmemに脆弱性が発見、メモリ管理機能の改善でセキュリティを強化

【CVE-2024-50096】Linuxカーネルのnouveau/dmemに脆弱性が発見、メ...

Linuxカーネルのnouveauドライバーのdmemコンポーネントにおいて、メモリ管理に関する重大な脆弱性が発見された。コピーエラー時に機密データが漏洩する可能性があり、ゼロページ割り当てによる対策が実装された。複数のカーネルバージョンに修正パッチが適用され、セキュリティ強化が図られている。CVE-2024-50096として識別されるこの脆弱性は、5.1以降のLinuxカーネルに影響を与える可能性がある。

【CVE-2024-50096】Linuxカーネルのnouveau/dmemに脆弱性が発見、メ...

Linuxカーネルのnouveauドライバーのdmemコンポーネントにおいて、メモリ管理に関する重大な脆弱性が発見された。コピーエラー時に機密データが漏洩する可能性があり、ゼロページ割り当てによる対策が実装された。複数のカーネルバージョンに修正パッチが適用され、セキュリティ強化が図られている。CVE-2024-50096として識別されるこの脆弱性は、5.1以降のLinuxカーネルに影響を与える可能性がある。

【CVE-2024-47359】Depicter Sliderのバージョン3.2.2以前に認可機能の脆弱性、アクセス制御の不備により権限管理に問題

【CVE-2024-47359】Depicter Sliderのバージョン3.2.2以前に認可...

WordPressプラグインDepicter Sliderにおいて、アクセス制御リストによって適切に制限されていない機能にアクセスできる脆弱性が発見された。バージョン3.2.2以前が影響を受け、CVSSスコアは5.3でミディアムレベルの深刻度とされている。この問題はCWE-862のMissing Authorizationに分類され、Patchstack社を通じて報告された。修正版のバージョン3.5.0が公開されており、ユーザーは早急なアップデートが推奨されている。

【CVE-2024-47359】Depicter Sliderのバージョン3.2.2以前に認可...

WordPressプラグインDepicter Sliderにおいて、アクセス制御リストによって適切に制限されていない機能にアクセスできる脆弱性が発見された。バージョン3.2.2以前が影響を受け、CVSSスコアは5.3でミディアムレベルの深刻度とされている。この問題はCWE-862のMissing Authorizationに分類され、Patchstack社を通じて報告された。修正版のバージョン3.5.0が公開されており、ユーザーは早急なアップデートが推奨されている。

【CVE-2024-47358】WordPress用プラグインPopup Maker 1.19.2で認証の脆弱性が発見、アクセス制御機能の不備により権限制御が不十分に

【CVE-2024-47358】WordPress用プラグインPopup Maker 1.19...

Patchstack OÜは2024年11月1日、WordPress用プラグインPopup Makerにおいて認証に関する脆弱性【CVE-2024-47358】を公開した。この脆弱性は適切なアクセス制御リスト(ACL)による制約がない状態で機能にアクセスできてしまう問題であり、バージョン1.19.2以前のバージョンに影響を与えている。対策としてバージョン1.20.0へのアップデートが提供されており、ユーザーは速やかなアップデートが推奨される。

【CVE-2024-47358】WordPress用プラグインPopup Maker 1.19...

Patchstack OÜは2024年11月1日、WordPress用プラグインPopup Makerにおいて認証に関する脆弱性【CVE-2024-47358】を公開した。この脆弱性は適切なアクセス制御リスト(ACL)による制約がない状態で機能にアクセスできてしまう問題であり、バージョン1.19.2以前のバージョンに影響を与えている。対策としてバージョン1.20.0へのアップデートが提供されており、ユーザーは速やかなアップデートが推奨される。

【CVE-2024-47308】WordPressのTemplatelyプラグインに認証の脆弱性、バージョン3.1.2以前のユーザーに影響

【CVE-2024-47308】WordPressのTemplatelyプラグインに認証の脆弱...

WordPressのTemplatelyプラグインにおいて、バージョン3.1.2以前に重大な認証の脆弱性が発見された。Missing Authorization脆弱性として確認されたこの問題は、アクセスコントロールリスト(ACL)による適切な制御が不足しており、CVSSスコア6.5を記録。影響を受けるユーザーには、脆弱性が修正されたバージョン3.1.3へのアップデートが推奨される。

【CVE-2024-47308】WordPressのTemplatelyプラグインに認証の脆弱...

WordPressのTemplatelyプラグインにおいて、バージョン3.1.2以前に重大な認証の脆弱性が発見された。Missing Authorization脆弱性として確認されたこの問題は、アクセスコントロールリスト(ACL)による適切な制御が不足しており、CVSSスコア6.5を記録。影響を受けるユーザーには、脆弱性が修正されたバージョン3.1.3へのアップデートが推奨される。

【CVE-2024-45396】QuiclyにDoS攻撃の脆弱性が発見、アサーション失敗でプロセスがクラッシュする危険性

【CVE-2024-45396】QuiclyにDoS攻撃の脆弱性が発見、アサーション失敗でプロ...

GitHubは2024年10月11日、IETF QUICプロトコル実装のQuiclyに重大な脆弱性を発見したと発表した。この脆弱性はCVE-2024-45396として識別され、リモートからの攻撃でアサーション失敗を引き起こしプロセスをクラッシュさせることが可能。CVSSスコアは7.5(HIGH)で、特権不要かつ攻撃条件も複雑ではないため、早急な対応が求められる。

【CVE-2024-45396】QuiclyにDoS攻撃の脆弱性が発見、アサーション失敗でプロ...

GitHubは2024年10月11日、IETF QUICプロトコル実装のQuiclyに重大な脆弱性を発見したと発表した。この脆弱性はCVE-2024-45396として識別され、リモートからの攻撃でアサーション失敗を引き起こしプロセスをクラッシュさせることが可能。CVSSスコアは7.5(HIGH)で、特権不要かつ攻撃条件も複雑ではないため、早急な対応が求められる。

【CVE-2024-43928】WordPressのJobSearch Plugin 2.5.4にアクセス制御の脆弱性が発見、早急な対応が必要に

【CVE-2024-43928】WordPressのJobSearch Plugin 2.5....

WordPressのJobSearch Plugin 2.5.4以前のバージョンにおいて、アクセス制御に関する重大な脆弱性が発見された。CVE-2024-43928として識別されたこの脆弱性は、CVSSスコア5.4(MEDIUM)と評価され、認証機能の不備によりセキュリティレベルに問題が生じている。影響を受けるバージョンは2.5.4以前のすべてのバージョンであり、管理者は速やかなアップデートが推奨される。

【CVE-2024-43928】WordPressのJobSearch Plugin 2.5....

WordPressのJobSearch Plugin 2.5.4以前のバージョンにおいて、アクセス制御に関する重大な脆弱性が発見された。CVE-2024-43928として識別されたこの脆弱性は、CVSSスコア5.4(MEDIUM)と評価され、認証機能の不備によりセキュリティレベルに問題が生じている。影響を受けるバージョンは2.5.4以前のすべてのバージョンであり、管理者は速やかなアップデートが推奨される。

【CVE-2024-25622】h2oサーバでヘッダー設定の継承問題が発覚、アップデートで修正完了へ

【CVE-2024-25622】h2oサーバでヘッダー設定の継承問題が発覚、アップデートで修正完了へ

HTTPサーバh2oにおいて、設定ファイルのスコープ間でヘッダーディレクティブの設定が適切に継承されない脆弱性が発見された。この問題はCVE-2024-25622として識別され、内部スコープでヘッダーディレクティブが使用された際に外部スコープの定義が完全に無視される状態を引き起こしていた。開発チームは既に修正版をリリースしており、ユーザーは最新バージョンへのアップデートを推奨されている。

【CVE-2024-25622】h2oサーバでヘッダー設定の継承問題が発覚、アップデートで修正完了へ

HTTPサーバh2oにおいて、設定ファイルのスコープ間でヘッダーディレクティブの設定が適切に継承されない脆弱性が発見された。この問題はCVE-2024-25622として識別され、内部スコープでヘッダーディレクティブが使用された際に外部スコープの定義が完全に無視される状態を引き起こしていた。開発チームは既に修正版をリリースしており、ユーザーは最新バージョンへのアップデートを推奨されている。

【CVE-2024-9576】Linux Workbooth v2.5に特権昇格の脆弱性、管理者権限の不正取得が可能に

【CVE-2024-9576】Linux Workbooth v2.5に特権昇格の脆弱性、管理...

Linux Workbooth v2.5においてネットワーク設定スクリプトを操作することで管理者権限を取得できる特権昇格の脆弱性が発見された。CVSSスコア7.0の高リスクと評価され、CWE-284の不適切なアクセス制御に分類。攻撃の複雑さは高いものの、ユーザーの操作を必要とせず、機密性・完全性・可用性のすべてに高い影響を及ぼす可能性がある深刻な脆弱性となっている。

【CVE-2024-9576】Linux Workbooth v2.5に特権昇格の脆弱性、管理...

Linux Workbooth v2.5においてネットワーク設定スクリプトを操作することで管理者権限を取得できる特権昇格の脆弱性が発見された。CVSSスコア7.0の高リスクと評価され、CWE-284の不適切なアクセス制御に分類。攻撃の複雑さは高いものの、ユーザーの操作を必要とせず、機密性・完全性・可用性のすべてに高い影響を及ぼす可能性がある深刻な脆弱性となっている。

【CVE-2024-47318】PWA for WP & AMP 1.7.72にアクセス制御の脆弱性、最新バージョンへの更新で対応完了

【CVE-2024-47318】PWA for WP & AMP 1.7.72にアクセス制御の...

Magazine3社のWordPress向けプラグインPWA for WP & AMPのバージョン1.7.72以前において、認可機能の欠如による脆弱性が発見された。CVE-2024-47318として識別されたこの脆弱性は、不適切に構成されたアクセス制御セキュリティレベルを悪用される可能性があり、CVSS 3.1で中程度の深刻度と評価されている。対策として1.7.73へのアップデートが提供されており、ユーザーには速やかな更新が推奨される。

【CVE-2024-47318】PWA for WP & AMP 1.7.72にアクセス制御の...

Magazine3社のWordPress向けプラグインPWA for WP & AMPのバージョン1.7.72以前において、認可機能の欠如による脆弱性が発見された。CVE-2024-47318として識別されたこの脆弱性は、不適切に構成されたアクセス制御セキュリティレベルを悪用される可能性があり、CVSS 3.1で中程度の深刻度と評価されている。対策として1.7.73へのアップデートが提供されており、ユーザーには速やかな更新が推奨される。

【CVE-2024-45397】h2oサーバーでアクセス制御バイパスの脆弱性が発覚、TLS/1.3早期データとQUIC 0-RTTで問題に

【CVE-2024-45397】h2oサーバーでアクセス制御バイパスの脆弱性が発覚、TLS/1...

h2oサーバーにおいて、TLS/1.3早期データとQUIC 0-RTTパケットを使用した際にIPアドレスベースのアクセス制御をバイパスできる脆弱性が発見された。CVSSスコア5.9のMEDIUMレベルと評価され、コミット15ed15aで修正済み。TCP FastOpenとQUICの無効化で対策可能だが、近代的なHTTPプロトコルとセキュリティ機能の相互作用における新たな課題として注目される。

【CVE-2024-45397】h2oサーバーでアクセス制御バイパスの脆弱性が発覚、TLS/1...

h2oサーバーにおいて、TLS/1.3早期データとQUIC 0-RTTパケットを使用した際にIPアドレスベースのアクセス制御をバイパスできる脆弱性が発見された。CVSSスコア5.9のMEDIUMレベルと評価され、コミット15ed15aで修正済み。TCP FastOpenとQUICの無効化で対策可能だが、近代的なHTTPプロトコルとセキュリティ機能の相互作用における新たな課題として注目される。

【CVE-2024-34680】Samsung Mobile DeviceでWlanTestの脆弱性が発見、ローカル攻撃による情報漏洩のリスクに対処

【CVE-2024-34680】Samsung Mobile DeviceでWlanTestの...

Samsung Mobileは2024年11月6日、WlanTestにおける重要な通信での暗黙的インテントの使用に関する脆弱性【CVE-2024-34680】を公開した。CVSSスコアは4.0(MEDIUM)で、SMR Nov-2024 Release 1以前のバージョンが影響を受ける。この脆弱性はローカル攻撃者による機密情報の取得を可能にするもので、Android 12、13、14向けのパッチが提供されている。

【CVE-2024-34680】Samsung Mobile DeviceでWlanTestの...

Samsung Mobileは2024年11月6日、WlanTestにおける重要な通信での暗黙的インテントの使用に関する脆弱性【CVE-2024-34680】を公開した。CVSSスコアは4.0(MEDIUM)で、SMR Nov-2024 Release 1以前のバージョンが影響を受ける。この脆弱性はローカル攻撃者による機密情報の取得を可能にするもので、Android 12、13、14向けのパッチが提供されている。

【CVE-2024-34677】SamsungモバイルデバイスのSystem UIに脆弱性、悪意のあるアプリが正規アプリとして表示される危険性

【CVE-2024-34677】SamsungモバイルデバイスのSystem UIに脆弱性、悪...

Samsung MobileがSystem UIにおける機密情報露出の脆弱性【CVE-2024-34677】を公開した。この脆弱性により、悪意のあるアプリケーションが正規のアプリとして表示される可能性があり、ローカル攻撃者による悪用のリスクが指摘されている。CVSS v3.1で4.0(MEDIUM)と評価され、Android 12、13、14搭載デバイスが対象となっており、SMR Nov-2024 Release 1で修正される予定だ。

【CVE-2024-34677】SamsungモバイルデバイスのSystem UIに脆弱性、悪...

Samsung MobileがSystem UIにおける機密情報露出の脆弱性【CVE-2024-34677】を公開した。この脆弱性により、悪意のあるアプリケーションが正規のアプリとして表示される可能性があり、ローカル攻撃者による悪用のリスクが指摘されている。CVSS v3.1で4.0(MEDIUM)と評価され、Android 12、13、14搭載デバイスが対象となっており、SMR Nov-2024 Release 1で修正される予定だ。

EUがAppleを規制違反で指摘、Apple Media Servicesのジオブロッキング慣行に是正要求

EUがAppleを規制違反で指摘、Apple Media Servicesのジオブロッキング慣...

欧州委員会とEU各国消費者保護当局がAppleのApple Media Servicesにおけるジオブロッキング規制違反の可能性を指摘。App Store、Apple Arcade、Musicなど主要サービスで、国別インターフェースの制限や支払い手段の制限などの問題が確認された。Appleには1カ月以内の是正措置提案が求められている。

EUがAppleを規制違反で指摘、Apple Media Servicesのジオブロッキング慣...

欧州委員会とEU各国消費者保護当局がAppleのApple Media Servicesにおけるジオブロッキング規制違反の可能性を指摘。App Store、Apple Arcade、Musicなど主要サービスで、国別インターフェースの制限や支払い手段の制限などの問題が確認された。Appleには1カ月以内の是正措置提案が求められている。

PayPayが決済と送金の上限額を100万円に引き上げ、高額決済需要への対応を強化

PayPayが決済と送金の上限額を100万円に引き上げ、高額決済需要への対応を強化

PayPayが2024年11月より決済上限額と送金上限額を100万円に引き上げることを発表。PayPayクレジットでもPayPayカードの利用可能枠まで決済可能となり、Trip.comでの利用開始など高額決済への対応を強化。eKYC済みユーザーが対象で、セキュリティ対策も実施。送金機能は95%のシェアを誇り、年間送金額は1兆円を突破している。

PayPayが決済と送金の上限額を100万円に引き上げ、高額決済需要への対応を強化

PayPayが2024年11月より決済上限額と送金上限額を100万円に引き上げることを発表。PayPayクレジットでもPayPayカードの利用可能枠まで決済可能となり、Trip.comでの利用開始など高額決済への対応を強化。eKYC済みユーザーが対象で、セキュリティ対策も実施。送金機能は95%のシェアを誇り、年間送金額は1兆円を突破している。

Adobe CommerceとMagento Open SourceがCommerce Services Connectorの重大な脆弱性に対処、バージョン3.2.6で修正完了

Adobe CommerceとMagento Open SourceがCommerce Ser...

AdobeはAdobe CommerceとMagento Open SourceのCommerce Services Connector部分に存在する重大な脆弱性CVE-2024-49521に対処するセキュリティアップデート3.2.6を公開した。CVSS基準で7.7のスコアが付与されたSSRF脆弱性は、認証済み管理者によって任意のコード実行が可能な状態であり、早急なアップデートが推奨されている。

Adobe CommerceとMagento Open SourceがCommerce Ser...

AdobeはAdobe CommerceとMagento Open SourceのCommerce Services Connector部分に存在する重大な脆弱性CVE-2024-49521に対処するセキュリティアップデート3.2.6を公開した。CVSS基準で7.7のスコアが付与されたSSRF脆弱性は、認証済み管理者によって任意のコード実行が可能な状態であり、早急なアップデートが推奨されている。

Adobe Photoshop 2023と2024に重大な脆弱性、任意のコード実行が可能な問題をアップデートで修正

Adobe Photoshop 2023と2024に重大な脆弱性、任意のコード実行が可能な問題...

AdobeはPhotoshop 2023とPhotoshop 2024のWindows版とmacOS版に存在する重大な脆弱性を修正するアップデートをリリースした。CVE-2024-49514として報告されたこの脆弱性は、Integer Underflowに起因する任意のコード実行が可能となる問題で、CVSSスコア7.8という高い深刻度が付けられている。Creative Cloud経由でのアップデートが提供され、管理者はAdmin Consoleを使用して展開が可能だ。

Adobe Photoshop 2023と2024に重大な脆弱性、任意のコード実行が可能な問題...

AdobeはPhotoshop 2023とPhotoshop 2024のWindows版とmacOS版に存在する重大な脆弱性を修正するアップデートをリリースした。CVE-2024-49514として報告されたこの脆弱性は、Integer Underflowに起因する任意のコード実行が可能となる問題で、CVSSスコア7.8という高い深刻度が付けられている。Creative Cloud経由でのアップデートが提供され、管理者はAdmin Consoleを使用して展開が可能だ。

Adobe InDesignにHeap-based Buffer Overflowの脆弱性、任意のコード実行とメモリリークの危険性に対処

Adobe InDesignにHeap-based Buffer Overflowの脆弱性、任...

AdobeはInDesignのセキュリティアップデートを2024年11月12日に公開した。ID19.5以前のバージョンで発見された脆弱性は、CVSS基本値7.8の任意のコード実行とCVSS基本値5.5のメモリリークに関するものだ。Creative Cloud経由でID20.0へのアップデートが提供され、管理者向けにはCreative Cloud Packagerによる展開パッケージも用意されている。

Adobe InDesignにHeap-based Buffer Overflowの脆弱性、任...

AdobeはInDesignのセキュリティアップデートを2024年11月12日に公開した。ID19.5以前のバージョンで発見された脆弱性は、CVSS基本値7.8の任意のコード実行とCVSS基本値5.5のメモリリークに関するものだ。Creative Cloud経由でID20.0へのアップデートが提供され、管理者向けにはCreative Cloud Packagerによる展開パッケージも用意されている。

Adobe Illustrator 28.7.1の重大な脆弱性を修正、セキュリティアップデートで任意のコード実行やメモリリークに対処

Adobe Illustrator 28.7.1の重大な脆弱性を修正、セキュリティアップデート...

Adobeは2024年11月12日、Adobe Illustrator 2024のバージョン28.7.1以前に存在する重大なセキュリティ上の脆弱性を修正するアップデートを公開した。Out-of-bounds WriteやHeap-based Buffer Overflowなど9件の深刻な問題が含まれており、任意のコード実行やアプリケーションのサービス拒否、メモリリークなどの問題に対処。WindowsとmacOSの両プラットフォームで確認された脆弱性を修正している。

Adobe Illustrator 28.7.1の重大な脆弱性を修正、セキュリティアップデート...

Adobeは2024年11月12日、Adobe Illustrator 2024のバージョン28.7.1以前に存在する重大なセキュリティ上の脆弱性を修正するアップデートを公開した。Out-of-bounds WriteやHeap-based Buffer Overflowなど9件の深刻な問題が含まれており、任意のコード実行やアプリケーションのサービス拒否、メモリリークなどの問題に対処。WindowsとmacOSの両プラットフォームで確認された脆弱性を修正している。

HOT TOPICS