Mozilla Criticizes Microsoft for Installing Copilot on Windows Without User Consent
2026/04/13 CyberSecurityNews — Mozilla が Microsoft を公に批判した理由は、ユーザーの同意なしに AI アシスタント Copilot を Windows システムへ展開した点にある。Firefox の開発元が指摘するのは、ユーザーの権利よりも企業の収益を優先する Microsoft の姿勢だ。Mozilla は “Old Habits Die Hard” (習慣はなかなか変えられない) というブログ投稿で、自動インストール/ハードウェアデフォルト設定/欺瞞的 UI デザインを用いて、Windows エコシステム全体へと Copilot を 積極的に展開していると非難している。
Continue reading “Mozilla が Microsoft を公に批判:Windows への Copilot の強引な展開を巡って”Mozilla Releases Firefox 149.0 With Free Built‑In VPN Offering 50 GB Monthly Data
2026/03/25 gbhackers — Mozilla は Firefox 149.0 をリリース・チャネルで公開し、ブラウザにおけるプライバシー/セキュリティ機能を大幅に強化した。このアップデートの最大の特徴は、パブリック・ネットワーク利用時にユーザーを保護し、機密性の高いブラウジングを安全に維持するために設計された、ビルトイン VPN の無料での統合である。
Continue reading “Mozilla Firefox 149.0 をリリース:Web 脅威対策とプライバシー機能を大幅に強化”Claude AI Uncovers 22 Firefox Vulnerabilities in Two Weeks
2026/03/06 CyberSecurityNews — 人工知能モデルは単純なコード補助ツールから、自律型の高度な脆弱性研究者へと急速に進化している。最近の Anthropic Claude Opus 4.6 は、厳しく監査されてきたはずのオープンソース・プロジェクトにおいて、500 件を超えるゼロデイ脆弱性を発見した。その一環として、2026年2月の 2 週間をかけて Mozilla と Anthropic が共同で実施した検証では、Firefox に存在していた 22 件のセキュリティ欠陥が Claude Opus 4.6 により特定されている。Mozilla は、そのうち 14 件を高深刻度と分類したが、この件数は、2025年に修正された Firefox の高深刻度脆弱性の約 20% に相当する。
Continue reading “Claude AI が発見した Firefox の脆弱性 22 件:2 週間にわたる Mozilla との共同検証の成果とは?”Firefox 148 Unveils New Sanitizer API to Mitigate XSS Attacks in Web Applications
2026/02/26 gbhackers — Firefox が公開したのは、Cross-Site Scripting (XSS) 攻撃から Web アプリケーションを保護するための主要なアップデートである。Firefox 148 のリリースに伴い、Mozilla は標準化された新たな Sanitizer API を導入し、セキュリティ・ツールを標準でビルトインする最初のブラウザとなった。この新機能により、Web 開発者は未信頼のコードが Web ページへ挿入される前に、安全対策とクリーン・アップの実行が可能になる。
Continue reading “Mozilla Firefox 148 がリリース:Sanitizer API の搭載による XSS 対策の強化”Firefox v147.0.3 Released with Critical Fix for Heap Buffer Overflow Vulnerability
2026/02/17 gbhackers — Mozilla が公開したのは、libvpx ライブラリに存在する深刻なヒープバッファ・オーバーフローの脆弱性 CVE-2026-2447 に対処する緊急セキュリティ・アップデートである。Firefox 147.0.4 は 2026年2月16日に発表され、Firefox ESR 140.7.1/115.32.1 向けの修正パッチも同時に提供された。この脆弱性は、セキュリティ研究者 jayjayjazz により発見されたものである。
Continue reading “Mozilla Firefox の脆弱性 CVE-2026-2447 が FIX:動画処理を介して任意のコード実行”Firefox Will Give Users an AI Kill Switch for Better Privacy
2026/02/07 hackread — ほぼすべての、私たちが訪れる Web サイトに AI が組み込まれつつあるが、この変化を歓迎しないユーザーも少なくない。身近にあるデジタル・アシスタントを便利だと感じる一方で、データ共有への懸念を抱くユーザーや、絶え間ないポップアップに疲弊するユーザーもいる。Mozilla は、こうした傾向に注目し、ユーザー主導の環境を取り戻すことを目的とする大規模なアップデートを発表した。
Continue reading “Firefox が導入するプライバシー強化策:カスタマイズ可能な AI Kill Switch とは?”Mozilla Wants All New Firefox Extensions to Disclose Data Collection Policies
2025/10/28 CyberSecurityNews — Mozilla が公表したのは、Firefox エクステンションに対して透明性の要件を導入することである。それにより、2025年11月3日以降に Firefox エコシステムにエクステンションを提供する開発者はインストール前に、そのコア設定ファイルに組み込まれた標準化フレームワークを通じて、ユーザーに対するデータ収集の方法を開示することが義務付けられる。そこでは、対象となるソフトウェアによる、個人データの収集/送信についても宣言する必要が生じる。
Continue reading “Firefox エクステンションにデータ収集の透明性要件を導入:すべての新規アドオンに開示義務”2025/10/07 SecurityAffairs — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、Oracle/Linux Kernel/Mozilla/Microsoft Windows/Microsoft Internet Explorer の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに登録した。以下に、今回追加された脆弱性の概要を示す。
High-Severity Mozilla Flaws Allow Remote Code Execution
2025/08/21 gbhackers — Mozilla がリリースした Firefox 142 は、影響を受けるシステムにおいて、リモート攻撃者に対して任意のコード実行などを許す、複数の深刻な脆弱性に対処するためのものである。2025年8月19日に公開された、Mozilla Foundation Security Advisory 2025-64 で解説されるのは、深刻なリモート・コード実行 (RCE)/サービス拒否 (DoS)/スプーフィング 攻撃につながる恐れのある、9件の脆弱性に関する情報である。
Continue reading “Mozilla 製品における複数の脆弱性が FIX:RCE/DoS/Spoofing などの可能性”Mozilla Warns of Phishing Attacks Targeting Add-on Developers Account
2025/08/04 CyberSecurityNews — Mozilla が発令したのは、AMO (addons.mozilla.org) アカウントを標的とする、巧妙なフィッシング攻撃について通知する、開発者コミュニティへ向けた緊急のセキュリティ・アラートである。2025年8月1日に、Scott DeVaney が率いる Mozilla セキュリティ・チームは、開発者の認証情報を窃取しようとする動きについて報告した。具体的に言うと、開発者向けの機能へのアクセスを維持するためには、アカウントの更新が必要であると主張する、サイバー犯罪者からの偽の電子メールが配信されているという情報である。
Continue reading “Mozilla からアドオン開発者への警告:認証情報の窃取を目的とするフィッシング・メール”8 New Malicious Firefox Extensions Steal OAuth Tokens, Passwords and Spy on Users
2025/07/07 CyberSecurityNews — OAuth トークン/パスワードの窃取を積極的に行い、欺瞞的手法によりユーザーを監視する、8件の悪意の Firefox エクステンションで構成される高度なネットワークを、Socket Threat Research Team のセキュリティ研究者たちが発見した。この発見で明らかにされたのは、人気のゲーム・タイトルやユーティリティ・アプリの悪用を通じて、Firefox エコシステム全体のユーザー・セキュリティを侵害する、組織的なキャンペーンの存在である。
Continue reading “Firefox の悪意のエクステンション8件:OAuth Token/Password を盗んでユーザーを監視”Firefox 140 Launches with Critical Code Execution Bug Fix – Update Now
2025/06/26 gbhackers — Mozilla が Firefox 140 を正式にリリースした。そこに取り込まれたセキュリティ・アップデートには、深刻なコード実行の脆弱性に対する修正などが含まれる。ユーザーに対して強く推奨されるのは、Firefox を 最新の 140 へと速やかにアップデートし、これらの脆弱性を悪用する、潜在的な攻撃から保護することである。
Continue reading “Firefox 140 がリリース:深刻な脆弱性 CVE-2025-6424/6436 の FIX と最新機能の提供”Chrome, Firefox Updates Resolve High-Severity Memory Bugs
2025/06/11 SecurityWeek — 6月10日 (火) にリリースされた Chrome 137 と Firefox 139 のアップデートでは、それぞれ2件ずつ、合計で4件の、深刻度の高いメモリ・バグが修正されている。Chrome のアップデートでは、Media における解放後メモリ使用の脆弱性 CVE-2025-5958 と、V8 JavaScript エンジンのタイプ・コンヒュージョンの脆弱性 CVE-2025-5959 が修正されている。どちらも、外部の研究者により報告されたものである。
Continue reading “Chrome/Firefox の深刻な脆弱性4件が FIX:情報漏洩/リモート・コード実行などの恐れ”Mozilla releases Firefox 139.0.1 update to fix artifacts on Nvidia GPUs
2025/05/29 BleepingComputer — Mozilla が公表した Firefox 139.0.1 を緊急アップデートは、NVIDIA GPU を搭載した PC 環境において、グラフィックのアーティファクトが発生する不具合に対応するものだ。この不具合は、5月27日にリリースされた Firefox 139 において発生しており、Web 閲覧中の描画異常が報告されていた。
Continue reading “Mozilla Firefox 139.0.1 がリリース:NVIDIA GPU における描画異常を修正”Mozilla fixes Firefox zero-days exploited at hacking contest
2025/05/19 BleepingComputer — Mozilla が公表したのは、先日に開催された Pwn2Own Berlin 2025 ハッキング・コンテストで実証された、Firefox の2件のゼロデイ脆弱性に対処するための、緊急セキュリティ・アップデートのリリースである。これらの修正の対象には、Firefox の Desktop/Android および、2つの Extended Support Releases (ESR) が含まれる。これらの脆弱性が報告された、5月17日 (土) の Pwn2Own から、わずか数時間後に修正版はリリースされている。
Continue reading “Mozilla Firefox のゼロデイ脆弱性 CVE-2025-4918/4919 が FIX:Pwn2Own Berlin 2025 で公表”Firefox Fixes High-Severity Vulnerability Causing Memory Corruption via Race Condition
2025/04/16 gbhackers — Mozilla が発表したのは、攻撃者に対してメモリ破損の悪用を許す可能性のある、深刻度の高いセキュリティ脆弱性を修正する Firefox 137.0.2 のリリースである。この修正は、Mozilla Foundation セキュリティ・アドバイザリ 2025-25 に記載されているように、Mozillaファジング・チームによる、脆弱性の発見と報告を受けて行われたものである。
Continue reading “Firefox の脆弱性 CVE-2025-3608 が FIX:競合状態によるメモリ破壊のリスク”Mozilla warns Windows users of critical Firefox sandbox escape flaw
2025/03/27 BleepingComputer — Mozilla がリリースした Firefox 136.0.4 は、Windows システム上の Web ブラウザのサンドボックスにおいて、攻撃者にエスケープを許す深刻なセキュリティ欠陥を修正するものだ。Mozilla 開発者の Andrew McCreight は、「この脆弱性 CVE-2025-2857 は、誤ったハンドルによるサンドボックス・エスケープの可能性を示すものだ」と説明している。
Continue reading “Firefox のサンドボックス・エスケープの脆弱性 CVE-2025-2857 が FIX:Chrome の問題に類似?”WARNING: Expiring Root Certificate May Disable Firefox Add-Ons, Security Features, and DRM Playback
2025/03/13 TheHackerNews — Mozilla はユーザーに対して、ルート証明書の期限切れによる、アドオン使用での問題の発生を回避するための、最新バージョンによる Firefox インスタンスのアップデートを呼びかけている。Mozilla は、「Firefox などの Mozilla プロジェクトにおいて、署名済みコンテンツとアドオンの検証に使用されるルート証明書が、2025年3月14日に期限切れになる」と述べている。
Continue reading “Firefox ユーザーに警告:3月14日に期限切れになるルート証明書という問題について”Firefox continues Manifest V2 support as Chrome disables MV2 ad-blockers
2025/02/25 BleepingComputer — Mozilla の新たな約束は、Manifest V3 と並行した Manifest V2 エクステンションのサポートの継続であり、ブラウザ上での自由な選択をユーザーに提供するものである。
Continue reading “Firefox における Manifest V2 のサポート継続:Chrome とは異なる道を進んでいく”2024/11/26 SecurityOnline — ロシア由来の脅威アクター RomCom による、Mozilla Firefox/Microsoft Windows のゼロデイ脆弱性を悪用する協調攻撃が、最近の ESET サイバー・セキュリテ・レポートで明らかにされた。これらの脆弱性は未知のものであるが、実際に悪用されているという。ユーザーの介入を必要とせずに、攻撃者による悪意のコード実行が可能になるという、高度な技術が検証されている。
Continue reading “RomCom が展開する攻撃チェーン:Firefox の CVE-2024-9680 と Windows CVE-2024-49039 を悪用”DOJ Proposes Breaking Up Google: Calls for Sale of Chrome Browser
2024/11/21 HackRead — Google に対する反トラスト訴訟において DOJ は、Chromeブラウザの売却および、検索処理の制限、そして、独占を制限するための事業再編などの、厳しい提案を行っている。米国司法省 (DOJ) は、Google に対する反トラスト訴訟の一環として、同社の事業構造とインターネットにおける役割を完全に変えると思われる、きわめて大きな変革を提案している。
Continue reading “Google は Chrome 事業を売却すべきだ:米司法省が唱える反トラスト訴訟とは?”Mozilla fixes Firefox zero-day actively exploited in attacks
2024/10/09 BleepingComputer — Mozilla が公表したのは、現時点で攻撃に悪用されている、Firefox の深刻な use-after-free の脆弱性に対処するための、緊急セキュリティ・アップデートのリリースである。この脆弱性 CVE-2024-9680 は、Animations タイムラインにおける use-after-free に起因するものであり、ESET の研究者 Damien Schaeffer により発見されている。このタイプの欠陥は、解放されたメモリがプログラムにより使用される前に発生し、メモリ領域への悪意のデータの注入とコード実行を、攻撃者に許すものである。
Continue reading “Mozilla Firefox ゼロデイ脆弱性 CVE-2024-9680 が FIX:積極的な悪用を観測”Firefox Klar’s Quiet Change: Adjust Removed Amidst Privacy Concerns
2024/08/26 SecurityOnline — Firefox/Firefox Klar (Firefox Focus) の Android/iOS 版から、Adjust との統合を削除したと Mozilla が公表した。Adjust SDK とは、マーケティング・キャンペーンの効果を測定するために用いられ、広告の展開後に Firefox がインストールされたかどうかを、Mozilla が判断するのに役立ってきた。そして、分析用のデータは、ドイツの Adjust サーバから収集されていた。
Continue reading “Firefox における静かな変更:プライバシーの懸念から Adjust を削除”2024/07/13 SecurityOnline — Fabasoft が発表したのは、人気の PDF.js ライブラリに存在する、深刻度の高い脆弱性 CVE-2024-4367 に対処するセキュリティ・アドバイザリである。Codean Labs により発見された、この脆弱性の悪用に成功した攻撃者は、悪意の PDF ファイルをユーザーが開いたときに、その Web ブラウザ内で任意の JavaScript コードを実行する可能性を得る。
Continue reading “Fabasoft PDF.js ライブラリの脆弱性 CVE-2024-4367 が FIX:PoC エクスプロイトが提供”CVE-2024-4367 & CVE-2024-34342: JavaScript Flaws Threaten Millions of PDF.js and React-PDF Users
2024/05/07 SecurityOnline — HTML5 で開発され Mozilla がサポートする PDF ビューア PDF.js と、React アプリケーション内で PDF を表示する npm パッケージ React-PDF に、深刻なセキュリティ上の欠陥が確認された。これらの人気ソフトウェアの脆弱性は、任意の JavaScript コードの実行を可能にするものであり、数百万人のユーザーを危険にさらしている。
Continue reading “PDF.js/React-PDF の脆弱性 CVE-2024-4367/34342 が FIX:ただちにアップデートを!”Mozilla fixes two Firefox zero-day bugs exploited at Pwn2Own
2024/03/22 BleepingComputer — ハッキング・コンテスト Pwn2Own Vancouver 2024 で悪用が実証された、Firefox Web ブラウザに存在する2つのゼロデイ脆弱性に対するセキュリティ・アップデートが、Mozilla からリリースされた。1つ目の脆弱性 CVE-2024-29944 は、境界外 (OOB) 書き込みに起因する、リモート・コード実行につながるものだ。2つ目の脆弱性 CVE-2024-29943 は、危険な関数の利用から、Mozilla Firefox のサンドボックス・エスケープにつながるものだ。この脆弱性を証明した Manfred Paul (@_manfp) は、賞金 $100,000 と、Master of Pwn 10 ポイントを獲得した。
Continue reading “Mozilla Firefox の2つのゼロデイが FIX:Pwn2Own Vancouver 2024 の成果だ!”FTC to ban Avast from selling browsing data for advertising purposes
2024/02/22 BleepingComputer — 米国の連邦取引委員会 (FTC:Federal Trade Commission) が Avast に命じたのは、ユーザーの Web 閲覧データの販売および、広告目的でのライセンス供与の禁止、そして罰金 $16.5 million の支払いである。訴状によると、データを収集するために使用される Avast 製品は、オンライン追跡をブロックするという誤解を、結果的にユーザーに与えるものである。さらに同社は、消費者の認識や同意を得ることなしに、閲覧データを収集/保存/販売し、何百万人もの消費者の権利を侵害したという。
Continue reading “FTC が Avast を提訴:Web 閲覧記録の広告転用に対して $16.5 M の罰金”Mozilla Patches Firefox Vulnerability Allowing Remote Code Execution, Sandbox Escape
2023/12/20 SecurityWeek — 12月19日 (火) に Mozilla は、Firefox と Thunderbirdのセキュリティアップデートを発表した。Firefox 121 では、18件の脆弱性に対するパッチがリリースされている。その脆弱性リストのトップは CVE-2023-6856 であり、ブラウザ内でインタラクティブなグラフィックスをレンダリングするための、JavaScript API である WebGL におけるヒープバッファ・オーバーフローのバグだとされている。
Continue reading “Firefox 121 のリリースで 13件の脆弱性を FIX:リモートコード実行にいたる可能性”Mozilla patches Firefox, Thunderbird against zero-day exploited in attacks
2023/09/12 BleepingComputer — 今日、Mozilla は、Firefox と Thunderbird に影響を及ぼし、野放し状態で悪用されている深刻なゼロデイ脆弱性を修正するために、緊急セキュリティ・アップデートをリリースした。この脆弱性 CVE-2023-4863 は、WebP コード・ライブラリ (libwebp) のヒープバッファ・オーバーフローに起因するものであり、その影響はクラッシュから任意のコード実行にまで及ぶという。
Continue reading “Firefox/Thunderbird のゼロデイ脆弱性 CVE-2023-4863 が FIX:WebP ライブラリの問題”Malicious Chrome extensions with 75M installs removed from Web Store
2023/06/02 BleepingComputer — Google が Chrome Web Store から削除した、32 種類の悪意のエクステンションとは、検索結果の改ざん/スパム拡散/広告の不正表示などの可能性を持つものである。それらのエクステンションの合計ダウンロード数は、7,500万件にのぼるという。それらは、悪意のアクションからユーザーの注意を逸らすために、真っ当な機能を備えている一方で、難読化されたコードを用いてペイロードを配信していた。サイバー・セキュリティ研究者である Wladimir Palant が、Chrome Web Store から入手できる PDF Toolbox エクステンション (200万ダウンロード) を分析したところ、正規のエクステンション API ラッパーとして、偽装されたコードが埋め込まれていることが発見された。
Continue reading “Chrome Web Store に悪意のエクステンション:75M 回もインストールされたという説もあるが”Google adds passkeys support for passwordless sign-in on all accounts
2023/05/03 BleepingComputer — Google は、すべてのサービスとプラットフォームにおいて、Passkey for Google Accounts のサポートを展開している。それにより、ユーザーはログイン時に、パスワードの入力や、2-Step Verification (2SV) に頼ること無く、Google アカウントにサインインできるようになる。Google の Product Managers である Christiaan Brand と Sriram Karra は、「私たちは、すべての主要なプラットフォームで、Google アカウント全体に対する Passkey のサポートを開始した。これにより、ユーザーは Google サービス全体で Passkey を活用し、パスワード不要のサインイン・エクスペリエンスを実現できるようになった」と述べている。
Continue reading “Google の Passkey:すべてのアカウントで安全なパスワードレス・サインインを実現”Spyware Vendor Variston Exploited N-Days in Chrome, Firefox, Windows
2022/12/01 InfoSecurity — スペインの カスタム・セキュリティ・ソリューション・プロバイダーとされる Variston IT は、自社の Heliconia フレームワークで Chrome/Firefox/Microsoft Defender の N-Day 脆弱性を悪用し、ターゲット・デバイスにペイロードを展開するためのツールを配布している。これは、Google Threat Analysis Group (TAG) が、11月30日のアドバイザリで明らかにしたものであり、Google/Microsoft/Mozilla は 2021年と 2022年初旬に、この脆弱性を修正しているという。
Continue reading “Variston IT というスパイウェア:Chrome/Firefox/Defender の N-Day 脆弱性を悪用”Let’s Encrypt issued over 3 billion certificates, securing 309M sites for free
2022/11/29 BleepingComputer — Let’s Encrypt を運営する非営利団体 Internet Security Research Group (ISRG) は、オープンな認証局 (CA:Certificate Authority) が2022年に発行した証明書が、30億件に到達したと発表した。Let’s Encrypt は、2015年9月に helloworld.letsencrypt.org ドメインの最初の証明書を発行して以来、HTTPS (SSL/TLS) と暗号化通信を可能にするために必要な、X.509 デジタル証明書を Web サイトに無料で提供してきた。
Continue reading “Let’s Encrypt は無料の証明書認証局:2022 年の発行件数が 30億件に到達”Mozilla Patches High-Severity Vulnerabilities in Firefox, Thunderbird
2022/08/25 SecurityWeek — 今週に Mozilla は、Firefox および Thunderbird に存在する、複数の深刻な脆弱性に対してパッチを適用した。Firefox 104 (Firefox ESR 91.13/102.2) に関しては、XSLT エラー処理に関連するアドレスバー偽装の可能性という深刻な欠陥にパッチが提供された。この脆弱性 CVE-2022-38472 は、フィッシングに悪用される可能性がある。
Continue reading “Mozilla Firefox/Thunderbird の深刻な脆弱性が FIX:フィッシングに悪用される可能性”Mozilla fixes Firefox, Thunderbird zero-days exploited at Pwn2Own
2022/05/24 BleepingComputer — Pwn2Own Vancouver 2022 ハッキングコンテストで悪用が証明されたゼロデイ脆弱性に対応するために、Mozilla は複数の製品に対してセキュリティ・アップデートを公開した。具体的には、Firefox/Firefox ESR/Firefox for Android/Thunderbird の脆弱なバージョンを実行している、モバイル/デスクトップ端末で悪用に成功した攻撃者に対して、JavaScript コード実行を許してしまうという、2つの深刻な脆弱性が存在する。
Continue reading “Pwn2Own Vancouver ハッキングコンテスト:Mozilla 製品群の2つのゼロデイ脆弱性が FIX”CISA: Patch actively exploited Firefox zero-days until March 21st
2022/03/08 BleepingComputer — Cybersecurity and Infrastructure Security Agency (CISA) は連邦政府民間機関に対して、いくつかの攻撃で悪用されている、Firefox の深刻な脆弱性について、今後の2週間以内にパッチするよう命じた。この週末に公開された Mozilla のアドバイザリによると、この2つの Use After Free のバグ (CVE-2022-26485/CVE-2022-26486) の悪用に成功した攻撃者は、標的デバイス上でのクラッシュを誘発し、悪意のコードを実行できるという。
Continue reading “CISA 警告:Firefox ゼロデイを含む 11件の脆弱性を悪用リストに追加”Mozilla Firefox 97.0.2 fixes two actively exploited zero-day bugs
2022/03/06 BleepingComputer — Mozilla は、Firefox 97.0.2/Firefox ESR 91.6.1/Firefox for Android 97.3.0/Focus 97.3.0 をリリースし、活発に悪用されている2つの深刻なゼロデイ脆弱性を修正した。どちらのゼロデイ脆弱性も、Use-after-free バグであり、過去に消去されたメモリがプログラムから使用されてしまうものだ。このタイプのバグの悪用に成功した脅威アクターに対して、プログラムがクラッシュすると同時に、デバイス上でのコマンド実行を許す可能性が生じる。
Continue reading “Mozilla Firefox 97.0.2 がリリース:深刻なゼロデイ脆弱性を FIX”CISA warns organizations to patch 95 actively exploited bugs
2022/03/04 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、活発に悪用されているセキュリティ欠陥のリストに 95件の脆弱性を追加したが、この件数は、昨年に Binding Operational Directive (BOD) を発行してから最多のものとなる。その中には、20年近く前から認識されているバグもあるが、同庁は、「連邦政府の企業にとって重大なリスクをもたらす」と指摘している。
Continue reading “CISA 警告:悪用脆弱性カタログに新旧あわせて 95 件が追加された”Google Project Zero: Vendors are now quicker at fixing zero-days
2022/02/11 BleepingComputer — Google の Project Zero は、2021年において同チームが報告したゼロデイ脆弱性について、それぞれの組織が対応に要した時間の短縮示すレポートを発表した。この Project Zero が報告したデータによると、ソフトウェア・ベンダーがセキュリティ修正プログラムの発行に要した平均期間は、2017年の 80日から、2021年は 52日に短縮された。さらに、大半のベンダーが、業界標準の期限である90日と、2週間の猶予期間内に、欠陥に対処した。
Continue reading “Google Project Zero レポート:各ベンダーのゼロデイ対応と時間軸”Mozilla fixes Firefox bug letting you get Windows admin privileges
2022/02/08 BleepingComputer — Mozilla Maintenance Service に深刻度の高い特権昇格の脆弱性が見つかり、それに対処するセキュリティ・アップデートが公開された。この Service は、Firefox および Thunderbird のオプション・サービスであり、アプリケーションのアップデートをバックグラウンドで実行するものだ。それにより、Firefox ユーザーは、Web ブラウザやメール・クライアントを更新する際に、Windows の User Account Control (UAC) ダイアログで Yes をクリックする必要がなくなり、シームレスなアップデート・エクスペリエンスが得られる。
Continue reading “Mozilla Firefox 97 でバグ FIX:Windows 管理者への不正な権限昇格”2022/01/12 DailySwig — Mozilla Firefox に存在する、セキュリティ問題にパッチが適用された。この問題は、攻撃者が密かに実行するフルスクリーン・モードを介して、正規の Web サイトに成りすますことを許すものだ。この脆弱性 CVE-2022-22746 は、Windows 版の Firefox に存在していたものであり、競合状態のバグにより、ブラウザのフルスクリーン通知の警告が回避されてしまうという。それにより、攻撃者はユーザーを騙すことが可能となり、悪意のリンクのクリックや、偽 Web サイトへの機密情報の入力といった、悪意のある行為を実行できる。
Continue reading “Firefox 96 でフィッシングを止めろ:フルスクリーン通知バイパスの脆弱性などが FIX”Mozilla fixes critical bug in cross-platform cryptography library
2021/12/01 BleepingComputer — Mozilla は、クロス・プラットフォームの暗号ライブラリ Network Security Services (NSS) に存在する、深刻なメモリ破壊の脆弱性に対処した。NSS は、SSL v3/TLS/PKCS #5/PKCS #7/PKCS #11/PKCS #12/S/MIME/X.509 v3 証明書などの、さまざまなセキュリティ規格に対応しており、セキュリティ機能を備えたクライアントおよびサーバー・アプリケーションを開発するために使用できる。
Continue reading “Mozilla の暗号ライブラリ Network Security Services の深刻なバグが FIX”Mozilla Thunderbird 91.3 released to fix high impact flaws
2021/11/05 BleepingComputer — Mozilla は Thunderbird 91.3 をリリースし、サービス拒否/発信元の偽装/セキュリティ・ポリシー迂回/任意のコード実行などの、複数の深刻な脆弱性を修正した。新たに発見された脆弱性の大半は、特別に細工された Web サイトを閲覧することで発動するため、比較的容易に悪用することが可能となる。
Continue reading “Thunderbird 91.3 がリリース:Win 10 Cloud Clipboard に関連する深刻な脆弱性が FIX”Apple will disable insecure TLS in future iOS, macOS releases
2021/09/22 BleepingComputer — Apple は、最近リリースした iOS および macOS において、安全性の低い TLS (Transport Layer Security) 1.0/1.1 プロトコルを非推奨とし、今後のリリースではサポートを完全に削除する予定だという。TLS は、クライアント/サーバー・アプリケーションを使用して、インターネットを介して情報にアクセスする際などに、メッセージの盗聴/改竄/偽造からユーザーを保護するために設計された、セキュアな通信プロトコルである。
Continue reading “Apple iOS / macOS から TLS 1.0 / 1.1 が消えていく”2021/09/10 DailySwig — Google Chrome を標的とする、サイドチャネル攻撃が新たに発見された。攻撃者は、この Web ブラウザのセキュリティ保護機能を回避し、Spectre 型攻撃を用いて機密情報を取得できる。この、Spook.js と名付けられたサイドチャネル攻撃は、投機的実行 (Spectre) 攻撃に対するChromeの防御機能を回避し、認証情報や個人情報などを盗み出すことができます。
Continue reading “Google Chrome/Chromium で発見された Spook.js サイドチャネル攻撃とは?”
IoT OT Security News 