Day: October 2, 2025

米国法 CISA 2015 は存続できるのか?議会の膠着が引き起こすインテリジェンス共有の危機とは?

Expired US Cyber Law Puts Data Sharing and Threat Response at Risk

2025/10/02 InfoSecurity — 米国政府が公表したのは、サイバー脅威インテリジェンスの共有において、法的責任から企業を保護する重要な米国法が、政府予算をめぐる議会の膠着状態の中で合意に至らず失効したという事実である。CISA 2015 (2015 Cybersecurity Information Sharing Act) は、Automated Indicator Sharing Program (AIS) と呼ばれる任意のプログラムを通じて、サイバー脅威データを交換する際に、企業を訴訟から保護するものであった。この法律は、米国議会が期限前に延長を決議しない限り、9月30日に失効すると予想されていた。

Continue reading “米国法 CISA 2015 は存続できるのか?議会の膠着が引き起こすインテリジェンス共有の危機とは?”

VMware Workstation の脆弱性 CVE-2023-20869/20870/34044 に対する PoC:NCC Group 研究者が公開

PoC exploit Released for VMware Workstation guest-to-host escape Vulnerability

2025/10/02 CyberSecurityNews — VMware Workstation に存在する、深刻な脆弱性 CVE-2023-20869/CVE-2023-20870/CVE-2023-34044 の連鎖に対する PoC エクスプロイトが、NCC Group のセキュリティ研究者 Alexander Zaviyalov により公開された。この PoC を悪用する攻撃者は、ゲスト仮想マシンからエスケープし、ホスト OS 上で任意のコードを実行できる。

Continue reading “VMware Workstation の脆弱性 CVE-2023-20869/20870/34044 に対する PoC:NCC Group 研究者が公開”

Termux Docker の脆弱性 CVE-2025-59951:SSH 認証情報の漏洩 No Patch/Yes PoC

Termux Docker Image Leaking SSH Credentials (CVE-2025-59951)

2025/10/02 gbhackers — Termux の公式 Docker イメージに保持される SSH 認証情報が漏洩するという、深刻な脆弱性 CVE-2025-59951 が発見された。この脆弱性を悪用するネットワーク上の任意のユーザーは、ログインを必要とせずに、ホストアドレス/ユーザー名/パスワードといった機密情報を取得する可能性がある。

Continue reading “Termux Docker の脆弱性 CVE-2025-59951:SSH 認証情報の漏洩 No Patch/Yes PoC”

Red Hat を襲ったデータ侵害:28,000 件の GitHub リポジトリから 570GB の圧縮データが奪われる

Red Hat Data Breach – Threat Actors Claim Breach of 28K Private GitHub Repositories

2025/10/02 CyberSecurityNews — Crimson Collective として知られる恐喝グループの犯行声明は、Red Hat の GitHub 非公開リポジトリ 28,000 件に侵入し、約 570GB の圧縮データを盗み出したというものだ。この窃取されたデータには、不正に抽出されたソースコードや機密情報などが含まれ、これまでの最大級の侵害だとされる。

Continue reading “Red Hat を襲ったデータ侵害:28,000 件の GitHub リポジトリから 570GB の圧縮データが奪われる”

Chrome 141 の 21件の脆弱性が FIX:深刻度 High のヒープバッファ・オーバーフローも含まれる

Chrome Security Update Addressing 21 Vulnerabilities

2025/10/02 gbhackers — Chrome チームが公表したのは、Windows/Mac/Linux 向けの Stable チャンネルにリリースされた、Chrome 141.0.7390.54/55 に関する情報である。このアップデートでは、21件のセキュリティ脆弱性が修正されているが、その中には、深刻 High の欠陥も含まれる。今後の数日から数週にかけて、新たなバージョンが順次展開されていくという。ユーザーに対して強く推奨されるのは、速やかなアップデートにより、安全なブラウジング環境を確保することだ。なお、これらの修正には、外部の研究者の貢献によるものが多くあり、最大 $25,000 報奨金が支払われている。

Continue reading “Chrome 141 の 21件の脆弱性が FIX:深刻度 High のヒープバッファ・オーバーフローも含まれる”

Splunk Enterprise/Cloud の6件の脆弱性が FIX:SSRF や任意のコード実行などの恐れ

Multiple Splunk Enterprise Vulnerabilities Let Attackers Execute Unauthorized JavaScript code

2025/10/02 CyberSecurityNews — Splunk が発表したのは、Splunk Enterprise/Cloud Platform 製品に存在する、複数の脆弱性に対するパッチである。これらの脆弱性を悪用する攻撃者は、不正な JavaScript コードの実行/機密情報へのアクセス/サービス拒否 (DoS) などの攻撃を仕掛ける可能性がある。2025年10月1日に公開された、これらのアドバイザリでは、深刻度 Medium〜High レベルの6件のセキュリティ上の欠陥について詳細に説明されている。

Continue reading “Splunk Enterprise/Cloud の6件の脆弱性が FIX:SSRF や任意のコード実行などの恐れ”