Critical OpenSSL Vulnerabilities Enable Remote Code Execution Attacks
2026/06/10 CyberSecurityNews — 2026年6月9日に公開された OpenSSL のセキュリティ・アドバイザリは、特別に細工された PKCS7 または S/MIME 署名メッセージをアプリケーションが処理した場合に発生し得る、リモート・コード実行の脆弱性について警告している。この脆弱性 CVE-2026-45447 (深刻度 High) は、PKCS7_verify 関数に存在するヒープ use-after-free バグに起因する。それにより、メモリ破壊が引き起こされ、特定のデプロイ環境では任意のコード実行に至る可能性がある。
Continue reading “OpenSSL の脆弱性 CVE-2026-45447 などが FIX:任意のコード実行の可能性”73 Microsoft Packages Weaponized in Password Stealer Attack
2026/06/10 gbhackers — Microsoft の 4 つの組織 (Azure/Azure-Samples/microsoft/MicrosoftDocs) に属する 73 のリポジトリが、105 秒という短い時間の中で、GitHub により無効化された。それぞれのリポジトリに対しては、”This repository has been disabled. Access to this repository has been disabled by GitHub Staff due to a violation of GitHub’s terms of service” という GitHub のバナーが表示された。
Continue reading “Microsoft Package 73件が武器化:サプライチェーン攻撃による侵害をGitHub が検知”Windows RDP Vulnerabilities Allow Attacker to Expose Sensitive Data
2026/06/10 CyberSecurityNews — Windows Remote Desktop Protocol (RDP) に存在する、情報漏えい脆弱性 CVE-2026-42908/CVE-2026-45639 が、2026年6月9日にリリースされた Microsoft Patch Tuesday で修正された。いずれも RDP スタックにおける境界外読み取りに起因し、深刻度 Important と評価され、CVSS v3 ベーススコアは 7.5 である。
Continue reading “Microsoft RDP の脆弱性 CVE-2026-42908/45639:機密データ漏洩の恐れ”ServiceNow Confirms Vulnerability Allowing Unauthorized Access to Customer Instance Tables
2026/06/10 CyberSecurityNews — ServiceNow が認めたのは、顧客インスタンスのテーブルに対するクエリ実行を、未認証の攻撃者に許す可能性のある、セキュリティ脆弱性 CVE-N/A の存在である。脅威インテリジェンス・チャネルを通じて明らかになったのは、この問題により、企業環境全体におけるデータ露出や情報漏洩への懸念が高まっていることである。情報によると、不適切なアクセス制御を突く攻撃者が、適切な認証なしにバックエンドのインスタンス・テーブルに対してクエリを実行する可能性があるという。
Continue reading “ServiceNow の脆弱性 CVE-N/A:顧客インスタンス・テーブルへの不正クエリの可能性”CISA Issues Alert on Actively Exploited Google Chromium Zero-Day Flaw
2026/06/10 gbhackers — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、悪意の Web コンテンツを通じて任意のコード実行を可能にする、Google Chromium のゼロデイ脆弱性 CVE-2026-11645 について警告を発出した。この脆弱性は Chromium の V8 JavaScript エンジンに影響する境界外読み取りおよび書き込みの問題を含むものであり、CWE-787/CWE-125 に分類される。細工された HTML ページを、ユーザーが閲覧する際にトリガーされる欠陥であり、リモートの攻撃者に対して、ブラウザのサンドボックス内での任意のコード実行を許す可能性がある。
Continue reading “CISA KEV 警告 26/06/09:Google Chromium の脆弱性 CVE-2026-11645 を登録”Ivanti: Max severity Sentry flaw allows code execution as root
2026/06/10 BleepingComputer — セキュリティ・ソフトウェア企業 Ivanti が公開したのは、同社のセキュア・モバイル・ゲートウェイ・ソリューションである Ivanti Sentry に存在する 2 件の深刻な脆弱性に対処するためのパッチである。それらの脆弱性には、リモートの攻撃者に root 権限でのコード実行を許す最大深刻度の欠陥も含まれている。
Continue reading “Ivanti Sentry の脆弱性 CVE-2026-10520/10523 が FIX:root 権限での RCE”Fortinet FortiSandbox Vulnerability Lets Attackers Execute Unauthorized Commands
2026/06/10 gbhackers — Fortinet が公表したのは、FortiSandbox 製品における深刻な脆弱性に関する情報である。この脆弱性 CVE-2026-25089 を悪用する未認証の攻撃者は、不正なコマンド実行の可能性を手にするため、マルウェア分析のためにサンドボックスを利用する企業にとって重大な懸念となる。
Continue reading “Fortinet FortiSandbox の脆弱性 CVE-2026-25089 が FIX:OS コマンド・インジェクション”
IoT OT Security News 