Tech Insights

Ruijie製ルータBCR810W/BCR860にOSコマンドインジェクションの脆弱性、CVE...

2024年5月16日

Ruijie製ルータBCR810W/BCR860にOSコマンドインジェクションの脆弱性が発見された。CVE-2023-3608として識別され、BCOSポートをインターネットに接続している場合は管理者権限でログインされると任意のコマンド実行の恐れがある。JPCERT/CCが攻撃試行を確認しており、修正ファームウェアBCOS 2.5.15が提供されるほか、パスワード強化などの回避策も提示されている。脆弱性を突かれるとネットワークが制御され、データ窃取やマルウェア埋め込みなど深刻な事態につながりかねない。

Ruijie製ルータBCR810W/BCR860にOSコマンドインジェクションの脆弱性、CVE...

2024年5月16日

Ruijie製ルータBCR810W/BCR860にOSコマンドインジェクションの脆弱性が発見された。CVE-2023-3608として識別され、BCOSポートをインターネットに接続している場合は管理者権限でログインされると任意のコマンド実行の恐れがある。JPCERT/CCが攻撃試行を確認しており、修正ファームウェアBCOS 2.5.15が提供されるほか、パスワード強化などの回避策も提示されている。脆弱性を突かれるとネットワークが制御され、データ窃取やマルウェア埋め込みなど深刻な事態につながりかねない。

MinGitの新バージョンでWindowsの脆弱性に対処、任意コード実行も修正

2024年5月16日

GitのWindows版MinGitの新バージョンにおいて、複数の脆弱性への対処が行われた。これにはリモートから任意のコードが実行可能になるなどの深刻な問題も含まれる。原因はクローン時のシンボリックリンクや所有権の取り扱いにあり、細工されたリポジトリのクローンで意図しないコード実行が起こり得た。MinGit開発チームは所有権チェックの強化やフックの無効化、防御的コード追加などの修正を迅速に実施。一部テストの修正やCIプロセス改善なども行われた。今回の問題から、オープンソースソフトウェアにおけるセキュリティの重要性が改めて浮き彫りになった。

MinGitの新バージョンでWindowsの脆弱性に対処、任意コード実行も修正

2024年5月16日

GitのWindows版MinGitの新バージョンにおいて、複数の脆弱性への対処が行われた。これにはリモートから任意のコードが実行可能になるなどの深刻な問題も含まれる。原因はクローン時のシンボリックリンクや所有権の取り扱いにあり、細工されたリポジトリのクローンで意図しないコード実行が起こり得た。MinGit開発チームは所有権チェックの強化やフックの無効化、防御的コード追加などの修正を迅速に実施。一部テストの修正やCIプロセス改善なども行われた。今回の問題から、オープンソースソフトウェアにおけるセキュリティの重要性が改めて浮き彫りになった。

Git for Windows v2.43.4がリリース、5つの脆弱性に対処しコードの安全性を強化

2024年5月16日

2024年5月16日、Git for Windows v2.43.4がリリースされた。今回のアップデートでは、CVE-2024-32002、CVE-2024-32004、CVE-2024-32020など5つの脆弱性に対処。これらの脆弱性を悪用されると、リポジトリのクローン時に任意のコードが実行される可能性があった。脆弱性修正に加え、HTTP関連のテストの修正やCIの更新なども行われている。オープンソースの安全性確保に向け、コミュニティの一層の努力が求められる。

Git for Windows v2.43.4がリリース、5つの脆弱性に対処しコードの安全性を強化

2024年5月16日

2024年5月16日、Git for Windows v2.43.4がリリースされた。今回のアップデートでは、CVE-2024-32002、CVE-2024-32004、CVE-2024-32020など5つの脆弱性に対処。これらの脆弱性を悪用されると、リポジトリのクローン時に任意のコードが実行される可能性があった。脆弱性修正に加え、HTTP関連のテストの修正やCIの更新なども行われている。オープンソースの安全性確保に向け、コミュニティの一層の努力が求められる。

Git for Windows v2.44.1が公開、複数の脆弱性に対処しGit v2.44....

2024年5月16日

2024年5月14日、Git for Windows v2.44.1が公開された。このバージョンでは、CVE番号が割り当てられた複数の脆弱性に対処し、defense-in-depthの観点から追加の保護策も実装。Git v2.44.1を同梱し、CIプロセスの改善も含まれる。シンボリックリンクやハードリンク関連の脆弱性修正のほか、GitHub Actionsのジョブで使用するNode.jsのバージョン警告への対応やテストの安定性向上が図られている。セキュリティとともに、Windowsプラットフォームに最適化された使いやすさや、CI/CD環境への対応などの継続的改善が期待される。

Git for Windows v2.44.1が公開、複数の脆弱性に対処しGit v2.44....

2024年5月16日

2024年5月14日、Git for Windows v2.44.1が公開された。このバージョンでは、CVE番号が割り当てられた複数の脆弱性に対処し、defense-in-depthの観点から追加の保護策も実装。Git v2.44.1を同梱し、CIプロセスの改善も含まれる。シンボリックリンクやハードリンク関連の脆弱性修正のほか、GitHub Actionsのジョブで使用するNode.jsのバージョン警告への対応やテストの安定性向上が図られている。セキュリティとともに、Windowsプラットフォームに最適化された使いやすさや、CI/CD環境への対応などの継続的改善が期待される。

Git for Windows v2.45.1リリース、複数の脆弱性に対処しセキュリティ強化、...

2024年5月16日

2024年4月29日、Git for Windowsの最新版v2.45.1がリリース。Linuxカーネルのサブモジュール機能の脆弱性CVE-2024-32002など複数の脆弱性に対処し、クローン時のセキュリティリスクが軽減された。一方でWindows 7とWindows 8向けは本バージョンが最後のリリースに。さらに32-bit版は2025年に提供終了予定で、64-bit版への移行が推奨される。セキュリティ強化は歓迎すべき変更だが、一部ユーザーには移行の課題も。脆弱性対策のさらなる充実に期待。

Git for Windows v2.45.1リリース、複数の脆弱性に対処しセキュリティ強化、...

2024年5月16日

2024年4月29日、Git for Windowsの最新版v2.45.1がリリース。Linuxカーネルのサブモジュール機能の脆弱性CVE-2024-32002など複数の脆弱性に対処し、クローン時のセキュリティリスクが軽減された。一方でWindows 7とWindows 8向けは本バージョンが最後のリリースに。さらに32-bit版は2025年に提供終了予定で、64-bit版への移行が推奨される。セキュリティ強化は歓迎すべき変更だが、一部ユーザーには移行の課題も。脆弱性対策のさらなる充実に期待。

Winpilot 2024.5.13リリース、Clippyの最適化とUIの改善、コードベースの...

2024年5月15日

2024年5月13日、Winpilotの最新バージョン2024.5.13がリリースされた。このアップデートではClippyの最適化が再度行われ、懐かしさと本物の'90s Microsoft Clippyの雰囲気を再現している。また、UIの微妙な修正と調整が多数行われており、ユーザビリティの向上が図られている。特にCrapifyプラグインのデブロート署名が拡張され、より多くの"安全なブロートウェア"がアンインストールの"推奨"セクションに表示されるようになった。さらに、設定＞プライバシーセクションでマイナーな修正が行われており、ユーザープライバシーの保護がさらに強化されている。バージョンスキーマの切り替え以降のすべてのコード変更が最終的にコミットされ、現在のコードベースがオープンソース化されたのも注目すべき点だ。

Winpilot 2024.5.13リリース、Clippyの最適化とUIの改善、コードベースの...

2024年5月15日

2024年5月13日、Winpilotの最新バージョン2024.5.13がリリースされた。このアップデートではClippyの最適化が再度行われ、懐かしさと本物の'90s Microsoft Clippyの雰囲気を再現している。また、UIの微妙な修正と調整が多数行われており、ユーザビリティの向上が図られている。特にCrapifyプラグインのデブロート署名が拡張され、より多くの"安全なブロートウェア"がアンインストールの"推奨"セクションに表示されるようになった。さらに、設定＞プライバシーセクションでマイナーな修正が行われており、ユーザープライバシーの保護がさらに強化されている。バージョンスキーマの切り替え以降のすべてのコード変更が最終的にコミットされ、現在のコードベースがオープンソース化されたのも注目すべき点だ。

tvOS17.5のセキュリティアップデート、コード実行やデータ流出のリスクに対処、WebKit...

2024年5月15日

Appleは2024年5月13日、tvOS17.5をリリース。リモートからのコード実行やユーザーデータ流出の恐れがある脆弱性に対処した。AppleAVDやMapsの欠陥を修正し、機密情報を保護。WebKitではPointerAuthenticationのバイパスにつながる問題にも対応。ユーザーはセキュリティリスク回避のため、アップデートが推奨される。

tvOS17.5のセキュリティアップデート、コード実行やデータ流出のリスクに対処、WebKit...

2024年5月15日

Appleは2024年5月13日、tvOS17.5をリリース。リモートからのコード実行やユーザーデータ流出の恐れがある脆弱性に対処した。AppleAVDやMapsの欠陥を修正し、機密情報を保護。WebKitではPointerAuthenticationのバイパスにつながる問題にも対応。ユーザーはセキュリティリスク回避のため、アップデートが推奨される。

watchOS 10.5リリース、任意コード実行など複数の脆弱性に対処、ポインター認証バイパス...

2024年5月15日

Appleは2024年5月13日、watchOS 10.5をリリースした。このアップデートには、任意コード実行やユーザーデータ不正アクセスなど複数の脆弱性修正が含まれる。危険度の高いカーネル権限の問題や、WebKitのポインター認証バイパスなども対処された。対象はApple Watch Series 4以降。今後もウェアラブルデバイスのセキュリティ課題に注目が集まる。

watchOS 10.5リリース、任意コード実行など複数の脆弱性に対処、ポインター認証バイパス...

2024年5月15日

Appleは2024年5月13日、watchOS 10.5をリリースした。このアップデートには、任意コード実行やユーザーデータ不正アクセスなど複数の脆弱性修正が含まれる。危険度の高いカーネル権限の問題や、WebKitのポインター認証バイパスなども対処された。対象はApple Watch Series 4以降。今後もウェアラブルデバイスのセキュリティ課題に注目が集まる。

macOS Monterey 12.7.5のセキュリティアップデートをリリース、Find My...

2024年5月15日

2024年5月13日、AppleはmacOS Monterey 12.7.5のセキュリティアップデートを公開した。このアップデートでは、Find Myの不正アクセスを可能にする脆弱性や、Foundationのユーザーデータ流出につながるバグが修正されている。これらの問題はセキュリティ研究者により発見・報告されたもので、CVE番号が割り当てられている。Montereyユーザーは速やかなアップデートが推奨される。Appleには今後もセキュリティを最優先し、脆弱性対策に万全を期すことが求められるだろう。

macOS Monterey 12.7.5のセキュリティアップデートをリリース、Find My...

2024年5月15日

2024年5月13日、AppleはmacOS Monterey 12.7.5のセキュリティアップデートを公開した。このアップデートでは、Find Myの不正アクセスを可能にする脆弱性や、Foundationのユーザーデータ流出につながるバグが修正されている。これらの問題はセキュリティ研究者により発見・報告されたもので、CVE番号が割り当てられている。Montereyユーザーは速やかなアップデートが推奨される。Appleには今後もセキュリティを最優先し、脆弱性対策に万全を期すことが求められるだろう。

macOS Ventura 13.6.7のセキュリティアップデートでRTKitなど3つのコンポ...

2024年5月15日

Appleは2024年5月13日、macOS Ventura 13.6.7をリリース。このアップデートではFoundation、Login Window、RTKitの3つのコンポーネントに存在していた脆弱性が修正された。特にRTKitの脆弱性（CVE-2024-23296）は悪用された形跡があり、カーネルレベルでのメモリ破損を引き起こし任意のコード実行につながるリスクがあった。メモリ破損系の脆弱性は修正が難しいだけに、再発防止に向けた開発プロセスの見直しが求められるかもしれない。一方で、脆弱性の発見から修正までのサイクルの速さは評価に値する。今後も継続的なセキュリティ強化と最新の脅威動向を見据えたアップデートリリースを望みたい。

macOS Ventura 13.6.7のセキュリティアップデートでRTKitなど3つのコンポ...

2024年5月15日

Appleは2024年5月13日、macOS Ventura 13.6.7をリリース。このアップデートではFoundation、Login Window、RTKitの3つのコンポーネントに存在していた脆弱性が修正された。特にRTKitの脆弱性（CVE-2024-23296）は悪用された形跡があり、カーネルレベルでのメモリ破損を引き起こし任意のコード実行につながるリスクがあった。メモリ破損系の脆弱性は修正が難しいだけに、再発防止に向けた開発プロセスの見直しが求められるかもしれない。一方で、脆弱性の発見から修正までのサイクルの速さは評価に値する。今後も継続的なセキュリティ強化と最新の脅威動向を見据えたアップデートリリースを望みたい。

macOS Sonoma 14.5が公開、重大な脆弱性を修正しセキュリティを強化

2024年5月15日

Appleは2024年5月13日、macOS Sonoma 14.5を公開した。このアップデートでは、カーネルやドライバーの脆弱性を中心に多数のセキュリティ問題が修正された。任意のコード実行や権限昇格、機密情報の窃取など深刻な影響をもたらす恐れのある脆弱性が解決されたほか、コード署名の制限強化によりマルウェア対策も強化。一方で根本的なメモリ安全性の課題は残されており、ゼロトラストの考え方に立脚したより積極的なセキュリティ戦略が求められる。

macOS Sonoma 14.5が公開、重大な脆弱性を修正しセキュリティを強化

2024年5月15日

Appleは2024年5月13日、macOS Sonoma 14.5を公開した。このアップデートでは、カーネルやドライバーの脆弱性を中心に多数のセキュリティ問題が修正された。任意のコード実行や権限昇格、機密情報の窃取など深刻な影響をもたらす恐れのある脆弱性が解決されたほか、コード署名の制限強化によりマルウェア対策も強化。一方で根本的なメモリ安全性の課題は残されており、ゼロトラストの考え方に立脚したより積極的なセキュリティ戦略が求められる。

iOS16.7.8およびiPadOS16.7.8のセキュリティアップデートで特定デバイスの脆弱...

2024年5月15日

Appleは2024年5月13日、iOS 16.7.8およびiPadOS 16.7.8のセキュリティアップデートをリリース。iPhone 8、iPhone 8 Plus、iPhone X、iPad 5th generation、iPad Pro 9.7-inch、iPad Pro 12.9-inch 1st generationに存在する複数の脆弱性に対処した。特にRTKitの脆弱性は悪用の可能性が指摘されていた。修正により対象デバイスのセキュリティは強化されるが、新たな攻撃リスクも懸念され、ユーザーはアップデートの速やかな適用が推奨される。今後はAIを活用したセキュリティ対応の自動化・効率化への期待が高まる。

iOS16.7.8およびiPadOS16.7.8のセキュリティアップデートで特定デバイスの脆弱...

2024年5月15日

Appleは2024年5月13日、iOS 16.7.8およびiPadOS 16.7.8のセキュリティアップデートをリリース。iPhone 8、iPhone 8 Plus、iPhone X、iPad 5th generation、iPad Pro 9.7-inch、iPad Pro 12.9-inch 1st generationに存在する複数の脆弱性に対処した。特にRTKitの脆弱性は悪用の可能性が指摘されていた。修正により対象デバイスのセキュリティは強化されるが、新たな攻撃リスクも懸念され、ユーザーはアップデートの速やかな適用が推奨される。今後はAIを活用したセキュリティ対応の自動化・効率化への期待が高まる。

AppleがiOS 17.5とiPadOS 17.5の脆弱性を修正、更新での対処は不可欠なサー...

2024年5月15日

2024年5月13日、AppleはiOS 17.5とiPadOS 17.5でセキュリティ上の重大な脆弱性に対処した。権限昇格や任意のコード実行、プライバシー侵害などの脆弱性への対処で、同社の信頼性とセキュリティ対応力の高さが示された。海外の研究者からの情報なども反映しており、オープンな体制が機能した。一方、サードパーティアプリの安全性監査の難しさから、新たな対策体制の構築の必要性があることが考察された。

AppleがiOS 17.5とiPadOS 17.5の脆弱性を修正、更新での対処は不可欠なサー...

2024年5月15日

2024年5月13日、AppleはiOS 17.5とiPadOS 17.5でセキュリティ上の重大な脆弱性に対処した。権限昇格や任意のコード実行、プライバシー侵害などの脆弱性への対処で、同社の信頼性とセキュリティ対応力の高さが示された。海外の研究者からの情報なども反映しており、オープンな体制が機能した。一方、サードパーティアプリの安全性監査の難しさから、新たな対策体制の構築の必要性があることが考察された。

Safari 17.5のWebKit脆弱性を修正、任意のコード実行の可能性あり

2024年5月15日

Appleは2024年5月13日、macOS MontereyとmacOS Ventura向けにSafari 17.5をリリース。WebKitの脆弱性「CVE-2024-27834」が修正され、任意の読み取りと書き込み権限を持つ攻撃者がPointer Authenticationをバイパスできる問題に対処。改善されたチェックにより脆弱性に対処したが、攻撃者が任意のコードを実行できた可能性も。ゼロデイ脆弱性の脅威は依然として深刻で、企業にはブラウザの自動アップデートと多層防御の視点からの対策が求められる。

Safari 17.5のWebKit脆弱性を修正、任意のコード実行の可能性あり

2024年5月15日

Appleは2024年5月13日、macOS MontereyとmacOS Ventura向けにSafari 17.5をリリース。WebKitの脆弱性「CVE-2024-27834」が修正され、任意の読み取りと書き込み権限を持つ攻撃者がPointer Authenticationをバイパスできる問題に対処。改善されたチェックにより脆弱性に対処したが、攻撃者が任意のコードを実行できた可能性も。ゼロデイ脆弱性の脅威は依然として深刻で、企業にはブラウザの自動アップデートと多層防御の視点からの対策が求められる。

ChromeのStable Channelが124.0.6367.207/.208に更新、V8...

2024年5月14日

2024年5月13日、GoogleはChrome Stable Channelを124.0.6367.207/.208にアップデート。V8におけるOut of bounds writeの脆弱性CVE-2024-4761を修正し、すでに悪用の事実も確認されている。MacやWindows、Linux向けに数日から数週間かけて自動更新が展開される見込み。V8はElectronなど他のソフトウェアでも使われているため、Chromeブラウザ以外への影響にも注意が必要だ。

ChromeのStable Channelが124.0.6367.207/.208に更新、V8...

2024年5月14日

2024年5月13日、GoogleはChrome Stable Channelを124.0.6367.207/.208にアップデート。V8におけるOut of bounds writeの脆弱性CVE-2024-4761を修正し、すでに悪用の事実も確認されている。MacやWindows、Linux向けに数日から数週間かけて自動更新が展開される見込み。V8はElectronなど他のソフトウェアでも使われているため、Chromeブラウザ以外への影響にも注意が必要だ。

サイボウズGaroonに複数の脆弱性、メールやAPIに関する不備で最大CVSS6.9の深刻度、...

2024年5月14日

2024年5月13日、サイボウズ株式会社のグループウェア「サイボウズGaroon」に複数の脆弱性が見つかった。メールやAPIの取り扱いに不備があり、CVSSスコアは最大で6.9と深刻。影響を受けるバージョンは5.0.0から6.0.0までと広範囲に渡る。同社は最新版へのアップデートを強く推奨しており、脆弱性発見者への謝辞も述べられている。ユーザー企業においては、想定されるリスクシナリオを洗い出した上で、ベンダーとの緊密な連携の下、速やかなセキュリティ対策を講じることが肝要だ。

サイボウズGaroonに複数の脆弱性、メールやAPIに関する不備で最大CVSS6.9の深刻度、...

2024年5月14日

2024年5月13日、サイボウズ株式会社のグループウェア「サイボウズGaroon」に複数の脆弱性が見つかった。メールやAPIの取り扱いに不備があり、CVSSスコアは最大で6.9と深刻。影響を受けるバージョンは5.0.0から6.0.0までと広範囲に渡る。同社は最新版へのアップデートを強く推奨しており、脆弱性発見者への謝辞も述べられている。ユーザー企業においては、想定されるリスクシナリオを洗い出した上で、ベンダーとの緊密な連携の下、速やかなセキュリティ対策を講じることが肝要だ。

Notepad++v8.6.7リリース、不具合修正とGo・Raku言語サポート強化

2024年5月14日

2024年5月13日、オープンソースのテキストエディタNotepad++の最新版v8.6.7がリリース。マルチ編集カーソルの不具合修正やダークモードでの表示問題の解決など、これまで報告されていた問題点が改善されたほか、Go言語とRaku言語に対するオートコンプリート機能とファンクションリストが新たに追加。プログラマーの生産性向上に寄与する堅実なアップデートとなった。

Notepad++v8.6.7リリース、不具合修正とGo・Raku言語サポート強化

2024年5月14日

2024年5月13日、オープンソースのテキストエディタNotepad++の最新版v8.6.7がリリース。マルチ編集カーソルの不具合修正やダークモードでの表示問題の解決など、これまで報告されていた問題点が改善されたほか、Go言語とRaku言語に対するオートコンプリート機能とファンクションリストが新たに追加。プログラマーの生産性向上に寄与する堅実なアップデートとなった。

Deno v1.43.3における重要な不具合修正と改善、v1.43.4へのスムーズなアップデート

2024年5月14日

2024年5月10日にリリースされたDeno v1.43.3では、WebGPUやLSP、Node.jsとの互換性など、多岐にわたる改善が施された。GPUAdapterの無効化による安定性向上や、言語サーバーの最適化によるパフォーマンス改善が図られているほか、deno_coreの更新によるセキュリティ脆弱性の解消も重要なポイントだ。これらの修正を経て、より完成度の高いv1.43.4へとアップデートされている。Denoの着実な進化が、Web開発におけるTypeScriptのプレゼンス拡大を後押ししていくことだろう。

Deno v1.43.3における重要な不具合修正と改善、v1.43.4へのスムーズなアップデート

2024年5月14日

2024年5月10日にリリースされたDeno v1.43.3では、WebGPUやLSP、Node.jsとの互換性など、多岐にわたる改善が施された。GPUAdapterの無効化による安定性向上や、言語サーバーの最適化によるパフォーマンス改善が図られているほか、deno_coreの更新によるセキュリティ脆弱性の解消も重要なポイントだ。これらの修正を経て、より完成度の高いv1.43.4へとアップデートされている。Denoの着実な進化が、Web開発におけるTypeScriptのプレゼンス拡大を後押ししていくことだろう。

electron v31.0.0-alpha.4リリース、Linux上の安定性向上とwindo...

2024年5月11日

2024年5月9日、electronの最新アルファ版v31.0.0-alpha.4がリリース。Linux上でアップグレード後にクラッシュする問題を解決し、WindowsとLinuxでwindow.center()の動作を修正。electronはデスクトップアプリケーション開発のデファクトスタンダードだが、パフォーマンスやセキュリティ面での課題も指摘される。今後は、レンダラープロセスとメインプロセスの連携効率化や脆弱性対策の強化が求められるだろう。フレームワークの進化と開発者コミュニティの努力により、electronの可能性がさらに拡がることに期待したい。

electron v31.0.0-alpha.4リリース、Linux上の安定性向上とwindo...

2024年5月11日

2024年5月9日、electronの最新アルファ版v31.0.0-alpha.4がリリース。Linux上でアップグレード後にクラッシュする問題を解決し、WindowsとLinuxでwindow.center()の動作を修正。electronはデスクトップアプリケーション開発のデファクトスタンダードだが、パフォーマンスやセキュリティ面での課題も指摘される。今後は、レンダラープロセスとメインプロセスの連携効率化や脆弱性対策の強化が求められるだろう。フレームワークの進化と開発者コミュニティの努力により、electronの可能性がさらに拡がることに期待したい。

Central Dogmaの脆弱性が修正、最新版へのアップデートを認証回避の恐れ

2024年5月11日

LINEヤフー株式会社のソフトウェアCentral Dogmaにクロスサイトスクリプティングの脆弱性が発見された。脆弱性の悪用により認証回避やデータ不正アクセスの可能性があったが、最新バージョンへのアップデートで問題は修正済み。同社はユーザーに対し速やかなアップデートを呼びかけている。今後はソフトウェアのセキュリティ管理体制の再点検とインシデント対応手順の整備が求められるだろう。

Central Dogmaの脆弱性が修正、最新版へのアップデートを認証回避の恐れ

2024年5月11日

LINEヤフー株式会社のソフトウェアCentral Dogmaにクロスサイトスクリプティングの脆弱性が発見された。脆弱性の悪用により認証回避やデータ不正アクセスの可能性があったが、最新バージョンへのアップデートで問題は修正済み。同社はユーザーに対し速やかなアップデートを呼びかけている。今後はソフトウェアのセキュリティ管理体制の再点検とインシデント対応手順の整備が求められるだろう。

OfferBoxアプリにJWTの秘密鍵がハードコードされている脆弱性が発覚、開発者は最新版のリ...

2024年5月11日

2024年5月10日、株式会社i-plugが提供するスマートフォンアプリ「OfferBox」において、JWTの秘密鍵がハードコードされている脆弱性が発見された。影響を受けるのはAndroidアプリ2.0.0から2.3.17、iOSアプリ2.1.7から2.6.14だが、当該秘密鍵は2024年5月8日に開発者によって無効化され、対策前のバージョンでも影響は受けないとのこと。開発者は秘密鍵を内包しない次のバージョンAndroid 3.0.0とiOS 3.0.0を既にリリースしている。

OfferBoxアプリにJWTの秘密鍵がハードコードされている脆弱性が発覚、開発者は最新版のリ...

2024年5月11日

2024年5月10日、株式会社i-plugが提供するスマートフォンアプリ「OfferBox」において、JWTの秘密鍵がハードコードされている脆弱性が発見された。影響を受けるのはAndroidアプリ2.0.0から2.3.17、iOSアプリ2.1.7から2.6.14だが、当該秘密鍵は2024年5月8日に開発者によって無効化され、対策前のバージョンでも影響は受けないとのこと。開発者は秘密鍵を内包しない次のバージョンAndroid 3.0.0とiOS 3.0.0を既にリリースしている。

Phormerの3.35より前のバージョンにクロスサイトスクリプティングの脆弱性が発覚、ユーザ...

2024年5月11日

2024年5月10日、FacebookがオンラインアルバムアプリケーションのPhormerにクロスサイトスクリプティング（XSS）の脆弱性を発見したと報告。Phormer 3.35より前のバージョンに存在し、悪用されるとユーザのウェブブラウザ上で任意のスクリプトを実行できる可能性がある。ただし現在は3.35で修正済み。Phormerは2007年に終了したプロジェクトでサポートは終了。脆弱性の報告は2007年8月に受理され、2023年10月の開発者との連絡再開を経て公表に至った。

Phormerの3.35より前のバージョンにクロスサイトスクリプティングの脆弱性が発覚、ユーザ...

2024年5月11日

2024年5月10日、FacebookがオンラインアルバムアプリケーションのPhormerにクロスサイトスクリプティング（XSS）の脆弱性を発見したと報告。Phormer 3.35より前のバージョンに存在し、悪用されるとユーザのウェブブラウザ上で任意のスクリプトを実行できる可能性がある。ただし現在は3.35で修正済み。Phormerは2007年に終了したプロジェクトでサポートは終了。脆弱性の報告は2007年8月に受理され、2023年10月の開発者との連絡再開を経て公表に至った。

FEAL(Fast data Encipherment ALgorithm)とは？意味をわかり...

2024年5月11日

FEAL(Fast data Encipherment ALgorithm)の意味をわかりやすく簡単に解説しています。「FEAL(Fast data Encipherment ALgorithm)」とは？と検索している方は、ぜひこの記事を参考にしてください。

FEAL(Fast data Encipherment ALgorithm)とは？意味をわかり...

2024年5月11日

FEAL(Fast data Encipherment ALgorithm)の意味をわかりやすく簡単に解説しています。「FEAL(Fast data Encipherment ALgorithm)」とは？と検索している方は、ぜひこの記事を参考にしてください。

Pythonのビルトイン関数のevalとは？意味をわかりやすく簡単に解説

2024年5月11日

Pythonのビルトイン関数のevalの意味をわかりやすく簡単に解説しています。「eval」とは？と検索している方は、ぜひこの記事を参考にしてください。

Pythonのビルトイン関数のevalとは？意味をわかりやすく簡単に解説

2024年5月11日

Pythonのビルトイン関数のevalの意味をわかりやすく簡単に解説しています。「eval」とは？と検索している方は、ぜひこの記事を参考にしてください。

EPEL(Extra Packages for Enterprise Linux)とは？意味を...

2024年5月11日

EPEL(Extra Packages for Enterprise Linux)の意味をわかりやすく簡単に解説しています。「EPEL(Extra Packages for Enterprise Linux)」とは？と検索している方は、ぜひこの記事を参考にしてください。

EPEL(Extra Packages for Enterprise Linux)とは？意味を...

2024年5月11日

EPEL(Extra Packages for Enterprise Linux)の意味をわかりやすく簡単に解説しています。「EPEL(Extra Packages for Enterprise Linux)」とは？と検索している方は、ぜひこの記事を参考にしてください。

PTC製CodebeamerにXSSの脆弱性、「CVE-2024-3951」としてアップデート...

2024年5月9日

2024年5月8日、PTCのアプリケーション開発プラットフォームCodebeamerにXSSの脆弱性「CVE-2024-3951」が発見された。影響を受けるバージョンは22.10から22.10 SP9、2.0.0.0から2.0.0.3、2.1.0.0。攻撃者による悪意のあるスクリプト挿入の恐れがあるため、PTCが提供するアップデートの適用が推奨される。組織のセキュリティ担当者には、脆弱性情報の継続的なウォッチと迅速なパッチ適用、開発者へのセキュアコーディング教育などの多層的対策が求められる。

PTC製CodebeamerにXSSの脆弱性、「CVE-2024-3951」としてアップデート...

2024年5月9日

2024年5月8日、PTCのアプリケーション開発プラットフォームCodebeamerにXSSの脆弱性「CVE-2024-3951」が発見された。影響を受けるバージョンは22.10から22.10 SP9、2.0.0.0から2.0.0.3、2.1.0.0。攻撃者による悪意のあるスクリプト挿入の恐れがあるため、PTCが提供するアップデートの適用が推奨される。組織のセキュリティ担当者には、脆弱性情報の継続的なウォッチと迅速なパッチ適用、開発者へのセキュアコーディング教育などの多層的対策が求められる。

SUBNET Substation Serverにサードパーティコンポーネント依存の脆弱性CV...

2024年5月9日

SUBNET SolutionsのSubstation Serverにおいて、信頼できないサードパーティコンポーネントへの依存に起因する脆弱性CVE-2024-26024が明らかに。影響を受けるのはSubstation Server 2.23.10以前のバージョンで、悪用されると権限昇格やDoS状態、任意コード実行などの可能性。開発者はアップデートを提供しており速やかな適用を呼びかけ。電力システムの重要性から影響範囲は広く、制御システム分野のセキュリティ課題を浮き彫りに。関係者一丸となった対策強化が急務だ。

SUBNET Substation Serverにサードパーティコンポーネント依存の脆弱性CV...

2024年5月9日

SUBNET SolutionsのSubstation Serverにおいて、信頼できないサードパーティコンポーネントへの依存に起因する脆弱性CVE-2024-26024が明らかに。影響を受けるのはSubstation Server 2.23.10以前のバージョンで、悪用されると権限昇格やDoS状態、任意コード実行などの可能性。開発者はアップデートを提供しており速やかな適用を呼びかけ。電力システムの重要性から影響範囲は広く、制御システム分野のセキュリティ課題を浮き彫りに。関係者一丸となった対策強化が急務だ。

CyberPower製PowerPanel Businessに複数の脆弱性、認証回避や権限昇格などの深刻な影響も