Day: June 3, 2026

Google Gemini の間接プロンプト・インジェクション:Slack/SMS などからペイロードを配信

New Google Gemini Vulnerability Exploited via Prompt Injections from WhatsApp, Slack, and SMS

2026/06/03 CyberSecurityNews — Google Gemini の音声アシスタントを標的とする、新たな間接プロンプト・インジェクション (IPI) 攻撃クラスが発見された。WhatsApp/Slack/Signal/SMS/Instagram/Messenger などの、日常的なメッセージング・アプリを通じて配信される悪意のペイロードにより、AI が密かに乗っ取られる可能性がある。

Continue reading “Google Gemini の間接プロンプト・インジェクション:Slack/SMS などからペイロードを配信”

GitHub Actions ワークフローの問題:38% のユーザー組織にスクリプト・インジェクションの可能性

38% of GitHub Actions Workflows Exposed to Script Injection Risks

2026/06/03 gbhackers — GitHub Actions ワークフローを使用するユーザー組織の 38% が、スクリプト・インジェクションまたは不正なトリガー・コンフィグに対して脆弱であることが、Datadog の分析により判明した。それが浮き彫りにするのは、現代のソフトウェア・サプライチェーンにおいてリスクが増大している現状である。GitHub は、YAML で定義されたワークフローと再利用可能なアクションを通じて、ビルド/テスト/デプロイを自動化する開発パイプラインの中核を担っている。

Continue reading “GitHub Actions ワークフローの問題:38% のユーザー組織にスクリプト・インジェクションの可能性”

Windows の NTLMv2 ハッシュ漏洩の脆弱性 CVE-N/A:Huntress がエクスプロイトを確認

Windows Search URI Handler Flaw Leaks NTLMv2 Hashes to Attacker-Controlled Servers

2026/06/03 CyberSecurityNews — Windows の “search URI” ハンドラーで発見された脆弱性 CVE-N/A により、攻撃者が用意したサーバへ向けて NTLMv2 ハッシュが漏洩する可能性がある。この挙動は、Snipping Tool の CVE-2026-33829 と同一クラスのバグであり、ユーザーによる 1 回のリンク・クリックで発生するものであるが、Microsoft は CVE 割り当ても修正も行っていない。

Continue reading “Windows の NTLMv2 ハッシュ漏洩の脆弱性 CVE-N/A:Huntress がエクスプロイトを確認”

悪意の Chrome エクステンション 50件以上を検出:Chrome Web Store 審査を巧妙に回避

50+ Malicious Chrome Extensions Hit 30K Users

2026/06/03 gbhackers — ライブ壁紙ユーティリティを装う、50 件以上の悪意の Chrome エクステンションが検出された。それらは、ブラウザ挙動を乗っ取り、約 30,000 人のユーザーに対してリモート HTML コンテンツを密かに配信する、アドウェア運用を行っていたことが判明した。これらのエクステンションは、少なくとも 3 つの発行者アカウントを通じて配布され、Chrome Web Store およびサードパーティのダウンロード・ポータルで、アニメーション壁紙やビジュアル・タブページとして提供されていた。

Continue reading “悪意の Chrome エクステンション 50件以上を検出:Chrome Web Store 審査を巧妙に回避”

Visual Studio Code の脆弱性 CVE-N/A:1-Click で GitHub OAuth トークンを窃取

1-Click GitHub Token Vulnerability Lets Attackers Steal Users’ OAuth Tokens

2026/06/03 CyberSecurityNews — Visual Studio Code の WebView 実装に存在する、深刻なセキュリティ脆弱性を悪用する攻撃者は、被害者に悪意のリンクを 1-Click させるだけで、GitHub OAuth トークンの窃取および、非公開リポジトリの Read/Write 権限を取得する可能性がある。 このバグは、2026年6月2日に、セキュリティ研究者 Ammar Askar により公表された。同氏は、Microsoft Security Response Center (MSRC) の過去の対応に対する不満や不愉快な経験を理由に、完全公開を選択した。

Continue reading “Visual Studio Code の脆弱性 CVE-N/A:1-Click で GitHub OAuth トークンを窃取”

Laravel の脆弱性 CVE-2026-48019 が FIX:CRLF インジェクションと機密性/完全性への影響

Laravel CRLF Injection Flaw Could Disrupt Outbound Email Handling

2026/06/03 gbhackers — Laravel フレームワークに存在する、深刻な脆弱性 CVE-2026-48019 を悪用する攻撃者が送信メール処理を操作することで、不正なメッセージ送信/データ漏洩/メールリレーの悪用につながる可能性がある。この脆弱性は、Laravel のデフォルトのメール検証ロジックにおける CRLF (Carriage Return Line Feed) シーケンスの、不十分なサニタイズに起因するものである。

Continue reading “Laravel の脆弱性 CVE-2026-48019 が FIX:CRLF インジェクションと機密性/完全性への影響”