RenderShock 0-Click Vulnerability Executes Payloads via Background Process Without User Interaction
2025/07/14 CyberSecurityNews — RenderShock と呼ばれる高度なゼロクリック攻撃手法は、最新のオペレーティング・システムにおける受動的なファイル・プレビュー機能およびインデックス作成機能の動作を悪用し、ユーザーの操作を必要とすることなく、悪意のペイロードを実行するものだ。従来のフィッシング攻撃は、ユーザーを騙すことで、悪意のリンクのクリックや、感染した添付ファイルのオープンに依存してきた。その一方で RenderShock は、システムに組み込まれた自動化機能を悪用することで、正当なバックグラウンド・プロセスを経由して侵害を達成するという。
Continue reading “RenderShock という 0-Click 脆弱性:Explorer/Quick Look 自動処理の悪用を生み出す”CVE-2024-10442 (CVSS 10): Zero-Click RCE in Synology DiskStation, PoC Publishes
2025/05/01 SecurityOnline — 中小企業や IT プロに人気の NAS アプライアンスである、Synology DiskStation DS1823xs+ に、深刻なリモート・コード実行 (RCE) の脆弱性が発見された。この脆弱性 CVE-2024-10442 (CVSS:10.0) の悪用に成功した攻撃者は、ローカル・ネットワーク上で認証を必要とせずに、ゼロクリックでルート・アクセスを取得できる。
Continue reading “Synology DiskStation の脆弱性 CVE-2024-10442 (CVSS 10) が FIX:Zero-Click RCE と PoC”Wormable AirPlay Zero-Click RCE Flaw Allows Remote Device Hijack via Wi-Fi
2025/04/30 gbhackers — Apple AirPlay のプロトコルと SDK に存在し、Airborne と総称される一連の深刻な脆弱性が明らかになった。それらの脆弱性により、さまざまな攻撃経路が現実のものになるという。これらの脆弱性の中で最も深刻なことは、”wormable” なゼロクリックのリモート・コード実行 (RCE) が可能になることだ。つまり、攻撃者はユーザーの操作なしに、Wi-Fi 経由で Apple およびサードパーティ・デバイスの乗っ取りが可能になる。その影響の範囲は広大であり、Mac/iPhone/iPad/Apple TV/CarPlay システムや、サードパーティの AirPlay 対応スピーカーなどの、世界中の数十億台のデバイスに及ぶ。
Continue reading “Apple AirPlay の脆弱性群が FIX:Wi-Fi を介した RCE とデバイス・ハイジャック”0-Click NTLM Authentication Bypass Hits Microsoft Telnet Server, PoC Releases, No Patch
2025/04/29 SecurityOnline — Microsoft Telnet Server に影響を及ぼす、深刻な脆弱性が発見された。この脆弱性を悪用するリモートの攻撃者は、認証を完全にバイパスし、有効な認証情報を必要とせずに管理者権限を取得する可能性を得る。Hacker Fantastic のレポートで詳細が説明されているように、この脆弱性は、Microsoft Telnet 認証プロトコル (MS-TNAP) に関連するものであり、また、レガシー Windows システムに対する深刻なセキュリティ脅威であるが、現時点において公式のパッチは提供されていない。
Continue reading “レガシー Windows の NTLM バイパスの 0-Click 脆弱性:侵入口は Telnet Server で No Patch/Yes PoC”
IoT OT Security News 