Tech Insights

【CVE-2024-13549】WordPressプラグインAll Bootstrap Blocks 1.3.26にXSS脆弱性、Contributorレベル以上で攻撃可能に

【CVE-2024-13549】WordPressプラグインAll Bootstrap Blo...

WordPressプラグイン「All Bootstrap Blocks」のバージョン1.3.26以前に、格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。Wordfenceの報告によると、この脆弱性はContributorレベル以上の権限を持つユーザーがAccordionウィジェットを介して任意のスクリプトを実行可能で、CVSSスコア6.4の中程度の深刻度と評価されている。

【CVE-2024-13549】WordPressプラグインAll Bootstrap Blo...

WordPressプラグイン「All Bootstrap Blocks」のバージョン1.3.26以前に、格納型クロスサイトスクリプティング(XSS)の脆弱性が発見された。Wordfenceの報告によると、この脆弱性はContributorレベル以上の権限を持つユーザーがAccordionウィジェットを介して任意のスクリプトを実行可能で、CVSSスコア6.4の中程度の深刻度と評価されている。

【CVE-2024-13732】WordPress Gutenberg Blocks 1.9.9に脆弱性、認証済みユーザーによるXSS攻撃のリスクが判明

【CVE-2024-13732】WordPress Gutenberg Blocks 1.9....

WordfenceはWordPress用プラグインResponsive Blocks - WordPress Gutenberg Blocks 1.9.9以前のバージョンに格納型クロスサイトスクリプティングの脆弱性が存在することを発表した。この脆弱性はCVE-2024-13732として識別され、CVSSスコアは6.4(MEDIUM)で評価されている。section_tagパラメータの入力検証が不十分なため、Contributor以上の権限を持つユーザーが悪用可能な状態となっている。

【CVE-2024-13732】WordPress Gutenberg Blocks 1.9....

WordfenceはWordPress用プラグインResponsive Blocks - WordPress Gutenberg Blocks 1.9.9以前のバージョンに格納型クロスサイトスクリプティングの脆弱性が存在することを発表した。この脆弱性はCVE-2024-13732として識別され、CVSSスコアは6.4(MEDIUM)で評価されている。section_tagパラメータの入力検証が不十分なため、Contributor以上の権限を持つユーザーが悪用可能な状態となっている。

【CVE-2024-13707】WP Image Uploaderに深刻な脆弱性、任意のファイル削除が可能な状態に

【CVE-2024-13707】WP Image Uploaderに深刻な脆弱性、任意のファイ...

WordPressプラグインのWP Image Uploaderにおいて、クロスサイトリクエストフォージェリ(CSRF)による深刻な脆弱性が発見された。CVE-2024-13707として報告されたこの脆弱性は、バージョン1.0.1以前のすべてのバージョンに影響を与え、攻撃者が管理者に悪意のあるリンクをクリックさせることで、権限のない状態でファイルの削除が可能になる。CVSSスコアは8.8と高く評価されており、早急な対応が必要とされている。

【CVE-2024-13707】WP Image Uploaderに深刻な脆弱性、任意のファイ...

WordPressプラグインのWP Image Uploaderにおいて、クロスサイトリクエストフォージェリ(CSRF)による深刻な脆弱性が発見された。CVE-2024-13707として報告されたこの脆弱性は、バージョン1.0.1以前のすべてのバージョンに影響を与え、攻撃者が管理者に悪意のあるリンクをクリックさせることで、権限のない状態でファイルの削除が可能になる。CVSSスコアは8.8と高く評価されており、早急な対応が必要とされている。

【CVE-2024-13470】Ninja Forms 3.8.24以前のバージョンでXSS脆弱性が発見、認証済みユーザーによる攻撃の可能性

【CVE-2024-13470】Ninja Forms 3.8.24以前のバージョンでXSS脆...

WordPressプラグイン「Ninja Forms」の3.8.24以前のバージョンにおいて、ショートコード経由のクロスサイトスクリプティング脆弱性が発見された。CVSSスコア6.4のMedium深刻度で、投稿者以上の権限を持つ認証済みユーザーが任意のスクリプトを注入可能。入力値のサニタイズと出力のエスケープ処理が不十分なことが原因とされている。

【CVE-2024-13470】Ninja Forms 3.8.24以前のバージョンでXSS脆...

WordPressプラグイン「Ninja Forms」の3.8.24以前のバージョンにおいて、ショートコード経由のクロスサイトスクリプティング脆弱性が発見された。CVSSスコア6.4のMedium深刻度で、投稿者以上の権限を持つ認証済みユーザーが任意のスクリプトを注入可能。入力値のサニタイズと出力のエスケープ処理が不十分なことが原因とされている。

【CVE-2024-8884】Schneider Electric製System Monitor applicationに認証情報漏洩の重大な脆弱性、産業用PCのセキュリティに警鐘

【CVE-2024-8884】Schneider Electric製System Monito...

Schneider Electric社は、Harmony Industrial PCシリーズとPro-face Industrial PC PS5000シリーズに搭載されているSystem Monitor applicationにおいて、認証情報が漏洩する重大な脆弱性を発見した。CVSSスコア9.8のこの脆弱性は、攻撃者がネットワーク経由でアプリケーションにアクセスした際に発生し、特権不要で実行可能なため、産業システムのセキュリティに深刻な影響を及ぼす可能性がある。

【CVE-2024-8884】Schneider Electric製System Monito...

Schneider Electric社は、Harmony Industrial PCシリーズとPro-face Industrial PC PS5000シリーズに搭載されているSystem Monitor applicationにおいて、認証情報が漏洩する重大な脆弱性を発見した。CVSSスコア9.8のこの脆弱性は、攻撃者がネットワーク経由でアプリケーションにアクセスした際に発生し、特権不要で実行可能なため、産業システムのセキュリティに深刻な影響を及ぼす可能性がある。

【CVE-2025-24686】WordPressプラグインRegistrationMagicにXSS脆弱性、バージョン6.0.3.3以前に影響

【CVE-2025-24686】WordPressプラグインRegistrationMagic...

WordPressプラグイン「RegistrationMagic」にリフレクテッド型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2025-24686として識別されるこの脆弱性は、バージョン6.0.3.3以前のすべてのバージョンに影響を与える。CVSSスコアは7.1(High)を記録しており、ネットワーク経由での攻撃が可能だが、ユーザーの関与が必要となる。すでにバージョン6.0.3.4で修正されている。

【CVE-2025-24686】WordPressプラグインRegistrationMagic...

WordPressプラグイン「RegistrationMagic」にリフレクテッド型クロスサイトスクリプティング(XSS)の脆弱性が発見された。CVE-2025-24686として識別されるこの脆弱性は、バージョン6.0.3.3以前のすべてのバージョンに影響を与える。CVSSスコアは7.1(High)を記録しており、ネットワーク経由での攻撃が可能だが、ユーザーの関与が必要となる。すでにバージョン6.0.3.4で修正されている。

【CVE-2025-20633】MediaTekのWLAN APドライバに重大な脆弱性、リモートコード実行の危険性が明らかに

【CVE-2025-20633】MediaTekのWLAN APドライバに重大な脆弱性、リモー...

MediaTek社がWLAN APドライバの重大な脆弱性【CVE-2025-20633】を公開した。MT7603、MT7615、MT7622、MT7915の製品に影響を及ぼす範囲外書き込みの問題で、攻撃者は特別な権限なしにリモートからコード実行が可能となる。CVSS v3.1で8.8(High)と評価される深刻な脆弱性であり、SDKリリース7.4.0.1以前のバージョンが影響を受ける。

【CVE-2025-20633】MediaTekのWLAN APドライバに重大な脆弱性、リモー...

MediaTek社がWLAN APドライバの重大な脆弱性【CVE-2025-20633】を公開した。MT7603、MT7615、MT7622、MT7915の製品に影響を及ぼす範囲外書き込みの問題で、攻撃者は特別な権限なしにリモートからコード実行が可能となる。CVSS v3.1で8.8(High)と評価される深刻な脆弱性であり、SDKリリース7.4.0.1以前のバージョンが影響を受ける。

【CVE-2024-20142】MediaTek製品に境界値チェックの欠如による特権昇格の脆弱性が発見、複数機種のAndroidデバイスに影響

【CVE-2024-20142】MediaTek製品に境界値チェックの欠如による特権昇格の脆弱...

MediaTek社は2025年2月3日、同社の多数の製品シリーズにおいてV5 DAの脆弱性を発見したことを発表した。この脆弱性は境界値チェックの欠如により、デバイスへの物理アクセスを持つ攻撃者が特権昇格を実行できる可能性がある。影響を受ける製品はMT6739、MT6761など多数のチップセットで、Android 12.0から15.0までの複数バージョンに及んでいる。深刻度はCVSS v3.1で6.2と評価されている。

【CVE-2024-20142】MediaTek製品に境界値チェックの欠如による特権昇格の脆弱...

MediaTek社は2025年2月3日、同社の多数の製品シリーズにおいてV5 DAの脆弱性を発見したことを発表した。この脆弱性は境界値チェックの欠如により、デバイスへの物理アクセスを持つ攻撃者が特権昇格を実行できる可能性がある。影響を受ける製品はMT6739、MT6761など多数のチップセットで、Android 12.0から15.0までの複数バージョンに及んでいる。深刻度はCVSS v3.1で6.2と評価されている。

【CVE-2025-20637】MediaTekのMT7981とMT7986に重大な脆弱性、遠隔からのDoS攻撃が可能な状態に

【CVE-2025-20637】MediaTekのMT7981とMT7986に重大な脆弱性、遠...

MediaTek社のMT7981およびMT7986製品において、ネットワークハードウェアの未処理例外によるシステム停止を引き起こす重大な脆弱性が発見された。CVSSスコア7.5の高リスク脆弱性として評価され、SDK 7.6.7.0以前のバージョンが影響を受ける。攻撃者は特別な権限やユーザーの操作なしで遠隔からDoS攻撃を実行可能な状態であり、早急な対応が必要とされている。

【CVE-2025-20637】MediaTekのMT7981とMT7986に重大な脆弱性、遠...

MediaTek社のMT7981およびMT7986製品において、ネットワークハードウェアの未処理例外によるシステム停止を引き起こす重大な脆弱性が発見された。CVSSスコア7.5の高リスク脆弱性として評価され、SDK 7.6.7.0以前のバージョンが影響を受ける。攻撃者は特別な権限やユーザーの操作なしで遠隔からDoS攻撃を実行可能な状態であり、早急な対応が必要とされている。

【CVE-2025-20635】MediaTekのV6 DAに重大な脆弱性、19種のチップセットに影響を与える特権昇格の危険性

【CVE-2025-20635】MediaTekのV6 DAに重大な脆弱性、19種のチップセッ...

MediaTek社が2025年2月3日に公開した脆弱性情報によると、同社のV6 DAにバッファオーバーフローの脆弱性が発見された。この脆弱性は19種類のチップセットに影響を与え、物理アクセスを持つ攻撃者による特権昇格が可能となる。Android 12.0から15.0、openWRT、Yocto、RDK-Bの各バージョンに影響があり、CVSSスコアは6.8(MEDIUM)と評価されている。

【CVE-2025-20635】MediaTekのV6 DAに重大な脆弱性、19種のチップセッ...

MediaTek社が2025年2月3日に公開した脆弱性情報によると、同社のV6 DAにバッファオーバーフローの脆弱性が発見された。この脆弱性は19種類のチップセットに影響を与え、物理アクセスを持つ攻撃者による特権昇格が可能となる。Android 12.0から15.0、openWRT、Yocto、RDK-Bの各バージョンに影響があり、CVSSスコアは6.8(MEDIUM)と評価されている。

【CVE-2025-20638】MediaTekプロセッサーに未初期化変数の脆弱性、40以上のチップに影響か

【CVE-2025-20638】MediaTekプロセッサーに未初期化変数の脆弱性、40以上の...

MediaTek社のプロセッサーに未初期化ヒープデータの読み取りに関する脆弱性が発見された。CVE-2025-20638として識別されるこの脆弱性は、MT6739やMT6761を含む40以上のチップに影響を及ぼし、Android 12.0から15.0まで広範なバージョンが対象となる。物理アクセスを持つ攻撃者による情報漏洩のリスクがあり、パッチIDはALPS09291449として修正プログラムの提供が開始された。

【CVE-2025-20638】MediaTekプロセッサーに未初期化変数の脆弱性、40以上の...

MediaTek社のプロセッサーに未初期化ヒープデータの読み取りに関する脆弱性が発見された。CVE-2025-20638として識別されるこの脆弱性は、MT6739やMT6761を含む40以上のチップに影響を及ぼし、Android 12.0から15.0まで広範なバージョンが対象となる。物理アクセスを持つ攻撃者による情報漏洩のリスクがあり、パッチIDはALPS09291449として修正プログラムの提供が開始された。

GoogleがAndroid OSの2月セキュリティパッチを公開、重要な脆弱性の修正を含む月例アップデートを提供

GoogleがAndroid OSの2月セキュリティパッチを公開、重要な脆弱性の修正を含む月例...

Googleは2025年2月6日にAndroid OSの月例セキュリティ情報を発表した。Frameworkコンポーネントにおける権限昇格の脆弱性など、重要な問題に対する修正パッチが含まれており、これらの脆弱性情報は少なくとも1カ月前にパートナー企業へ通知済みだ。デバイスメーカーからのアップデート提供後、速やかな適用が推奨される。

GoogleがAndroid OSの2月セキュリティパッチを公開、重要な脆弱性の修正を含む月例...

Googleは2025年2月6日にAndroid OSの月例セキュリティ情報を発表した。Frameworkコンポーネントにおける権限昇格の脆弱性など、重要な問題に対する修正パッチが含まれており、これらの脆弱性情報は少なくとも1カ月前にパートナー企業へ通知済みだ。デバイスメーカーからのアップデート提供後、速やかな適用が推奨される。

NTT ComがWideAngle ASMを提供開始、企業のIT資産の脆弱性を可視化しセキュリティリスク軽減へ

NTT ComがWideAngle ASMを提供開始、企業のIT資産の脆弱性を可視化しセキュリ...

NTTコミュニケーションズは2025年2月3日、企業のIT資産の弱点を攻撃者の視点で可視化し継続的にセキュリティリスクを軽減するWideAngle ASMの提供を開始した。ダークウェブアイの情報収集機能とNTT Comのヘルプデスクを組み合わせ、IT資産の脆弱性情報や予期しないインターネット上への露出、ダークウェブ上の情報漏洩を監視する。

NTT ComがWideAngle ASMを提供開始、企業のIT資産の脆弱性を可視化しセキュリ...

NTTコミュニケーションズは2025年2月3日、企業のIT資産の弱点を攻撃者の視点で可視化し継続的にセキュリティリスクを軽減するWideAngle ASMの提供を開始した。ダークウェブアイの情報収集機能とNTT Comのヘルプデスクを組み合わせ、IT資産の脆弱性情報や予期しないインターネット上への露出、ダークウェブ上の情報漏洩を監視する。

AironWorksが2部門受賞でシリコンバレー進出へ、JETROのGlobal Growth for AIプログラムで快挙

AironWorksが2部門受賞でシリコンバレー進出へ、JETROのGlobal Growth...

AIサイバーセキュリティプラットフォームを提供するAironWorksが、JETROの「Global Growth for AI」プログラムで注目を集めている。国内デモデイでGrand Prix AwardとPeople's Choice Awardを受賞し、2025年2月からのシリコンバレー渡航が決定。Blitzscaling Venturesなど北米の著名VCとの連携を通じ、グローバル展開を加速させる。

AironWorksが2部門受賞でシリコンバレー進出へ、JETROのGlobal Growth...

AIサイバーセキュリティプラットフォームを提供するAironWorksが、JETROの「Global Growth for AI」プログラムで注目を集めている。国内デモデイでGrand Prix AwardとPeople's Choice Awardを受賞し、2025年2月からのシリコンバレー渡航が決定。Blitzscaling Venturesなど北米の著名VCとの連携を通じ、グローバル展開を加速させる。

NTTコミュニケーションズがWideAngle ASMの提供を開始、ダークウェブアイの技術活用でセキュリティ対策を強化

NTTコミュニケーションズがWideAngle ASMの提供を開始、ダークウェブアイの技術活用...

NTTコミュニケーションズは2025年2月3日からセキュリティリスク軽減サービス「WideAngle ASM」の提供を開始した。SMSデータテックが開発した「ダークウェブアイ」の情報収集機能を活用し、企業のIT資産に潜む脆弱性やダークウェブ上の漏洩情報を可視化。脆弱性DBやOSINTなどの高度な情報収集技術により、セキュリティリスク管理を飛躍的に向上させる。

NTTコミュニケーションズがWideAngle ASMの提供を開始、ダークウェブアイの技術活用...

NTTコミュニケーションズは2025年2月3日からセキュリティリスク軽減サービス「WideAngle ASM」の提供を開始した。SMSデータテックが開発した「ダークウェブアイ」の情報収集機能を活用し、企業のIT資産に潜む脆弱性やダークウェブ上の漏洩情報を可視化。脆弱性DBやOSINTなどの高度な情報収集技術により、セキュリティリスク管理を飛躍的に向上させる。

アシュアードがIPA情報セキュリティ10大脅威2025の解説レポートを公開、ランサム攻撃が引き続き最大の脅威として警鐘

アシュアードがIPA情報セキュリティ10大脅威2025の解説レポートを公開、ランサム攻撃が引き...

Visionalグループの株式会社アシュアードが運営するセキュリティ評価プラットフォーム「Assured」は、IPA情報セキュリティ10大脅威2025の解説レポートを公開した。ランサム攻撃による被害が引き続き1位を維持し、サプライチェーンや委託先を狙った攻撃も2位を継続。新たに地政学的リスクに起因するサイバー攻撃とDDoS攻撃が選出され、セキュリティ対策の重要性が浮き彫りとなっている。

アシュアードがIPA情報セキュリティ10大脅威2025の解説レポートを公開、ランサム攻撃が引き...

Visionalグループの株式会社アシュアードが運営するセキュリティ評価プラットフォーム「Assured」は、IPA情報セキュリティ10大脅威2025の解説レポートを公開した。ランサム攻撃による被害が引き続き1位を維持し、サプライチェーンや委託先を狙った攻撃も2位を継続。新たに地政学的リスクに起因するサイバー攻撃とDDoS攻撃が選出され、セキュリティ対策の重要性が浮き彫りとなっている。

ゾーホージャパンがNetFlow Analyzer新ビルドをリリース、NCMオプション追加でネットワーク管理が効率化

ゾーホージャパンがNetFlow Analyzer新ビルドをリリース、NCMオプション追加でネ...

ゾーホージャパン株式会社はトラフィック解析ツール「NetFlow Analyzer」の新ビルド12.8.272を公開し、ネットワーク機器のコンフィグ管理機能を提供開始した。NCMオプションの追加により、マルチベンダー環境でのコンフィグバックアップや世代管理が可能になり、ネットワークマップ機能やAIによるトラフィック予測機能も実装された。年額133,000円からの導入で、効率的なネットワーク運用管理を実現できる。

ゾーホージャパンがNetFlow Analyzer新ビルドをリリース、NCMオプション追加でネ...

ゾーホージャパン株式会社はトラフィック解析ツール「NetFlow Analyzer」の新ビルド12.8.272を公開し、ネットワーク機器のコンフィグ管理機能を提供開始した。NCMオプションの追加により、マルチベンダー環境でのコンフィグバックアップや世代管理が可能になり、ネットワークマップ機能やAIによるトラフィック予測機能も実装された。年額133,000円からの導入で、効率的なネットワーク運用管理を実現できる。

朝日ネットがXCockpit Identityを日本初採用、Active Directoryのセキュリティ管理が効率化

朝日ネットがXCockpit Identityを日本初採用、Active Directoryの...

アイティフォーは朝日ネットにてActive Directory向けセキュリティアセスメントサービス「XCockpit Identity」の提供を開始した。AI技術による設定調査・分析と日本語レポート提供により、50万ID超のユーザー保護とサイバー攻撃被害の拡大防止を実現。キャンペーン価格での提供により、中小企業でも導入しやすい環境を整備している。

朝日ネットがXCockpit Identityを日本初採用、Active Directoryの...

アイティフォーは朝日ネットにてActive Directory向けセキュリティアセスメントサービス「XCockpit Identity」の提供を開始した。AI技術による設定調査・分析と日本語レポート提供により、50万ID超のユーザー保護とサイバー攻撃被害の拡大防止を実現。キャンペーン価格での提供により、中小企業でも導入しやすい環境を整備している。

【CVE-2025-24460】JetBrains TeamCityに不適切なアクセス制御の脆弱性、プロジェクト名の意図しない露出に注意

【CVE-2025-24460】JetBrains TeamCityに不適切なアクセス制御の脆...

JetBrains TeamCity 2024.12.1未満のバージョンにおいて、エージェントプール内でプロジェクト名が閲覧可能になる不適切なアクセス制御の脆弱性が発見された。CVSSスコア4.3のミディアムレベルの脆弱性として評価され、ネットワークを介した攻撃の可能性があるものの、攻撃者には一定の権限が必要とされる。JetBrains社は対策版となるTeamCity 2024.12.1への更新を推奨している。

【CVE-2025-24460】JetBrains TeamCityに不適切なアクセス制御の脆...

JetBrains TeamCity 2024.12.1未満のバージョンにおいて、エージェントプール内でプロジェクト名が閲覧可能になる不適切なアクセス制御の脆弱性が発見された。CVSSスコア4.3のミディアムレベルの脆弱性として評価され、ネットワークを介した攻撃の可能性があるものの、攻撃者には一定の権限が必要とされる。JetBrains社は対策版となるTeamCity 2024.12.1への更新を推奨している。

【CVE-2025-24461】TeamCity脆弱性により接続シークレットの不正復号が可能に、JetBrainsが修正版をリリース

【CVE-2025-24461】TeamCity脆弱性により接続シークレットの不正復号が可能に...

JetBrains社のTeamCityにおいて、Test Connection機能を介して適切な権限なしで接続シークレットの復号が可能となる脆弱性が発見された。CVE-2025-24461として識別されたこの脆弱性は、TeamCity 2024.12.1より前のバージョンに影響を与え、CVSSスコア6.5のミディアムリスクと評価されている。JetBrains社は既に修正版をリリースしており、影響を受けるユーザーに対してアップデートを推奨している。

【CVE-2025-24461】TeamCity脆弱性により接続シークレットの不正復号が可能に...

JetBrains社のTeamCityにおいて、Test Connection機能を介して適切な権限なしで接続シークレットの復号が可能となる脆弱性が発見された。CVE-2025-24461として識別されたこの脆弱性は、TeamCity 2024.12.1より前のバージョンに影響を与え、CVSSスコア6.5のミディアムリスクと評価されている。JetBrains社は既に修正版をリリースしており、影響を受けるユーザーに対してアップデートを推奨している。

【CVE-2025-24459】JetBrains TeamCityにXSS脆弱性、Vault Connection機能に深刻な影響

【CVE-2025-24459】JetBrains TeamCityにXSS脆弱性、Vault...

JetBrains社の継続的インテグレーションツールTeamCityにおいて、Vault Connection機能のページで反映型クロスサイトスクリプティング攻撃が可能となる脆弱性が発見された。CVSSスコア4.6(MEDIUM)と評価され、2024.12.1のアップデートで修正されている。影響範囲は限定的だが、すべてのユーザーに早急なアップデートが推奨されている。

【CVE-2025-24459】JetBrains TeamCityにXSS脆弱性、Vault...

JetBrains社の継続的インテグレーションツールTeamCityにおいて、Vault Connection機能のページで反映型クロスサイトスクリプティング攻撃が可能となる脆弱性が発見された。CVSSスコア4.6(MEDIUM)と評価され、2024.12.1のアップデートで修正されている。影響範囲は限定的だが、すべてのユーザーに早急なアップデートが推奨されている。

【CVE-2025-24107】Appleの複数OS製品に特権昇格の脆弱性、最新版で修正完了

【CVE-2025-24107】Appleの複数OS製品に特権昇格の脆弱性、最新版で修正完了

Appleは2025年1月27日、macOS、tvOS、watchOS、iOS/iPadOSに影響を及ぼす権限昇格の脆弱性を修正するセキュリティアップデートを公開した。この脆弱性により、悪意のあるアプリケーションがroot権限を取得できる可能性があり、各OSの最新バージョンへのアップデートが推奨される。修正は追加の制限実装により行われ、セキュリティリスクの軽減が図られている。

【CVE-2025-24107】Appleの複数OS製品に特権昇格の脆弱性、最新版で修正完了

Appleは2025年1月27日、macOS、tvOS、watchOS、iOS/iPadOSに影響を及ぼす権限昇格の脆弱性を修正するセキュリティアップデートを公開した。この脆弱性により、悪意のあるアプリケーションがroot権限を取得できる可能性があり、各OSの最新バージョンへのアップデートが推奨される。修正は追加の制限実装により行われ、セキュリティリスクの軽減が図られている。

【CVE-2025-24113】AppleがmacOSなど複数OSのUIスプーフィング対策アップデートを公開、セキュリティ強化へ

【CVE-2025-24113】AppleがmacOSなど複数OSのUIスプーフィング対策アッ...

Appleが2025年1月27日、macOS、Safari、iOS、iPadOS、visionOSの各OSに対するセキュリティアップデートを公開した。UIの改善により、悪意のあるウェブサイトを介したユーザーインターフェイスのスプーフィング攻撃を防止する。CVSSスコア4.3の中程度の脆弱性に対応し、ユーザーの操作を必要とするものの、特別な権限なしで攻撃可能な特徴を持つ。

【CVE-2025-24113】AppleがmacOSなど複数OSのUIスプーフィング対策アッ...

Appleが2025年1月27日、macOS、Safari、iOS、iPadOS、visionOSの各OSに対するセキュリティアップデートを公開した。UIの改善により、悪意のあるウェブサイトを介したユーザーインターフェイスのスプーフィング攻撃を防止する。CVSSスコア4.3の中程度の脆弱性に対応し、ユーザーの操作を必要とするものの、特別な権限なしで攻撃可能な特徴を持つ。

【CVE-2025-24140】macOS Sequoia 15.3で重要なセキュリティアップデート、検疫フラグの問題に対処

【CVE-2025-24140】macOS Sequoia 15.3で重要なセキュリティアップ...

Appleは2025年1月27日、macOS Sequoia 15.3向けのセキュリティアップデートを公開した。このアップデートでは、インターネットからダウンロードしたファイルに検疫フラグが適切に適用されない脆弱性【CVE-2025-24140】に対処。CVSSスコア5.3(MEDIUM)の評価を受けており、CWE-276(不適切なデフォルトパーミッション)に分類される問題として認識されている。

【CVE-2025-24140】macOS Sequoia 15.3で重要なセキュリティアップ...

Appleは2025年1月27日、macOS Sequoia 15.3向けのセキュリティアップデートを公開した。このアップデートでは、インターネットからダウンロードしたファイルに検疫フラグが適切に適用されない脆弱性【CVE-2025-24140】に対処。CVSSスコア5.3(MEDIUM)の評価を受けており、CWE-276(不適切なデフォルトパーミッション)に分類される問題として認識されている。

macOS Sequoia 15.3でカーネルメモリの脆弱性に対処、システムの安定性向上へ

macOS Sequoia 15.3でカーネルメモリの脆弱性に対処、システムの安定性向上へ

Appleは2025年1月27日、macOS Sequoia 15.3をリリースし、アプリケーションによる予期せぬシステム終了やカーネルメモリ破損の可能性がある脆弱性(CVE-2025-24152)に対処した。CVSSスコア5.5の中程度の脆弱性で、ローカルアクセスと特権レベルが必要となる。CISAの評価では自動的な悪用は確認されていないものの、技術的な影響は部分的に存在するとされている。

macOS Sequoia 15.3でカーネルメモリの脆弱性に対処、システムの安定性向上へ

Appleは2025年1月27日、macOS Sequoia 15.3をリリースし、アプリケーションによる予期せぬシステム終了やカーネルメモリ破損の可能性がある脆弱性(CVE-2025-24152)に対処した。CVSSスコア5.5の中程度の脆弱性で、ローカルアクセスと特権レベルが必要となる。CISAの評価では自動的な悪用は確認されていないものの、技術的な影響は部分的に存在するとされている。

【CVE-2025-24177】AppleがmacOS Sequoia 15.3とiOS 18.3で脆弱性対策、サービス拒否攻撃のリスクを軽減

【CVE-2025-24177】AppleがmacOS Sequoia 15.3とiOS 18...

Appleは2025年1月27日、macOS Sequoia 15.3、iOS 18.3、iPadOS 18.3向けのセキュリティアップデートを公開した。null pointer dereferenceの脆弱性に対する修正が実施され、入力検証の改善により脆弱性が解消された。リモートからの攻撃者によるサービス拒否攻撃のリスクが軽減され、システムの安定性とセキュリティが向上する重要なアップデートとなっている。

【CVE-2025-24177】AppleがmacOS Sequoia 15.3とiOS 18...

Appleは2025年1月27日、macOS Sequoia 15.3、iOS 18.3、iPadOS 18.3向けのセキュリティアップデートを公開した。null pointer dereferenceの脆弱性に対する修正が実施され、入力検証の改善により脆弱性が解消された。リモートからの攻撃者によるサービス拒否攻撃のリスクが軽減され、システムの安定性とセキュリティが向上する重要なアップデートとなっている。

【CVE-2025-24100】macOS複数バージョンでユーザーの連絡先情報へのアクセスに関する脆弱性が修正、重要なセキュリティアップデートを提供開始

【CVE-2025-24100】macOS複数バージョンでユーザーの連絡先情報へのアクセスに関...

Appleは2025年1月27日、macOSの複数バージョン(Ventura 13.7.3、Sequoia 15.3、Sonoma 14.7.3)において、アプリケーションがユーザーの連絡先情報に不正にアクセスできる脆弱性【CVE-2025-24100】を修正するセキュリティアップデートを公開した。この更新により、論理的な問題が解決され、連絡先情報へのアクセス制御が強化されることとなった。

【CVE-2025-24100】macOS複数バージョンでユーザーの連絡先情報へのアクセスに関...

Appleは2025年1月27日、macOSの複数バージョン(Ventura 13.7.3、Sequoia 15.3、Sonoma 14.7.3)において、アプリケーションがユーザーの連絡先情報に不正にアクセスできる脆弱性【CVE-2025-24100】を修正するセキュリティアップデートを公開した。この更新により、論理的な問題が解決され、連絡先情報へのアクセス制御が強化されることとなった。

iOS 18.3とiPadOS 18.3で写真アプリの認証バイパス脆弱性が修正、プライバシー保護が向上へ

iOS 18.3とiPadOS 18.3で写真アプリの認証バイパス脆弱性が修正、プライバシー保...

Appleは2025年1月27日、iOS 18.3およびiPadOS 18.3において重要なセキュリティアップデートを実施。端末がロック解除状態で写真アプリがロックされていても内部のコンテンツにアクセスできてしまう認証バイパスの脆弱性【CVE-2025-24141】が修正された。物理的なアクセスが必要な攻撃手法だが、個人情報保護の観点から早急なアップデートが推奨される。

iOS 18.3とiPadOS 18.3で写真アプリの認証バイパス脆弱性が修正、プライバシー保...

Appleは2025年1月27日、iOS 18.3およびiPadOS 18.3において重要なセキュリティアップデートを実施。端末がロック解除状態で写真アプリがロックされていても内部のコンテンツにアクセスできてしまう認証バイパスの脆弱性【CVE-2025-24141】が修正された。物理的なアクセスが必要な攻撃手法だが、個人情報保護の観点から早急なアップデートが推奨される。

【CVE-2025-24150】AppleがmacOSとiOS製品群のプライバシー脆弱性に対するセキュリティアップデートを実施、Web Inspectorの安全性が向上

【CVE-2025-24150】AppleがmacOSとiOS製品群のプライバシー脆弱性に対す...

Appleは2025年1月27日、macOS Sequoia 15.3、Safari 18.3、iOS 18.3、iPadOS 18.3において重要なセキュリティアップデートを実施した。Web InspectorのURLコピー機能におけるコマンドインジェクションの脆弱性【CVE-2025-24150】が修正され、ファイル処理方法が改善された。影響を受けるバージョンを使用しているユーザーは、最新版へのアップデートが推奨される。

【CVE-2025-24150】AppleがmacOSとiOS製品群のプライバシー脆弱性に対す...

Appleは2025年1月27日、macOS Sequoia 15.3、Safari 18.3、iOS 18.3、iPadOS 18.3において重要なセキュリティアップデートを実施した。Web InspectorのURLコピー機能におけるコマンドインジェクションの脆弱性【CVE-2025-24150】が修正され、ファイル処理方法が改善された。影響を受けるバージョンを使用しているユーザーは、最新版へのアップデートが推奨される。

【CVE-2025-24156】Appleが複数のmacOSバージョンで発見された権限昇格の脆弱性に対処、整数オーバーフローの問題を解決

【CVE-2025-24156】Appleが複数のmacOSバージョンで発見された権限昇格の脆...

Appleは2025年1月27日、macOS Ventura 13.7.3、Sequoia 15.3、Sonoma 14.7.3向けのセキュリティアップデートをリリースした。CVE-2025-24156として識別されるこの脆弱性は、整数オーバーフローによる権限昇格の問題に関するもので、CVSS 3.1で8.8(High)と評価されている。入力検証の改善により問題に対処し、システムのセキュリティを強化している。

【CVE-2025-24156】Appleが複数のmacOSバージョンで発見された権限昇格の脆...

Appleは2025年1月27日、macOS Ventura 13.7.3、Sequoia 15.3、Sonoma 14.7.3向けのセキュリティアップデートをリリースした。CVE-2025-24156として識別されるこの脆弱性は、整数オーバーフローによる権限昇格の問題に関するもので、CVSS 3.1で8.8(High)と評価されている。入力検証の改善により問題に対処し、システムのセキュリティを強化している。