「脆弱性」の記事一覧

• 新興ブラウザエンジン「LibJS」に深刻な脆弱性

  2025-04-30 23:59

  IT・ネット

  SerenityOSプロジェクトから派生した新しいブラウザエンジン「Ladybird」のJavaScriptエンジン「LibJS」にて、ファジングにより深刻な脆弱性が発見されました。特に引数バッファのメモリが解放された後に再利用される「use-after-free（UAF）」バグが再現可能であり、最終的には任意のコード実行に繋がる恐れがあります。この脆弱性は、プロキシオブジェクトと特定のハンドラ操作によって引き起こされるもので、既に修正パッチが適用されています。

• Linuxカーネルの脆弱性を突いた初の権限昇格体験

  2025-04-30 19:03

  科学・技術

  Linuxカーネルの脆弱性「vsockのUse-After-Free」を突いた詳細な権限昇格の試行錯誤が記録された記事。QEMUとWSLでの開発環境構築から始まり、AppArmorの制約を回避しつつ、vsock_diag_dumpを使ったkASLRのバイパス、ROPチェーンによる制御フローの奪取、最終的にroot shellの取得までが解説されています。初心者ながらもDiscordコミュニティの協力を得ながら一歩ずつ進めた過程は、CTFやバグ解析に興味のある人にとって貴重な学習資料です。

• AirPlayに重大なゼロクリック脆弱性、数十億台が危険に

  2025-04-29 13:09

  IT・ネット

  Oligo SecurityはAppleのAirPlayとそのSDKに23件の脆弱性を発見し、うち17件がCVEとして登録された。中にはユーザー操作不要の「ゼロクリックRCE（リモートコード実行）」やワーム型攻撃を可能にするものも含まれ、MacやiPhone、CarPlay対応車など数十億台のデバイスが影響を受ける恐れがある。Appleは既に修正パッチを配布済みで、利用者には早急なアップデートが推奨されている。

• AppleのAirPlayに重大なゼロクリック脆弱性、20億台に影響か

  2025-04-29 13:09

  IT・ネット

  Oligo Securityは、AppleのAirPlayおよびAirPlay SDKに、ゼロクリックでのリモートコード実行（RCE）などを可能にする23の脆弱性を発見。「AirBorne」と名付けられたこれらの脆弱性は、Mac、iPhone、AppleTVだけでなく、CarPlay搭載車やサードパーティのオーディオ機器にも影響。特にCVE-2025-24252などはネットワーク内の他のデバイスへ自動的に感染が拡大する“ワーム型”攻撃を許す危険性がある。Appleは17件のCVEを発行し、最新OSで修正済み。Oligoは即時のアップデートとAirPlay受信機の無効化、通信ポート制限などを推奨している。