Tech Insights

【CVE-2024-47314】WordPressのSunshine Photo Cart 3...

2024年11月14日

WordPressプラグインSunshine Photo Cartのバージョン3.2.8以前に、アクセス制御の不備による重大な脆弱性が発見された。CVSS基本値7.1のHighレベルと評価され、ネットワーク経由での攻撃が可能とされている。この脆弱性は特権が必要であるものの攻撃の複雑さは低く、ユーザーの操作も不要とされており、早急なバージョン3.2.9への更新が推奨される。

【CVE-2024-47314】WordPressのSunshine Photo Cart 3...

2024年11月14日

WordPressプラグインSunshine Photo Cartのバージョン3.2.8以前に、アクセス制御の不備による重大な脆弱性が発見された。CVSS基本値7.1のHighレベルと評価され、ネットワーク経由での攻撃が可能とされている。この脆弱性は特権が必要であるものの攻撃の複雑さは低く、ユーザーの操作も不要とされており、早急なバージョン3.2.9への更新が推奨される。

【CVE-2024-47311】WordPressプラグインWheel of Life 1.1...

2024年11月14日

Kraft PluginsのWordPressプラグインWheel of Lifeにおいて、認証回避による重大な脆弱性が発見された。CVE-2024-47311として識別されるこの問題は、CWE-862のMissing Authorizationに分類され、CVSSスコア5.3（MEDIUM）と評価されている。影響を受けるバージョンは1.1.8以前で、バージョン1.1.9で修正済み。早急なアップデートが推奨される。

【CVE-2024-47311】WordPressプラグインWheel of Life 1.1...

2024年11月14日

Kraft PluginsのWordPressプラグインWheel of Lifeにおいて、認証回避による重大な脆弱性が発見された。CVE-2024-47311として識別されるこの問題は、CWE-862のMissing Authorizationに分類され、CVSSスコア5.3（MEDIUM）と評価されている。影響を受けるバージョンは1.1.8以前で、バージョン1.1.9で修正済み。早急なアップデートが推奨される。

【CVE-2024-34676】Samsung Mobileデバイスに深刻な脆弱性、字幕ファイ...

2024年11月14日

Samsung Mobileは2024年11月6日、Android 12から14搭載デバイスのlibsubextractor.soライブラリに脆弱性が発見されたことを公開した。字幕ファイルの解析時に範囲外書き込みが発生し、メモリ破損につながる可能性がある。CVSSスコアは4.4（Medium）で、攻撃には特権は不要だがユーザーの操作が必要となる。2024年11月のセキュリティアップデートで修正され、SSVCの評価では自動化された攻撃は確認されていない。

【CVE-2024-34676】Samsung Mobileデバイスに深刻な脆弱性、字幕ファイ...

2024年11月14日

Samsung Mobileは2024年11月6日、Android 12から14搭載デバイスのlibsubextractor.soライブラリに脆弱性が発見されたことを公開した。字幕ファイルの解析時に範囲外書き込みが発生し、メモリ破損につながる可能性がある。CVSSスコアは4.4（Medium）で、攻撃には特権は不要だがユーザーの操作が必要となる。2024年11月のセキュリティアップデートで修正され、SSVCの評価では自動化された攻撃は確認されていない。

【CVE-2024-34674】Samsung MobileのContacts脆弱性、複数ユー...

2024年11月14日

Samsung MobileのContactsアプリに深刻な脆弱性が発見された。SMR Nov-2024 Release 1以前のバージョンで、物理的な攻撃者によって異なるユーザープロファイル間のデータにアクセスされる可能性がある。CVSSスコアは4.6（MEDIUM）と評価され、Android 12、13、14の各バージョンに影響。SMR Nov-2024 Release 1で修正予定であり、早急なアップデートが推奨される。

【CVE-2024-34674】Samsung MobileのContacts脆弱性、複数ユー...

2024年11月14日

Samsung MobileのContactsアプリに深刻な脆弱性が発見された。SMR Nov-2024 Release 1以前のバージョンで、物理的な攻撃者によって異なるユーザープロファイル間のデータにアクセスされる可能性がある。CVSSスコアは4.6（MEDIUM）と評価され、Android 12、13、14の各バージョンに影響。SMR Nov-2024 Release 1で修正予定であり、早急なアップデートが推奨される。

【CVE-2024-47321】WordPress用プラグインWP Datepicker 2....

2024年11月14日

WordPress用プラグインWP Datepickerにおいて、アクセス制御機能が適切に実装されていない脆弱性が発見された。CVE-2024-47321として識別されるこの脆弱性は、バージョン2.1.1以前に影響し、CVSS v3.1で6.5（Medium）と評価されている。特別な権限や利用者の操作なしにシステムにアクセス可能となる深刻な問題であり、開発元は修正版となるバージョン2.1.2をリリースしている。

【CVE-2024-47321】WordPress用プラグインWP Datepicker 2....

2024年11月14日

WordPress用プラグインWP Datepickerにおいて、アクセス制御機能が適切に実装されていない脆弱性が発見された。CVE-2024-47321として識別されるこの脆弱性は、バージョン2.1.1以前に影響し、CVSS v3.1で6.5（Medium）と評価されている。特別な権限や利用者の操作なしにシステムにアクセス可能となる深刻な問題であり、開発元は修正版となるバージョン2.1.2をリリースしている。

【CVE-2024-47074】DataEaseにPostgreSQLデータソースの脆弱性が発...

2024年11月14日

オープンソースのデータ可視化分析ツールDataEaseにおいて、PostgreSQLデータソースのJDBC接続パラメータに関する深刻な脆弱性が発見された。PgConfigurationクラスがパラメータをフィルタリングせずに直接結合する仕様により、攻撃者がシステム特権を取得できる状態にあった。CVSSスコア9.3の重大な脆弱性は、バージョン1.18.25で修正されている。

【CVE-2024-47074】DataEaseにPostgreSQLデータソースの脆弱性が発...

2024年11月14日

オープンソースのデータ可視化分析ツールDataEaseにおいて、PostgreSQLデータソースのJDBC接続パラメータに関する深刻な脆弱性が発見された。PgConfigurationクラスがパラメータをフィルタリングせずに直接結合する仕様により、攻撃者がシステム特権を取得できる状態にあった。CVSSスコア9.3の重大な脆弱性は、バージョン1.18.25で修正されている。

【CVE-2024-45403】h2oサーバでHTTP/3に関する脆弱性が発見、アサーション失...

2024年11月14日

h2oサーバで重要な脆弱性【CVE-2024-45403】が発見された。リバースプロキシ構成時にHTTP/3リクエストがキャンセルされるとアサーション失敗によるクラッシュが発生し、DoS攻撃に悪用される可能性がある。h2oスタンドアロンサーバはデフォルトで自動再起動するが、並行処理中のリクエストは影響を受ける。commit 1ed32b2で修正済みだが、一時的な対策としてHTTP/3の無効化も可能。

【CVE-2024-45403】h2oサーバでHTTP/3に関する脆弱性が発見、アサーション失...

2024年11月14日

h2oサーバで重要な脆弱性【CVE-2024-45403】が発見された。リバースプロキシ構成時にHTTP/3リクエストがキャンセルされるとアサーション失敗によるクラッシュが発生し、DoS攻撃に悪用される可能性がある。h2oスタンドアロンサーバはデフォルトで自動再起動するが、並行処理中のリクエストは影響を受ける。commit 1ed32b2で修正済みだが、一時的な対策としてHTTP/3の無効化も可能。

【CVE-2024-6443】ZephyrプロジェクトでUTF8文字列処理の脆弱性が発見、メモ...

2024年11月14日

Zephyr Projectは、utf8_truncにおいて文字列が空の場合にメモリ範囲外読み取りが発生する脆弱性【CVE-2024-6443】を発見した。CVSSスコアは6.3（中）で、攻撃条件の複雑さは低いものの、エクスプロイトの自動化は不可能とされている。この脆弱性は3.6以前のすべてのバージョンに影響を与え、システムの安定性に関わる重要な問題として認識されている。

【CVE-2024-6443】ZephyrプロジェクトでUTF8文字列処理の脆弱性が発見、メモ...

2024年11月14日

Zephyr Projectは、utf8_truncにおいて文字列が空の場合にメモリ範囲外読み取りが発生する脆弱性【CVE-2024-6443】を発見した。CVSSスコアは6.3（中）で、攻撃条件の複雑さは低いものの、エクスプロイトの自動化は不可能とされている。この脆弱性は3.6以前のすべてのバージョンに影響を与え、システムの安定性に関わる重要な問題として認識されている。

【CVE-2024-6400】Finrotaの決済システムNetahsilatで認証情報が平文...

2024年11月14日

Finrota社の決済システムNetahsilatにおいて、ユーザー名とパスワードが平文で保存される重大な脆弱性が発見された。CVE-2024-6400として報告されたこの問題は、CVSSスコア8.2と高く評価され、特権ユーザーによる機密情報へのアクセスを可能にする。Finrota社はバージョン1.21.10から1.24.03で修正プログラムを提供し、暗号化処理を実装することで対応を完了している。

【CVE-2024-6400】Finrotaの決済システムNetahsilatで認証情報が平文...

2024年11月14日

Finrota社の決済システムNetahsilatにおいて、ユーザー名とパスワードが平文で保存される重大な脆弱性が発見された。CVE-2024-6400として報告されたこの問題は、CVSSスコア8.2と高く評価され、特権ユーザーによる機密情報へのアクセスを可能にする。Finrota社はバージョン1.21.10から1.24.03で修正プログラムを提供し、暗号化処理を実装することで対応を完了している。

【CVE-2024-50099】Linux kernelのarm64 uprobes機能におけ...

2024年11月14日

Linux kernelの開発チームは、arm64アーキテクチャのuprobesにおけるLDR (literal)サポートの重大な脆弱性を公開した。simulate_ldr_literal()およびsimulate_ldrsw_literal()関数のユーザーメモリアクセスの安全性が確保できていない問題が判明。この問題により、フォールト発生時のカーネルスレッドの停止やシステムのロックアップ、パニックを引き起こす危険性が指摘されている。

【CVE-2024-50099】Linux kernelのarm64 uprobes機能におけ...

2024年11月14日

Linux kernelの開発チームは、arm64アーキテクチャのuprobesにおけるLDR (literal)サポートの重大な脆弱性を公開した。simulate_ldr_literal()およびsimulate_ldrsw_literal()関数のユーザーメモリアクセスの安全性が確保できていない問題が判明。この問題により、フォールト発生時のカーネルスレッドの停止やシステムのロックアップ、パニックを引き起こす危険性が指摘されている。

【CVE-2024-49949】Linuxカーネルのqdisc_pkt_len_init()に...

2024年11月14日

Linuxカーネルにおいて、qdisc_pkt_len_init()の処理に関する重大な脆弱性が発見された。この脆弱性は特定のGSOパケット特性を持つ攻撃により、カーネルクラッシュを引き起こす可能性がある。開発チームは複数のバージョンで修正パッチを提供し、4.19.323から6.11.3までの広範なバージョンで対応を完了。セキュリティ強化のための追加対策も進行中である。

【CVE-2024-49949】Linuxカーネルのqdisc_pkt_len_init()に...

2024年11月14日

Linuxカーネルにおいて、qdisc_pkt_len_init()の処理に関する重大な脆弱性が発見された。この脆弱性は特定のGSOパケット特性を持つ攻撃により、カーネルクラッシュを引き起こす可能性がある。開発チームは複数のバージョンで修正パッチを提供し、4.19.323から6.11.3までの広範なバージョンで対応を完了。セキュリティ強化のための追加対策も進行中である。

【CVE-2024-50096】Linuxカーネルのnouveau/dmemに脆弱性が発見、メ...

2024年11月14日

Linuxカーネルのnouveauドライバーのdmemコンポーネントにおいて、メモリ管理に関する重大な脆弱性が発見された。コピーエラー時に機密データが漏洩する可能性があり、ゼロページ割り当てによる対策が実装された。複数のカーネルバージョンに修正パッチが適用され、セキュリティ強化が図られている。CVE-2024-50096として識別されるこの脆弱性は、5.1以降のLinuxカーネルに影響を与える可能性がある。

【CVE-2024-50096】Linuxカーネルのnouveau/dmemに脆弱性が発見、メ...

2024年11月14日

Linuxカーネルのnouveauドライバーのdmemコンポーネントにおいて、メモリ管理に関する重大な脆弱性が発見された。コピーエラー時に機密データが漏洩する可能性があり、ゼロページ割り当てによる対策が実装された。複数のカーネルバージョンに修正パッチが適用され、セキュリティ強化が図られている。CVE-2024-50096として識別されるこの脆弱性は、5.1以降のLinuxカーネルに影響を与える可能性がある。

【CVE-2024-47359】Depicter Sliderのバージョン3.2.2以前に認可...

2024年11月14日

WordPressプラグインDepicter Sliderにおいて、アクセス制御リストによって適切に制限されていない機能にアクセスできる脆弱性が発見された。バージョン3.2.2以前が影響を受け、CVSSスコアは5.3でミディアムレベルの深刻度とされている。この問題はCWE-862のMissing Authorizationに分類され、Patchstack社を通じて報告された。修正版のバージョン3.5.0が公開されており、ユーザーは早急なアップデートが推奨されている。

【CVE-2024-47359】Depicter Sliderのバージョン3.2.2以前に認可...

2024年11月14日

WordPressプラグインDepicter Sliderにおいて、アクセス制御リストによって適切に制限されていない機能にアクセスできる脆弱性が発見された。バージョン3.2.2以前が影響を受け、CVSSスコアは5.3でミディアムレベルの深刻度とされている。この問題はCWE-862のMissing Authorizationに分類され、Patchstack社を通じて報告された。修正版のバージョン3.5.0が公開されており、ユーザーは早急なアップデートが推奨されている。

【CVE-2024-47358】WordPress用プラグインPopup Maker 1.19...

2024年11月14日

Patchstack OÜは2024年11月1日、WordPress用プラグインPopup Makerにおいて認証に関する脆弱性【CVE-2024-47358】を公開した。この脆弱性は適切なアクセス制御リスト（ACL）による制約がない状態で機能にアクセスできてしまう問題であり、バージョン1.19.2以前のバージョンに影響を与えている。対策としてバージョン1.20.0へのアップデートが提供されており、ユーザーは速やかなアップデートが推奨される。

【CVE-2024-47358】WordPress用プラグインPopup Maker 1.19...

2024年11月14日

Patchstack OÜは2024年11月1日、WordPress用プラグインPopup Makerにおいて認証に関する脆弱性【CVE-2024-47358】を公開した。この脆弱性は適切なアクセス制御リスト（ACL）による制約がない状態で機能にアクセスできてしまう問題であり、バージョン1.19.2以前のバージョンに影響を与えている。対策としてバージョン1.20.0へのアップデートが提供されており、ユーザーは速やかなアップデートが推奨される。

【CVE-2024-47308】WordPressのTemplatelyプラグインに認証の脆弱...

2024年11月14日

WordPressのTemplatelyプラグインにおいて、バージョン3.1.2以前に重大な認証の脆弱性が発見された。Missing Authorization脆弱性として確認されたこの問題は、アクセスコントロールリスト（ACL）による適切な制御が不足しており、CVSSスコア6.5を記録。影響を受けるユーザーには、脆弱性が修正されたバージョン3.1.3へのアップデートが推奨される。

【CVE-2024-47308】WordPressのTemplatelyプラグインに認証の脆弱...

2024年11月14日

WordPressのTemplatelyプラグインにおいて、バージョン3.1.2以前に重大な認証の脆弱性が発見された。Missing Authorization脆弱性として確認されたこの問題は、アクセスコントロールリスト（ACL）による適切な制御が不足しており、CVSSスコア6.5を記録。影響を受けるユーザーには、脆弱性が修正されたバージョン3.1.3へのアップデートが推奨される。

【CVE-2024-45396】QuiclyにDoS攻撃の脆弱性が発見、アサーション失敗でプロ...

2024年11月14日

GitHubは2024年10月11日、IETF QUICプロトコル実装のQuiclyに重大な脆弱性を発見したと発表した。この脆弱性はCVE-2024-45396として識別され、リモートからの攻撃でアサーション失敗を引き起こしプロセスをクラッシュさせることが可能。CVSSスコアは7.5（HIGH）で、特権不要かつ攻撃条件も複雑ではないため、早急な対応が求められる。

【CVE-2024-45396】QuiclyにDoS攻撃の脆弱性が発見、アサーション失敗でプロ...

2024年11月14日

GitHubは2024年10月11日、IETF QUICプロトコル実装のQuiclyに重大な脆弱性を発見したと発表した。この脆弱性はCVE-2024-45396として識別され、リモートからの攻撃でアサーション失敗を引き起こしプロセスをクラッシュさせることが可能。CVSSスコアは7.5（HIGH）で、特権不要かつ攻撃条件も複雑ではないため、早急な対応が求められる。

【CVE-2024-43928】WordPressのJobSearch Plugin 2.5....

2024年11月14日

WordPressのJobSearch Plugin 2.5.4以前のバージョンにおいて、アクセス制御に関する重大な脆弱性が発見された。CVE-2024-43928として識別されたこの脆弱性は、CVSSスコア5.4（MEDIUM）と評価され、認証機能の不備によりセキュリティレベルに問題が生じている。影響を受けるバージョンは2.5.4以前のすべてのバージョンであり、管理者は速やかなアップデートが推奨される。

【CVE-2024-43928】WordPressのJobSearch Plugin 2.5....

2024年11月14日

WordPressのJobSearch Plugin 2.5.4以前のバージョンにおいて、アクセス制御に関する重大な脆弱性が発見された。CVE-2024-43928として識別されたこの脆弱性は、CVSSスコア5.4（MEDIUM）と評価され、認証機能の不備によりセキュリティレベルに問題が生じている。影響を受けるバージョンは2.5.4以前のすべてのバージョンであり、管理者は速やかなアップデートが推奨される。

【CVE-2024-25622】h2oサーバでヘッダー設定の継承問題が発覚、アップデートで修正完了へ

2024年11月14日

HTTPサーバh2oにおいて、設定ファイルのスコープ間でヘッダーディレクティブの設定が適切に継承されない脆弱性が発見された。この問題はCVE-2024-25622として識別され、内部スコープでヘッダーディレクティブが使用された際に外部スコープの定義が完全に無視される状態を引き起こしていた。開発チームは既に修正版をリリースしており、ユーザーは最新バージョンへのアップデートを推奨されている。

【CVE-2024-25622】h2oサーバでヘッダー設定の継承問題が発覚、アップデートで修正完了へ

2024年11月14日

HTTPサーバh2oにおいて、設定ファイルのスコープ間でヘッダーディレクティブの設定が適切に継承されない脆弱性が発見された。この問題はCVE-2024-25622として識別され、内部スコープでヘッダーディレクティブが使用された際に外部スコープの定義が完全に無視される状態を引き起こしていた。開発チームは既に修正版をリリースしており、ユーザーは最新バージョンへのアップデートを推奨されている。

【CVE-2024-50105】Linux kernelにSoundwire脆弱性、SC728...

2024年11月14日

LinuxカーネルにおいてQualcommのSC7280サウンドカードに関する脆弱性が発見された。Soundwireランタイムストリームの割り当て処理の問題により、NULL pointer dereferenceや未初期化メモリアクセスが発生する可能性がある。この問題はLinux 6.8から6.11.5に影響し、6.11.6以降で修正された。

【CVE-2024-50105】Linux kernelにSoundwire脆弱性、SC728...

2024年11月14日

LinuxカーネルにおいてQualcommのSC7280サウンドカードに関する脆弱性が発見された。Soundwireランタイムストリームの割り当て処理の問題により、NULL pointer dereferenceや未初期化メモリアクセスが発生する可能性がある。この問題はLinux 6.8から6.11.5に影響し、6.11.6以降で修正された。

【CVE-2024-50101】Linux kernelでIOMMU処理の脆弱性を修正、カーネ...

2024年11月14日

Linux kernelの開発チームが重要な脆弱性CVE-2024-50101を修正した。domain_context_clear()関数がPCI以外のデバイスに対してpci_for_each_dma_alias()を不適切に呼び出す問題が発見され、カーネルハングアップのリスクが指摘されていた。Linux version 6.7以降に影響を与えるこの脆弱性は、6.1.114以降などの複数のバージョンで修正パッチがリリースされている。

【CVE-2024-50101】Linux kernelでIOMMU処理の脆弱性を修正、カーネ...

2024年11月14日

Linux kernelの開発チームが重要な脆弱性CVE-2024-50101を修正した。domain_context_clear()関数がPCI以外のデバイスに対してpci_for_each_dma_alias()を不適切に呼び出す問題が発見され、カーネルハングアップのリスクが指摘されていた。Linux version 6.7以降に影響を与えるこの脆弱性は、6.1.114以降などの複数のバージョンで修正パッチがリリースされている。

【CVE-2024-9576】Linux Workbooth v2.5に特権昇格の脆弱性、管理...

2024年11月14日

Linux Workbooth v2.5においてネットワーク設定スクリプトを操作することで管理者権限を取得できる特権昇格の脆弱性が発見された。CVSSスコア7.0の高リスクと評価され、CWE-284の不適切なアクセス制御に分類。攻撃の複雑さは高いものの、ユーザーの操作を必要とせず、機密性・完全性・可用性のすべてに高い影響を及ぼす可能性がある深刻な脆弱性となっている。

【CVE-2024-9576】Linux Workbooth v2.5に特権昇格の脆弱性、管理...

2024年11月14日

Linux Workbooth v2.5においてネットワーク設定スクリプトを操作することで管理者権限を取得できる特権昇格の脆弱性が発見された。CVSSスコア7.0の高リスクと評価され、CWE-284の不適切なアクセス制御に分類。攻撃の複雑さは高いものの、ユーザーの操作を必要とせず、機密性・完全性・可用性のすべてに高い影響を及ぼす可能性がある深刻な脆弱性となっている。

【CVE-2024-47318】PWA for WP & AMP 1.7.72にアクセス制御の...

2024年11月14日

Magazine3社のWordPress向けプラグインPWA for WP & AMPのバージョン1.7.72以前において、認可機能の欠如による脆弱性が発見された。CVE-2024-47318として識別されたこの脆弱性は、不適切に構成されたアクセス制御セキュリティレベルを悪用される可能性があり、CVSS 3.1で中程度の深刻度と評価されている。対策として1.7.73へのアップデートが提供されており、ユーザーには速やかな更新が推奨される。

【CVE-2024-47318】PWA for WP & AMP 1.7.72にアクセス制御の...

2024年11月14日

Magazine3社のWordPress向けプラグインPWA for WP & AMPのバージョン1.7.72以前において、認可機能の欠如による脆弱性が発見された。CVE-2024-47318として識別されたこの脆弱性は、不適切に構成されたアクセス制御セキュリティレベルを悪用される可能性があり、CVSS 3.1で中程度の深刻度と評価されている。対策として1.7.73へのアップデートが提供されており、ユーザーには速やかな更新が推奨される。

【CVE-2024-45397】h2oサーバーでアクセス制御バイパスの脆弱性が発覚、TLS/1...

2024年11月14日

h2oサーバーにおいて、TLS/1.3早期データとQUIC 0-RTTパケットを使用した際にIPアドレスベースのアクセス制御をバイパスできる脆弱性が発見された。CVSSスコア5.9のMEDIUMレベルと評価され、コミット15ed15aで修正済み。TCP FastOpenとQUICの無効化で対策可能だが、近代的なHTTPプロトコルとセキュリティ機能の相互作用における新たな課題として注目される。

【CVE-2024-45397】h2oサーバーでアクセス制御バイパスの脆弱性が発覚、TLS/1...

2024年11月14日

h2oサーバーにおいて、TLS/1.3早期データとQUIC 0-RTTパケットを使用した際にIPアドレスベースのアクセス制御をバイパスできる脆弱性が発見された。CVSSスコア5.9のMEDIUMレベルと評価され、コミット15ed15aで修正済み。TCP FastOpenとQUICの無効化で対策可能だが、近代的なHTTPプロトコルとセキュリティ機能の相互作用における新たな課題として注目される。

【CVE-2024-34680】Samsung Mobile DeviceでWlanTestの...

2024年11月14日

Samsung Mobileは2024年11月6日、WlanTestにおける重要な通信での暗黙的インテントの使用に関する脆弱性【CVE-2024-34680】を公開した。CVSSスコアは4.0（MEDIUM）で、SMR Nov-2024 Release 1以前のバージョンが影響を受ける。この脆弱性はローカル攻撃者による機密情報の取得を可能にするもので、Android 12、13、14向けのパッチが提供されている。

【CVE-2024-34680】Samsung Mobile DeviceでWlanTestの...

2024年11月14日

Samsung Mobileは2024年11月6日、WlanTestにおける重要な通信での暗黙的インテントの使用に関する脆弱性【CVE-2024-34680】を公開した。CVSSスコアは4.0（MEDIUM）で、SMR Nov-2024 Release 1以前のバージョンが影響を受ける。この脆弱性はローカル攻撃者による機密情報の取得を可能にするもので、Android 12、13、14向けのパッチが提供されている。

【CVE-2024-34677】SamsungモバイルデバイスのSystem UIに脆弱性、悪...

2024年11月14日

Samsung MobileがSystem UIにおける機密情報露出の脆弱性【CVE-2024-34677】を公開した。この脆弱性により、悪意のあるアプリケーションが正規のアプリとして表示される可能性があり、ローカル攻撃者による悪用のリスクが指摘されている。CVSS v3.1で4.0（MEDIUM）と評価され、Android 12、13、14搭載デバイスが対象となっており、SMR Nov-2024 Release 1で修正される予定だ。

【CVE-2024-34677】SamsungモバイルデバイスのSystem UIに脆弱性、悪...

2024年11月14日

Samsung MobileがSystem UIにおける機密情報露出の脆弱性【CVE-2024-34677】を公開した。この脆弱性により、悪意のあるアプリケーションが正規のアプリとして表示される可能性があり、ローカル攻撃者による悪用のリスクが指摘されている。CVSS v3.1で4.0（MEDIUM）と評価され、Android 12、13、14搭載デバイスが対象となっており、SMR Nov-2024 Release 1で修正される予定だ。

Adobe CommerceとMagento Open SourceがCommerce Ser...

2024年11月14日

AdobeはAdobe CommerceとMagento Open SourceのCommerce Services Connector部分に存在する重大な脆弱性CVE-2024-49521に対処するセキュリティアップデート3.2.6を公開した。CVSS基準で7.7のスコアが付与されたSSRF脆弱性は、認証済み管理者によって任意のコード実行が可能な状態であり、早急なアップデートが推奨されている。

Adobe CommerceとMagento Open SourceがCommerce Ser...

2024年11月14日

AdobeはAdobe CommerceとMagento Open SourceのCommerce Services Connector部分に存在する重大な脆弱性CVE-2024-49521に対処するセキュリティアップデート3.2.6を公開した。CVSS基準で7.7のスコアが付与されたSSRF脆弱性は、認証済み管理者によって任意のコード実行が可能な状態であり、早急なアップデートが推奨されている。

Adobe Photoshop 2023と2024に重大な脆弱性、任意のコード実行が可能な問題...

2024年11月14日

AdobeはPhotoshop 2023とPhotoshop 2024のWindows版とmacOS版に存在する重大な脆弱性を修正するアップデートをリリースした。CVE-2024-49514として報告されたこの脆弱性は、Integer Underflowに起因する任意のコード実行が可能となる問題で、CVSSスコア7.8という高い深刻度が付けられている。Creative Cloud経由でのアップデートが提供され、管理者はAdmin Consoleを使用して展開が可能だ。

Adobe Photoshop 2023と2024に重大な脆弱性、任意のコード実行が可能な問題...

2024年11月14日

AdobeはPhotoshop 2023とPhotoshop 2024のWindows版とmacOS版に存在する重大な脆弱性を修正するアップデートをリリースした。CVE-2024-49514として報告されたこの脆弱性は、Integer Underflowに起因する任意のコード実行が可能となる問題で、CVSSスコア7.8という高い深刻度が付けられている。Creative Cloud経由でのアップデートが提供され、管理者はAdmin Consoleを使用して展開が可能だ。

Adobe InDesignにHeap-based Buffer Overflowの脆弱性、任...

2024年11月14日

AdobeはInDesignのセキュリティアップデートを2024年11月12日に公開した。ID19.5以前のバージョンで発見された脆弱性は、CVSS基本値7.8の任意のコード実行とCVSS基本値5.5のメモリリークに関するものだ。Creative Cloud経由でID20.0へのアップデートが提供され、管理者向けにはCreative Cloud Packagerによる展開パッケージも用意されている。

Adobe InDesignにHeap-based Buffer Overflowの脆弱性、任...

2024年11月14日

AdobeはInDesignのセキュリティアップデートを2024年11月12日に公開した。ID19.5以前のバージョンで発見された脆弱性は、CVSS基本値7.8の任意のコード実行とCVSS基本値5.5のメモリリークに関するものだ。Creative Cloud経由でID20.0へのアップデートが提供され、管理者向けにはCreative Cloud Packagerによる展開パッケージも用意されている。

Adobe Illustrator 28.7.1の重大な脆弱性を修正、セキュリティアップデート...

2024年11月14日

Adobeは2024年11月12日、Adobe Illustrator 2024のバージョン28.7.1以前に存在する重大なセキュリティ上の脆弱性を修正するアップデートを公開した。Out-of-bounds WriteやHeap-based Buffer Overflowなど9件の深刻な問題が含まれており、任意のコード実行やアプリケーションのサービス拒否、メモリリークなどの問題に対処。WindowsとmacOSの両プラットフォームで確認された脆弱性を修正している。

Adobe Illustrator 28.7.1の重大な脆弱性を修正、セキュリティアップデート...

2024年11月14日

Adobeは2024年11月12日、Adobe Illustrator 2024のバージョン28.7.1以前に存在する重大なセキュリティ上の脆弱性を修正するアップデートを公開した。Out-of-bounds WriteやHeap-based Buffer Overflowなど9件の深刻な問題が含まれており、任意のコード実行やアプリケーションのサービス拒否、メモリリークなどの問題に対処。WindowsとmacOSの両プラットフォームで確認された脆弱性を修正している。

Adobe Substance 3D Painter 10.1.1で20件の脆弱性に対応、メモ...

2024年11月14日

Adobeは2024年11月12日、Adobe Substance 3D Painter 10.1.1をリリースし、20件の重要な脆弱性に対する修正を実施した。Heap-based Buffer OverflowやOut-of-bounds Writeなどの深刻な脆弱性が修正され、メモリリークや任意のコード実行、アプリケーション実行拒否などの問題に対処している。管理者はAdmin Consoleを通じて更新プログラムを展開可能だ。

Adobe Substance 3D Painter 10.1.1で20件の脆弱性に対応、メモ...

2024年11月14日

Adobeは2024年11月12日、Adobe Substance 3D Painter 10.1.1をリリースし、20件の重要な脆弱性に対する修正を実施した。Heap-based Buffer OverflowやOut-of-bounds Writeなどの深刻な脆弱性が修正され、メモリリークや任意のコード実行、アプリケーション実行拒否などの問題に対処している。管理者はAdmin Consoleを通じて更新プログラムを展開可能だ。