![[SCAN Security Wire NP Prize 2001]](/~kjm/security/memo/scan_prize.gif){kind=small}
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。
Last modified: Fri Jan 17 20:14:22 2025 +0900 (JST)
Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
[ 定番情報源 ] 過去の記事: 2024 | 2023 | 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
|
|
「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。 |
|
「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。 |
復刊リクエスト受付中:
ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在58票)
中山信弘「ソフトウェアの法的保護」 (現在112票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在109票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在175票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)
RSS に対応してみました。
小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。
RSS 1.0 ですので、あくまで RDF Site Summary です。
現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる
Web サイトの RSS を勝手に出力するプロジェクト
……のものがうまくいっていないようなので、
セキュmemoのRSS生成
をご利用ください。Tamo さん情報ありがとうございます。
》 あなたではなく組織の財産を狙うLinkedIn経由のコンタクトにご用心 (JPCERT/CC, 1/10)
》 Tuesday, January 21, 2025 Security Releases (node.js, 1/14)。来週。
》 Japanese Spam on a Cleaned WordPress Site: The Hidden Sitemap Problem (sucuri blog, 1/14)
》 新しいKSK(KSK-2024)がルートサーバーで事前公開 (JPRS, 1/14)
》 [Wireshark-announce] Wireshark 4.4.3 is now available (Wireshark, 1/8)、 [Wireshark-announce] Wireshark 4.2.10 is now available (Wireshark, 1/8)。セキュリティ修正は無いみたい。
》 Microsoft Teamsを介した「ヴィッシング」の手口によってマルウェア「DarkGate」が侵入 (トレンドマイクロ セキュリティ blog, 1/10)
》 北朝鮮とランサムウェアギャングが使用する仮想通貨ミキシングサービス「Bender.io」と「Sinbad.io」を運営した疑いでロシア人3人が起訴される (gigazine, 1/14)
》 中国政府系ハッカー「シルク・タイフーン」が海外投資の国家安全保障リスクを審査するアメリカ政府機関に侵入 (gigazine, 1/15)
》 米国が示した“中国関連の脅威アクターから守るためのベストプラクティス”とは (Internet Watch, 1/14)
》 新型コロナウイルス感染症が重症化するメカニズムを日本の研究チームが解明、免疫細胞の異常接着が原因か (gigazine, 1/15)
研究チームは、今回の発見は人間のCOVID-19重症化患者の血液サンプル分析結果とも一致していると述べ、好中球の血管壁への異常接着とそれに続く血小板凝集による微小血栓の形成が肺血流を阻害し、COVID-19肺炎を重症化させている可能性を指摘しました。(中略) ただし、SARS-CoV-2に感染すると接着分子が増加する理由については完全に解明されていません。
》 アメリカが中国のテクノロジー企業14社を輸出規制リストに追加、TSMC製半導体をHuaweiに横流ししていたSOPHGOも規制対象に (gigazine, 1/16)
》 Let’s Encryptが「短期証明書」を導入すると発表、セキュリティが向上&IPアドレスでの発行も可能に (gigazine, 1/17)。有効期限6日。
》 ローマに支配される前のイギリスでは女性が権力を持っていたことがDNA分析で判明 (gigazine, 1/17)
》 スターシップが7回目の試験飛行、スーパーヘビーの帰還に成功するもスターシップ本体は空中分解 (gigazine, 1/17)。fireworks.
》 警察庁とNISC、サイバー攻撃グループ「MirrorFace」(Earth Kasha)の手口を詳細に解説し注意喚起 (Internet Watch, 1/17)
》 北朝鮮による暗号資産の窃取に対し、日米韓が共同声明。「違法な大量破壊兵器及び弾道ミサイル計画のための不法な資金を途絶する」 (Internet Watch, 1/17)。共同声明は 1/14 付。
三か国のより深化した官民連携は、これらの悪意のあるアクターによるサイバー犯罪活動を能動的に阻止し、民間ビジネスの利益を守り、国際金融システムを守るために不可欠である。(中略) 日本においては、金融庁が日本暗号資産等取引業協会(JVCEA)と連携し、2024 年9月 26 日及び 12 月 24 日に、関連企業に対して暗号資産窃取のリスクに関する注意喚起を行い、また、自主点検を要請した。
関連: 暗号資産の流出リスクへの対応等に関する再度の一斉点検実施について (日本暗号資産等取引業協会, 2024.12.24)
》 東京都、闇バイト対策で個人宅向け防犯カメラに購入費の半額・最大2万円を補助へ (やじうま Watch, 1/17)。半額補助、最大 2万円。
》 不正懸念のある会員様への動画によるご利用確認について (セゾンカード, 1/17)。 動画?!
2025年1月20日(月)より、情報漏洩を含む不正懸念対象のお客様に「ご利用内容確認のお願い」の動画をお送りすることになりました。
身に覚えのないご利用がある場合は、動画内の質問にご回答いただくことで、クレジットカードの再発行手続きまで行うことができます。
》 クーポンの利用規約改定で「誤解を招いた」と謝罪したメルカリ 改定の理由を聞いた (ITmedia, 1/17)
》 チェジュ航空2216便着陸失敗事故 (2024.12.29) 方面
737 CVR FDR Power (The Boeing 737 Technical Channel / YouTube, 1/13)。 わかりやすい解説。 当該機にも RIPS があればよかったんですけど、なかったみたい。
<チェジュ航空旅客機事故>「エンジン2つ停止しても作動するが」…衝突4分前にブラックボックス停止 (中央日報, 1/13)
匿名を求めた航空業界の関係者も「エンジン2つのうち1つだけが機能しても電力は供給される」とし「2つとも消えても補助動力装置を手動でつければFDRは作動するが、事故当時はこれさえも難しかったのか、本当に異例の状況」と話した。
737 Hydraulics (The Boeing 737 Technical Channel / YouTube, 2021.06.17)
AUXILIARY POWER UNIT (b737.org.uk)
飛行中の全エンジン停止 信じられないまさかの出来事 何故起こったか (JAXAメールマガジン第226号, 2014.08.05)
<チェジュ航空旅客機事故>「あとは事故の原因究明」…追加捜索も終了 (中央日報, 1/17)
RSYNC: 6 vulnerabilities (oss-sec ML, 2025.01.14)。 CVE-2024-12084 CVE-2024-12085 CVE-2024-12086 CVE-2024-12087 CVE-2024-12088 CVE-2024-12747。 rsync 3.4.0 で修正。
git: 2 vulnerabilities fixed (oss-sec ML, 2025.01.14)。 CVE-2024-50349 CVE-2024-52006。 git 2.48.1 / 2.47.1 / 2.46.3 / 2.45.3 / 2.44.3 / 2.43.6 / 2.42.4 / 2.41.3 / 2.40.4 で修正。
pam-u2f: problematic PAM_IGNORE return values in pam_sm_authenticate() (CVE-2025-23013) (SuSE Security Team Blog, 2025.01.14)。pam_u2f-1.3.1 で修正された模様。 CVE-2025-23013
[vim-security] heap-buffer-overflow in Vim < 9.1.1003 (oss-sec ML, 2025.01.11)。 Vim patch v9.1.1003 で修正されたそうです。CVE-2025-22134
NVIDIA製GPUドライバーに5件の脆弱性 ~最新「GeForce」ドライバーへの更新を (窓の杜, 2025.01.17)
2025 年 1 月のセキュリティ更新プログラム (月例) (2025.01.15)
不具合情報:
USBオーディオDACやサウンドデバイスが動作しない不具合。Windows10およびWindows11にて発生。Windows Update KB5049981 / KB5050021 / KB5050009に起因。対処方法あり (ニッチなPCゲーマーの環境構築Z, 2025.01.16)
上記更新プログラムをインストールすることでMicrosoftの汎用USBオーディオドライバのバージョンが10.0.19041.4355から10.0.19041.5369へとアップデートされます。ユーザー報告では、このドライバのアップデートに起因しているのではないかと疑われています。
Webカメラが動作しない不具合。Windows10 / Windows11で発生。これもWindows Update KB5049981 / KB5050021 / KB5050009が原因 (ニッチなPCゲーマーの環境構築Z, 2025.01.17)
不具合発生時は KB5049981 / KB5050021 / KB5050009 をアンインストールしてみる (アンインストールにより解決するか否かを確認する) のが吉のようで。
》 “改造Switch”販売で逮捕者 「海賊版ゲームソフト」を起動できるように改造か (ITmedia, 1/16)
》 Blue Origin’s New Glenn launches on maiden voyage (CNN, 1/16)。Blue Origin の大型ロケット New Glenn、ようやく上がりました。 おめでとうございます。 残念ながら 1 段目の回収には失敗したようですが、SpaceX だって初期には何度も失敗したからね。関連:
》 アンカー、カード型紛失防止トラッカーを自主回収 周囲の磁気カードに影響を及ぼす恐れ (ITmedia, 1/16)。Eufy SmartTrack Card E30。
こちらです: 弊社充電式カード型紛失防止トラッカーに関するお詫びと自主回収のお知らせ (Anker, 1/14)
2024年12月、お客様より弊社カスタマーサポートまで充電式カード型紛失防止トラッカーに搭載されている磁石により磁気カードへ不具合が発生したとの連絡があり出荷を停止。原因究明に向けて調査を実施した結果、製品の磁力が一部磁気カードへ影響を与える場合があることが発覚したため、自主回収を決定。
Path traversal via AMI ListCategories allows access to outside files (asterisk / GitHub)。CVE-2024-53566 。 Asterisk 18.26.1 / 20.11.1 / 21.6.1 / 22.1.1 / 20.7-cert4 / 18.9-cert13 で修正。
Asterisk News。 2025.01.09 付で 上記バージョンが公開されている。
「Zoom」に複数の脆弱性 ~最大深刻度は「High」 (窓の杜, 2025.01.15)
》 チェジュ航空2216便着陸失敗事故 (2024.12.29) 方面
■発生概要
午前8時54分:管制が着陸を許可
午前8時57分:管制から鳥群回避の注意喚起を提供
午前8時59分:操縦士から鳥群衝突による緊急事態を宣言
午前9時:同機が着陸を試みる
午前9時3分:同機がランディングギアを使用せずに着陸し、滑走路末端地点を逸脱して空港外壁に衝突して停止。火災発生
午前10時3分:総括対策本部が任務に移行し、遂行
午後2時00分:チェジュ航空航空公式ブリーフィング実施
午後5時30分:現場対策本部総括支援チームが務安空港に到着
午後6時26分:乗員乗客181名中、死亡176名、負傷2名、行方不明3名
また、今回の事故では右側のエンジンから煙が出ている様子が、SNSなどで公開されました。これは鳥の群れに関する注意勧告があり、その直後に事故機が緊急事態を宣言したタイミングと重なっています。
この時に疑われるのは、ダメージを受けた右側エンジンではなく、正常に動作していた左側エンジンを止めてしまった可能性です。他方、最初の進入時にパイロットがゴーアラウンドを宣言したのは、この時点ですでにエンジンの1基に不具合が生じていた可能性を指摘する専門家もいます。
今回の事故でブラックボックスが作動しなかったのは、電気動力問題が原因である可能性が高い。航空機の電源供給において核心的な役割をするエンジンが2基とも機能不全状態に陥って電気系統に問題が発生し、ブラックボックスに情報を送る機能も止まったということだ。(中略)原因が事故なのか誤操作なのかはともかく、両エンジンが停止し両電源斷となったことは確かなようだ。
事実、航空機が自らの位置や速度などを外部に送る電波信号である放送型自動従属監視(ADS-B)信号も午前8時58分を最後に送出を停止した。これは、ブラックボックスが動作しなくなった時間とほぼ同じだ。
事故原因を解明する重要データであるブラックボックスの記録がないため、事故原因調査や今後の責任の所在を巡る混乱は避けられないものとみられる。今回の事故の原因を正確に解明するには、「バードストライク後、なぜゴーアラウンドをしたのか」「1回目の着陸を試みた時とは反対の方向から着陸し直したのはなぜか」「ランディングギア(降着装置)をなぜ手動で下ろさなかったのか」などを明らかにしなければならない。ブラックボックスのデータがなければ、バードストライク後に発生した状況は結局、推定するしかない、というのが専門家らの大方の見解だ。
ICAOは滑走路の端に位置した着陸台で240m長さの縦断安全区域を推奨する。 着陸帯の長さが通常60メートルであることを考慮すれば、300メートルの長さの安全区域が必要なわけだ。 米連邦航空庁(FAA)も1000フィート(305メートル)の安全区域を要求している。日本の状況はもっとアレなんだよね……。
しかし、国内の国際空港は安全区域の長さがほとんど滑走路の端から240メートルに過ぎない。 済州(チェジュ)航空の事故で179人の犠牲者が発生した務安(ムアン)国際空港は199メートルに止まった。 国内線だけが通る地方空港は状況がさらに深刻だ。 最も短い安全区域基準で泗川空港122m、原州空港90m、蔚山空港90mなどだ。
・EMAS Maxの耐用年数は概ね20年(記述通り)
・Green EMASの耐用年数は72年
・Green EMASの50年ライフサイクルコストは事業費ベースで25億円程度
FAA(米国連邦航空局)が承認しているアレスティングシステムは「EMAS Max」 と「Green EMAS」の2商品ですが、そもそもFAAが規定化した当時、「EMAS Max」しか商品化されておらず、規定は「EMAS Max」を反映したものです。その後、「EMAS Max」のデメリット部分(設置費用や耐用年数、修繕費用など)を補填する目的で「Green EMAS」が2014年に商品化されました。そのため、「Green EMAS」はあらゆる面で「EMAS Max」より優れた商品価値を保持しています。
》 中国で活動するブラック要員情報を中国に渡した韓国軍務員…無期懲役を求刑 (中央日報, 1/15)。ブラック要員 = スパイの模様。
流出情報には海外で活動する、いわゆる対北朝鮮「ブラック要員」の名簿も一部含まれていた可能性があるという。海外で偽装身分で情報収集活動をしていたブラック要員の身分が明るみに出るかもしれないということだ。ある情報筋は「資料にはブラック要員だけでなく(身分を露出して活動する)ホワイト要員と混ざっていると聞いた」と伝えた。
》 米ファンド フジ・メディアHDに調査要求 中居さんめぐる対応で (NHK, 1/15)。あたりまえの要求。
原文: Request for the establishment of a third-party committee and the restoration of confidence (Rising Sun Management, 1/14)
》 【速報中】ユン大統領の拘束令状を執行と発表 合同捜査本部 (NHK, 1/15)。逮捕令状ではなく「拘束令状」。
》 【速報】兵庫県選挙管理委員会が総務省に要望へ 知事選めぐり「当選目的のない立候補」の法整備求める NHK党立花氏が「当選を目的としない」斎藤知事を応援 ポスター掲示板の増設対応も (読売 / Yahoo, 1/15)。ようやくですか。
日本郵便、ゆうパック委託業者に「違約金」 誤配・苦情1件数万円も (朝日, 1/6)。末端いじめ。 とっても JAPAN だね!
関係者によると、公取委は23~24年、関東地方にある郵便局と委託業者の契約を調査。誤配やたばこ臭クレームの違約金額が不当に高額で、十分な説明なく複数の委託業者から徴収したとして、日本郵便の下請法違反を認定した。違反行為の早急な是正を優先して、調査はこの局がある県内で終え、日本郵便を指導したという。
ゆうパック配達「罰金なんて時代錯誤」 たばこの苦情で「10万円」 (朝日, 1/6)
日本郵便、違約金の一部を返金 公取委の指導後、「説明不足だった」 (朝日, 1/7)
「一方的だ」ゆうパックの違約金変更、委託業者の怒り 内部から疑問 (朝日, 1/14)
》 米国が示した“中国関連の脅威アクターから守るためのベストプラクティス”とは (Internet Watch, 1/14)
》 アリかナシか、ランサム攻撃の身代金支払いと交渉 有識者たちの見解は…… (ITmedia, 1/8)
「Git for Windows」にセキュリティアップデート ~資格情報の漏洩などにつながる可能性 (窓の杜, 2025.01.15)
FortiOS 7.0.0〜7.0.16 / FortiProxy 7.2.0〜7.2.12 / FortiProxy 7.0.0〜7.0.19 に欠陥。Node.js websocket モジュールに攻略リクエストを送ることで、 認証を回避して super-admin 権限を取得できる。CVE-2024-55591
FortiOS 7.0.17 / FortiProxy 7.2.13 / FortiProxy 7.0.20 で修正されている。 また、HTTP/HTTPS 管理インターフェイスを無効にする、 あるいは local-in ポリシーによる IP アドレスに基づくアクセス制限を設定することで状況を緩和できる。
関連:
Zero-Day Vulnerability Suspected in Attacks on Fortinet Firewalls with Exposed Interfaces (The Hacker News, 2025.01.14)
Fortinet製FortiOSおよびFortiProxyにおける認証回避の脆弱性(CVE-2024-55591)に関する注意喚起 (JPCERT/CC, 2025.01.15)
Adobe Photoshop / Substance3D Stager / Illustrator for iPad / Animate / Substance3D Designer のセキュリティ情報公開。いずれも Priority: 3。 いずれも対応版が用意されている。
Chrome 132.0.6834.83 (Linux) および 132.0.6834.83/84 (Windows / Mac) が stable に。16 件のセキュリティ修正を含む。関連:
Firefox 134.0 / ESR 128.6.0 公開 (2025.01.08)
Thunderbird 128.6.0esr が 2025.01.08 付で出てました。
Thunderbird 128.6.0esr がリリースされた (mozillaZine, 2025.01.08)
また Firefox 134.0.1 と Firefox for Android 134.0.1 が出ました。 セキュリティ修正は無いようです。
Firefox 134.0.1、Firefox for Android 134.0.1 がリリースされた (mozillaZine, 2025.01.15)
出ました。159 Microsoft CVE + 2 non-MS CVE。 CVE 番号が太字なのは critical (最大深刻度: 緊急) 扱い。
- .NET CVE-2025-21171 CVE-2025-21173
- .NET と Visual Studio CVE-2025-21172
- .NET、.NET Framework、Visual Studio CVE-2025-21176
- Active Directory Domain Services CVE-2025-21293
- Active Directory フェデレーション サービス CVE-2025-21193
- Azure Marketplace SaaS リソース CVE-2025-21380
- BranchCache CVE-2025-21296
- Internet Explorer CVE-2025-21326
- IP ヘルパー CVE-2025-21231
- Microsoft AutoUpdate (MAU) CVE-2025-21360
- Microsoft Azure ゲートウェイ マネージャー CVE-2025-21403
- Microsoft Brokering File System CVE-2025-21315 CVE-2025-21372
- Microsoft Graphics コンポーネント CVE-2025-21382
- Microsoft Office CVE-2025-21346 CVE-2025-21365
- Microsoft Office Access CVE-2025-21186 CVE-2025-21366 CVE-2025-21395
- Microsoft Office Excel CVE-2025-21354 CVE-2025-21362 CVE-2025-21364
- Microsoft Office OneNote CVE-2025-21402
- Microsoft Office Outlook CVE-2025-21357
- Microsoft Office Outlook for Mac CVE-2025-21361
- Microsoft Office SharePoint CVE-2025-21344 CVE-2025-21348 CVE-2025-21393
- Microsoft Office Visio CVE-2025-21345 CVE-2025-21356
- Microsoft Office Word CVE-2025-21363
- Microsoft Purview CVE-2025-21385
- Microsoft Windows 検索コンポーネント CVE-2025-21292
- Microsoft ダイジェスト認証 CVE-2025-21294
- Power Automate CVE-2025-21187
- Reliable Multicast Transport ドライバー (RMCAST) CVE-2025-21307
- Visual Studio CVE-2024-50338 CVE-2025-21178 CVE-2025-21405
- Windows BitLocker CVE-2025-21213 CVE-2025-21214
- Windows Boot Manager CVE-2025-21215
- Windows Cloud Files Mini Filter Driver CVE-2025-21271
- Windows COM CVE-2025-21272 CVE-2025-21281 CVE-2025-21288
- Windows Connected Devices Platform Service CVE-2025-21207
- Windows Cryptographic サービス CVE-2025-21336
- Windows Digital Media CVE-2025-21226 CVE-2025-21227 CVE-2025-21228 CVE-2025-21229 CVE-2025-21232 CVE-2025-21249 CVE-2025-21255 CVE-2025-21256 CVE-2025-21258 CVE-2025-21260 CVE-2025-21261 CVE-2025-21263 CVE-2025-21265 CVE-2025-21310 CVE-2025-21324 CVE-2025-21327 CVE-2025-21341
- Windows DirectShow CVE-2025-21291
- Windows DWM Core ライブラリ CVE-2025-21304
- Windows Hello CVE-2025-21340
- Windows Hyper-V NT Kernel Integration VSP CVE-2025-21333 CVE-2025-21334 CVE-2025-21335
- Windows Kerberos CVE-2025-21218 CVE-2025-21242 CVE-2025-21299
- Windows MapUrlToZone CVE-2025-21189 CVE-2025-21219 CVE-2025-21268 CVE-2025-21269 CVE-2025-21276 CVE-2025-21328 CVE-2025-21329 CVE-2025-21332
- Windows Mark of the Web (MOTW) CVE-2025-21217
- Windows NTLM CVE-2025-21311
- Windows OLE CVE-2025-21298
- Windows PrintWorkflowUserSvc CVE-2025-21234 CVE-2025-21235
- Windows Security Account Manager CVE-2025-21313
- Windows SmartScreen CVE-2025-21314
- Windows SPNEGO Extended Negotiation CVE-2025-21295
- Windows Themes CVE-2025-21308
- Windows UPnP Device Host CVE-2025-21300 CVE-2025-21389
- Windows Web Threat Defense ユーザー サービス CVE-2025-21343
- Windows Win32K: GRFX CVE-2025-21338
- Windows WLAN Auto Config Service CVE-2025-21257
- Windows イベント トレーシング CVE-2025-21274
- Windows インストーラー CVE-2025-21275 CVE-2025-21287 CVE-2025-21331
- Windows カーネル メモリ CVE-2025-21316 CVE-2025-21317 CVE-2025-21318 CVE-2025-21319 CVE-2025-21320 CVE-2025-21321 CVE-2025-21323
- Windows クライアント側のキャッシュ (CSC) サービス CVE-2025-21374 CVE-2025-21378
- Windows スマート カード CVE-2025-21312
- Windows セキュア ブート CVE-2024-7344
- Windows テレフォニー サービス CVE-2025-21223 CVE-2025-21233 CVE-2025-21236 CVE-2025-21237 CVE-2025-21238 CVE-2025-21239 CVE-2025-21240 CVE-2025-21241 CVE-2025-21243 CVE-2025-21244 CVE-2025-21245 CVE-2025-21246 CVE-2025-21248 CVE-2025-21250 CVE-2025-21252 CVE-2025-21266 CVE-2025-21273 CVE-2025-21282 CVE-2025-21286 CVE-2025-21302 CVE-2025-21303 CVE-2025-21305 CVE-2025-21306 CVE-2025-21339 CVE-2025-21409 CVE-2025-21411 CVE-2025-21413 CVE-2025-21417
- Windows トラステッド プラットフォーム モジュール CVE-2025-21210 CVE-2025-21280 CVE-2025-21284
- Windows ブート ローダー CVE-2025-21211
- Windows メッセージ キュー CVE-2025-21220 CVE-2025-21230 CVE-2025-21251 CVE-2025-21270 CVE-2025-21277 CVE-2025-21285 CVE-2025-21289 CVE-2025-21290
- Windows リモート デスクトップ サービス CVE-2025-21225 CVE-2025-21278 CVE-2025-21297 CVE-2025-21309 CVE-2025-21330
- Windows 位置情報サービス CVE-2025-21301
- Windows 仮想化ベースのセキュリティ (VBS) エンクレーブ CVE-2025-21370
- Windows 回復環境エージェント CVE-2025-21202
- ライン プリンター デーモン (LPD) サービス CVE-2025-21224
0-day が 8 件も。攻略プログラムが確認されているのは Hyper-V の 3 件。 他は情報公開。
Access patch は副作用あり。
この更新プログラムは、この脆弱性をどのような方法で保護しますか?
この更新プログラムにより、潜在的に悪意のある拡張子が電子メールで送信されることはありません。どの種類の拡張子がブロックされますか?
ブロックされる拡張子は次のとおりです。
- accdb
- accde
- accdw
- accdt
- accda
- accdr
- accdu
関連:
不具合情報:
USBオーディオDACやサウンドデバイスが動作しない不具合。Windows10およびWindows11にて発生。Windows Update KB5049981 / KB5050021 / KB5050009に起因。対処方法あり (ニッチなPCゲーマーの環境構築Z, 2025.01.16)
上記更新プログラムをインストールすることでMicrosoftの汎用USBオーディオドライバのバージョンが10.0.19041.4355から10.0.19041.5369へとアップデートされます。ユーザー報告では、このドライバのアップデートに起因しているのではないかと疑われています。
Webカメラが動作しない不具合。Windows10 / Windows11で発生。これもWindows Update KB5049981 / KB5050021 / KB5050009が原因 (ニッチなPCゲーマーの環境構築Z, 2025.01.17)
不具合発生時は KB5049981 / KB5050021 / KB5050009 をアンインストールしてみる (アンインストールにより解決するか否かを確認する) のが吉のようで。
》 Facebookに現れた「タモリさん起訴」のフェイクニュース広告を調査―クリック先に待ち受けるものとは? (おたくま経済新聞, 1/14)
》 「イオンカード」のイオンFS、カード不正利用で“特損28億円”も増収増益 (ITmedia, 1/9)
》 スクエニ、カスハラ対応方針を明示 悪質な場合は「法的措置や刑事手続を含む対処を」 (ITmedia, 1/10)
》 手放したドメインを「パパ活サイト」に転用されたマカフィー、「別の法人により管理されていた」「非常に遺憾」 (ITmedia, 1/10)。blogs.mcafee.jp の件。 関連:
》 JAL、飛行機を“サメ肌”にして空気抵抗軽減 世界で初めて国際線に導入へ 1月中旬から (ITmedia, 1/20)
導入に当たり、JAXA(宇宙航空研究開発機構)と、塗装事業などを手掛けるオーウエル(大阪府大阪市)が協力。機体の表面のリブレット形状塗膜を施す際は、オーウエルの「Paint-to-Paint Method」(既存の塗膜上に水溶性の型で凹凸を形成する技術)を使用した。フィルムなどでの加工に比べ、重量の軽減や耐久性の向上が期待できるという。
》 Sweet QuaDreams or Nightmare before Christmas? Bill Marczak on Dissecting an iOS 0-Day (CitizenLab, 1/9)
》 MirrorFaceによるサイバー攻撃について(注意喚起) (警察庁, 1/8)
》 Appleが「Siriのプライバシー保護機能」について解説、可能な限りオフラインで処理しデータ収集は最小限 (gigazine, 1/10)
》 TikTok買収にドジャース元オーナーのフランク・マッコート率いる「Project Liberty」が正式立候補 (gigazine, 1/10)。はてさて。
》 TikTok禁止法の施行を前にTikTokはユーザーに「Lemon8」への脱出を推奨している (gigazine, 1/9)
Lemon8は、2020年に誕生した「コミュニティプラットフォーム・Shareee(シェアリー)」が、2021年に「ライフスタイル共有アプリ」として生まれ変わったもの。TikTokと同じく、ByteDanceが手がけるアプリです。
》 Instagram・Facebookでは露骨なポルノを含む迷惑詐欺広告が数多く表示されている、一方でMetaはポルノと関係のない投稿まで「ポリシー違反」として削除している (gigazine, 1/9)
》 「ハトにカメラを仕込んで撮影」など動物を使ったスパイ活動の成功例と失敗例について国際安全保障の専門家が解説 (gigazine, 1/10)
》 GoogleとLinux FoundationがChromiumの開発と維持を支援する基金「Supporters of Chromium-Based Browsers」を設立、MetaやMicrosoftなども参加 (gigazine, 1/10)
》 なぜトランプ次期大統領の関税引き上げ計画を経済学者は懸念しているのか? (gigazine, 1/10)。第1次トランプ政権の時にも関税引き上げ事例があったのですね。
》 GoogleとMicrosoftがトランプ大統領就任式におよそ1億6000万円ドルを寄付したことが明らかに (gigazine, 1/10)。うへえ。
》 トランプ氏の仮想通貨政策に暗雲か、アメリカ司法省が過去に押収した1兆円相当のビットコインの売却が認められたことで準備金が不足する可能性 (gigazine, 1/10)
》 仏独、トランプ次期米大統領に警告 グリーンランド支配の発言めぐり (BBC, 1/9)
》 Drupal 7 End of Life - PSA-2025-01-06 (Drupal, 1/6)。ついに終了。
》 北朝鮮:極超音速滑空ミサイル「火星16B」の発射試験に成功か (海国防衛ジャーナル, 1/7)
》 大川原化工機代理人「警察犯罪を裁く機会が奪われた」 虚偽の文書作成疑い、警視庁公安部の3人が不起訴に (東京, 1/8)。冤罪殺人事件なのに主犯はこの扱い。
》 Turkish Navy Unveils MUGEM: A Fully Indigenous Aircraft Carrier (Naval News, 2024.10.28)。トルコの 6万トン級空母 MUGEM。
いよいよ建造開始だそうで: トルコ海軍向けの6万トン級空母、国防省が建造作業の開始を発表 (航空万能論 GF, 1/4)
》 Microsoftが「93日を超えてライセンスの付与されていないOneDriveアカウント」へのアクセスを遮断する予定 (gigazine, 1/9)。また祭になるのだろうか。
》 プライバシーを勝手にオークションにかける「リアルタイム入札」について電子フロンティア財団が警鐘を鳴らす (gigazine, 1/9)
》 弾薬統合の自由、ドイツ軍の選択はGMARSではなくEuroPULS (航空万能論 GF, 1/8)
Defense Newsの取材に応じたドイツ国防省の報道官は「評価可能なGMLRSのプロトタイプを入手できなかった」「PULSを選択したオランダ軍はドイツ軍に深く統合されている」「同一システムを採用することで両軍の協力関係を強化できる」「PULSの運用国は射撃管制システムと使用する弾薬を独自に選択可能だ」と述べ、Defense Newsは「PULSに統合可能な弾薬にM270で使用していたGMLRSが含まれるかどうかは未解決な問題だ。ドイツ国防省の報道官も『米国側と緊密に協力している』と説明したが、Lockheed Martinは『もしPULSを選択すれば米国製弾薬にはアクセスできなくなる』と主張している」と指摘。
この拒絶は政治的もしくは商業的な側面に起因している可能性が高く、海外市場ではプラットホーム、弾薬、保守、サービスの全てを支配するやり方は不人気で、だからこそ武器システムの主権確保が調達時の重要なポイントになっているのだろう。
ひでえ。昨今のトランプ発言もそうだが、独立国家を馬鹿にしすぎだろ。
》 クルスク方面の戦い、ロシア軍の攻勢でウクライナ軍の左翼が急速に崩壊 (航空万能論 GF, 1/10)、 ロシア軍はウクライナ軍の攻勢を事前に察知、戦力を集中させて逆攻勢 (航空万能論 GF, 1/10)
》 ウクライナ兵1700人脱走か 当局が捜査開始 (TBS, 1/4)。第155機械化旅団 大量脱走事件。
“第155旅団の状況について全てをお話しよう。西部作戦司令部と陸軍司令部は(政治的ニーズ)を満たすためショーを演じることにした。彼らは路上から数千人を旅団に連れて来て、軍服を着せ、有能の指揮官が旅団の指揮を執ったが、組織を固めるための十分な時間が与えられなかった。そのため路上から旅団に連れてこられた者の中から大量に離脱者が出た。所属部隊からの無断離脱は犯罪ではないという法律が成立してしまったため、第155旅団に連れてこられた1,000人を越える人々は直ぐに帰宅してしまい、旅団長はБусифікація(動員対象年齢の男性を強制的に路上バスに押し込んで連れて行くことを指す新造語)された人々の責任を問われて解任されてしまった”
》 J-36はポジショニングと先制攻撃を追求した戦闘機、視界外戦闘に特化 (航空万能論 GF, 2024.12.31)。 AWACS キラーかなあ。
Ivanti Connect Secure / Policy Secure / ZTA Gateways に 2 件のセキュリティ欠陥、 remote から無認証で RCE CVE-2025-0282 と local user による権限上昇 CVE-2025-0283。 CVE-2025-0282 は 0-day。
CVE-2025-0282 を突いた侵入の有無は Integrity Checker Tool (ICT) で確認できるとされている。internal ICT と external ICT があるようなのだが、 external ICT は 対応済みバージョンである 22.7R2.5 以降でのみ利用可能な模様。
影響範囲:
| CVE-2025-0282 | CVE-2025-0283 | 対応済バージョン | |
|---|---|---|---|
| Ivanti Connect Secure | 22.7R2 〜 22.7R2.4 | 22.7R2.4 以前、 9.1R18.9 以前 | 22.7R2.5 |
| Ivanti Policy Secure | 22.7R1 〜 22.7R1.2 | 22.7R1.2 以前 | |
| Ivanti ZTA Gateways | 22.7R2 〜 22.7R2.3 | 22.7R2.3 以前 | 22.7R2.5 |
現時点では Ivanti Connect Secure 用の patch のみが用意されている。 Policy Secure / ZTA Gateways は 2025.01.21 に登場予定。
関連:
Mandiant has identified zero-day exploitation of CVE-2025-0282 in the wild beginning mid-December 2024. CVE-2025-0282 is an unauthenticated stack-based buffer overflow. Successful exploitation could result in unauthenticated remote code execution, leading to potential downstream compromise of a victim network.
While there are several variations during the exploitation of CVE-2025-0282, the exploit and script generally performs the following steps:remote から無認証で root 権限取られるってことなのですね。
- Disable SELinux
- Prevent syslog forwarding
- Remount the drive as read-write
- Write the script
- Execute the script
- Deploy one or more web shells
- Use sed to remove specific log entries from the debug and application logs
- Reenable SELinux
- Remount the drive
daitoshi.mlit.go.jp ドメインがハイジャックされオンラインカジノサイトが設置されていた (2025.01.09)
kyufukin.soumu.go.jp 等の件:
》 ClamAV 1.4 as Next Long-Term Stable (LTS) (ClamAV, 1/8)
》 刊行物『中小企業向けサイバーセキュリティ対策の極意』 (東京都産業労働局)。1/8 付で Ver.3.0 が公開されています。
》 「反戦詩」詠んだ与謝野晶子像に突然の撤去要請 裁判応酬の事態に (朝日, 1/8)。堺市長はもちろん維新。 維新はほんと駄目だな。
大都市交通センサスのドメイン daitoshi.mlit.go.jp がハイジャックされ、オンラインカジノサイトが設置されていた模様です。現在は修正されているそうです。 lame delegation ダメ、ゼッタイ。
@MLIT_JAPAN 国土交通省はなかったことにするつもりっぽいし、修正済みだから暴露しちゃえ
— random (@randomp23189307) December 6, 2024
ということで、先月まで、国交省https://t.co/I64bYAlW8K下のDNSの一部ゾーンが第三者に乗っ取られてました。
DNS素人なので間違ってるかもですが、Route53のlame delegationです
使われなくなったゾーンの委任消し忘れですね
— random (@randomp23189307) December 6, 2024
JPCERT/CC経由で報告し、現在は修正済みです
こちらから当時のDNSの様子が見れますhttps://t.co/ixXF9xVgeq
Let's Encryptで不正なワイルドカード証明書まで発行されちゃってます
— random (@randomp23189307) December 6, 2024
これはhttps://t.co/fptzWm77Vwで確認できます
https://t.co/ICKegrNp9a
— random (@randomp23189307) January 9, 2025
まだキャッシュに残ってました
https://www.slotshell.daitoshi.mlit.go.jp
Hell Slots: 人気の最新スロットを提供するオンライン カジノ。
* ヘルスロットで楽しみを見つけよう幅広いオンラインカジノゲームをお楽しみください素晴らしいボーナスとプロモーション付き今すぐゲームに参加しましょう!
kyufukin.soumu.go.jp 等の件:
Dangling (宙ぶらりんの) CNAME や NS は他にもたくさん見つかっていますが個々に安全性を確認する手間をかけていられず、見つけたものからリストを政府方面へお渡ししています。
GO.JP は総点検とドメイン運用ルールの見直しが必要だと思います。
また乗っ取りが容易なサービスを提供している事業者たちにも対策を求めたいですね。
》 ビッグテック企業は“ガザのジェノサイド”にどのように加担しているのか (p2ptk.org, 2024.10.15)
》 「優しい独裁者」から「権威主義者への迎合」に向かうテック業界 (p2ptk.org, 2024.12.12)
》 「人間がAIを監督する」という幻想 (p2ptk.org, 2024.12.09)
グリーンが指摘するように、リスクを伴う重要な決定をAIに任せ、その害を人間による監視で防ごうとする試みは「逆効果」を招く。「根本的な懸念に実質的に対処することなく、政府のアルゴリズムへの監視を緩める」のだから。人間による監視は「根拠のない安心感」を生み出し、アルゴリズムの重要分野への導入を促進し、その失敗の責任を人間に転嫁する。ダン・デイビスの言葉を借りれば、「責任の空洞化(accountability sink)」を作り出すのだ。
》 Hollywood Miscasts AI As The Terminator (NOEMA, 2024.10.11)。 以下の引用は DeepL 訳:
AIモデルが強力になりすぎて、独自の決定を下す恐れが出てきた場合、ビッグテックはプラグを抜くかキルスイッチを押せばいいと考えているようだ。 私はハラリに、そのような見方を信じているのかと尋ねた。
(中略)
AI官僚は無数に存在し、全世界で数十億人、あらゆるシステムに存在することになる。 医療システムにも、教育システムにも、軍隊にもいる。 数年後、どこかで大きな間違いを犯し、事態が制御不能に陥っていることに気づいたら、どうする? 世界中の軍隊や医療制度、教育制度をすべて停止することはできない。 そう考えるのは完全に非現実的であり、誤解を招く」
》 トランプ次期米大統領、グリーンランドとパナマ運河の支配めぐり脅し強める 「カナダ合併」にも言及 (BBC, 1/8)
》 中国政府は自動車用半導体の自給率を高めたがっている (gigazine, 1/8)
》 Huaweiはアメリカの厳しい制裁にもかかわらず復活し中国市場でiPhoneを追い上げつつある (gigazine, 1/7)
関連:
》 Tencentが中国軍との関係が疑われる企業のブラックリストに追加され株価7%超の下落、企業の評判悪化のほか財務省による制裁の圧力にさらされる可能性も (gigazine, 1/7)
》 サイバートラックがトランプ・ホテル前で爆発した事件の犯人はChatGPTで計画を練っていた (gigazine, 1/8)
》 「極右の毒が深刻な脅威に」「荒らしに餌を与えるな」マスク氏の介入、英独首相ら欧州指導者が相次ぎ反発 (新聞紙学的, 1/8)。だんだんあからさまになってきた。
関連: 【解説】 なぜマスク氏は各国の政治に介入しようとしているのか (BBC / Wedge, 1/8)
》 Meta、第三者によるファクトチェック廃止へ 政治コンテンツ制限緩和も (ITmedia, 1/8)。トランプ効果。
関連:
政治あるいは国家戦略の文脈に合わせてSNSプラットフォームも変化してきているようだ。中露が全領域での戦いを展開しているように米国も民間企業も含めた全領域の戦いに突入しようとしているのかもしれない。そう考えると、イーロン・マスクが米国の同盟国を民主主義を標榜する極右を通じて影響下におく試みも理解できる。
すでにプーチンは米国や欧州の極右を通じて影響工作を行っている。同じことをイーロン・マスクはやっているわけだ。ただし、イーロン・マスクの場合は、自由と経済発展という看板があるので、堂々と正体をさらしてできる。米国全領域作戦の一端を担えるし、自社の利益のために独自の作戦も可能となる。
》 米国 NSA、CISA、FBI他 イスラム革命防衛隊(IRGC)関連のサイバー犯罪者が、米国の上下水道システム施設を含む複数のセクターのPLCを悪用 (2024.12.18) (まるちゃんの情報セキュリティ気まぐれ日記, 1/3)。
標的はイスラエル製のPLC、HMIのようですので、日本ではあまり関係ないかもしれませんが、他社製と名乗っていても、実は元のシステムがイスラエル製で社名を変えて売られている可能性もあるので、念の為、といったところでしょうかね...
》 Treaties on the exchange and protection of classified information (electrospaces.net, 2024.12.31)
》 ランサムリークサイト観察記 2024年振り返り ((n)inja csirt, 1/7)
関連:
》 ケニアの村に重さ500kgの落下物、宇宙ゴミか 「家の敷地に落ちたら大惨事に」 (産経 / ITmedia, 1/7)
関連: アストロスケールの商業デブリ除去実証衛星「ADRAS-J」、宇宙空間でデブリから約15mの距離まで接近に成功 (アストロスケール, 2024.12.01)
》 カシオ、個人情報含む内部資料の一部流出を確認 ランサムウェア攻撃の調査で (ITmedia, 1/7)
出ました。Thunderbird 128.6.0esr はまだです。
Thunderbird 128.6.0esr が 2025.01.08 付で出てました。
Thunderbird 128.6.0esr がリリースされた (mozillaZine, 2025.01.08)
また Firefox 134.0.1 と Firefox for Android 134.0.1 が出ました。 セキュリティ修正は無いようです。
Firefox 134.0.1、Firefox for Android 134.0.1 がリリースされた (mozillaZine, 2025.01.15)
Chrome 131.0.6778.264/.265 (Windows / Mac) および 131.0.6778.264 (Linux) 公開。4 件のセキュリティ修正を含む。また $55000 とか出てるし。
関連:
》 グアムの陸上配備型イージスが弾道ミサイルの迎撃試験に成功 (海国防衛ジャーナル, 2024.12.22)
試験「FEM-02」では、まず、C-17から準中距離弾道ミサイル標的L3MRBM Type 1を空中発射。GDSのAN/TPY-6が探知、追跡、交戦までカバーし、陸上型Mk.41からSM-3ブロック2Aを発射、グアム沖の上空にてこれを迎撃しました。
当該試験においては、米海軍のイージス駆逐艦「ミリウス(DDG-69)」も標的に対して探知、追跡、交戦をシミュレート、米陸軍のTHAADも標的を追跡、そして海上自衛隊の護衛艦「はぐろ」も防空支援対処を演練したとのことです。
海自も参加していたのですね。 こういうのの訓練機会はなかなかないからなあ。
》 WordPress 6.7.1、カテゴリが勝手に複数選択される不具合。特定条件下で発生。当サイトも見事に被弾 (ニッチなPCゲーマーの環境構築Z, 1/6)
》 【重要】【リマインド】ActiveUpdateサーバのコードサイニング証明書更新について (トレンドマイクロ, 1/6)、 ActiveUpdateサーバのコードサイニング証明書更新に伴う影響について (トレンドマイクロ, 1/6 更新)
》 2024年末からのDDoS攻撃被害と関連性が疑われるIoTボットネットの大規模な活動を観測 (トレンドマイクロ セキュリティ blog, 1/6)
》 日本航空で発生した大量データ送付起因のネットワーク障害についてまとめてみた (piyolog, 2024.12.30)
》 サイバーセキュリティの「有事」に何が必要なのか ~Locked Shields2024演習参加からの考察~ (JPCERT/CC, 2024.12.25)
以上2つの特徴/意義を踏まえた上で、こうした演習が何に備えるために行われているのか今一度考える必要があります。冒頭に申し上げた通り、この演習はリアルタイムインシデント対応という現実の世界ではほとんど発生しない事案の対応を行います。
LockedShields演習の基本的なシナリオ設定もそうですが、重要インフラや政府のシステムが狙われる同時多発的なリアルタイムインシデントはいわゆる「有事[5]」です。刻々と変わる情勢の中で、ごく短時間で意思決定と対処をしなければ社会的に深刻な被害が拡大していきます。
》 制御システムセキュリティカンファレンス2025 (JPCERT/CC, 2024.12.19)。2025.02.05、ハイブリッド (東京都台東区 + オンライン)、無料 (要登録)。
》 しょせん他人事って言っても若いですなぁ。 (壇弁護士の事務室, 2024.12.25)。「しょせん他人事ですから」8巻の宣伝。
》 ISO-2022-JPによるXSSの話 (葉っぱ日記, 1/2)
》 お待たせしました!次号発売決定のお知らせ (「冤罪File」編集局公式ブログ, 2024.12.11)。「2025年3月1日(土)」。
》 人事労務管理のためのサービスをクラウド環境を利用して開発・提供する場合及び当該サービスを利用する場合における、個人情報保護法上の安全管理措置及び委託先の監督等に関する留意点について(注意喚起) (個人情報保護委員会, 2024.12.17)
》 Apple、「iOS 18.2.1」「iPadOS 18.2.1」をリリース (窓の杜, 1/7)
》 動く実物大ガンダムの“解体”現場に密着 NHK「解体キングダム」で8日放送 (ITmedia, 1/6)。明日。
》 VHS「2025年問題」思い出消滅の危機 迫る耐用年数、データ変換の依頼殺到 (産経 / ITmedia, 1/7)
国連教育科学文化機関(ユネスコ)がVHSなど磁気テープに保存された情報が失われる危険性への注意を喚起する「マグネティック・テープ・アラート」を発表したのは令和元(2019)年のこと。一般的にVHSテープの寿命は約20年、長くても30年ほどといわれている。ユネスコのアラートから5年、VHSテープの再生機器や部品は急速に姿を消しており、25年ごろに映像が見られなくなる危険があるという。
》 セキュリティソフト「マカフィー」になにが? 公式ブログが“パパ活”の記事を配信 (やじうま Watch, 1/6)
》 元旦に連続発生した自動車による殺傷事件には身元確認が厳密なはずのカーシェアリングサービス「Turo」の車両が使われていた (gigazine, 1/6)
》 最大の脅威は「組織化、ビジネス化するランサムウェア攻撃」。JASAが2025年の情報セキュリティ10大トレンド発表 (Internet Watch, 1/7)
》 Bing、Googleとデザイン激似の検索フォームでユーザーを誘い込んでいることが明らかに (やじうま Watch, 1/7)
巧妙なのは、この検索フォームの表示がMicrosoftによる広告というかたちを取っていること。実際、画面右上の「×」をクリックすると、この“広告”は非表示になる。
今 Edge で確認してみたら、確かに「マイクロソフトによる広告」としてにせ Google が表示されているなあ。Microsoft にとってのセキュリティってどうなってるの? と思って「Microsoft のプライバシーとセキュリティ ポリシーについて」 (Microsoft) を見てみると、
Microsoft は、お客様が製品を使用している間、セキュリティとプライバシーを保護Bingしています。
そもそも日本語が通じていないようだった。 (英語だと「Microsoft is committed to helping protect your security and privacy while you're using Bing products」)
》 「7つの失敗」で振り返る 2024年のAIシーン (MIT Technology Review, 1/3)
Deep Security Agent(Windows版)における不適切なパーミッションによるローカル権限昇格の脆弱性(CVE-2024-55955) (トレンドマイクロ, 2024.12.20)
Trend Micro Apex One および Trend Micro Apex One SaaS で確認された複数の脆弱性について(2024年12月) (トレンドマイクロ, 2024.12.17)
「libxml2」にXXE脆弱性 - 利用アプリに影響 (security-next, 2024.12.27)。 CVE-2024-40896
同脆弱性に関しては、現地時間7月24日にリリースされた「libxml2 2.13.3」「同2.12.9」「同2.11.9」にて修正されており、アップデートが呼びかけられている。
CVE-2024-40896 Analysis: libxml2 XXE due to type confusion (oss-sec ML, 2024.12.25)
iTerm2 < 3.5.11 logs input/ouput to /tmp/framer.txt on remote host (oss-sec ML, 2025.01.03)。iTerm2 3.5.6〜3.5.10 の欠陥。 3.5.11 で修正。
Androidにリモートコード実行の「Critical」な脆弱性 ~2025年1月セキュリティ更新 (窓の杜, 2025.01.07)
過去の記事: 2025 | 2024 | 2023 | 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998
![[セキュリティホール memo]](/~kjm/security/memo/memologo-s.png)