CVE-2025-27363: Font Library FreeType Flaw Exploited in the Wild, Millions at Risk
2025/03/11 SecurityOnline — 広く使用されている FreeType フォント・レンダリング・ライブラリに、深刻な脆弱性 CVE-2025-27363 (CVSS:8.1) が発見された。この脆弱性は、FreeType バージョン 2.13.0 以下に影響を及ぼし、数百万台のデバイスをリモート・コード実行のリスクにさらす可能性があるという。
Continue reading “FreeType Font Library の脆弱性 CVE-2025-27363 が FIX:Linux/Mobile/Browser で悪用の可能性”Apple Ships iOS 18.3.2 to Fix Already-Exploited WebKit Flaw
2025/03/11 SecurityWeek — 3月11日 (火) に Apple が発表したのは、モバイル OS の古いバージョンで悪用されている、WebKit の欠陥に対する修正を取り込んだ、iOS 18.3.2/iPadOS 1q8.3.2 のリリースである。この脆弱性 CVE-2025-24201 を悪用する攻撃者は、Web Content サンドボックスを突破する。Apple は「iOS バージョン 17.2 以下を使用する、特定の個人を標的にする、きわめて高度な攻撃で、悪用された可能性がある」と警告している。
Continue reading “Apple iOS の脆弱性 CVE-2025-24201 が FIX:USB 制限モードの欠陥を修正”CISA Sounds the Alarm on Actively Exploited Apple and Oracle Zero-Days
2024/11/22 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) が発したのは、Apple および Oracle の製品に存在し、活発に悪用されている、3件の脆弱性に対する緊急警告である。これらの脆弱性が、CISA の KEV カタログに追加されたことで、ユーザーによる速やかな更新の必要性が強調される。
Continue reading “CISA KEV 警告 24/11/21:Apple と Oracle のゼロデイ脆弱性3件を登録”CVE-2024-44308 and CVE-2024-44309: Apple Addresses Zero-Day Vulnerabilities
2024/11/19 SecurityOnline — Apple が公表したのは、同社の製品に存在する、2件の深刻なゼロデイ脆弱性 CVE-2024-44308/CVE-2024-44309 に関する情報である。この脆弱性が悪用されると、何百万台もの iPhone/iPad/Mac に加えて、最先端の Vision Pro ヘッドセットが攻撃にさらされる可能性があるという。したがって、Apple ユーザーに対して強く推奨されるのは、各デバイスの速やかな更新となる。
Continue reading “Apple 製品群の脆弱性 CVE-2024-44308/44309 が FIX:悪用を観測”Apple fixes first zero-day bug exploited in attacks this year
2024/01/22 BleepingComputer — Apple は、セキュリティ・アップデートをリリースし、iPhone/Mac/Apple TV に影響を与える可能性があり、また、すでに攻撃で悪用されている、2024年初のゼロデイ脆弱性に対処した。1月22日に修正されたゼロデイ脆弱性 CVE-2024-23222 (iOS/macOS/tvOS) は、WebKit のタイプ・コンフュージョンの欠陥に起因し、標的デバイス上でのコード実行を攻撃者にゆるす可能性があるものだ。
Continue reading “Apple macOS/iOS/tvOS のゼロデイ脆弱性 CVE-2024-23222 が FIX:悪用を観測”Apple Addressed 2 New Ios Zero-Day Vulnerabilities
2023/11/30 SecurityAffairs — Apple の iPhone/iPad/Mac デバイスに影響を及ぼす、2件のゼロデイ脆弱性に対する緊急のセキュリティ・アップデートがリリースされた。この2件の脆弱性は、WebKit ブラウザ・エンジンに存在し、野放し状態の攻撃で積極的に悪用されている。
Continue reading “Apple iOS/macOS の2件のゼロデイ脆弱性が FIX:APT による悪用を観測?”Apple Patches Another Kernel Flaw Exploited in ‘Operation Triangulation’ Attacks
2023/07/24 SecurityWeek — 7月24日に Apple は、同社の主力プラットフォームである iOS/macOS/iPadOS に対して、大規模なセキュリティ・アップデートを行なった。今回のアップデートには、iOS/macOS におけるコード実行の深刻な脆弱性に対するパッチも含まれている。また、Apple によると、iOS/iPadOS/macOS 搭載デバイスに影響する、カーネルの脆弱性 CVE-2023-38606 は、iOS 15.7.1 以下において、すでに活発に悪用されていたという。
Continue reading “Apple が大規模なセキュリティ・アップデートを実施:カーネルの脆弱性 CVE-2023-38606 などが FIX”Apple releases emergency update to fix zero-day exploited in attacks
2023/07/10 BleepingComputer — Apple が Rapid Security Response (RSR) アップデートの新ラウンドを発行したのは、完全にパッチが適用された iPhone/Mac/iPad への攻撃で悪用されている、新たなゼロデイバグに対処するためである。この、匿名のセキュリティ研究者により報告された CVE-2023-37450 の脆弱性について、iOS と macOS のアドバイザリには、「Apple は、この問題が活発に悪用されている可能性があるという報告を認識している」と記されている。
Continue reading “Apple が Rapid Security Response (RSR) アップデートを提供:ゼロデイ CVE-2023-37450 に対応”CISA adds iPhone bugs to its Known Exploited Vulnerabilities catalog
2023/05/22 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、iPhone/iPad/Mac に影響を及ぼす3件のつのゼロデイ脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加した。この3つの問題は、WebKit ブラウザ・エンジンに存在する、脆弱性 CVE-2023-32409/CVE-2023-28204/CVE-2023-32373 となる。
Continue reading “CISA KEV 警告 23/05/22:iPhone/iPad/Mac の3つの脆弱性を追加”Apple Patches 3 Exploited WebKit Zero-Day Vulnerabilities
2023/05/19 SecurityWeek — 5月19日にリリースされた、Apple のセキュリティ・アップデートにより、iPhone/Mac への攻撃で悪用される可能性のある、数十件の脆弱性が FIX した。その中には、ブラウザ・エンジンである WebKit に影響を及ぼす、3件のゼロデイ脆弱性も含まれている。積極的に悪用される脆弱性のうち、CVE-2023-28204/CVE-2023-32373 は、匿名の研究者たちが Apple に報告したものだ。これらの脆弱性の悪用に成功した攻撃者は、特別に細工された Web コンテンツを処理させる (悪意のサイトに誘導するなど) ことでユーザーを騙し、機密情報の漏えいや任意のコード実行を可能にするという。
Continue reading “Apple の iPhone/Mac/WebKit の脆弱性が FIX:3件のゼロデイを含む数十件の欠陥”Apple Releases Updates to Address Zero-Day Flaws in iOS, iPadOS, macOS, and Safari
2023/04/08 TheHackerNews — 2023年4月7日 (金) に Apple は、iOS/iPadOS/macOS および、Web ブラウザ Safari のセキュリティ・アップデートをリリースし、野放し常態で悪用されている2つのゼロデイ脆弱性に対処した。Apple は、1つ目の脆弱性 CVE-2023-28205 はメモリ管理の欠陥であり、2つ目の脆弱性 CVE-2023-28206 は入力検証の欠陥である。同社は、それぞれの脆弱性に対処した上で、活発に悪用された可能性があると認めている。
Continue reading “Apple の深刻なゼロデイ脆弱性が FIX:iOS/iPadOS/macOS で活発に悪用されている”CISA warns of Windows and iOS bugs exploited as zero-days
2023/02/16 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、サイバー攻撃において野放し状態で悪用される脆弱性4件をバグリストに追加した。そのうち2件は、Microsoft 製品に影響するものだ。パッチ未適用の Windows システム上で、Common Log File System Driver やグラフィック・コンポーネントの脆弱性の悪用に成功した攻撃者に対して、リモート実行 (CVE-2023-21823) および特権昇格 (CVE-2023-23376) を許してしまう。
Continue reading “CISA KEV 警告 23/02/14:Windows/Office/iOS の脆弱性を悪用リストに追加”Apple fixes new WebKit zero-day exploited to hack iPhones, Macs
2023/02/13 BleepingComputer — Apple リリースした緊急セキュリティ・アップデートは、iPhone/iPad/Mac へのハッキング攻撃で使われる、新たなゼロデイ脆弱性に対処するものだ。今回のアップデートで修正されたゼロデイ脆弱性 CVE-2023-23529 [1, 2] は、WebKit の混乱を悪用し、侵害したデバイス上で OS クラッシュを誘発し、コード実行を許すものだ。
Continue reading “iPhone/iPad/Mac の新たなゼロデイ CVE-2023-23529 などが FIX”Google Project Zero: Vendors are now quicker at fixing zero-days
2022/02/11 BleepingComputer — Google の Project Zero は、2021年において同チームが報告したゼロデイ脆弱性について、それぞれの組織が対応に要した時間の短縮示すレポートを発表した。この Project Zero が報告したデータによると、ソフトウェア・ベンダーがセキュリティ修正プログラムの発行に要した平均期間は、2017年の 80日から、2021年は 52日に短縮された。さらに、大半のベンダーが、業界標準の期限である90日と、2週間の猶予期間内に、欠陥に対処した。
Continue reading “Google Project Zero レポート:各ベンダーのゼロデイ対応と時間軸”Safari bug leaks your Google account info, browsing history
2022/01/17 BleepingComputer — Safari の WebKit エンジンに搭載されている、IndexedDB API の実装に問題が発見された。この欠陥を悪用された場合、リアルタイムでの不正な閲覧活動や、ユーザーの個人情報などが漏洩する可能性がある。IndexedDB は、広く使われているブラウザの API であり、容量制限のない汎用性の高いクライアント・サイドのストレージ・システムである。
Continue reading “Apple Safari の WebKit に脆弱性:same-origin ポリシー違反による情報漏洩”Apple fixes iOS zero-day used to deploy NSO iPhone spyware
2021/09/13 BleepingComputer — Apple は、iPhone/Mac 攻撃での悪用が確認されている、2つのゼロデイ脆弱性を修正するセキュリティ・アップデートを公開した。そのうちの1つは、iPhone にスパイウェア Pegasus のインストールのために使用されることが知られている。これらの脆弱性は、CVE-2021-30860 および CVE-2021-30858 として追跡されており、悪意を持って作成されたドキュメントを、脆弱なデバイスで開くとコマンドが実行されるというものだ。
Continue reading “Apple iOS/macOS の2つのゼロデイ脆弱性が FIX”Google: Russian SVR hackers targeted LinkedIn users with Safari zero-day
2021.07/14 BleepingComputer — Google Threat Analysis Group (TAG) と Google Project Zero の研究者たちは、Google Chrome / Internet Explorer / Apple Safari で使用されている WebKit の、4つのゼロデイ脆弱性を明らかにした。今年の初めに Google の研究者により発見された4つのゼロデイ・エクスプロイトは、悪用の実例があるものになった。
・ Chrome の CVE-2021-21166 / CVE-2021-30551
・ Internet Explorer の CVE-2021-33742
・ WebKit (Safari) の CVE-2021-1879
IoT OT Security News 