Chrome High-Severity Vulnerability Could Let Attackers Run Arbitrary Code
2025/08/20 gbhackers — Google が公表したのは、影響を受けるシステム上で攻撃者に対して、任意のコード実行を許す深刻な脆弱性に対処する、Chrome の緊急セキュリティ・アップデートのリリースである。それにより、Windows/Mac 用にはバージョン 139.0.7258.138/.139 が、Linux 用にはバージョン 139.0.7258.138 が提供されている。この脆弱性 CVE-2025-9132 は、V8 JavaScript エンジンに影響を及ぼし、世界中の数百万人の Chrome ユーザーに深刻なリスクをもたらすという。
Continue reading “Google Chrome の脆弱性 CVE-2025-9132 が FIX:任意のコード実行の可能性”ImageMagick Vulnerabilities Cause Memory Corruption and Integer Overflows
2025/08/15 gbhackers — AI を活用する Google のセキュリティ調査ツールである、Big Sleep が発見した4件の深刻な脆弱性は、人気の OSS 画像操作ソフトウェア ImageMagick に存在するものだ。これらの脆弱性が影響を及ぼす範囲は、画像処理に ImageMagick を利用する世界中の数百万のアプリケーションであり、同社による責任ある情報開示手順に従い、最新のソフトウェア・リリースで修正されている。
Continue reading “Google の AI を活用する Big Sleep:ImageMagick の4件の脆弱性を発見/特定”Multiple Chrome High-Severity Vulnerabilities Let Attackers Execute Arbitrary Code
2025/08/13 CyberSecurityNews — Google が公表したのは、Chrome に存在する5件の脆弱性を修正する重要なセキュリティアップデートである。この更新には、Windows/Mac/Linux 向けの Stable チャネル・アップデートが含まれ、Windows/Mac にはバージョン 139.0.7258.127/.128 が、Linux にはバージョン 139.0.7258.127 が提供されている。このアップデートに取り込まれるものには、影響を受けるシステム上での任意のコード実行にいたる、高深刻度の脆弱性の修正がある。この脆弱性が悪用されると、ユーザー・データおよびシステム整合性に重大なリスクを生じるとされる。
Continue reading “Google Chrome の5件の脆弱性が FIX:影響を受けるシステムで攻撃者に任意のコード実行を許す可能性”2025/08/07 CyberSecurityNews — 無害に見えるカレンダーの招待やメールを通じて、Google の Gemini AI アシスタントを、高度な攻撃手法により悪用する事例が報告されている。この “標的型プロンプトウェア攻撃” と呼ばれる手法では、間接的なプロンプト・インジェクションにより、ユーザーのデジタル・プライバシーを侵害され、さらには、家庭内の物理デバイスの制御が奪われるという懸念が生じている。
Continue reading “Gemini への間接プロンプト・インジェクション:メールからスマートホームにまで広がる攻撃領域”Researchers Use 0-Day to Exploit Google kernelCTF and Debian 12
2025/08/04 gbhackers — Linux のネットワーク・パケット・スケジューラにおける、HFSC (Hierarchical Fair Service Curve) キューイング制御に存在する、深刻な Use-After-Free の脆弱性 CVE-2025-38001 を、セキュリティ研究者たちが発見し、実証的に武器化した。この脆弱性の悪用により、Google の kernelCTF インスタンス (LTS/COS など) が侵害され、Debian 12 システムでは完全な権限の奪取が可能になるという。
Continue reading “Linux の脆弱性 CVE-2025-38001 が FIX:Google kernelCTF と Debian 12 に深刻な影響”Google Launches DBSC Open Beta in Chrome and Enhances Patch Transparency via Project Zero
2025/07/30 TheHackerNews — セッション Cookie 窃取攻撃からユーザーを保護するために、Google が公表したのは、DBSC (Device Bound Session Credentials) と呼ばれるセキュリティ機能をオープン・ベータ版として提供することだ。この DBSC は、2024年4月にプロトタイプとして導入されたものであり、盗んだ Cookie を悪用する攻撃者からの、不正アクセスを防止するよう設計されている。つまり、認証セッションをデバイスにバインドすることで、攻撃者の管理下にある別のデバイスからの、被害者のアカウントへのサインインを阻止するものである。
Continue reading “Google が DBSC の Open Beta を公表:認証セッションのデバイス・バインドによる再利用の制限”Chrome High-Severity Vulnerabilities Allows Memory Manipulation and Arbitrary Code Execution
2025/07/30 CyberSecurityNews — Google ga公表したのは、Chrome ブラウザの複数の脆弱性を修正する、緊急セキュリティ・アップデートである。その中には、攻撃者によるメモリ操作を許し、ユーザー・システム上での任意のコード実行を引き起こす、深刻度の高い脆弱性 CVE-2025-8292 も含まれている。最新版の Chrome 138 である、Linux 版 138.0.7204.183 および、Windows/macOS 版 138.0.7204.183/.184 において、これらの深刻な脆弱性は修正されている。すべてのユーザーに対して Google が強く推奨するのは、最新の Chrome へ向けた速やかなアップデートである。
Continue reading “Chrome の深刻な脆弱性 CVE-2025-8292 が FIX:任意のコード実行の可能性”Flaw in Gemini CLI AI coding assistant allowed stealthy code execution
2025/07/28 BleepingComputer — Google の Gemini CLI に、脆弱性が発見された。この脆弱性を悪用する攻撃者は、許可リストに登録されたプログラムを利用して悪意のコマンドを秘密裏に実行し、開発者のコンピュータからデータを窃取することが可能であったという。6月27日に、この脆弱性を発見した Tracebit が Google に報告した。それを受けた Google は、7月25日にバージョン 0.1.14 をリリースし、この問題を修正した。
Continue reading “Gemini CLI AI コーディング・アシスタントの脆弱性が FIX:データ窃取やコード実行の恐れ”Hackers Leverage Google Forms Surveys to Trick Victims into Stealing Cryptocurrency
2025/07/25 CyberSecurityNews — スムーズなデータ収集手段として高い評価を得ている Google Form だが、2024年末に検出されてから 2025 Q2 にかけて急増した、暗号通貨フィッシング攻撃の意外な拠点となっている。この攻撃は、正規を装う forms.gle リンクを取り込んだ、迷惑メールの受信から始まるが、このリンクは、ほとんどのスパム・フィルターを容易に回避していく。それに続いて、メールの受信者が悪意のリンクを開くと、有名な仮想通貨取引所を装う Google フォームが表示され “1.275 BTC の支払いが保留中” というメッセージが表示される。
Continue reading “Google Form と Apps Script が攻撃ベクター:1クリックで詐欺サイトに接続”Google Launches OSS Rebuild to Strengthen Security of The Open-Source Package Ecosystems
2025/07/24 CyberSecurityNews — 現代のソフトウェア・サプライチェーンは、無数のサードパーティ・コンポーネントに依存しているため、それらのパッケージ・リポジトリは攻撃者にとって格好の標的となっている。この1年の間に発生した、xz-utils バックドアや solana/webjs タイポスクワッティングなどの、注目を集めるセキュリティ侵害が示したのは、防御側が認知する前に、広く利用されているライブラリを巧妙なコードで汚染するという、可能性があることだった。
Continue reading “Google の OSS Rebuild がスタート:リポジトリ汚染を一掃する試みへの期待とは?”CISA Alerts on Google Chromium Input Validation Flaw Actively Exploited
2025/07/24 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Google Chromium の不適切な入力検証の脆弱性 CVE-2025-6558 が、脅威アクターにより積極的に悪用されているとして、緊急警報を発した。この脆弱性が悪用されると、複数の Chromium ベースの Web ブラウザに影響が生じ、数百万のユーザーが重大なリスクに直面するという。
Continue reading “CISA KEV 警告 25/07/24:Google Chromium の脆弱性 CVE-2025-6558 を登録”Chrome High-Severity Vulnerabilities Allow Hackers to Gain Full Control
2025/07/23 gbhackers — Google が公表したのは、Chrome の深刻な脆弱性に対処する緊急のセキュリティ更新のリリースであり、パッチ適用が遅滞すると、ユーザー・システムの完全な制御を、攻撃者に許す可能性が生じるという。このリリースに伴い、Stable チャネルにおける Windows/macOS/Linux 向けのバージョンは 138.0.7204.168 へと更新されており、今後の数日から数週の間に、すべてのユーザーに対して順次展開される予定である。
Continue reading “Google Chrome の脆弱性 CVE-2025-8010/8011 などが FIX:システムの制御奪取の恐れ”Google’s AI ‘Big Sleep’ Detects Critical SQLite 0-Day, Halts Ongoing Attacks
2025/07/16 gbhackers — Google のAI エージェントである Big Sleep が、SQLite に存在する深刻なゼロデイ脆弱性を発見/阻止したことで、サイバー/セキュリティの歴史に新たな記録が刻まれた。この件は、現実世界のサイバー攻撃を、AI システムが自ら阻止するという初めての事例である。このAIエージェントは、Google DeepMind と Project Zero が開発したものであり、悪用の試行を示す脅威情報に基づき、SQLite の脆弱性 CVE-2025-6965 を特定した。つまり、Google の支援により、大規模な攻撃が発生する前に、パッチ適用の調整が可能になったのだ。
Continue reading “Google の AI セキュリティ Big Sleep の快挙:SQLite のゼロデイ CVE-2025-6965 を自律的に検知/特定”Urgent: Google Releases Critical Chrome Update for CVE-2025-6558 Exploit Active in the Wild
2025/07/16 TheHackerNews — 2025年7月15日 (火) に Google が発表したのは、Chrome Web ブラウザに存在する、6件のセキュリティ問題に対する修正であり、そのうち1件は既に悪用されていると述べている。この、深刻度の高い脆弱性は CVE-2025-6558 (CVSS:8.8) は、ANGLE/GPU コンポーネントにおける、信頼できない入力への不十分な検証に分類されるものだ。
Continue reading “Chrome/Chromium のゼロデイ脆弱性 CVE-2025-6558 が FIX:積極的な悪用は APT の仕業?”Google Gemini for Workspace Vulnerability Lets Attackers Hide Malicious Scripts in Emails
2025/07/14 CyberSecurityNews — Google Gemini for Workspace に存在する深刻な脆弱性を、セキュリティ研究者たちが発見した。この脆弱性を悪用する攻撃者は、メール本文内に悪意の指示を秘密裏に埋め込み、認証情報の窃取やソーシャル・エンジニアリング攻撃を引き起こす可能性を手にする。この攻撃は、AI アシスタントの “Summarize this email” 機能を悪用するものであり、Google からの送信を巧妙に装う、偽のセキュリティ警告を表示する仕組みを用いるものだ。
Continue reading “Google Gemini for Workspace の脆弱性:間接プロンプト・インジェクションという新たな攻撃ベクター”Weaponized Chrome Extension from Webstore With Verification Badge Infected 1.7 Million Users
2025/07/08 CyberSecurityNews — Chrome ユーザー 170万人以上を感染させた、高度なマルウェア攻撃キャンペーンは、正当に見える 11個のブラウザ・エクステンションを配布するものだった。それらの、すべてのエクステンションは、Google による認証済みバッジを取得し、Chrome Web Store において注目の広告として掲載されていた。このインシデントは、最大級のブラウザ・ハイジャック攻撃であり、ユーザーが安全なエクステンションを見分けるための信頼シグナルが、悪用されたことになる。なお、この “Malicious11” キャンペーンを発見したのは、Koi Security のサイバー・セキュリティ研究者たちである。
Continue reading “Chrome の武器化された Extension 群: アップデートにより悪意へと変貌し 170 万人を騙す”CISA Warns of Chrome 0-Day Vulnerability Exploited in Attacks
2025/07/03 CyberSecurityNews — Google Chrome に存在する深刻なゼロデイ脆弱性に対して、CISA が緊急警告を発した。この脆弱性については、実際の攻撃での悪用が多数報告され、CISA の KEV (Known Exploited Vulnerabilities) カタログに追加された。この脆弱性 CVE-2025-6554 は、Chromium V8 JavaScript エンジンに影響を与えるものであり、世界中の組織に対して、早急な対応が求められている。
Continue reading “CISA KEV 警告 25/07/02:Chrome の 0-Day 脆弱性 CVE-2025-6554 を KEV カタログに登録”Google Chrome May Soon Turn Webpages Into Podcasts With AI Audio Overviews
2025/07/01 CyberSecurityNews — Google が発表したのは、Android 版 Google Chrome において、ユーザーによるオンライン・コンテンツの利用方法を一変させる可能性を持つ、メジャー・アップグレードに関する予定である。Chrome で進行しているのは、”AI Audio Overviews” と呼ばれる新機能のテストである。この機能は、あらゆる Web ページをポッドキャスト形式の音声要約へと変換し、外出先でのユーザーに対しても、アクセスし易く魅力的なコンテンツを提供するものだ。
Continue reading “Chrome が試行する Web ページのポッドキャスト化:AI Audio Overviews のコンセプトと現状”New C4 Bomb Attack Breaks Through Chrome’s AppBound Cookie Protections
2025/07/01 gbhackers — C4 Bomb (Chrome Cookie Cipher Cracker) と呼ばれる新たな攻撃手法を、サイバー・セキュリティ研究者たちが公開した。この攻撃手法は、Google Chrome に導入された、注目の AppBound Cookie Encryption を回避するものである。最近の Google は、情報窃取型マルウェア対策として Chrome の保護強化を進めているが、この C4 Bomb 攻撃により、Cookie 窃取・認証情報の漏洩に加えて、潜在的なデータ漏洩という新たなリスクに、数百万のユーザーが直面することになった。
Continue reading “C4 Bomb Attack という脅威:Chrome の AppBound Cookie 防御をすり抜けていく”Chrome 0-Day Vulnerability Exploited in the Wild to Execute Arbitrary Code – Patch Now
2025/07/01 CyberSecurityNews — Google がリリースしたのは、Chrome ブラウザの深刻なゼロデイ脆弱性に対処するための、緊急セキュリティ・アップデートである。この脆弱性 CVE-2025-6554 (深刻度 High) は、すでに悪用が確認されている。この脆弱性 は、Chrome の V8 JavaScript エンジンにおけるタイプ・コンフュージョンに起因する。この脆弱性の悪用に成功した攻撃者は、影響を受けるシステム上で任意のコード実行の可能性を手にする。
Continue reading “Chrome のゼロデイ脆弱性 CVE-2025-6554 が FIX:すでに活発な悪用を観測”Chrome Security Update: Patch for 11 Vulnerabilities Enabling Malicious Code Execution
2025/06/25 CyberSecurityNews — Google が公表したのは、Chrome に存在する 11 件の脆弱性を修正する、重要なセキュリティ・アップデートのリリースであり、それらの欠陥の中には、ユーザーのシステム上での悪意のコード実行を引き起こす可能性を持つものも含まれるという。2025年6月24日 (火) に発表された、Chrome 138.0.7204.49 ステイブル・チャネル・アップデートは、高度なサイバー脅威への防御力を強化し続ける、Chrome ブラウザ・セキュリティにおける重要なマイルストーンとなるものだ。
Continue reading “Chrome 138 アップデート:悪意のコード実行につながる 11件の脆弱性を修正”Google Cloud Donates A2A Protocol to Linux Foundation for Smarter, Secure Communication
2025/06/24 gbhackers — Agent2Agent (A2A) プロトコルが、Google Cloud から Linux Foundation に寄贈されるという画期的な展開が起こった。それは、AI エージェント間における Open/Secure/Interoperable な通信の実現に向けた、重要な一歩を踏み出すものになる。 Open Source Summit North America において、Linux Foundation が A2A プロジェクトの設立を発表した際に、この展開についての説明があった。このプロジェクトに参加するのは、Amazon Web Services/Cisco/Microsoft/Salesforce/SAP/ServiceNow などであり、大手テクノロジーによる共同イニシアチブが生まれたことになる。
Continue reading “A2A が Google Cloud から Linux Foundation へ寄贈:オープンな AI エージェント間通信とベンダー非依存の世界へ”Google Integrates GenAI to Counter Indirect Prompt Injection Attack Vectors
2025/06/23 gbhackers — Google が公開したのは、巧妙かつも強力な脅威である、間接プロンプト・インジェクション攻撃に対抗するための、徹底的な保護技術に関する情報である。それが示すのは、生成 AI 時代のサイバー・セキュリティにおける大きな進歩である。AI プロンプトに対して、悪意のコマンドを明示的に挿入する直接プロンプト・インジェクションとは異なり、この間接インジェクションとは、メール/ドキュメント/カレンダーなどの、外部データ・ソースに有害な命令を埋め込むものだ。
Continue reading “Google の GenAI セキュリティ:Gemini で阻止する間接プロンプト・インジェクション攻撃”Microsoft Family Safety Blocking All the Version of Chrome Browsers
2025/06/23 CyberSecurityNews — 先日の Microsoft Family Safety アップデートにより、すべての Google Chrome バージョンにおいて、想定外のブロックが発生している。それにより、Windows デバイスのペアレンタル・コントロール機能を使用している、教育機関や家庭に大きな影響が生じている。この問題が発生したのは、2025年6月3日であり、Chrome のアップデートが公表されたタイミングと一致している。しかし、このブロック・メカニズムは、旧バージョン/現行バージョンを問わず、無差別に影響を与えている。
Continue reading “Microsoft Family Safety のアップデートが引き起こした問題:すべての Chrome をブロック”Massive 16 Billion Passwords From Apple, Facebook, Google and More Leaked From 320 Million Computers
2026/06/20 CyberSecurityNews — 新たなレポートが報告するのは、Apple/Facebook/Google/GitHub/Telegram、政府サービスなどの主要プラットフォームからの、160億件ものログイン認証情報の発見である。30種類のデータセットから発見された、この大規模な漏洩は前例のない脅威であり、世界的なサイバー・セキュリティとデジタル・プライバシーへの懸念が生じている。漏洩したデータセットのサイズは大きく異なるものであり、最小のものには 1600万件以上のレコードが、最大のものには35億件以上の認証情報が含まれている。
Continue reading “Apple/Facebook/Google などから 160億件もの認証情報が漏洩:大規模なキャンペーンが発覚”Russian Hackers Bypass Gmail MFA With App-Specific Password Ruse
2025/06/18 SecurityWeek — ロシア政府との関係性を有するプロフェッショナルなハッキング・チームが、あまり知られていない Google の ASP (Application-Specific Password) 機能を悪用し、Gmail の2段階認証 (MFA) を回避する新たな手口を用いて、巧妙に仕掛けられたフィッシング攻撃を展開していたことが判明した。
Continue reading “Gmail の MFA を回避:ロシア系ハッカーが悪用する App-Specific Password とは?”Google Chrome Vulnerabilities Enable Arbitrary Code Execution – Update Now!
2025/06/18 gbhackers — Google が公表したのは、Chrome ブラウザの重要なセキュリティ・アップデートのリリースに関する情報である。このアップデートは、深刻度の高い複数の脆弱性に対処するものであり、それらを悪用する攻撃者は、影響を受けるシステム上で任意のコード実行の可能性を手にするという。Windows/Mac 用にはバージョン 137.0.7151.119/.120 が、Linux 用にはバージョン 137.0.7151.119 が提供されている。このアップデートは、すべてのユーザーに強く推奨されるものであり、また、新たな脅威からデバイスを保護するために不可欠なものである。
Continue reading “Google Chrome の脆弱性 CVE-2025-6191/6192 が FIX:任意のコード実行の可能性”Google’s Gerrit Code Platform Vulnerability Allows Hack of 18 Google Projects Including ChromiumOS
2025/06/17 CyberSecurityNews — 新たに発見された脆弱性 CVE-2025-1568 は、深刻なサプライチェーン攻撃を引き起こすものであり、GerriScary と命名されている。この脆弱性の悪用に成功した攻撃者は、ChromiumOS/Chromium/Dart/Bazel などを含む、少なくとも 18種類の Google プロジェクトへの、悪意のコード注入の可能性を得る。この脆弱性を悪用する攻撃者は、Google が使用するコード・コラボレーション・プラットフォーム Gerrit のミスコンフィグを突き、信頼されたソフトウェア・リポジトリを不正に操作することで、高度な攻撃チェーンを成立させるという。この脆弱性を発見したのは、Tenable のセキュリティ研究者 Liv Matan である。
Continue reading “Google Gerrit の脆弱性CVE-2025-1568:Google プロジェクト 18種類に改竄の恐れ?”Hackers Exploiting Chrome Zero‑Day Vulnerability in the Wild
2025/06/17 gbhackers — Google Chrome に新たに発見されたゼロデイ脆弱性 CVE-2025-2783 が、高度なサイバー・スパイ活動において、ハッカーたちにより積極的に悪用されている。セキュリティ研究者は、この脆弱性を悪用する標的型攻撃の急増を確認しており、攻撃元については APT グループ Team46 (別名 TaxOff) だとしている。
Continue reading “Chrome のゼロデイ脆弱性 CVE-2025-2783:APT グループ Team46 による積極的な悪用を観測”Google Massive Cloud Outage Linked to API Management System
2025/06/16 CyberSecurityNews — 2025年6月12日に Google Cloud は、近年における最大規模の障害を引き起こした。その API 管理システムに発生した重大な障害により、世界中で数十のサービスが、最大で7時間にわたって停止した。このインシデントは、API の承認と割り当てポリシーを管理する Service Control バイナリで発生した、null ポインタへの例外処理が原因となり、Google Cloud Platform と Google Workspace を利用する数百万人のユーザーに、影響を与えたものである。
Continue reading “Google Cloud の大規模ダウン:6月12日に発生した API 障害について詳述する”Chrome, Firefox Updates Resolve High-Severity Memory Bugs
2025/06/11 SecurityWeek — 6月10日 (火) にリリースされた Chrome 137 と Firefox 139 のアップデートでは、それぞれ2件ずつ、合計で4件の、深刻度の高いメモリ・バグが修正されている。Chrome のアップデートでは、Media における解放後メモリ使用の脆弱性 CVE-2025-5958 と、V8 JavaScript エンジンのタイプ・コンヒュージョンの脆弱性 CVE-2025-5959 が修正されている。どちらも、外部の研究者により報告されたものである。
Continue reading “Chrome/Firefox の深刻な脆弱性4件が FIX:情報漏洩/リモート・コード実行などの恐れ”Google Vulnerability Let Attackers Access Any Google User’s Phone Number
2025/06/10 CyberSecurityNews — Google のアカウント復旧システムに存在していた、深刻なセキュリティ脆弱性を悪用する攻撃者が、高度なブルートフォース攻撃を介して、任意の Google ユーザーの電話番号を取得できる状態にあったことが、BruteCat のセキュリティ研究者により明かされた。この脆弱性は、Google の No-JavaScript Username Recovery Form の悪用により、通常のセキュリティ保護の回避と、機密情報の抽出を許すものだ。なお、この脆弱性は、すでに修正されている。
Continue reading “Google のレガシー・アカウント復旧機能の脆弱性:ユーザーの電話番号が漏洩?”U.S. CISA adds Google Chromium V8 flaw to its Known Exploited Vulnerabilities catalog
2025/06/06 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Google Chromium V8 に存在する境界外 Read/Write の脆弱性 CVE-2025-5419 を、Known Exploited Vulnerabilities (KEV) カタログに追加した。先日に Google は、Chrome ブラウザの3つの脆弱性を修正する、定例外アップデートをリリースしたが、そこに含まれる CVE-2025-5419 は、現時点で悪用されている欠陥である。
Continue reading “CISA KEV 警告 25/06/05:Google Chromium V8 の CVE-2025-5419 を登録”Popular Chrome Extensions Leak API Keys, User Data via HTTP and Hardcoded Credentials
2025/06/05 TheHackerNews — Chrome エクステンション群の中に、HTTP 経由でデータを平文送信し、ソースコード内に秘密情報をハードコーディングする複数の製品が存在し、深刻なプライバシー/セキュリティ・リスクにユーザーが直面していることを、サイバー・セキュリティの研究者が警告している。Symantec のセキュリティ研究者 Yuanjing Guo は、「広く使用されている複数のエクステンションが、意図せず単純な HTTP 経由で機密データを送信している。それにより、ブラウジング・ドメイン/マシン ID/オペレーティング・システムの詳細/使用状況の分析/アンインストール情報などが平文で送信されている」と指摘している。
Continue reading “人気の Chrome エクステンション群に深刻な問題:HTTP 平文通信や API キー漏洩など”Google fixed the second actively exploited Chrome zero-day since the start of the year
2025/06/03 SecurityAffairs — Google が発表したのは、Chrome ブラウザに存在する3 件の脆弱性に対処するための、緊急アップデートのリリースである。そのうちの CVE-2025-5419 は、すでに実際の攻撃での悪用が確認されている。この脆弱性は、以前の Google Chrome に搭載されていた、V8 JavaScript エンジンにおける境界外 Read/Write の欠陥である。この脆弱性を悪用する攻撃者は、細工された HTML ページを介して、ヒープ破損を引き起こす可能性を手にする。
Continue reading “Google Chrome の脆弱性 CVE-2025-5419/5068/2783 が FIX:悪用も確認”Google Chrome to distrust Chunghwa Telecom, Netlock certificates in August
2025/06/02 BleepingComputer — Google が発表したのは、繰り返されるコンプライアンス違反と改善の遅れを理由に、Chrome Root Store に置かれる Chunghwa Telecom と Netlock の署名付きルート CA 証明書を、今後は信頼しないという声明である。この変更は、2025年8月1日にリリースが予定される、Google Chrome のバージョン 139 で適用されるという。今回の措置の理由として Google が挙げるのは、継続的なコンプライアンス違反、改善コミット・メントの不履行、そして目に見える進捗の欠如にある。
Continue reading “Google から Chunghwa Telecom と Netlock に通知:Chrome の認証局リストから排除”100+ Fake Chrome Extensions Found Hijacking Sessions, Stealing Credentials, Injecting Ads
2025/05/20 TheHackerNews — 2024年2月以降において、正体不明の脅威アクターが作成した悪意の Chrome エクステンション群は、無害に見えるユーティリティを装いながら、データの窃取/コマンドの受信/任意コードの実行といった機能を隠し持っている。
Continue reading “Chrome Extension ユーザーが標的:100+ の悪意のエクステンションと Web サイトを準備するキャンペーン”Sophisticated NPM Attack Leverages Google Calendar for Advanced Communication
2025/05/16 gbhackers — npm エコシステムで判明した驚くべき問題は、無害に見えるパッケージ os-info-checker-es6 の中に、きわめて洗練されたマルウェア攻撃が埋め込まれていることだ。2025年3月19日に、このパッケージは初めて公開され、そのイニシャル・バージョンは無害に見えたが、その後に複雑な脅威へと急速に進化している。具体的に言うと、初期のイテレーションは、基本的な OS 情報の収集に重点を置いていたが、3月22日〜23日に行われたアップデートでは、プラットフォーム対応の固コンパイル済み Node.js モジュールと、複雑な難読化技術が導入された。
Continue reading “Google Calendar を C2 サーバに変える:NPM に仕掛けられた高ステルス性のマルウェアとは?”Google Chrome Zero-Day Vulnerability (CVE-2025-4664) Actively Exploited in The Wild
2025/05/15 gbhackers — Chrome の Stable チャネルで公表されたのは、Windows/Mac のバージョン 136.0.7103.113/.114 と、Linux のバージョン 136.0.7103.113 へのアップデートに関する情報である。このアップデートは、今後の数日から数週かけてユーザーに公開され、世界中のユーザーが最新の機能強化を利用できるようになる。
Continue reading “Google Chrome のアップデート:ゼロデイ脆弱性 CVE-2025-4664 などが FIX”Google Pays $1.375 Billion to Texas Over Unauthorized Tracking and Biometric Data Collection
2025/05/10 TheHackerNews — Google がテキサス州と合意したのは、ユーザーの同意を得ることなく、個人位置情報を追跡し、顔認識データを保持したとして提起された、2件の訴訟を和解するために $1.375 billion を支払うことだ。この支払い額は、他州からの同様の訴訟において、Google が支払った罰金を大きく上回っている。2022年11月に Google は、40州の連合に対して $391 million を支払い、また、2023年12月にはインディアナ州およびワシントン州に $29.5 million を、そして、同年 9月にはカリフォルニア州との和解で $93 million を支払っている。
Continue reading “Google とテキサス州が 14億ドルの罰金で合意:不正な位置追跡と生体認証データの収集”Google Chrome to use on-device AI to detect tech support scams
2025/05/09 BleepingComputer — Google が発表したのは、組み込みの LLM である Gemini Nano を活用する、新しい Chrome セキュリティ機能の実装である。その機能はというと、Web の閲覧中にテクニカル・サポート詐欺を検出/阻止するものだ。テクニカル・サポート詐欺とは、悪意の Web サイトでユーザーを欺き、その PC にウイルス感染やシステム不具合が生じていると見せかける手口である。それらの悪意の警告は、フルスクリーンのブラウザ・ウィンドウやポップアップとして表示され、ユーザーの操作を妨げる特徴がある。
Continue reading “Gemini Nano vs. テック・サポート詐欺:Chrome の新機能で即時検出”Chrome Update Fixes High-Severity Security Flaw (CVE-2025-4096)
2025/04/30 SecurityOnline — Chrome チームが公表したのは、Windows/Mac/Linux 向けのバージョン 136 を提供する、最新のステイブル・チャネル・アップデートのリリースである。このアップデートでは、通常どおりに内部的な改善が施されているが、注目すべきは、同梱されている8つの重要なセキュリティ修正である。
Continue reading “Chrome の脆弱性 CVE-2025-4096 などが FIX:任意のコード実行とシステム制御奪取の可能性”Google: 97 zero-days exploited in 2024, over 50% in spyware attacks
2025/04/29 BleepingComputer — Google Threat Intelligence Group (GTIG) によると、2024年には 75件のゼロデイ脆弱性が実際の攻撃で悪用され、そのうちの半数以上がスパイウェアによる攻撃に関連していたという。この数値は、2023年の 97件から減少しているが、2022年の 63件からは増加している。GTIG のアナリストたちは、この変動について、「ゼロデイ脆弱性の悪用件数は全体として増加傾向にあり、このばらつきは想定内である」と分析している。なお、Google によるゼロデイ脆弱性の定義は、「ベンダーがパッチを公開する前に実環境で悪用された脆弱性」である。
Continue reading “2024年に発生したゼロデイ攻撃は 97件:50%以上がスパイウェア攻撃に関連 – Google 調査”Chrome UAF Process Vulnerabilities Actively Exploited
2025/04/25 gbhackers — Google Chrome ブラウザ・プロセスに存在する、2つの深刻な解放後メモリ使用 (UAF) 脆弱性が実際に悪用され、サンドボックス・エスケープや任意のコード実行の危険が生じていることが、セキュリティ研究者たちにより明らかにされた。その一方で Google は、MiraclePtr 防御メカニズムを導入しており、これらの脆弱性の悪用の道が閉ざされるという、ブラウザ・セキュリティにおける重要なマイルストーンが達成された。
Continue reading “Chrome の解放後メモリ使用の脆弱性:新たな MiraclePtr 防御メカニズムで撃退”CISA warns threat hunting staff of end to Google, Censys contracts as agency cuts set in
2025/04/18 NextGov — Cybersecurity and Infrastructure Security Agency (CISA) が、今週に数百人の職員に対して通知した内容は、サイバー・セキュリティ・ツールの1つを廃止し、脅威ハンティングに特化したツールの廃止も予定しているというものである。事情に詳しい2人の関係者の内部メールを、Nextgov/FCW が確認したことで、この動きが明らかになった。
Continue reading “CISA における予算削減の余波:VirusTotal と Censys との利用契約が終了か?”Chrome Update Fixes High-Severity “Use After Free” Vulnerability
2025/04/09 SecurityOnline — Chrome の Stable チャネルで公表されたのは、Windows/Mac のバージョン 135.0.7049.84/.85 と、Linux のバージョン 135.0.7049.84 へのアップデートに関する情報である。このアップデートは、今後の数日から数週かけて、ユーザーに公開される予定だという。この最新リリースには、深刻度の高い脆弱性への対処に重点を置いた、重要なセキュリティ修正が取り込まれている。
Continue reading “Chrome の深刻な脆弱性 CVE-2025-3066 が FIX:“Use After Free” の恐れ”Google fixed two actively exploited Android zero-days
2025/04/08 SecurityAffairs — Google が公表した、2025年4月の Android セキュリティ・アップデートは、62件の脆弱性に対処するものである。このアップデートには、標的型攻撃で悪用されている2件のゼロデイ脆弱性 CVE-2024-53197/CVE-2024-53150 が含まれる。脆弱性 CVE-2024-53197 は、Linux カーネルの問題であり、ALSA USB オーディオに影響を与えるものだ。悪意のデバイスにより、設定値を悪用されると、境界外メモリ・アクセスを引き起こす可能性が生じるという。
Continue reading “Android のゼロデイ脆弱性 CVE-2024-53197/53150 が FIX:実際の攻撃での悪用を確認”Google Pushing ‘Sec-Gemini’ AI Model for Threat-Intel Workflows
2025/04/07 SecurityWeek — Google が発表したのは、脅威インテリジェンス部門 Mandiant のインシデント対応および、脅威分析ワークフローを支援するために設計された、実験的な人工知能モデルである。この “Sec-Gemini v1” と呼ばれる AI モデルは、Google の LLM である Gemini の機能と、Google Threat Intelligence (GTI)、Open Source Vulnerability (OSV) データベースなどの社内リソースを統合することで、ほぼリアルタイムのセキュリティ・データとツールを構成するという。
Continue reading “Google の Sec-Gemini が登場:Mandiant のデータと LLM を統合”2025/04/07 SecurityAffairs — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、Ivanti Connect Secure/Policy Secure/ZTA の脆弱性 CVE-2025-22457 を、KEV (Known Exploited Vulnerabilities) カタログに追加した。この脆弱性 CVE-2025-22457 は、スタックバッファ・オーバーフローに起因し、リモート・コード実行 (RCE) を引き起こすという深刻なものである。
Continue reading “CISA KEV 警告 25/04/04:Ivanti CS/Policy Secure/ZTA の脆弱性 CVE-2025-22457 を登録”Google’s Quick Share for Windows Vulnerability Allows Remote Code Execution
2025/04/03 gbhackers — Google が Windows 向けに提供する、ファイル転送ユーティリティ Quick Share に、新たな脆弱性が発見されたことを、SafeBreach Labs のサイバー・セキュリティ研究者たちが明らかにした。この問題には、標的デバイスでのコード実行を攻撃者に許す、きわめて深刻な欠陥も含まれる。今週に公開された調査結果が浮き彫りにするのは、2024年に Google がパッチ適用を報告した後にも、この広く使用されるツールにリスクが存在することだ。
Continue reading “Google の Quick Share for Windows の脆弱性:Mobile と PC をつなぐシステムの難しさとは?”
IoT OT Security News 
You must be logged in to post a comment.