セキュリティホール memo

Last modified: Wed Apr 23 14:11:06 2025 +0900 (JST)


Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

このページの情報を利用される前に、注意書きをお読みください。


[ 定番情報源 ] 過去の記事: 2024 | 2023 | 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在58票)
中山信弘「ソフトウェアの法的保護」 (現在112票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在109票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在175票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2025.04.23


2025.04.22

いろいろ (2025.04.22)
(various)

SoftEther / PacketiX

ASUS 製 Wi-Fi ルーター (AiCloud 機能)

追記

Active! mail 6の脆弱性に関する重要なお知らせ (2025.04.18)

2025 年 4 月のセキュリティ更新プログラム (月例) (2025.04.09)

 Windows Server 2019 / 2022 向けに、さらなる定例外 patch が公開されました。 Windows コンテナーを「Hyper-V 分離」モードで使用している場合に不具合があったのだそうです。


2025.04.21


2025.04.18

Active! mail 6の脆弱性に関する重要なお知らせ
(クオリティア, 2025.04.18)

 Active! mail 6 に 0-day 欠陥。 stack overflow する欠陥があり、 remote から任意のコードを実行できる。 CVE-2025-42599

 Active! mail 6 BuildInfo: 6.60.06008562 (2025.04.16 公開) で修正されている。

 関連:

2025.04.22 追記:

 関連:

Apple 方面 0-day (iOS / iPadOS, tvOS, visionOS, macOS)
(Apple, 2025.04.16)

 0-day 2 件です。


2025.04.17

Chrome Stable Channel Update for Desktop
(Google, 2025.04.15)

 Chrome 135.0.7049.95/.96 (Windows / Mac) および 135.0.7049.95 (Linux) 公開。 2 件のセキュリティ修正を含む。関連:

追記

Firefox 137.0 / 128.9.0 ESR、Thunderbird 137.0 / 128.9.0 ESR 公開 (2025.04.02)

 Firefox 137.0.2 と Thunderbird 137.0.2 / 128.9.2esr 公開されてました。 セキュリティ修正を含みます。 Firefox ESR は更新されていません。

Unauthenticated Remote Code Execution in Erlang/OTP SSH
(Erlang/OTP, 2025.04.17)

 Erlang/OTP の SSH サーバーに重大な欠陥、 攻撃者が無認証で RCE できる。Erlang/OTP 全バージョンに影響。 CVE-2025-32433

 OTP-27.3.3 / OTP-26.2.5.11 / OTP-25.3.2.20 で修正されている。 更新するまでは Erlang/OTP SSH サーバーの停止が推奨されている。


2025.04.16


2025.04.15


2025.04.14

いろいろ (2025.04.14)
(various)

Adobe ColdFusion / After Effects / Media Encoder / Bridge / Commerce / AEM Forms / Premiere Pro / Photoshop / Animate / AEM Screens / FrameMaker / XMP Toolkit SDK

ESET クライアント向けアンチウイルス製品 Windows 版

Rufus

追記

2025 年 4 月のセキュリティ更新プログラム (月例) (2025.04.09)

Office 2026 用 patch KB5002700 に欠陥があり、追加修正版 KB5002623 が公開された。 どちらか一方ではなく両方ををインストールすること。

いつもの、終了直前プロダクトへのいやがらせですかね……。

あと、Windows 11 KB5055528 / Server 2022 KB5055526 / Server 2019 KB5055519 / Server 2016 KB5055521 / Azure Stack HCI 22H2 KB5055526 patch の「既知の問題」に書かれている

Active Directory グループ ポリシー: ローカル ポリシーのイベント

Active Directory グループ ポリシーのローカル ポリシーでログオン/ログオフ イベントを監査すると、デバイスが有効になっていて期待どおりに動作していても、デバイスで有効として表示されない可能性があります。 これは、ローカル グループ ポリシー エディターまたはローカル セキュリティ ポリシーで確認できます。ローカル監査ポリシーには、セキュリティ設定が "監査なし" の "監査ログオン イベント" ポリシーが表示されます。

この問題は、レポートの不整合としてのみ現れる可能性があります。 ログオン イベントがデバイスで正しく監査されている可能性があります。 ただし、"ログオン イベントの監査" ポリシーには、このようなことが反映されません。 ログオン監査は通常、エンタープライズ環境でのみ必要であるため、ホーム ユーザーがこの問題の影響を受ける可能性は低いです。

を修正する定例外 patch が公開されたそうだ。ただし Microsoft Update カタログのみ。 Windows Update では公開されない。

Firefox 137.0 / 128.9.0 ESR、Thunderbird 137.0 / 128.9.0 ESR 公開 (2025.04.02)

Firefox 137.0.1 と Thunderbird 137.0.1 公開されてました。 セキュリティ修正は無い。

Chrome Stable Channel Update for Desktop
(Google, 2025.04.08)

 そういえば Chrome 135.0.7049.84/.85 (Windows / Mac) および 135.0.7049.84 (Linux) 出てました。 セキュリティ修正 2 件を含む。関連。


2025.04.11


2025.04.10


2025.04.09

2025 年 4 月のセキュリティ更新プログラム (月例)
(Microsoft, 2025.04.08)

 出ました。126 Microsoft CVE + 9 non-MS CVE。 CVE 番号が太字 なのは critical (最大深刻度: 緊急) 扱い。

 0-day は 1 件。

 あと Critilal に Windows TCP/IP RCE とあってびっくり。

 関連:

2025.04.14 追記:

 Office 2026 用 patch KB5002700 に欠陥があり、追加修正版 KB5002623 が公開された。 どちらか一方ではなく両方ををインストールすること。

 いつもの、終了直前プロダクトへのいやがらせですかね……。

 あと、Windows 11 KB5055528 / Server 2022 KB5055526 / Server 2019 KB5055519 / Server 2016 KB5055521 / Azure Stack HCI 22H2 KB5055526 patch の「既知の問題」に書かれている

Active Directory グループ ポリシー: ローカル ポリシーのイベント

Active Directory グループ ポリシーのローカル ポリシーでログオン/ログオフ イベントを監査すると、デバイスが有効になっていて期待どおりに動作していても、デバイスで有効として表示されない可能性があります。 これは、ローカル グループ ポリシー エディターまたはローカル セキュリティ ポリシーで確認できます。ローカル監査ポリシーには、セキュリティ設定が "監査なし" の "監査ログオン イベント" ポリシーが表示されます。

この問題は、レポートの不整合としてのみ現れる可能性があります。 ログオン イベントがデバイスで正しく監査されている可能性があります。 ただし、"ログオン イベントの監査" ポリシーには、このようなことが反映されません。 ログオン監査は通常、エンタープライズ環境でのみ必要であるため、ホーム ユーザーがこの問題の影響を受ける可能性は低いです。

を修正する定例外 patch が公開されたそうだ。ただし Microsoft Update カタログのみ。 Windows Update では公開されない。

2025.04.22 追記:

 Windows Server 2019 / 2022 向けに、さらなる定例外 patch が公開されました。 Windows コンテナーを「Hyper-V 分離」モードで使用している場合に不具合があったのだそうです。


2025.04.07

いろいろ (2025.04.07)
(various)

Oracle Cloud

WinRAR

因幡電機産業 AC-WPS-11ac

Chrome Stable Channel Update for Desktop
(Google, 2025.04.01)

 Chrome 135.0.7049.52 (Linux) および 135.0.7049.41/42 (Windows / Mac) が stable に。 13 件のセキュリティ修正を含む。関連:


2025.04.04

Ivanti Connect Secureなどにおける脆弱性(CVE-2025-22457)に関する注意喚起
(JPCERT/CC, 2025.04.04)

 Ivanti Connect Secure / Pulse Connect Secure / Policy Secure / ZTA Gateways に RCE を招く 0-day 欠陥。 CVE-2025-22457

 関連: Suspected China-Nexus Threat Actor Actively Exploiting Critical Ivanti Connect Secure Vulnerability (CVE-2025-22457) (Mandiant, 2025.04.04)。DeepL 訳:

CVE-2025-22457 はバッファオーバーフローの脆弱性で、悪用に成功するとリモートでコードが実行されます。 Mandiant と Ivanti は、ICS 9.X (end of life) と 22.7R2.5 およびそれ以前のバージョンに対して、アクティブに悪用されている証拠を確認しました。 Ivanti と Mandiant は、すべてのユーザーができるだけ早くアップグレードすることを推奨します。

2025.04.03


2025.04.02

いろいろ (2025.04.02)
(various)

Mbed TLS

  • Mbed TLS 3.6.3 (GitHub, 2025.03.24)。2 件のセキュリティ修正を含みます。 iida さん情報ありがとうございます。

追記

JVNVU#93567491 Apache Tomcat partial PUTにおけるリモートコード実行、情報漏えいや改ざんの脆弱性(CVE-2025-24813) (2025.03.11)

Firefox 137.0 / 128.9.0 ESR、Thunderbird 137.0 / 128.9.0 ESR 公開
(Mozilla, 2025.04.01)

 出ました。ようやくタブグループ実装ですか。ありがとう。

 ……おっと、タブグループ自体を直接移動させることができないぞ。 両隣のタブを移動させることで、順繰りに移動させるしかない。

 関連:

2025.04.14 追記:

 Firefox 137.0.1 と Thunderbird 137.0.1 公開されてました。 セキュリティ修正は無い。

2025.04.17 追記:

 Firefox 137.0.2 と Thunderbird 137.0.2 / 128.9.2esr 公開されてました。 セキュリティ修正を含みます。 Firefox ESR は更新されていません。


2025.04.01

追記

Apple 方面 0-day 修正 (iOS / iPadOS, visionOS, macOS, Safari) (2025.03.12)

 iOS / iPadOS 16.7.11 / 15.8.4 でも修正されたようです。

 しかし iPadOS 17 系列の修正は出てないっぽいのがよくわからないんですね。 iPadOS ではトリガーにならないような欠陥なのでしょうか。

Apple 方面 (iOS / iPadOS, tvOS, visionOS, macOS, Safari, Xcode)
(Apple, 2025.03.31)

 出ました。

2025.04.02 追記:

 watchOS 更新出ました。


過去の記事: 2025 | 2024 | 2023 | 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[セキュリティホール memo]
[私について]