Security by Design – IoT OT Security News

Linux Kernel の脆弱性 CVE-2025-21756 が FIX：完全な Root アクセスと PoC エクスプロイト

CVE-2025-21756: How a Tiny Linux Kernel Bug Led to a Full Root Exploit, PoC Releases

2025/04/29 SecurityOnline — Linux Kernel の vsock サブシステムに影響を与える、解放後使用 (UAF) の脆弱性 CVE-2025-21756 の全容が、セキュリティ研究者である Michael Hoefler の分析で、を明らかになった。当初は、vsock_remove_sock() の動作を数行で変更する単純なコード調整から始まり、最終的には、ローカル権限昇格 (LPE) とカーネル・コード実行へと至るものだという。

Linux Kernel 6.14 rc3 がリリース：いくつかの弱点の修正とドライバー開発の簡素化

Linux Kernel 6.14 rc3 Released With The Fixes for Critical Issues

2025/02/17 gbhackers — Linus Torvalds が発表したのは、Linux Kernel 6.14-rc3 のリリースである。このリリースは、次期カーネル・バージョン 6.14 の安定化に向けた、重要なマイルストーンになるという。このリリース・キャンディデートでは、アーキテクチャの脆弱性に対処し、ドライバー開発を効率化するための、ライトウェイトな “Faux Bus” フレームワークが導入されている。

2025年のセキュリティを考える：OSS とソフトウェア・サプライチェーンに注目すべきだ

Cyber Insights 2025: Open Source and Software Supply Chain Security

2025/01/15 SecurityWeek — RapidFort の CEO である Mehran Farimani は、「これまでの 10年間を経て、Open Source Software (OSS) は主要な脅威ベクターとなった。その理由は、500万を超える OSS パッケージが提供されているという、きわめて単純な数字にある」と説明する。Endor Labs の Chief Security Advisor である Chris Hughes は、「これまでの 10年間で、OSS の採用は飛躍的に増加しており、減速の兆候は見られない。現時点において OSS は、最新のコードベースの約 90% に存在し、それらのコードベースの 70～80% を占めている」と指摘する。

Windows 11 カーネルに Rust を導入：OS セキュリティの新時代が始まる？

Rust Lands in Windows 11 Kernel: A New Era for OS Security?

2024/12/26 SecurityOnline — Microsoft が打ち出した新たな方針は、同社の主力 OS のセキュリティ強化策の一環として、Rust プログラミング言語を Windows 11 カーネルに組み込むというものだ。この施策は 2023 年春から示唆されていたが、Windows 11 バージョン 24H2 のリリースにより、ついに実現した。

Google Chrome の緊急アップデート：脆弱性 CVE-2024-10826／10827 を FIX

Google Chrome Patches Two High-Severity Vulnerabilities: Update Now!

2024/11/05 securityonline — Google がリリースした Chrome のアップデートは、脆弱性 CVE-2024-10826／CVE-2024-10827 を修正するものであり、それらは攻撃者に悪用される可能性があるという。ユーザーに対して強く推奨されるのは、Windows／Mac バージョンの 130.0.6723.116／117、および、Linux バージョンの 130.0.6723.116 へと、ただちにアップデートすることである。

Mozilla Firefox ゼロデイ脆弱性 CVE-2024-9680 が FIX：積極的な悪用を観測

Mozilla fixes Firefox zero-day actively exploited in attacks

2024/10/09 BleepingComputer — Mozilla が公表したのは、現時点で攻撃に悪用されている、Firefox の深刻な use-after-free の脆弱性に対処するための、緊急セキュリティ・アップデートのリリースである。この脆弱性 CVE-2024-9680 は、Animations タイムラインにおける use-after-free に起因するものであり、ESET の研究者 Damien Schaeffer により発見されている。このタイプの欠陥は、解放されたメモリがプログラムにより使用される前に発生し、メモリ領域への悪意のデータの注入とコード実行を、攻撃者に許すものである。

Safe C++ Extensions の提案：複雑化する開発エコシステムの強化が目的

The Safe C++ Extensions Proposal: Strengthening Security in a Complex Ecosystem

2024/09/18 SecurityOnline — 長年のメモリ安全性の懸念に対処するための決め手となる動きとして、C++ コミュニティは Safe C++ Extensions 提案を発表し、この言語における重要な瞬間を迎えようとしている。2年間にわたる綿密な議論を経て、C++ を強化することを目的とする、この提案が生まれた。C++ は、そのパワーと柔軟性で支持を得ているが、バッファ・オーバーフローや解放後使用 (UAF) エラーなどの、メモリ関連の問題に対する脆弱性が多発すると批判される言語でもある。

Google が推進する Rust 化：レガシー・ファームウェアをメモリ・セーフに！

Google Pushes Rust in Legacy Firmware to Tackle Memory Safety Flaws

2024/09/09 SecurityWeek — Google が推進しているのは、メモリ関連のセキュリティ対策の一環としての、既存の低レベル・ファームウェア・コードベースへの Rust の導入である。Google のソフトウェア・エンジニアである Ivan Lozano と Dominik Maier の最新ドキュメントによると、C や C++ で書かれたレガシー・ファームウェアのコードベースは、OS 以下の繊細なレイヤーでメモリ安全性を保証するために、“drop-in Rust replacements” を利用できるという。

CISA が要請する OS コマンド・インジェクション脆弱性の排除とは？ – Security by Design

CISA Urges Software Makers to Eliminate OS Command Injection Vulnerabilities

2024/07/11 InfoSecurity — 米国政府からソフトウェア・メーカーへの要請は、OS コマンド・インジェクションの脆弱性の解消に取り組むべきというものだ。この、Cybersecurity and Infrastructure Security Agency (CISA) とFBI の警告は、ネットワーク・エッジ・デバイスの OS コマンド・インジェクションの欠陥を悪用してユーザーを危険にさらすという、2024年に注目された複数の脅威アクターたちのキャンペーンを受けたものである。

Security by Design の強化を目指す米国政府：メモリセーフな開発言語とは？ – RSA Con

RSAC: Decoding US Government Plans to Shift the Software Security Burden

2024/05/07 InfoSecurity — RSA Conference 2024 において、Security by Design の強化を目指す、米国政府の計画に対する分析が提供された。このイベントにおいて、米国 CISA の Senior Technical Advisor である Bob Lord は、ソフトウェア・セキュリティに関して受け入れられている、常識を克服することが急務であると述べている。