Tech Insights

【CVE-2024-11078】code-projects Job Recruitment 1.0にクロスサイトスクリプティングの脆弱性が発見、リモート攻撃が可能に

【CVE-2024-11078】code-projects Job Recruitment 1...

code-projects Job Recruitment 1.0のregister.phpファイルにおいて、引数eの操作によるクロスサイトスクリプティング脆弱性が発見された。CVSSスコアはMedium(5.3)で、攻撃条件の複雑さは低く、リモートからの攻撃が可能な状態。既にエクスプロイトコードが公開されており、早急な対応が必要とされている。CWE-79とCWE-94に分類される深刻な脆弱性として警告が発せられている。

【CVE-2024-11078】code-projects Job Recruitment 1...

code-projects Job Recruitment 1.0のregister.phpファイルにおいて、引数eの操作によるクロスサイトスクリプティング脆弱性が発見された。CVSSスコアはMedium(5.3)で、攻撃条件の複雑さは低く、リモートからの攻撃が可能な状態。既にエクスプロイトコードが公開されており、早急な対応が必要とされている。CWE-79とCWE-94に分類される深刻な脆弱性として警告が発せられている。

【CVE-2024-11026】Freenow App 12.10.0にハードコードパスワードの脆弱性、リモート攻撃のリスクが浮上

【CVE-2024-11026】Freenow App 12.10.0にハードコードパスワード...

Intelligent Apps社のFreenow App 12.10.0にハードコードパスワードの脆弱性が発見された。SSL.javaファイルのKeystoreコンポーネントにおいて、DEFAULT_KEYSTORE_PASSWORDがハードコードされており、リモートからの攻撃が可能だ。CVSSスコアは6.3で、攻撃には高度な技術が必要とされるが、既に公開されており悪用のリスクが指摘されている。

【CVE-2024-11026】Freenow App 12.10.0にハードコードパスワード...

Intelligent Apps社のFreenow App 12.10.0にハードコードパスワードの脆弱性が発見された。SSL.javaファイルのKeystoreコンポーネントにおいて、DEFAULT_KEYSTORE_PASSWORDがハードコードされており、リモートからの攻撃が可能だ。CVSSスコアは6.3で、攻撃には高度な技術が必要とされるが、既に公開されており悪用のリスクが指摘されている。

【CVE-2024-11490】115cmsのset.htmlにクロスサイトスクリプティングの脆弱性、管理者インターフェースのセキュリティに影響

【CVE-2024-11490】115cmsのset.htmlにクロスサイトスクリプティングの...

115cmsのバージョン20240807において、管理者インターフェースのset.htmlファイルにクロスサイトスクリプティングの脆弱性が発見された。CVSS 4.0で中程度(5.3点)、CVSS 3.1で低(3.5点)と評価されており、typeパラメータの操作によってリモートから攻撃が可能。ベンダーへの報告に対する返答がない状態が続いており、早急な対応が必要とされている。

【CVE-2024-11490】115cmsのset.htmlにクロスサイトスクリプティングの...

115cmsのバージョン20240807において、管理者インターフェースのset.htmlファイルにクロスサイトスクリプティングの脆弱性が発見された。CVSS 4.0で中程度(5.3点)、CVSS 3.1で低(3.5点)と評価されており、typeパラメータの操作によってリモートから攻撃が可能。ベンダーへの報告に対する返答がない状態が続いており、早急な対応が必要とされている。

【CVE-2024-11050】AMTT Hotel Broadband Operation System 3.0.3.151204にクロスサイトスクリプティングの脆弱性、リモート攻撃のリスクが判明

【CVE-2024-11050】AMTT Hotel Broadband Operation ...

AMTT Hotel Broadband Operation Systemのversion 3.0.3.151204以前のバージョンにおいて、language.phpファイル内のLangID、LangName、LangENameパラメータの処理に関連するクロスサイトスクリプティングの脆弱性が発見された。CVSSスコアは5.3(MEDIUM)で、リモートからの攻撃が可能であり、特に完全性への影響が懸念される。ベンダーへの早期通知にもかかわらず対応は確認されておらず、既に脆弱性の詳細が公開され悪用可能な状態となっている。

【CVE-2024-11050】AMTT Hotel Broadband Operation ...

AMTT Hotel Broadband Operation Systemのversion 3.0.3.151204以前のバージョンにおいて、language.phpファイル内のLangID、LangName、LangENameパラメータの処理に関連するクロスサイトスクリプティングの脆弱性が発見された。CVSSスコアは5.3(MEDIUM)で、リモートからの攻撃が可能であり、特に完全性への影響が懸念される。ベンダーへの早期通知にもかかわらず対応は確認されておらず、既に脆弱性の詳細が公開され悪用可能な状態となっている。

【CVE-2024-50268】Linuxカーネルのucsi_ccg_update_set_new_cam_cmdに境界外アクセスの脆弱性、USBタイプCの制御に関する重要な修正を実施

【CVE-2024-50268】Linuxカーネルのucsi_ccg_update_set_n...

kernel.orgは2024年11月19日、LinuxカーネルのUSBタイプC実装における重要な脆弱性を修正したことを発表した。ucsi_ccg_update_set_new_cam_cmd関数において、debugfsを介してユーザーが制御可能な変数に起因する境界外アクセスの問題が特定された。影響を受けるバージョンは170a6726d0e2以降の特定のバージョンで、すでに複数のブランチに修正が適用されている。

【CVE-2024-50268】Linuxカーネルのucsi_ccg_update_set_n...

kernel.orgは2024年11月19日、LinuxカーネルのUSBタイプC実装における重要な脆弱性を修正したことを発表した。ucsi_ccg_update_set_new_cam_cmd関数において、debugfsを介してユーザーが制御可能な変数に起因する境界外アクセスの問題が特定された。影響を受けるバージョンは170a6726d0e2以降の特定のバージョンで、すでに複数のブランチに修正が適用されている。

【CVE-2024-50282】LinuxカーネルのAMDGPUドライバにバッファオーバーフロー対策を実装、システムセキュリティが向上

【CVE-2024-50282】LinuxカーネルのAMDGPUドライバにバッファオーバーフロ...

Linuxカーネルの開発チームは2024年11月19日、AMDGPUドライバのセキュリティアップデートを実施した。このアップデートではamdgpu_debugfs_gprwave_read()関数にサイズチェック機能が追加され、4KB以上のバッファオーバーフローを防止する対策が実装された。この脆弱性は【CVE-2024-50282】として識別されており、4.19.324から6.12までの各バージョンで修正が展開されている。

【CVE-2024-50282】LinuxカーネルのAMDGPUドライバにバッファオーバーフロ...

Linuxカーネルの開発チームは2024年11月19日、AMDGPUドライバのセキュリティアップデートを実施した。このアップデートではamdgpu_debugfs_gprwave_read()関数にサイズチェック機能が追加され、4KB以上のバッファオーバーフローを防止する対策が実装された。この脆弱性は【CVE-2024-50282】として識別されており、4.19.324から6.12までの各バージョンで修正が展開されている。

【CVE-2024-50287】Linuxカーネルのv4l2-tpgコンポーネントでゼロ除算の脆弱性が発見、WARN_ON_ONCE関数による修正を実装

【CVE-2024-50287】Linuxカーネルのv4l2-tpgコンポーネントでゼロ除算の...

kernel.orgが2024年11月19日にLinuxカーネルのメディアサブシステムv4l2-tpgコンポーネントにおけるゼロ除算の脆弱性【CVE-2024-50287】を公開した。Coverityによって報告された脆弱性は、tpg_precalculate_line関数でのバッファリスケール処理に関するもので、WARN_ON_ONCE関数の追加による修正が実装された。この脆弱性は複数のバージョンに影響を与えることが確認されている。

【CVE-2024-50287】Linuxカーネルのv4l2-tpgコンポーネントでゼロ除算の...

kernel.orgが2024年11月19日にLinuxカーネルのメディアサブシステムv4l2-tpgコンポーネントにおけるゼロ除算の脆弱性【CVE-2024-50287】を公開した。Coverityによって報告された脆弱性は、tpg_precalculate_line関数でのバッファリスケール処理に関するもので、WARN_ON_ONCE関数の追加による修正が実装された。この脆弱性は複数のバージョンに影響を与えることが確認されている。

【CVE-2024-53058】LinuxカーネルのstmmacドライバーにDMAバッファの処理に関する脆弱性、複数バージョンに影響

【CVE-2024-53058】LinuxカーネルのstmmacドライバーにDMAバッファの処...

kernel.orgは2024年11月19日、LinuxカーネルのstmmacドライバーにDMAバッファのマップ/アンマップ処理に関する脆弱性を発見したことを公開した。この脆弱性は【CVE-2024-53058】として識別されており、特定プラットフォームのDMA AXIアドレス幅設定環境で発生する可能性がある。Linux 4.7以降の複数バージョンに影響し、データ破損やIOMMUフォールトのリスクが指摘されている。

【CVE-2024-53058】LinuxカーネルのstmmacドライバーにDMAバッファの処...

kernel.orgは2024年11月19日、LinuxカーネルのstmmacドライバーにDMAバッファのマップ/アンマップ処理に関する脆弱性を発見したことを公開した。この脆弱性は【CVE-2024-53058】として識別されており、特定プラットフォームのDMA AXIアドレス幅設定環境で発生する可能性がある。Linux 4.7以降の複数バージョンに影響し、データ破損やIOMMUフォールトのリスクが指摘されている。

【CVE-2024-50286】Linuxカーネルでksmbd関連の重大な脆弱性を修正、セッション管理の安全性が向上へ

【CVE-2024-50286】Linuxカーネルでksmbd関連の重大な脆弱性を修正、セッシ...

2024年11月19日、Linuxカーネルコミュニティがksmbd_smb2_session_createにおけるスラブの解放後使用の脆弱性に対する修正を公開した。この脆弱性は競合状態に起因しており、6.1.117以前、6.6.61以前、6.11.8以前のバージョンに影響する。修正パッチによりsessions_table_lockが実装され、セッションテーブルの操作における競合状態が解消された。

【CVE-2024-50286】Linuxカーネルでksmbd関連の重大な脆弱性を修正、セッシ...

2024年11月19日、Linuxカーネルコミュニティがksmbd_smb2_session_createにおけるスラブの解放後使用の脆弱性に対する修正を公開した。この脆弱性は競合状態に起因しており、6.1.117以前、6.6.61以前、6.11.8以前のバージョンに影響する。修正パッチによりsessions_table_lockが実装され、セッションテーブルの操作における競合状態が解消された。

【CVE-2024-53054】Linuxカーネルのcgroup/bpfにデッドロックの脆弱性、専用ワークキューで修正へ

【CVE-2024-53054】Linuxカーネルのcgroup/bpfにデッドロックの脆弱性...

Linuxカーネルのcgroup/bpfコンポーネントで重大な脆弱性が発見された。この問題は大量のcpusetの削除処理時にsystem_wqが飽和し、cgroup_mutexとcpu_hotplug_lockの取得が循環待ちとなってデッドロックが発生する。開発チームは専用ワークキューを実装することで問題を解決。Linux 5.3以降の複数バージョンに影響があり、早急な更新が推奨される。

【CVE-2024-53054】Linuxカーネルのcgroup/bpfにデッドロックの脆弱性...

Linuxカーネルのcgroup/bpfコンポーネントで重大な脆弱性が発見された。この問題は大量のcpusetの削除処理時にsystem_wqが飽和し、cgroup_mutexとcpu_hotplug_lockの取得が循環待ちとなってデッドロックが発生する。開発チームは専用ワークキューを実装することで問題を解決。Linux 5.3以降の複数バージョンに影響があり、早急な更新が推奨される。

【CVE-2024-53061】Linux kernelのs5p-jpegにバッファオーバーフロー脆弱性、複数バージョンに影響

【CVE-2024-53061】Linux kernelのs5p-jpegにバッファオーバーフ...

Linux kernelのmediaサブシステムにおいて、s5p-jpegコンポーネントに深刻なバッファオーバーフロー脆弱性が発見された。この脆弱性はwordが2未満になることを許可してしまう問題で、特にバージョン4.4では全てのユーザーが影響を受ける可能性がある。対策パッチは複数のカーネルブランチに適用され、最新バージョンでは脆弱性が修正されている。

【CVE-2024-53061】Linux kernelのs5p-jpegにバッファオーバーフ...

Linux kernelのmediaサブシステムにおいて、s5p-jpegコンポーネントに深刻なバッファオーバーフロー脆弱性が発見された。この脆弱性はwordが2未満になることを許可してしまう問題で、特にバージョン4.4では全てのユーザーが影響を受ける可能性がある。対策パッチは複数のカーネルブランチに適用され、最新バージョンでは脆弱性が修正されている。

【CVE-2024-53055】Linuxカーネルのiwlwifiドライバーに無限ループの脆弱性、6 GHzスキャン処理の安定性向上へ

【CVE-2024-53055】Linuxカーネルのiwlwifiドライバーに無限ループの脆弱...

kernel.orgがLinuxカーネルのiwlwifiドライバーにおける重要な脆弱性(CVE-2024-53055)を修正。この問題は255個以上の共存APが存在する環境で6 GHzスキャン構築時に無限ループが発生する可能性があるもので、変数型の変更とAP数の制限により解決。影響を受けるバージョンは5.11から特定のバージョンまでで、最新版では修正済み。

【CVE-2024-53055】Linuxカーネルのiwlwifiドライバーに無限ループの脆弱...

kernel.orgがLinuxカーネルのiwlwifiドライバーにおける重要な脆弱性(CVE-2024-53055)を修正。この問題は255個以上の共存APが存在する環境で6 GHzスキャン構築時に無限ループが発生する可能性があるもので、変数型の変更とAP数の制限により解決。影響を受けるバージョンは5.11から特定のバージョンまでで、最新版では修正済み。

【CVE-2024-53062】Linuxカーネルのmgb4ドライバーにspectreの脆弱性、投機的実行攻撃のリスクに対応が必要

【CVE-2024-53062】Linuxカーネルのmgb4ドライバーにspectreの脆弱性...

kernel.orgが2024年11月19日にLinuxカーネルのメディアドライバー「mgb4」にspectreに対する脆弱性を発見したと発表。周波数範囲をsysfsから設定する機能において、ドライバーがspectreに対して脆弱であることが判明。この問題はバージョン6.7から6.11.7まで影響し、コミットe0bc90742bbdおよび2aee207e5b3cによって修正された。

【CVE-2024-53062】Linuxカーネルのmgb4ドライバーにspectreの脆弱性...

kernel.orgが2024年11月19日にLinuxカーネルのメディアドライバー「mgb4」にspectreに対する脆弱性を発見したと発表。周波数範囲をsysfsから設定する機能において、ドライバーがspectreに対して脆弱であることが判明。この問題はバージョン6.7から6.11.7まで影響し、コミットe0bc90742bbdおよび2aee207e5b3cによって修正された。

【CVE-2024-53069】Linux kernelのfirmware qcom scmにNULLポインタ参照の脆弱性が発見、kernel.orgが修正パッチを提供

【CVE-2024-53069】Linux kernelのfirmware qcom scmに...

kernel.orgは2024年11月19日、Linux kernelのfirmware qcom scmドライバーにNULLポインタ参照の脆弱性が発見されたと発表した。この脆弱性はCVE-2024-53069として識別され、デバイスツリーにSCMエントリが存在しない場合にドライバーがプローブされない状況で発生する可能性がある。Linux kernel 6.11未満のバージョンおよび6.11.8以降の6.11.xシリーズ、6.12以降のバージョンでは影響を受けない。

【CVE-2024-53069】Linux kernelのfirmware qcom scmに...

kernel.orgは2024年11月19日、Linux kernelのfirmware qcom scmドライバーにNULLポインタ参照の脆弱性が発見されたと発表した。この脆弱性はCVE-2024-53069として識別され、デバイスツリーにSCMエントリが存在しない場合にドライバーがプローブされない状況で発生する可能性がある。Linux kernel 6.11未満のバージョンおよび6.11.8以降の6.11.xシリーズ、6.12以降のバージョンでは影響を受けない。

イオンカードがセキュリティ対応に関する声明を発表、オフライン取引を悪用した不正利用への対策を強化

イオンカードがセキュリティ対応に関する声明を発表、オフライン取引を悪用した不正利用への対策を強化

イオンカードは2024年11月22日、不正利用被害に対するセキュリティ対応の声明を発表した。カード利用停止後もオフライン取引による不正利用が継続する問題に対し、照会基準の見直しや店舗端末への停止情報登録などの対策を実施。24時間365日の異常検知モニタリングや本人認証サービスの導入など、セキュリティ体制の強化を進めている。

イオンカードがセキュリティ対応に関する声明を発表、オフライン取引を悪用した不正利用への対策を強化

イオンカードは2024年11月22日、不正利用被害に対するセキュリティ対応の声明を発表した。カード利用停止後もオフライン取引による不正利用が継続する問題に対し、照会基準の見直しや店舗端末への停止情報登録などの対策を実施。24時間365日の異常検知モニタリングや本人認証サービスの導入など、セキュリティ体制の強化を進めている。

三菱UFJ銀行が元行員による貸金庫からの資産窃取を公表、被害総額は十数億円で約60人の顧客に影響

三菱UFJ銀行が元行員による貸金庫からの資産窃取を公表、被害総額は十数億円で約60人の顧客に影響

三菱UFJ銀行は2024年11月22日、元行員による貸金庫からの顧客資産窃取事案を公表した。練馬支店と玉川支店で2020年4月から2024年10月まで続いた不正行為により、約60人の顧客に被害が発生。被害総額は元行員の供述に基づき時価十数億円程度とされるが、現在も詳細な調査を継続中である。銀行は対策本部を設置し、全容解明と再発防止に向けた取り組みを進めている。

三菱UFJ銀行が元行員による貸金庫からの資産窃取を公表、被害総額は十数億円で約60人の顧客に影響

三菱UFJ銀行は2024年11月22日、元行員による貸金庫からの顧客資産窃取事案を公表した。練馬支店と玉川支店で2020年4月から2024年10月まで続いた不正行為により、約60人の顧客に被害が発生。被害総額は元行員の供述に基づき時価十数億円程度とされるが、現在も詳細な調査を継続中である。銀行は対策本部を設置し、全容解明と再発防止に向けた取り組みを進めている。

【CVE-2024-49866】Linuxカーネルのtimerlat脆弱性が修正、CPUホットプラグ処理の安定性が向上へ

【CVE-2024-49866】Linuxカーネルのtimerlat脆弱性が修正、CPUホット...

Linuxカーネルで発見されたtracing/timerlatモジュールのCPUホットプラグ処理における脆弱性【CVE-2024-49866】が修正された。この問題はtimerlat/1スレッドのCPU0上でのスケジューリングによるタイマー破損を引き起こす可能性があり、Linux 5.14以降の特定バージョンに影響する。修正はLinux 5.15.168、6.1.113、6.6.55、6.10.14、6.11.3以降で提供されている。

【CVE-2024-49866】Linuxカーネルのtimerlat脆弱性が修正、CPUホット...

Linuxカーネルで発見されたtracing/timerlatモジュールのCPUホットプラグ処理における脆弱性【CVE-2024-49866】が修正された。この問題はtimerlat/1スレッドのCPU0上でのスケジューリングによるタイマー破損を引き起こす可能性があり、Linux 5.14以降の特定バージョンに影響する。修正はLinux 5.15.168、6.1.113、6.6.55、6.10.14、6.11.3以降で提供されている。

【CVE-2024-50065】Linux kernelのntfs3にメモリアロケーション脆弱性、非ブロッキング方式への変更で対策を実施

【CVE-2024-50065】Linux kernelのntfs3にメモリアロケーション脆弱...

Linux kernelのntfs3コンポーネントで重大な脆弱性が発見された。ntfs_d_hash関数内のメモリアロケーション処理において、__get_name()関数がGFP_KERNELを使用することでメモリ圧迫時にスリープする可能性があり、rcu-walk中の予期せぬ動作を引き起こす可能性がある。この問題に対し、アロケーション方式をGFP_NOWAITに変更することで対策を実施。Linux 6.6.57以降および6.11.4以降のバージョンで修正が適用された。

【CVE-2024-50065】Linux kernelのntfs3にメモリアロケーション脆弱...

Linux kernelのntfs3コンポーネントで重大な脆弱性が発見された。ntfs_d_hash関数内のメモリアロケーション処理において、__get_name()関数がGFP_KERNELを使用することでメモリ圧迫時にスリープする可能性があり、rcu-walk中の予期せぬ動作を引き起こす可能性がある。この問題に対し、アロケーション方式をGFP_NOWAITに変更することで対策を実施。Linux 6.6.57以降および6.11.4以降のバージョンで修正が適用された。

【CVE-2024-50149】Linuxカーネルのdrm/xeコンポーネントにおけるTDRのジョブ解放処理の脆弱性を修正、UAF発生のリスクに対処

【CVE-2024-50149】Linuxカーネルのdrm/xeコンポーネントにおけるTDRの...

LinuxカーネルのTDR(Timeout Detection and Recovery)において、ジョブ解放処理に関する重要な脆弱性が修正された。この問題はUAF(Use After Free)の発生につながる可能性があり、Linux 6.10から6.11.5までのバージョンが影響を受ける。修正では、TDRでのジョブ解放をスケジューラ経由で行うよう変更し、安全性を確保。Linux 6.11.6以降では既に対策済み。

【CVE-2024-50149】Linuxカーネルのdrm/xeコンポーネントにおけるTDRの...

LinuxカーネルのTDR(Timeout Detection and Recovery)において、ジョブ解放処理に関する重要な脆弱性が修正された。この問題はUAF(Use After Free)の発生につながる可能性があり、Linux 6.10から6.11.5までのバージョンが影響を受ける。修正では、TDRでのジョブ解放をスケジューラ経由で行うよう変更し、安全性を確保。Linux 6.11.6以降では既に対策済み。

【CVE-2024-43451】WindowsのNTLMハッシュ開示脆弱性が発覚、複数バージョンに影響を与える深刻な問題に

【CVE-2024-43451】WindowsのNTLMハッシュ開示脆弱性が発覚、複数バージョ...

Microsoftは2024年11月12日、WindowsのNTLMハッシュ開示に関する脆弱性【CVE-2024-43451】を公開した。この脆弱性はWindows Server 2025からWindows Server 2008まで、Windows 11からWindows 10の広範なバージョンに影響を与えることが判明。CISAによる評価では攻撃の自動化は不可能とされているものの、CVSSスコア6.5の中程度の深刻度が付けられており、早急な対応が求められている。

【CVE-2024-43451】WindowsのNTLMハッシュ開示脆弱性が発覚、複数バージョ...

Microsoftは2024年11月12日、WindowsのNTLMハッシュ開示に関する脆弱性【CVE-2024-43451】を公開した。この脆弱性はWindows Server 2025からWindows Server 2008まで、Windows 11からWindows 10の広範なバージョンに影響を与えることが判明。CISAによる評価では攻撃の自動化は不可能とされているものの、CVSSスコア6.5の中程度の深刻度が付けられており、早急な対応が求められている。

【CVE-2024-45282】SAP S/4 HANAの銀行取引明細管理アプリケーションで読み取り専用フィールドの改変が可能な脆弱性を確認

【CVE-2024-45282】SAP S/4 HANAの銀行取引明細管理アプリケーションで読...

SAPのS/4 HANA Manage Bank Statementsアプリケーションにおいて、読み取り専用フィールドがMERGEメソッドによって改変可能な脆弱性が発見された。CVE-2024-45282として識別されたこの脆弱性は、CVSS v3.1で中程度(4.3)と評価され、S4CORE 102から107までの広範なバージョンに影響を与える。整合性への影響が指摘されているが、機密性とアベイラビリティへの影響はない。

【CVE-2024-45282】SAP S/4 HANAの銀行取引明細管理アプリケーションで読...

SAPのS/4 HANA Manage Bank Statementsアプリケーションにおいて、読み取り専用フィールドがMERGEメソッドによって改変可能な脆弱性が発見された。CVE-2024-45282として識別されたこの脆弱性は、CVSS v3.1で中程度(4.3)と評価され、S4CORE 102から107までの広範なバージョンに影響を与える。整合性への影響が指摘されているが、機密性とアベイラビリティへの影響はない。

【CVE-2024-38203】Windows Package Library Managerに情報開示の脆弱性、複数のプラットフォームで対策版の適用が必要に

【CVE-2024-38203】Windows Package Library Manager...

MicrosoftはWindows Package Library Managerに情報開示の脆弱性【CVE-2024-38203】を公開した。Windows Server 2025やWindows 10 Version 1809など複数のプラットフォームに影響を及ぼし、攻撃者は特権なしでローカルから攻撃を実行できる可能性がある。対策版がすでに提供開始されており、早急なアップデートが推奨されている。

【CVE-2024-38203】Windows Package Library Manager...

MicrosoftはWindows Package Library Managerに情報開示の脆弱性【CVE-2024-38203】を公開した。Windows Server 2025やWindows 10 Version 1809など複数のプラットフォームに影響を及ぼし、攻撃者は特権なしでローカルから攻撃を実行できる可能性がある。対策版がすでに提供開始されており、早急なアップデートが推奨されている。

EGセキュアソリューションズとPostmanがWeb APIセキュリティセミナーを開催、実践的な開発者向け知見の提供へ

EGセキュアソリューションズとPostmanがWeb APIセキュリティセミナーを開催、実践的...

イー・ガーディアングループのEGセキュアソリューションズとPostman株式会社が2024年12月12日にWeb APIセキュリティセミナーを開催する。徳丸浩CTOによる実践的なセキュリティ知見の提供、PostmanのAPIセキュリティ機能の解説、脆弱性診断サービスの最新情報など、開発者向けの包括的な内容となっている。セミナー後には登壇者とのQ&Aセッションや懇親会も予定されている。

EGセキュアソリューションズとPostmanがWeb APIセキュリティセミナーを開催、実践的...

イー・ガーディアングループのEGセキュアソリューションズとPostman株式会社が2024年12月12日にWeb APIセキュリティセミナーを開催する。徳丸浩CTOによる実践的なセキュリティ知見の提供、PostmanのAPIセキュリティ機能の解説、脆弱性診断サービスの最新情報など、開発者向けの包括的な内容となっている。セミナー後には登壇者とのQ&Aセッションや懇親会も予定されている。

CyCraftがITmedia Security Week 2024秋で講演、ASMによるセキュリティリスク管理の重要性を解説

CyCraftがITmedia Security Week 2024秋で講演、ASMによるセキ...

CyCraftは11月29日開催のITmedia Security Week 2024秋にてASM(アタック・サーフェイス・マネジメント)の重要性について講演を実施する。情報セキュリティ人材不足をテーマに、AIによる自動化技術を活用したセキュリティリスク管理の手法を解説。サプライチェーン全体のセキュリティ統制実現に向けた具体的な強化策を提示する予定だ。

CyCraftがITmedia Security Week 2024秋で講演、ASMによるセキ...

CyCraftは11月29日開催のITmedia Security Week 2024秋にてASM(アタック・サーフェイス・マネジメント)の重要性について講演を実施する。情報セキュリティ人材不足をテーマに、AIによる自動化技術を活用したセキュリティリスク管理の手法を解説。サプライチェーン全体のセキュリティ統制実現に向けた具体的な強化策を提示する予定だ。

Re-grit Partnersが品質不正対策セミナーを開催、実践的な対応策と点検シートの提供で企業の課題解決を支援

Re-grit Partnersが品質不正対策セミナーを開催、実践的な対応策と点検シートの提供...

株式会社Re-grit Partnersが2024年12月19日に品質不正対策の無料セミナーを開催する。セミナーでは品質不正の原因分析と実効性のある対応策を提示し、参加者には支援実績に基づいて作成された品質不正リスク点検シートが提供される。様々な業種での支援経験を活かした実践的な解説により、企業の具体的な課題解決を支援する。

Re-grit Partnersが品質不正対策セミナーを開催、実践的な対応策と点検シートの提供...

株式会社Re-grit Partnersが2024年12月19日に品質不正対策の無料セミナーを開催する。セミナーでは品質不正の原因分析と実効性のある対応策を提示し、参加者には支援実績に基づいて作成された品質不正リスク点検シートが提供される。様々な業種での支援経験を活かした実践的な解説により、企業の具体的な課題解決を支援する。

GMOサイバーセキュリティ byイエラエがモンゴル国最大級の商業銀行ゴロムト銀行へ脆弱性診断サービスを提供、デジタルバンキングの安全性向上に貢献

GMOサイバーセキュリティ byイエラエがモンゴル国最大級の商業銀行ゴロムト銀行へ脆弱性診断サ...

GMOサイバーセキュリティ byイエラエは、モンゴル国最大級の商業銀行であるゴロムト銀行のWebサイトとスマートフォンアプリに対する脆弱性診断サービスを2024年8月5日から8月23日まで提供した。モンゴル国・ウランバートル市との基本合意書に基づき、デジタル化が進む同国の金融インフラのセキュリティ強化を推進している。国内最大規模のホワイトハッカー組織としての技術力を活かし、サイバー攻撃対策の重要な役割を担っていく。

GMOサイバーセキュリティ byイエラエがモンゴル国最大級の商業銀行ゴロムト銀行へ脆弱性診断サ...

GMOサイバーセキュリティ byイエラエは、モンゴル国最大級の商業銀行であるゴロムト銀行のWebサイトとスマートフォンアプリに対する脆弱性診断サービスを2024年8月5日から8月23日まで提供した。モンゴル国・ウランバートル市との基本合意書に基づき、デジタル化が進む同国の金融インフラのセキュリティ強化を推進している。国内最大規模のホワイトハッカー組織としての技術力を活かし、サイバー攻撃対策の重要な役割を担っていく。

AppleがiOS 18.1.1とiPadOS 18.1.1を公開し、JavaScriptCoreとWebKitの重大な脆弱性に対処

AppleがiOS 18.1.1とiPadOS 18.1.1を公開し、JavaScriptCo...

AppleはiOS 18.1.1およびiPadOS 18.1.1で、JavaScriptCoreとWebKitの2つの重要な脆弱性を修正した。GoogleのThreat Analysis Groupが発見した脆弱性は、Intel搭載Macで既に悪用の可能性があり、任意のコード実行やクロスサイトスクリプト攻撃のリスクが存在していた。iPhone XS以降などの対象デバイスに対し、チェック機能の改善とクッキー管理の強化で対策を実施している。

AppleがiOS 18.1.1とiPadOS 18.1.1を公開し、JavaScriptCo...

AppleはiOS 18.1.1およびiPadOS 18.1.1で、JavaScriptCoreとWebKitの2つの重要な脆弱性を修正した。GoogleのThreat Analysis Groupが発見した脆弱性は、Intel搭載Macで既に悪用の可能性があり、任意のコード実行やクロスサイトスクリプト攻撃のリスクが存在していた。iPhone XS以降などの対象デバイスに対し、チェック機能の改善とクッキー管理の強化で対策を実施している。

JVCケンウッドのMAGICAL JUKE BOXで不正アクセス被害、YouTubeとXアカウントが乗っ取られ個人情報流出の可能性

JVCケンウッドのMAGICAL JUKE BOXで不正アクセス被害、YouTubeとXアカウ...

JVCケンウッドのバーチャル音楽フェス「MAGICAL JUKE BOX」で使用していたGoogleアカウントが不正アクセスを受け、YouTubeチャンネルとXアカウントが乗っ取られる被害が発生。アンケート回答者143件分の性別・年齢層データと、DMの個人情報1件の流出可能性が判明。外部機関と連携した対策強化を進める方針を示している。

JVCケンウッドのMAGICAL JUKE BOXで不正アクセス被害、YouTubeとXアカウ...

JVCケンウッドのバーチャル音楽フェス「MAGICAL JUKE BOX」で使用していたGoogleアカウントが不正アクセスを受け、YouTubeチャンネルとXアカウントが乗っ取られる被害が発生。アンケート回答者143件分の性別・年齢層データと、DMの個人情報1件の流出可能性が判明。外部機関と連携した対策強化を進める方針を示している。

【CVE-2024-0012】Palo Alto NetworksのPAN-OSに認証バイパスの脆弱性、管理者権限取得のリスクが発覚

【CVE-2024-0012】Palo Alto NetworksのPAN-OSに認証バイパス...

Palo Alto NetworksのPAN-OSソフトウェアに重大な認証バイパスの脆弱性が発見された。未認証の攻撃者が管理者権限を取得し管理操作を実行可能となるこの脆弱性は、PAN-OS 10.2から11.2までのバージョンが影響を受ける。CVSSスコア9.3を記録し、CISAは自動化可能な攻撃手法であると警告。Cloud NGFWとPrisma Accessは影響を受けないことが確認されている。

【CVE-2024-0012】Palo Alto NetworksのPAN-OSに認証バイパス...

Palo Alto NetworksのPAN-OSソフトウェアに重大な認証バイパスの脆弱性が発見された。未認証の攻撃者が管理者権限を取得し管理操作を実行可能となるこの脆弱性は、PAN-OS 10.2から11.2までのバージョンが影響を受ける。CVSSスコア9.3を記録し、CISAは自動化可能な攻撃手法であると警告。Cloud NGFWとPrisma Accessは影響を受けないことが確認されている。

【CVE-2024-11239】Landray EKP 16.0にパストラバーサルの脆弱性、既にエクスプロイトコード公開で対応急務に

【CVE-2024-11239】Landray EKP 16.0にパストラバーサルの脆弱性、既...

Landray EKP 16.0以下のバージョンでパストラバーサルの脆弱性が発見された。API InterfaceのdeleteFile関数において、folderパラメータの操作による攻撃が可能となっている。CVSSスコアは中程度だが、エクスプロイトコードが既に公開されており、早急な対応が必要とされる。ベンダーからの応答がない状況下で、ユーザー側のセキュリティ対策が重要となっている。

【CVE-2024-11239】Landray EKP 16.0にパストラバーサルの脆弱性、既...

Landray EKP 16.0以下のバージョンでパストラバーサルの脆弱性が発見された。API InterfaceのdeleteFile関数において、folderパラメータの操作による攻撃が可能となっている。CVSSスコアは中程度だが、エクスプロイトコードが既に公開されており、早急な対応が必要とされる。ベンダーからの応答がない状況下で、ユーザー側のセキュリティ対策が重要となっている。