セキュリティホール memo

Last modified: Mon Mar 31 19:10:54 2025 +0900 (JST)


Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。

ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。

このページの情報を利用される前に、注意書きをお読みください。


[ 定番情報源 ] 過去の記事: 2024 | 2023 | 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[SCAN Security Wire NP Prize 2001]

「Scan Security Wire」 主催の SCAN Security Wire NP Prize 2001 を受賞しました。

 

「ネットランナー」の ベスト・オブ・常習者サイト 2003 で金賞を、ベスト・オブ・常習者サイト 2004 で銀賞を受賞しました。


復刊リクエスト受付中:

ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在58票)
中山信弘「ソフトウェアの法的保護」 (現在112票) (オンデマンド購入可)
陸井三郎訳・編「ベトナム帰還兵の証言」 (現在109票)
林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在175票)
田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定)

RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。
今すぐ Really Simple Syndication がほしい人は、のいんさんによる Web サイトの RSS を勝手に出力するプロジェクト ……のものがうまくいっていないようなので、 セキュmemoのRSS生成 をご利用ください。Tamo さん情報ありがとうございます。

実用 SSH 第2版: セキュアシェル徹底活用ガイド

2025.03.28


2025.03.27

Chrome Stable Channel Update for Desktop
(Google, 2025.03.25)

 Chrome 134.0.6998.177/.178 (Windows) 公開。 Mojo の 0-day 欠陥 CVE-2025-2783 に対応。Kaspersky からの通報だそうで。 関連:

いろいろ (2025.03.27)
(various)

VMware Tools for Windows


2025.03.26


2025.03.24

追記

Chrome Stable Channel Update for Desktop (2025.03.21)


2025.03.21

Chrome Stable Channel Update for Desktop
(Google, 2025.03.19)

 Chrome 134.0.6998.117/.118 (Windows / Mac) および 134.0.6998.117 (Linux) 公開。2 件のセキュリティ修正を含む。関連:

2025.03.24 追記:

 関連:

追記

いろいろ (2025.02.19) PostgreSQL

Apple 方面 0-day 修正 (iOS / iPadOS, visionOS, macOS, Safari) (2025.03.12)

いろいろ (2025.03.21)
(various)

Drupal

kubernetes

expat

Vim

PHP

au HGW-BL1500HM (ASKEY Computer Corporation RT5770VW)


2025.03.19


2025.03.18


2025.03.17

VMSA-2025-0004: VMware ESXi, Workstation, and Fusion updates address multiple vulnerabilities (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226)
(Broadcom, 2025.03.04)

 VMware ESXi 7.0 / 8.0, Workstation 17.x, Fusion 13.x, Cloud Foundation 4.5.x / 5.x, Telco Cloud Platform 5.x / 4.x / 3.x / 2.x, Telco Cloud Infrastructure 3.x / 2.x に 3 件の 0-day 欠陥。 ゲスト OS からホスト OS を攻略できる等の欠陥がある。 CVE-2025-22224 CVE-2025-22225 CVE-2025-22226

VMware would like to thank Microsoft Threat Intelligence Center for reporting this issue to us.

 Microsoft から通報があったようで。

 patch もしくは更新版が用意されているので適用すればよい。

 関連:


2025.03.14


2025.03.13


2025.03.12

2025 年 3 月のセキュリティ更新プログラム (月例)
(Microsoft, 2025.03.11)

 出ました。57 Microsoft CVE + 10 non-MS CVE。 [CVE 番号が太字]なのは critical (最大深刻度: 緊急) 扱い。 DNS サービスや WSL2 が critical に含まれてるなあ……。

 0-day が 7 件もあるよ。情報開示のみは 1 件 CVE-2025-26630 だけ、残り 6 件は攻略済。

 関連:

2025.03.27 追記:

 0-day である Microsoft 管理コンソールのセキュリティ機能バイパスの脆弱性 CVE-2025-26633 (Microsoft, 2025.03.11) の解説:

Adobe 方面 (Acrobat / Substance 3D Sampler / Substance 3D Painter / Substance 3D Modeler / Substance 3D Designer / Illustrator / InDesign)
(Adobe, 2025.03.11)

 いずれも Priority: 3。

Chrome Stable Channel Update for Desktop
(Google, 2025.03.10)

 Chrome 134.0.6998.88/.89 (Windows / Mac) および 134.0.6998.88 (Linux) 公開。Mac への 0-day CVE-2025-24201 を含む 5 件のセキュリティ修正。関連:

Apple 方面 0-day 修正 (iOS / iPadOS, visionOS, macOS, Safari)
(Apple, 2025.03.11)

 iOS 17.2 で対策された、 Web Content sandbox を突破できる欠陥の補足的な修正……だそうだが、 新たな CVE 番号 CVE-2025-24201 が付与されているところを見ると、 iOS 17.2 における対策が不十分で再度突破された、ということなのか?

2025.03.21 追記:

 WebKitGTK and WPE WebKit Security Advisory WSA-2025-0002 (oss-sec ML, 2025.03.20)。 CVE-2024-44192 CVE-2024-54467 CVE-2025-24201 を修正。


2025.03.11

JVNVU#93567491 Apache Tomcat partial PUTにおけるリモートコード実行、情報漏えいや改ざんの脆弱性(CVE-2025-24813)
(JVN, 2025.03.11)

 Apache Tomcat 11.0.3 / 10.1.35 / 9.0.99 未満に欠陥。

Apache Tomcatのpartial PUTの元の実装では、ユーザーが指定したファイル名とパスを基にパス区切り文字を「.」に置き換えた一時ファイルが使用されています。

 一時ファイル名を推測できる欠陥があるそうで。 Apache Tomcat 11.0.3 / 10.1.35 / 9.0.99 で修正されている。


2025.03.10

何百万台ものIoT端末に使用されているESP32チップに個人情報窃盗につながる可能性のある隠し機能が存在
(gigazine, 2025.03.10)

 結論: バックドアではない。関連:


2025.03.07


2025.03.06

いろいろ (2025.03.06)
(various)

LibreOffice

Android

Chrome Stable Channel Update for Desktop
(Google, 2025.03.04)

 Chrome 134.0.6998.35 (Linux) 134.0.6998.35/36 (Windows) 134.0.6998.44/45 (Mac) が stable に。14 件のセキュリティ修正を含む。関連:

Firefox 136.0 / 128.8.0 ESR、Thunderbird 136.0 / 128.8.0 ESR 公開
(Mozilla, 2025.03.04)

 Thunderbird も release 版と ESR 版の 2 本立てになりました。

 関連:


2025.03.05


2025.03.04


2025.03.03


過去の記事: 2025 | 2024 | 2023 | 2022 | 2021 | 2020 | 2019 | 2018 | 2017 | 2016 | 2015 | 2014 | 2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998


[セキュリティホール memo]
[私について]