注目の脆弱性

注目の脆弱性：VMWare Fusion 11 で発見されたサービス妨害の脆弱性

VMware Fusion 15 では、エクスプロイト可能なサービス妨害の脆弱性が確認されました。VMWare Fusion は macOS 向けのアプリケーションで、他の OS（Windows や Linux など）を仮想環境で実行できるのが特徴です。今回の脆弱性は、VMware のゲスト OS 内で不正なピクセルシェーダーをドライバーに提供することによりエクスプロイトされる可能性があります。

続きを読む

注目の脆弱性：YouPHPTube で発見された複数の脆弱性

YouPHPTube には、さまざまな攻撃に利用されかねない複数の脆弱性が含まれています。一部のケースでは、細工をした Web リクエストを使って、アプリケーションに SQL コードを挿入する攻撃が可能です。YouPHPTube は、ユーザが自分自身で独自の動画サイトを作成できるオープンソースのプログラムです。ソフトウェアの Web サイトを見ると、YouTube、Netflix、Vimeo などの有名な動画配信サービスを念頭に置いていることがわかります。

続きを読む

注目の脆弱性：Adobe Acrobat Reader DC で再び発見された、テキストフィールドに起因するリモートコード実行の脆弱性

今回取りあげるのは、Adobe Acrobat Reader で再び発見されたリモートコード実行の脆弱性です。Acrobat Reader は最も有名な PDF リーダーですが、配列要素が正しくカウントされないバグが発見されました。以前に開示した TALOS-2018-0704 および TALOS-2019-0774 と同じコードにより今回の脆弱性がエクスプロイトされ、攻撃者がリモートコードを実行できる可能性があります。これら 2 件の脆弱性は Adobe 社によって修正済みですが、考えられるすべてのケースには対応できていませんでした。

続きを読む

注目の脆弱性：NitroPDF で複数確認されたリモートコード実行の脆弱性

Cisco Talos は最近、NitroPDF でリモートコード実行の脆弱性を複数発見しました。NitroPDF は PDF ファイルを閲覧、保存、署名、編集できるソフトウェアです。製品には無料版と有料版の「Pro」の 2 種類があります。有料版では、PDF ファイルの統合機能や、機密項目を塗りつぶす機能など、無料版にはない機能を利用できます。今回発見された脆弱性はすべて有料版に存在します。

続きを読む

注目の脆弱性：Schneider Electric 社製の Modicon M580 で発見された複数の脆弱性

Schneider Electric 社製の Modicon M580 には、主にサービス妨害につながる脆弱性が複数発見されました。Modicon はプログラマブル自動化コントローラのシリーズ名であり、Modicon M580 はその最新製品です。今回ご紹介する脆弱性の大部分は、Modicon における FTP の使用方法に起因しています。

続きを読む

注目の脆弱性：Aspose PDF API で発見された複数の脆弱性

Cisco Talos は最近、Aspose.PDF API でリモート コード実行の脆弱性を複数発見しました。Aspose にはさまざまなドキュメント形式のファイルの操作や変換に使える API が一通り用意されています。Aspose の脆弱性は PDF の処理を支援する API に内在するものです。

続きを読む

注目の脆弱性：Atlassian 社製 Jira で発見された複数の脆弱性

Atlassian 社製の Jira ソフトウェアに複数の脆弱性が発見されました。攻撃者による機密情報の窃取や JavaScript コードのリモート実行など、さまざまな不正操作を許す危険性があります。Jira は、タスクを作成、管理、整理し、プロジェクトを管理するためのソフトウェアです。今回発見された脆弱性では、攻撃者によって Jira 内で任意コードが実行されたり、Jira で作成したタスク内の情報（添付ドキュメントを含む）が窃取されたりするなど、さまざまな危険性が考えられます。

続きを読む

注目の脆弱性：AMD ATI Radeon ATIDXX64.DLL のシェーダー機能で発見されたリモート コード実行の脆弱性

一部の AMD Radeon カードには、ATIDXX64.DLL ドライバに起因するリモート コード実行の脆弱性が含まれています。「Radeon」はグラフィックス カードやグラフィックス処理ユニットなどのハードウェア シリーズの名称で、生産者は AMD 社です。

続きを読む

注目の脆弱性：NETGEAR 社製ルータの一部で発見されたサービス妨害の脆弱性

NETGEAR N300 シリーズのワイヤレス ルータでは、2 件のサービス妨害の脆弱性が確認されました。N300 は、ワイヤレス ルータの基本的な機能を搭載した、小型で手頃かつ安価なワイヤレスルータです。ルータの各機能に特定の SOAP および HTTP 要求が送信されると脆弱性がエクスプロイトされ、完全にクラッシュする可能性があります。

続きを読む

注目の脆弱性：Epignosis eFront の 2 つの脆弱性

Cisco Talos は、Epignosis eFront に 2 件の脆弱性が存在することを発見しました。1 つは攻撃者によるリモートでのコード実行を可能にするもので、もう 1 つは、対象のマシンでの SQL インジェクションを可能にするものです。eFront は、仮想トレーニング環境とデータを管理できる LMS プラットフォームです。このソフトウェアを使用することで、大企業であっても、研修を従業員に迅速かつ効率的に実施できます。

続きを読む