【ニュース】■2026年◇2026年4月 ◆CISA flags new SD-WAN flaw as actively exploited in attacks (BleepingComputer, 2026/04/21 08:30) [CISAは、新たなSD-WANの脆弱性が攻撃で積極的に悪用されていると警告している] https://www.bleepingcomputer.com/new…

【ニュース】■2019年◇2019年3月 ◆Chrome に PDF ファイルを表示するとユーザー情報が流出する脆弱性 (Naked Security, 2019/03/01) https://nakedsecurity.sophos.com/ja/2019/03/01/data-tracking-chrome-flaw-triggered-by-viewing-pdfs/ ⇒ https://vul.ha…

【概要】 項目 内容 名称 HTTP/2 Bomb 攻撃 CVE番号 CVE-2026-49975 手法 HTTP/2のHPACK圧縮増幅とフロー制御を悪用したSlowloris型攻撃を組み合わせた攻撃 対策 ・対応バージョン/対応WEbサーバーの使用・HTTP/2 無効化 対応済みWebサーバー Apache nginxEn…

【ニュース】■2026年◇2026年6月 ◆New 'HTTP/2 Bomb' DoS attack crashes web servers in under a minute (BleepingComputer, 2026/06/03 15:08) [新たな「HTTP/2ボム」DoS攻撃により、Webサーバーが1分足らずでダウン] https://www.bleepingcomputer.com/new…

【要点】 ◎HTTP/2 Bombは、HPACKのヘッダー展開増幅とHTTP/2のフロー制御を悪用してサーバーメモリを枯渇させるDoS攻撃である。少量通信で大規模なサービス停止を引き起こせる

【要点】 ◎HTTP/2の圧縮機能とSlowloris攻撃を組み合わせた新手法「HTTP/2 Bomb」が発見された。家庭用PCでもサーバを短時間で停止させる可能性があり、国内外で緊急対応が進んでいる (ITmedia)

【要点】 ◎Ciscoは、Catalyst SD-WAN Managerの未修正ゼロデイ脆弱性CVE-2026-20245が実際の攻撃で悪用されていると警告した。攻撃者はroot権限を取得できる可能性がある (BleepingComputer)

【要点】 ◎GoogleはChrome 149を公開し、429件の脆弱性を修正した。22件がクリティカルに分類されており、利用者には速やかなアップデートが推奨される (Security NEXT)

【要点】 ◎OpenAIのCodexを用いた分析により、新たなDoS攻撃「HTTP/2 Bomb」が発見された。家庭用PCでも主要Webサーバーのメモリを短時間で枯渇させ、サービス停止を引き起こせる (Gigazine)

【要点】 ◎GitHubのブラウザ版開発環境「github.dev」に、リンクを1回クリックするだけで認証トークンが窃取される恐れのある脆弱性が発見された。現在は修正済みである (Gigazine)

【要点】 ◎CISAは、Linuxカーネル、Android Framework、Mirasvit Full Page Cache Warmerの3件の脆弱性をKEVへ追加した。いずれも実際に悪用が確認されており、早急な対策が求められる (Security NEXT)

【要点】 ◎機械学習基盤MLflowにCVSS 9.1の重大な脆弱性CVE-2026-4035が発見された。APIキーやクラウド認証情報、暗号化鍵などの機密情報が窃取される恐れがある (Security NEXT)

【要点】 ◎Cisco Unified CMに認証不要で悪用可能な深刻な脆弱性CVE-2026-20230が判明した。PoCも公開済みで、攻撃者は最終的にroot権限を取得できる恐れがある (Security NEXT)

【要点】 ◎HTTP/2 Bombは、HPACK圧縮増幅とHTTP/2フロー制御を組み合わせた新たなDoS攻撃である。家庭用回線からでも数十秒以内にWebサーバーのメモリを枯渇させられる (BleepingComputer)

【要点】 ◎Googleは2026年6月のAndroid更新で122件の脆弱性を修正した。うち1件は既に限定的な標的型攻撃で悪用された可能性があり、速やかな更新が推奨される (マイナビニュース)