Zero-Click Agentic Browser Attack Can Delete Entire Google Drive Using Crafted Emails
2025/12/05 thehackernews — Perplexity の Comet ブラウザを標的とする、新たなエージェント型ブラウザ攻撃が、最新の調査により発見されたと Straiker Labs が公表した。この攻撃は、無害に見えるメールを破壊的なアクションに変貌させ、ユーザーの Google Drive コンテンツ全体を消去する能力を持つ。ゼロクリックの Google Drive ワイパー攻撃は、Comet ブラウザを Gmail や Google Drive などのサービスに接続して定型タスクを自動化し、メール閲覧/ファイルとフォルダの閲覧に加えて、コンテンツの移動/変更/削除といった操作へのアクセスを許可するものだ。
Continue reading “Perplexity Comet 標的の Zero-Click 攻撃:悪意のメールを介した Google Drive 操作”Tor Browser 15.0.1 Update Patches Several High-Risk Security Flaws
2025/11/12 gbhackers — Tor プロジェクトが公表したのは、Tor Web ブラウザ 15.0.1 のリリースであり、ユーザー・プライバシーを侵害する可能性のある複数の深刻なセキュリティ問題を修正している。インターネット上での安全を確保し、情報のプライバシーを守りたい、すべてのユーザーに推奨されるアップデートである。
Continue reading “Tor Browser 15.0.1 がリリース:プライバシー侵害に関連する複数の深刻な問題を修正”ChatGPT, Gemini, GenAI Tools Vulnerable to Man-in-the-Prompt Attacks
2025/07/31 CyberSecurityNews — 一般的な AI ツールに影響を及ぼす深刻な脆弱性により、”Man-in-the-Prompt” と呼ばれる新たな攻撃ベクターが悪用可能となっているが、それらの対象には、ChatGPT や Google Gemini といった GenAI プラットフォームも含まれる。Layer X の調査によると、DOM を悪用するブラウザ・エクステンションであれば、特別な許可を必要とすることなく、プロンプト挿入/機密データの窃取/AI レスポンスの改竄などを可能にするという。この脆弱性は、主要プラットフォームの数十億人のユーザーに影響を及ぼすが、特に50億回/月アクセスを誇る ChatGPT と、約4億人ユーザーを抱える Gemini が危険だとされる。
Continue reading “ChatGPT/Gemini などに Man-in-the-Prompt のリスク:ブラウザ・エクステンションとの組み合わせに問題”Brave Browser Blocks Microsoft Recall by Default Due to Privacy Concerns
2025/07/23 CyberSecurityNews — Brave ブラウザがバージョン 1.81 以降において導入する重要なプライバシー保護対策は、Windowsユーザー向けに Microsoft が提供して物議を醸している、Recall 機能のデフォルトでのブロックである。Microsoft の Recall とは、ユーザー・アクティビティのスクリーンショットを自動的に取得し、ローカル・データベースに保存するものだ。したがって、この Brave の決定は、ユーザー・プライバシーおよびデータ・セキュリティに関する懸念の高まりを反映するものとなっている。
Continue reading “Brave 対 Microsoft Recall:洗練されたソユーションによるプライバシー保護”Google Chrome May Soon Turn Webpages Into Podcasts With AI Audio Overviews
2025/07/01 CyberSecurityNews — Google が発表したのは、Android 版 Google Chrome において、ユーザーによるオンライン・コンテンツの利用方法を一変させる可能性を持つ、メジャー・アップグレードに関する予定である。Chrome で進行しているのは、”AI Audio Overviews” と呼ばれる新機能のテストである。この機能は、あらゆる Web ページをポッドキャスト形式の音声要約へと変換し、外出先でのユーザーに対しても、アクセスし易く魅力的なコンテンツを提供するものだ。
Continue reading “Chrome が試行する Web ページのポッドキャスト化:AI Audio Overviews のコンセプトと現状”New Safari XSS Flaw Leverages JavaScript Error Handling to Execute Arbitrary Code
2025/06/03 CyberSecurityNews — Safari にクロスサイト・スクリプティング (XSS) の脆弱性が、新たに発見された。この脆弱性を悪用する攻撃者は、ブラウザの TypeError 例外処理メカニズムを介して、任意の JavaScript コードを実行できるという。この脆弱性は、Gareth Heyes による、ペイロード隠蔽技術の研究中に発見されたものだ。TypeError メッセージ内の引用符エスケープを、Safari が不適切に処理することで、コード実行に悪用される可能性が生じるという。
Continue reading “Safari の XSS 脆弱性 CVE-N/A:エラー・メッセージ内の特殊文字と不適切な無効化”Google Chrome to use on-device AI to detect tech support scams
2025/05/09 BleepingComputer — Google が発表したのは、組み込みの LLM である Gemini Nano を活用する、新しい Chrome セキュリティ機能の実装である。その機能はというと、Web の閲覧中にテクニカル・サポート詐欺を検出/阻止するものだ。テクニカル・サポート詐欺とは、悪意の Web サイトでユーザーを欺き、その PC にウイルス感染やシステム不具合が生じていると見せかける手口である。それらの悪意の警告は、フルスクリーンのブラウザ・ウィンドウやポップアップとして表示され、ユーザーの操作を妨げる特徴がある。
Continue reading “Gemini Nano vs. テック・サポート詐欺:Chrome の新機能で即時検出”Brave’s Cookiecrumbler tool taps community to help block cookie notices
2025/04/27 BleepingComputer — Brave の Cookiecrumbler という新しいツールが、オープンソース化された。このツールは、大規模言語モデル (LLM) を用いて Cookie 同意通知を検出し、コミュニティ主導のレビューに基づき、サイトの機能に支障をきたさない通知をブロックするものだ。
Continue reading “Brave の Cookiecrumbler が OSS 化:AI を用いて Cookie 同意通知をブロック”Firefox Fixes High-Severity Vulnerability Causing Memory Corruption via Race Condition
2025/04/16 gbhackers — Mozilla が発表したのは、攻撃者に対してメモリ破損の悪用を許す可能性のある、深刻度の高いセキュリティ脆弱性を修正する Firefox 137.0.2 のリリースである。この修正は、Mozilla Foundation セキュリティ・アドバイザリ 2025-25 に記載されているように、Mozillaファジング・チームによる、脆弱性の発見と報告を受けて行われたものである。
Continue reading “Firefox の脆弱性 CVE-2025-3608 が FIX:競合状態によるメモリ破壊のリスク”U.S. CISA adds Google Chromium Mojo flaw to its Known Exploited Vulnerabilities catalog
2025/03/27 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Google Chromium Mojo のサンドボックス・ エスケープ脆弱性 CVE-2025-2783 を、Known Exploited Vulnerabilities (KEV) カタログに追加した。
Continue reading “CISA KEV 警告 25/03/27:Chromium Mojo の CVE-2025-2783 を登録”Google fixed the first actively exploited Chrome zero-day since the start of the year
2025/03/26 SecurityAffairs — Google が公表したのは、Windows 版 Chrome ブラウザに存在する、深刻度の高い out-of-band の脆弱性 CVE-2025-2783 に対処する修正のリリースである。この脆弱性は、ロシアの組織を標的とする攻撃で、積極的に悪用されていたという。
Continue reading “Chromium Mojo の脆弱性 CVE-2025-2783 が FIX:ロシア標的の攻撃で積極的に悪用”WARNING: Expiring Root Certificate May Disable Firefox Add-Ons, Security Features, and DRM Playback
2025/03/13 TheHackerNews — Mozilla はユーザーに対して、ルート証明書の期限切れによる、アドオン使用での問題の発生を回避するための、最新バージョンによる Firefox インスタンスのアップデートを呼びかけている。Mozilla は、「Firefox などの Mozilla プロジェクトにおいて、署名済みコンテンツとアドオンの検証に使用されるルート証明書が、2025年3月14日に期限切れになる」と述べている。
Continue reading “Firefox ユーザーに警告:3月14日に期限切れになるルート証明書という問題について”Popular JavaScript Library ‘Axios’ Exposes Millions to Server-Side Vulnerabilities (CVE-2025-27152)
2025/03/10 SecurityOnline — 広く使用されている JavaScript ライブラリ Axios に、新たな脆弱性が発見された。この脆弱性 CVE-2025-27152 (CVSSv4:7.7) の悪用により、サーバサイド・リクエスト・フォージェリ (SSRF) や認証情報漏洩のリスクに、何百万ものユーザーがさらされるという。
Continue reading “Axios JavaScript Library の深刻な脆弱性 CVE-2025-27152 が FIX:SSRF と PoC エクスプロイト”Chrome Update: 5 Security Fixes, High-Risk Flaws Addressed ASAP
2025/03/10 SecurityOnline — Chrome Stable チャンネル向けに重要なセキュリティ・アップデートがリリースされ、5つの脆弱性が深刻な修正されたが、その中の3つは、攻撃者が任意のコード実行を許す可能性を持つものだ。Windows/Mac/Linux の Chrome ユーザーに強く推奨されるのは、このブラウザの速やかな更新である。
Continue reading “Chrome の5件の脆弱性が FIX:メモリ破損や任意のコード実行にいたる恐れ”New Polymorphic Chrome extensions fake others to steal your data
2025/03/10 ghacks — Chrome の最初のバージョンがリリースされてから、17 年ほどが経つが、その間に私たちが目にしてきたものに、悪意のエクステンションがある。そのラインナップには、偽の VPN エクステンションから、洗練されたセッション・リプレイ・マルウェア・エクステンションにいたるまで、あらゆるものが揃っている。そして、この記事で説明するのは、ポリモーフィック・エクステンションと呼ばれる、新しい悪意の拡張機能のことだが、それが、いま、ユーザーを攻撃するために使用されている。
Continue reading “Chrome エクステンションに新たな脅威:ポリモーフィック手法で機密情報を盗み出す”Chrome 134 Update Addresses High-Risk Vulnerability (CVE-2025-1914)
2025/03/04 SecurityOnline — Google が公表したのは、Chrome Desktop 版のアップデートであり、Windows 向けのバージョン 134.0.6998.35/36、Mac 向けのバージョン 134.0.6998.44/45 および、Linux 向けのバージョン 134.0.6998.35 のリリースである。このアップデートでは、14件のセキュリティ脆弱性が修正され、その中には V8 JavaScript エンジンにおける脆弱性も含まれている。すでにアップデートは展開され、今後の数日から数週の間に各ユーザーの手元に届くという。
Continue reading “Google Chrome の深刻な脆弱性 CVE-2025-1914 などが FIX:V8 JavaScript の欠陥など”Security Update for Chrome: Protect Against CVE-2025-0611 and CVE-2025-0612
2025/01/22 SecurityOnline — Google が公表したのは、Chrome Web ブラウザにおける、重要なセキュリティ・アップデートのリリース情報である。このアップデートは、3つの脆弱性に対処するものだが、そのうち2つは深刻度 High と評価されている。ユーザーに推奨されるのは、最新バージョン (132.0.6834.110/111) へと、Chrome を速やかに更新することだ。
Continue reading “Google Chrome の脆弱性 CVE-2025-0611/0612 が FIX:ただちにパッチを!”Google will disable some of its own Chrome extensions soon
2024/09/05 ghacks — Google Chrome エクステンションを使用しているユーザーにとって、ある日突然に、一部のエクステンションにアクセスできなくなる可能性が生じている。この問題は、サードパーティのエクステンションだけでなく、Google が Chrome 用に作成したエクステンションにも当てはまる。いま、Google は、Chrome のエクステンション・システムを変更している。新しいシステムへとアップデートされていない古いエクステンションは、無効化され、最終的にはブラウザから削除されるという。
Continue reading “Google の発表:Chrome 謹製のエクステンションであっても無効化される?”Palo Alto Networks Issues Security Advisories, Urges Updates Amidst 34 Vulnerabilities
2024/08/14 SecurityOnline — Palo Alto Networks は、同社製品に存在する 34件の脆弱性に対応する4件のセキュリティ・アドバイザリを発表した。同社は、現時点で悪用は検出されていないと述べるが、システムのアップデートの緊急性は依然として高いとしている。これらの脆弱性は、PAN-OS/GlobalProtect App などの Palo Alto 製品に影響を与える。これらのセキュリティ・ギャップの一部は、サードパーティ製ソフトウェアに起因しており、今日のデジタル・エコシステムの相互接続性が浮き彫りになっている。
Continue reading “Palo Alto 製品の 34件の脆弱性のアドバイザリが公開:情報漏えいなどが生じる恐れ”0.0.0.0 Day: 18-Year-Old Browser Vulnerability Impacts MacOS and Linux Devices
2024/08/08 TheHackerNews — 悪意の Web サイトが全ての主要な Web ブラウザに影響を与える、新しい脆弱性 “0.0.0.0 Day” が、サイバーセキュリティ研究者たちにより発見された。この脆弱性には、ローカル・ネットワークへの侵入に悪用さえる可能性のあるという。Oligo Security の研究者である Avi Lumelsky は、この脆弱性について、「ブラウザがネットワーク・リクエストを処理する方法における、根本的な欠陥を露呈している。この脆弱性の悪用に成功した攻撃者は、ローカル・デバイス上で実行されている、機密性の高いサービスにアクセスする可能性を得る」と述べている。
Continue reading “Web ブラウザの 脆弱性 0.0.0.0 Day:18年前から MacOS/Linux に影響を与えていた?”Tor Browser 13.5 brings Android enhancements, better bridge management
2024/06/21 BleepingComputer — Tor Browser の 13.5 がリリースされ、Android/デスクトップ版のいくつかの機能が改善/強化された。Tor Browser とは、オープンソースの Web ブラウザーだ。同ブラウザーは、Tor ネットワークを構成するノード/リレーと呼ばれる、数千のボランティアが運営するサーバを経由して、ユーザーのトラフィックをルーティングすることにより、匿名でのブラウジングを可能にしている。
Continue reading “Tor Browser 13.5 がリリース:デスクトップ/Android 版の Bridge 管理機能などが改善”Brave says May 2024 was its biggest growth month ever
2024/06/09 BleepingComputer — プライバシー重視の Web ブラウザである Brave は、2024年5月に過去最大の伸びを記録し、その月間ユーザー数は 7.3%増の 7,895万人以上となった。Brave は、特に中南米で急成長を遂げ、いくつかの国で Google Play ストアのトップ・アプリのひとつとなった。
Continue reading “Brave Browser のユーザーが急増:2024年5月に過去最大の伸びを記録”The Definitive Enterprise Browser Buyer’s Guide
2024/01/02 TheHackerNews — 現代の企業環境において、Web ブラウザは重要な役割を担っている。したがって、その管理/保護の方法の再評価が必要であると、セキュリティ関係者たちは認識し始めている。Web に起因するリスクは、エンドポイント/ネットワーク/クラウドなどの各ソリューションの、パッチワークのようなもので対処されてきたが、それらのソリューションが個別に提供する部分的な保護では、もはや不十分であることが明らかだ。
Continue reading “Enterprise Browser Buyer’s Guide:企業にとって重要な視点を提供する”Google Chrome to warn when installed extensions are malware
2023/08/20 BleepingComputer — Google がテストしている Chrome の新機能は、インストールされたエクステンションが Chrome Web Store から削除された場合に、ユーザーに警告を表示するためのものである。Chrome Web Store では、問題のあるエクステンションなどが次々と公開され、ポップアップ広告やリダイレクト広告を介して宣伝されている。これらのエクステンションは、詐欺師や脅威アクターにより作成され、不要な広告の挿入/検索履歴の追跡/アフィリエイト・ページへのリダイレクトなどを行い、さらに深刻なケースでは、Gmail や Facebook のアカウント窃盗などにも悪用される。
Continue reading “Google Chrome Check for Extension:マル・エクステンションを判定してくれる”Trojanized Tor browsers target Russians with crypto-stealing malware
2023/03/28 BleepingComputer — トロイの木馬化した Tor Browser のインストーラーが急増し、ロシアや東欧のユーザーをターゲットにして、感染したユーザーの暗号通貨取引を盗むクリップボード・ハイジャック・マルウェアを仕掛けている。Kaspersky のアナリストたちは、この攻撃は新しくもなく、特に独創的でもないが、依然として効果が高く、世界中の多くのユーザーへの感染が蔓延していると警告している。Kaspersky によると、これらの悪意の Tor インストーラーは世界中の国々をターゲットにしているが、主な標的はロシアと東欧とのことだ。
Continue reading “Tor Browser のトロイの木馬 :ロシア/東欧のユーザーを標的にしている”Popular YouTube Channel Caught Distributing Malicious Tor Browser Installer
2022/10/04 TheHackerNews — 中国語の人気 YouTube チャネルが、トロイの木馬化した Windows 版の Tor Browser インストーラを配布する手段として浮かび上がっている。Kaspersky は、このキャンペーンを OnionPoison と名付け、被害者の全てが中国のユーザーであることを公表した。現時点で、攻撃の規模は不明だが、2022年3月にはテレメトリーで被害者を検出したと、同社は述べている。
Continue reading “Tor Browser のトロイの木馬版:中国で人気の YouTube チャネルからインストーラが配布される”
IoT OT Security News 