Day: January 20, 2025

7-Zip の脆弱性 CVE-2025-0411 が FIX:Mark-of-the-Web フラグの欠落

CVE-2025-0411: 7-Zip Security Vulnerability Enables Code Execution – Update Now

2025/01/20 SecurityOnline — 人気のファイル・アーカイバ 7-Zip で発見された脆弱性は、攻撃者に対して Windows セキュリティ防御の回避を許し、マルウェア展開の可能性を持つものである。先日に Trend Micro – Zero Day Initiative のセキュリティ研究者 Peter Girnus が発見したのは、7-Zip の脆弱性 CVE-2025-0411 (CVSS:7.0) であり、Windows の Mark-of-the-Web (MoTW) セキュリティ機能を、攻撃者が回避する可能性を生じるものだという。

Continue reading “7-Zip の脆弱性 CVE-2025-0411 が FIX:Mark-of-the-Web フラグの欠落”

HPE がサイバー攻撃について公表:IntelBroker が主張するデータ侵害とは?

HPE investigates breach as hacker claims to steal source code

2025/01/20 BleepingComputer — Hewlett Packard Enterprise (HPE) は、同社の開発環境から文書を盗んだとする脅威アクターの主張を受けて、新たな侵害に関する調査を実施中であると公表した。HPE の広報担当である Clare Loxley は、「セキュリティ侵害の証拠は見つかっていないが、脅威アクターの主張を調査中である。2025年1月16日の時点で、HPE の情報を所有していると、IntelBroker と呼ばれるグループが主張していることを認識した」と、BleepingComputer に語っている。

Continue reading “HPE がサイバー攻撃について公表:IntelBroker が主張するデータ侵害とは?”

TP-Link TL-WR940N ルーターの脆弱性 CVE-2024-54887:PoC と技術詳細の提供

TP-Link Vulnerability: PoC Exploit for CVE-2024-54887 Reveals Remote Code Execution Risks

2025/01/20 SecurityOnline — TP-Link TL-WR940N ルーターに影響を及ぼす、深刻な脆弱性 CVE-2024-54887 に対して、詳細な分析と PoC (Proof of Concept) エクスプロイト・コードが、セキュリティ研究者の Joward より公開された。この脆弱性は、デバイスの IPv6 DNS サーバのコンフィグ・パラメータの処理で発見された、バッファ・オーバーフローの欠陥に起因する。その悪用に成功した攻撃者は、任意のコード実行やサービス拒否攻撃を行う可能性を手にする。

Continue reading “TP-Link TL-WR940N ルーターの脆弱性 CVE-2024-54887:PoC と技術詳細の提供”

Sentry の SAML SSO 脆弱性 CVE-2025-22146 (CVSS 9.1):アカウント乗っ取りの可能性

CVE-2025-22146 (CVSS 9.1): Critical Sentry Vulnerability Allowed Account Takeovers

2025/01/20 SecurityOnline — エラー追跡/パフォーマンス監視のプラットフォームとして人気を博す Sentry において、深刻な脆弱性 CVE-2025-22146 (CVSS:9.1) に対するパッチが適用された。この脆弱性の悪用に成功した攻撃者は、ユーザー・アカウントの乗っ取りの可能性を手にする。

Continue reading “Sentry の SAML SSO 脆弱性 CVE-2025-22146 (CVSS 9.1):アカウント乗っ取りの可能性”

IBM Sterling Secure Proxy の複数の脆弱性 FIX:緩和策はなくアップデートが必須

IBM Sterling Secure Proxy Faces Multiple Critical Vulnerabilities: A Call for Immediate Action

2025/01/20 SecurityOnline — IBM が公開したのは、ビジネス・ネットワーク間での安全なデータ転送のための、重要なソリューションとして提供される、Sterling Secure Proxy (SSP) に影響を及ぼす複数の重大な脆弱性である。これらの脆弱性の悪用に成功した攻撃者は、コマンドの挿入/機密情報へのアクセス/サービス拒否などを達成する可能性を手にする。

Continue reading “IBM Sterling Secure Proxy の複数の脆弱性 FIX:緩和策はなくアップデートが必須”

OWASP の Smart Contract 脆弱性 Top-10:2025年の傾向を探る

OWASP Unveils Top 10 Smart Contract Vulnerabilities for 2025

2025/01/20 SecurityOnline — Open Web Application Security Project (OWASP) は、2025年において Smart Contract に影響を与え得る、脆弱性の Top-10 リストを更新した。この包括的なドキュメントは、Smart Contract で最重視されるべき脆弱性を特定し、分散型エコシステムのリスクを軽減するためのロードマップを、開発者とセキュリティ専門家に提供するものである。

Continue reading “OWASP の Smart Contract 脆弱性 Top-10:2025年の傾向を探る”