TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

Windows 11 24H2 KB5044384 update fixes sfc /scannow corrupt file errors

【訳】Windows 11 24H2 KB5044384アップデートでsfc /scannowの破損ファイルエラーが修正される 【要約】 Microsoftは、Windows 11 24H2のオプション更新「KB5044384」をリリースし、sfc /scannowのファイル破損エラーなど24件の修正を含む改善を実施しまし…

ユーザー名が52文字以上だと「パスワードなしでログインできる」欠陥が3カ月間も存在していたことをOktaが公表

【ニュース】 ◆ユーザー名が52文字以上だと「パスワードなしでログインできる」欠陥が3カ月間も存在していたことをOktaが公表 (Gigazine, 2024/11/05 16:00) https://gigazine.net/news/20241105-okta-ad-ldap-delegated-authentication-username/

DrayTek fixed critical flaws in over 700,000 exposed routers

【訳】DrayTekは、700,000台以上の公開ルーターに存在した重大な欠陥を修正しました。 【図表】 DrayTekルーターのスキャン結果 (Verdere Labs) 出典: https://www.bleepingcomputer.com/news/security/draytek-fixed-critical-flaws-in-over-700-000-expose…

LiteSpeed Cache WordPress plugin bug lets hackers get admin access

【訳】LiteSpeed Cache WordPress プラグインのバグにより、ハッカーが管理者アクセスを取得 【要約】 WordPressの人気プラグインLiteSpeed Cacheに特権昇格の脆弱性(CVE-2024-50550)が見つかり、認証されていない訪問者が管理者権限を取得可能となる問題…

Hackers target critical zero-day vulnerability in PTZ cameras

【訳】ハッカーがPTZカメラの重大なゼロデイ脆弱性を標的に 【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2024/09/17 2024/09/17 CVE-2024-8956 NVD PTZ 9.1(VulnCheck) CWE-287 不適切な認証 2024/09/17 2024/09/17 CVE-2024-8957…

New Windows Themes zero-day gets free, unofficial patches

【訳】Windowsテーマのゼロデイ脆弱性、非公式パッチが無料公開 【要約】 Windowsテーマのゼロデイ脆弱性により、NTLM認証情報がリモートで盗まれる危険があるとして、ACROS Securityが無料の非公式パッチを提供しています。この脆弱性は、悪意のあるテーマ…

FortiManager (まとめ)

【ニュース】■2021年 ◆「FortiManager」「FortiAnalyzer」に脆弱性 - root権限でコード実行のおそれ (Security NEXT, 2021/07/20) https://www.security-next.com/128291 ⇒ https://vul.hatenadiary.com/entry/2021/07/20/000000 ■2024年 ◆Mandiant says new…

Apple creates Private Cloud Compute VM to let researchers find bugs

【訳】Apple、研究者がバグを発見できるようにプライベートクラウドのコンピュートVMを作成 【図表】 Virtual Research EnvironmentからPrivate Cloud Computeクライアントとやりとり (Apple) 出典: https://www.bleepingcomputer.com/news/apple/apple-crea…

Cisco fixes VPN DoS flaw discovered in password spray attacks

【訳】シスコ、パスワードスプレー攻撃で発見されたVPN DoSの脆弱性を修正 【要約】 シスコは、Cisco ASAおよびFirepower Threat Defense(FTD)ソフトウェアにおけるVPNのサービス拒否(DoS)脆弱性を修正しました。この脆弱性(CVE-2024-20481)は、VPN認…

第13・14世代Coreプロセッサーは故障回避のためBIOS(UEFI)アップデートが必須

【ニュース】 ◆第13・14世代Coreプロセッサーは故障回避のためBIOS(UEFI)アップデートが必須 (窓の杜, 2024/10/24 15:54) https://forest.watch.impress.co.jp/docs/serial/sspcgame/1633841.html

Missing authentication in fgfmsd

【図表】 出典: https://fortiguard.fortinet.com/psirt/FG-IR-24-423 【公開情報】 ◆Missing authentication in fgfmsd (Fortinet, 2024/10/24) https://fortiguard.fortinet.com/psirt/FG-IR-24-423

Mandiant says new Fortinet flaw has been exploited since June

【訳】Mandiantによると、6月以来、Fortinetの新たな脆弱性が悪用されているという。 【図表】 出典: 【要約】 Fortinetの「FortiManager」に存在する新たな脆弱性CVE-2024-47575が、2024年6月からゼロデイ攻撃で悪用されていることがMandiantにより報告され…

フォーティネットの管理ツールに重大な脆弱性、グーグルが悪用攻撃を確認

【ニュース】 ◆フォーティネットの管理ツールに重大な脆弱性、グーグルが悪用攻撃を確認 (ZDNet, 2024/10/24 15:57) https://japan.zdnet.com/article/35225325/

October 24 Advisory: Zero day in Fortinet FortiManager seeing Active Exploitation [CVE-2024-47575]

【訳】10月24日 アドバイザリ:Fortinet FortiManagerのゼロデイ脆弱性で、アクティブな悪用を確認 [CVE-2024-47575] 【図表】 公開されているFortiManagerインスタンスのマップ フィールド 詳細 CVE-ID CVE-2024-47575 – Fortinet により割り当てられた CVS…

SharePoint (まとめ)

【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2023/05/09 2023/01/31 CVE-2023-24955 NVD Microsoft 7.2(Microsoft) CWE-94 コード・インジェクション 2024/07/09 2024/06/11 CVE-2024-38094 NVD Microsoft 7.2(Microsoft) CWE-502…


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022