Day: July 14, 2025

Wing FTP Server の脆弱性 CVE-2025-47812 (CVSS:10.0):積極的な悪用が始まった

Wing FTP Server Vulnerability Actively Exploited – 2000+ Servers Exposed Online

2025/07/14 CyberSecurityNews — Wing FTP Server に存在する深刻な脆弱性だが、技術情報が公開された翌日に、すでに悪用されていたという事実を、セキュリティ研究者たちが確認した。この脆弱性 CVE-2025-47812 (CVSS:10.0) を悪用する未認証の攻撃者は、root 権限/SYSTEM 権限による、リモート・コード実行の可能性を手にする。

Continue reading “Wing FTP Server の脆弱性 CVE-2025-47812 (CVSS:10.0):積極的な悪用が始まった”

RenderShock という 0-Click 脆弱性:Explorer/Quick Look 自動処理の悪用を生み出す

RenderShock 0-Click Vulnerability Executes Payloads via Background Process Without User Interaction

2025/07/14 CyberSecurityNews — RenderShock と呼ばれる高度なゼロクリック攻撃手法は、最新のオペレーティング・システムにおける受動的なファイル・プレビュー機能およびインデックス作成機能の動作を悪用し、ユーザーの操作を必要とすることなく、悪意のペイロードを実行するものだ。従来のフィッシング攻撃は、ユーザーを騙すことで、悪意のリンクのクリックや、感染した添付ファイルのオープンに依存してきた。その一方で RenderShock は、システムに組み込まれた自動化機能を悪用することで、正当なバックグラウンド・プロセスを経由して侵害を達成するという。

Continue reading “RenderShock という 0-Click 脆弱性:Explorer/Quick Look 自動処理の悪用を生み出す”

WinRAR の未知のゼロデイ・エクスプロイトが登場:ダークウェブ上の価格は $80,000!

WinRAR 0‑Day Exploit Listed for $80K on Dark Web Forum

2025/07/14 gbhackers — 世界で最も普及しているファイル圧縮ユーティリティとも言える、WinRAR を標的とする高度なゼロデイ・エクスプロイトが、ダークウェブ上のマーケット・プレイスに $80,000 という高額で出品されている。この未知のリモート・コード実行 (RCE) 脆弱性は、広く使用されている WinRAR の新旧バージョンに影響を及ぼすとされ、世界中の何百万人ものユーザーに、深刻な懸念を引き起こしている。

Continue reading “WinRAR の未知のゼロデイ・エクスプロイトが登場:ダークウェブ上の価格は $80,000!”

英国が立ち上げる新たな脆弱性研究イニシアチブ VRI:外部の研究者との連携を深める!

UK launches vulnerability research program for external experts

2025/07/14 BleepingComputer — 英国の National Cyber Security Centre (NCSC) が発表したのは、外部のサイバー・セキュリティ専門家との関係強化を目的とする、新たな脆弱性研究イニシアチブ (VRI:Vulnerability Research Initiative) の立ち上げである。すでに NCSC は、広範なテクノロジーに関する内部的な脆弱性調査を実施しており、今後も継続していく方針であるという。しかし、今回の VRI の立ち上げにより、重要な知見の発見および、コミュニティへの迅速な情報共有のための、並行的なプログラムが創設されることになる。

Continue reading “英国が立ち上げる新たな脆弱性研究イニシアチブ VRI:外部の研究者との連携を深める!”

Google Gemini for Workspace の脆弱性:間接プロンプト・インジェクションという新たな攻撃ベクター

Google Gemini for Workspace Vulnerability Lets Attackers Hide Malicious Scripts in Emails

2025/07/14 CyberSecurityNews — Google Gemini for Workspace に存在する深刻な脆弱性を、セキュリティ研究者たちが発見した。この脆弱性を悪用する攻撃者は、メール本文内に悪意の指示を秘密裏に埋め込み、認証情報の窃取やソーシャル・エンジニアリング攻撃を引き起こす可能性を手にする。この攻撃は、AI アシスタントの “Summarize this email” 機能を悪用するものであり、Google からの送信を巧妙に装う、偽のセキュリティ警告を表示する仕組みを用いるものだ。

Continue reading “Google Gemini for Workspace の脆弱性:間接プロンプト・インジェクションという新たな攻撃ベクター”