CVE-2025-20156 (CVSS 9.9): Cisco Meeting Management Flaw Allows for Privilege Escalation
2025/01/22 SecurityOnline — Cisco が発行したのは、同社の Meeting Management ソフトウェアに存在する、深刻な権限昇格の脆弱性 CVE-2025-20156 (CVSS:9.9) に対処するセキュリティ・アドバイザリである。この脆弱性の悪用に成功した、低権限を持つ認証済みの攻撃者は、リモートから影響を受けるデバイスにアクセスし、管理者レベルへと権限を昇格させる可能性を手にする。
Continue reading “Cisco Meeting Management の脆弱性 CVE-2025-20156 (CVSS 9.9) が FIX:ただちにアップデートを!”Signal and Discord Vulnerabilities Exposed: 0-Click Deanonymization Attack Revealed
2025/01/22 SecurityOnline — セキュリティ研究者である Daniel (別名 hackermondev) が明らかにしたのは、ユーザーの位置情報を公開できる、ゼロ・ クリックによる匿名化解除の攻撃の可能性である。この攻撃は、Signal や Discord などのアプリケーションをターゲットにするものであり、Cloudflare のインフラのキャッシュ・メカニズムを悪用して、ユーザー操作を必要とすることなく、半径 250 マイル以内のユーザーの位置情報を推測するというものだ。
Continue reading “Signal/Discord の位置情報が漏れる:CDN キャッシュの追跡とデータセンターの特定”Security Update for Chrome: Protect Against CVE-2025-0611 and CVE-2025-0612
2025/01/22 SecurityOnline — Google が公表したのは、Chrome Web ブラウザにおける、重要なセキュリティ・アップデートのリリース情報である。このアップデートは、3つの脆弱性に対処するものだが、そのうち2つは深刻度 High と評価されている。ユーザーに推奨されるのは、最新バージョン (132.0.6834.110/111) へと、Chrome を速やかに更新することだ。
Continue reading “Google Chrome の脆弱性 CVE-2025-0611/0612 が FIX:ただちにパッチを!”Cisco warns of denial of service flaw with PoC exploit code
2025/01/22 BleepingComputer — Cisco がリリースしたセキュリティ・アップデートは、すでに PoC エクスプロイト・コードが公開されている、ClamAV の脆弱性 CVE-2025-20128 を修正するものだ。脆弱性 CVE-2025-20128 の原因は、Object Linking and Embedding 2 (OLE2) 復号ルーチンにおけるヒープベース・バッファ・オーバーフローの欠陥にある。この脆弱性の悪用に成功した未認証のリモートの攻撃者は、脆弱性のあるデバイス上でサービス拒否 (DoS) 状態を引き起こせるという。
Continue reading “Cisco ClamAV の DoS 脆弱性 CVE-2025-20128 が FIX:すでに PoC が提供”
IoT OT Security News 