Welcome to your new site.
Welcome to your new site! You can edit this page by clicking on the Edit link. For more information about customizing your site check out http://learn.wordpress.com/
Latest from the Blog
Microsoft 2025-12 月例アップデート:3件のゼロデイを含む 57件の脆弱性に対応
Microsoft December 2025 Patch Tuesday fixes 3 zero-days, 57 flaws 2025/12/09 BleepingComputer — 今日は Microsoft の December 2025 Patch Tuesday の日だ。この月例セキュリティ更新プログラムでは、57 件の脆弱性が修正されている。そこには、現在悪用されている脆弱性1件と、公開済みゼロデイ脆弱性2件が含まれる。また、今回の月例セキュリティ更新プログラムでは、深刻度 Critical のリモート・コード実行の脆弱性3件も修正されている。 それぞれの脆弱性カテゴリのバグ件数は以下の通りである。 28 件:権限昇格脆弱性 19 件:リモート・コード実行脆弱性 4 件:情報漏洩脆弱性 3 件:サービス拒否脆弱性 2 件:なりすまし脆弱性 BleepingComputer が Microsoft の月例セキュリティ更新プログラムを報告する際には、当日に同社がリリースした更新プログラムのみをカウントしている。したがって、この脆弱性件数には Microsoft Edge (15 件) および、今月の初めに修正された Mariner の脆弱性は含まれない。 今日のセキュリティ関連以外の更新プログラムの詳細については、Windows 11 KB5072033/KB5071417 の累積更新プログラムに関する専用記事を参照されたい。 悪用されている脆弱性1件と公開済み脆弱性2件 今月の月例パッチでは、現在悪用されている脆弱性1件と、公開済み脆弱性2件が修正されている。 Microsoft によるゼロデイ脆弱性の定義では、公式修正プログラムが未提供の状態で、公開/悪用されている脆弱性がゼロデイとして分類される。 悪用されているゼロデイ脆弱性は以下の1件…
CISA KEV 警告 25/12/09:D-Link ルータの脆弱性 CVE-2022-37055 を登録
CISA Warns of D-Link Routers Buffer Overflow Vulnerability Exploited in Attacks 2025/12/09 CyberSecurityNews — D-Link ルーターに影響を与える深刻なバッファ・オーバーフロー脆弱性 CVE-2022-37055 が、CISA の Known Exploited Vulnerabilities (KEV) カタログに追加された。それが示すのは、すでに米連邦政府内の実環境で、この脆弱性の悪用が確認されていることである。この脆弱性は、影響を受ける D-Link ネットワーク・デバイスに依存する組織のネットワークに深刻なリスクをもたらすものだ。 バッファ・オーバーフローの脆弱性 D-Link ルーターの不適切なメモリ管理に起因する脆弱性を悪用する攻撃者は、バッファ・オーバーフロー状態を引き起こし、デバイス・レベル権限で任意コードを実行できる。それにより、ネットワーク・トラフィック/システム整合性/データ機密性の完全な制御が可能となる。 Field Details CVE ID CVE-2022-37055 Vulnerability Type Buffer Overflow Affected Product D-Link Routers CVSS v3.1 Score 9.8(Critical) Attack Vector Network CWE Classification CWE-120: Buffer Copy without…
React2Shell の悪用試行の拡大を観測:中国に支援される脅威アクターによる攻撃キャンペーン
React2Shell Vulnerability Under Attack From China-Nexus Groups 2025/12/08 DarkReading — 人気のオープンソース JavaScript ライブラリ React に影響を与える深刻な脆弱性が、中国の国家に支援される脅威アクターたちの攻撃対象となっている。2025年12月3日 (水) に公開された CVE-2025-55182 は、未認証の攻撃者にリモート・コード実行 (RCE) を許す脆弱性である。この脆弱性は、安全でないデシリアライゼーションに起因し、React の広範な利用と、認証前の RCE の可能性により、深刻度は CVSS 10.0 と評価されている。 この脆弱性が影響を及ぼす範囲は、バージョン 19.0.0/19.1.0/19.1.1/19.2.0 における、3つのパッケージ (react-server-dom-webpack/react-server-dom-parcel/react-server-dom-turbopack) の React Server Components (RSC) である。 セキュリティ研究者たちは、この脆弱性を React2Shell と呼称している。この名称から思い起こされるのは、2021年に公開され、広範に悪用された Log4j フレームワークの深刻な Log4Shell 脆弱性である。なお、今回のもう1件の脆弱性 CVE-2025-66478 (CVSS:10) は、RSC 脆弱性が Next.js フレームワークに及ぼすダウンストリーム影響に対応するものだ。 すでに React は、CVE-2025-55182 に対するパッチ・バージョン 19.0.1/19.1.2/19.2.1…
Get new content delivered directly to your inbox.
IoT OT Security News 