Hashtag

#セキュリティ

155 posts tagged with this hashtag.

:rss: INTERNET Watch
@internet_watch_impress@rss-mstdn.studiofreesia.com

住民税の納付依頼を装い、PayPayアプリでの支払いへ誘導するフィッシングに注意! 件名「【重要】令和8年度 住民税(第1期)納付のご案内」を確認
internet.watch.impress.co.jp/d

internet.watch.impress.co.jp

住民税の納付依頼を装い、PayPayアプリでの支払いへ誘導するフィッシングに注意! 件名「【重要】令和8年度 住民税(第1期)納付のご案内」を確認

 住民税の納付依頼を装うフィッシングメールからPayPayアプリでの支払いへ誘導し、送金させる手口の報告を受けているとして、フィッシング対策協議会が緊急情報を公開した。

:rss: INTERNET Watch
@internet_watch_impress@rss-mstdn.studiofreesia.com

住民税の納付依頼を装い、PayPayアプリでの支払いへ誘導するフィッシングに注意! 件名「【重要】令和8年度 住民税(第1期)納付のご案内」を確認
internet.watch.impress.co.jp/d

internet.watch.impress.co.jp

住民税の納付依頼を装い、PayPayアプリでの支払いへ誘導するフィッシングに注意! 件名「【重要】令和8年度 住民税(第1期)納付のご案内」を確認

 住民税の納付依頼を装うフィッシングメールからPayPayアプリでの支払いへ誘導し、送金させる手口の報告を受けているとして、フィッシング対策協議会が緊急情報を公開した。

:rss: ITmedia NEWS 最新記事一覧
@itmedia_news@rss-mstdn.studiofreesia.com

マネーフォワード「なぜGitHubに個人情報が含まれていたか」を説明
itmedia.co.jp/news/articles/26

itmedia.co.jp

マネーフォワード「なぜGitHubに個人情報が含まれていたか」を説明

「通常、GitHubに保存するソースコードに個人情報の入力はない」が……。」

:rss: ITmedia NEWS 最新記事一覧
@itmedia_news@rss-mstdn.studiofreesia.com

マネーフォワード「なぜGitHubに個人情報が含まれていたか」を説明
itmedia.co.jp/news/articles/26

itmedia.co.jp

マネーフォワード「なぜGitHubに個人情報が含まれていたか」を説明

「通常、GitHubに保存するソースコードに個人情報の入力はない」が……。」

:rss: ITmedia NEWS 最新記事一覧
@itmedia_news@rss-mstdn.studiofreesia.com

マネーフォワード「なぜGitHubに個人情報が含まれていたか」を説明
itmedia.co.jp/news/articles/26

itmedia.co.jp

マネーフォワード「なぜGitHubに個人情報が含まれていたか」を説明

「通常、GitHubに保存するソースコードに個人情報の入力はない」が……。」

:rss: ITmedia NEWS 最新記事一覧
@itmedia_news@rss-mstdn.studiofreesia.com

マネーフォワード「なぜGitHubに個人情報が含まれていたか」を説明
itmedia.co.jp/news/articles/26

itmedia.co.jp

マネーフォワード「なぜGitHubに個人情報が含まれていたか」を説明

「通常、GitHubに保存するソースコードに個人情報の入力はない」が……。」

:rss: ITmedia NEWS 最新記事一覧
@itmedia_news@rss-mstdn.studiofreesia.com

マネーフォワード「なぜGitHubに個人情報が含まれていたか」を説明
itmedia.co.jp/news/articles/26

itmedia.co.jp

マネーフォワード「なぜGitHubに個人情報が含まれていたか」を説明

「通常、GitHubに保存するソースコードに個人情報の入力はない」が……。」

:rss: ITmedia NEWS 最新記事一覧
@itmedia_news@rss-mstdn.studiofreesia.com

AI生成の「ゴミ報告」が殺到、対応追い付かず疲弊……脆弱性発見の懸賞金制度に異変
itmedia.co.jp/news/articles/26

itmedia.co.jp

AI生成の「ゴミ報告」が殺到、対応追い付かず疲弊……脆弱性発見の懸賞金制度に異変

オープンソースソフトウェア(OSS)の脆弱性に懸賞金をかけて発見を促し、対応を支援してきた米セキュリティ企業のHackerOneが、新規の報告受け付けを停止している。AIで生成された質の低い脆弱性報告の激増が原因といい、影響は主要OSSプロジェクトに及ぶ。同様の懸賞金プログラムを提供してきたGoogleも対応を強いられるなど、AIの影響が深刻化している現実が浮き彫りになった。

:rss: PC Watch
@impress@rss-mstdn.studiofreesia.com

Windows「スマートフォン連携」を狙うマルウェア発見。OTP窃取につながる可能性
pc.watch.impress.co.jp/docs/ne

pc.watch.impress.co.jp

Windows「スマートフォン連携」を狙うマルウェア発見。OTP窃取につながる可能性

 Cisco Talosは5月5日(米国時間)、Windows 10および11に搭載されている「スマートフォン連携(英文名: Phone Link、旧称Your Phone)」を狙った、SMSやワンタイムパスワード(OTP)といった機密情報を盗む可能性のある遠隔操作型トロイの木馬「CloudZ」のプラグイン「Pheno」による攻撃を発見したと発表した。

:rss: PC Watch
@impress@rss-mstdn.studiofreesia.com

Windows「スマートフォン連携」を狙うマルウェア発見。OTP窃取につながる可能性
pc.watch.impress.co.jp/docs/ne

pc.watch.impress.co.jp

Windows「スマートフォン連携」を狙うマルウェア発見。OTP窃取につながる可能性

 Cisco Talosは5月5日(米国時間)、Windows 10および11に搭載されている「スマートフォン連携(英文名: Phone Link、旧称Your Phone)」を狙った、SMSやワンタイムパスワード(OTP)といった機密情報を盗む可能性のある遠隔操作型トロイの木馬「CloudZ」のプラグイン「Pheno」による攻撃を発見したと発表した。

:rss: ITmedia NEWS 最新記事一覧
@itmedia_news@rss-mstdn.studiofreesia.com

銀行員が支店内部を撮影? BeReal映像がXで拡散 西日本シティ銀「事実確認中」
itmedia.co.jp/news/articles/26

itmedia.co.jp

銀行員が支店内部を撮影? BeReal映像がXで拡散 西日本シティ銀「事実確認中」

同行はITmediaNEWSの取材に対して「SNSの投稿は認識しており、事実確認中」とコメントした。

:rss: ITmedia NEWS 最新記事一覧
@itmedia_news@rss-mstdn.studiofreesia.com

銀行員が支店内部を撮影? BeReal映像がXで拡散 西日本シティ銀「事実確認中」
itmedia.co.jp/news/articles/26

itmedia.co.jp

銀行員が支店内部を撮影? BeReal映像がXで拡散 西日本シティ銀「事実確認中」

同行はITmediaNEWSの取材に対して「SNSの投稿は認識しており、事実確認中」とコメントした。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

無料メーラー「Thunderbird」v150.0がリリース ~PDFのページを並べ替える機能を追加/使い勝手の向上も図られる
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

無料メーラー「Thunderbird」v150.0がリリース ~PDFのページを並べ替える機能を追加/使い勝手の向上も図られる

 オープンソースのメールソフト「Thunderbird」v150.0が、4月21日にリリースされた。Webサイトでの配布はまだ始まっていないが、「Thunderbird」の更新機能では最新版へのアップデートが可能だ。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

無料メーラー「Thunderbird」v150.0がリリース ~PDFのページを並べ替える機能を追加/使い勝手の向上も図られる
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

無料メーラー「Thunderbird」v150.0がリリース ~PDFのページを並べ替える機能を追加/使い勝手の向上も図られる

 オープンソースのメールソフト「Thunderbird」v150.0が、4月21日にリリースされた。Webサイトでの配布はまだ始まっていないが、「Thunderbird」の更新機能では最新版へのアップデートが可能だ。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

無料メーラー「Thunderbird」v150.0がリリース ~PDFのページを並べ替える機能を追加/使い勝手の向上も図られる
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

無料メーラー「Thunderbird」v150.0がリリース ~PDFのページを並べ替える機能を追加/使い勝手の向上も図られる

 オープンソースのメールソフト「Thunderbird」v150.0が、4月21日にリリースされた。Webサイトでの配布はまだ始まっていないが、「Thunderbird」の更新機能では最新版へのアップデートが可能だ。

:rss: ITmedia NEWS 最新記事一覧
@itmedia_news@rss-mstdn.studiofreesia.com

AI関連のスクレイピングか Twilogに「通常の数十倍」のアクセス ログイン必須の緊急制限中
itmedia.co.jp/news/articles/26

itmedia.co.jp

AI関連のスクレイピングか Twilogに「通常の数十倍」のアクセス ログイン必須の緊急制限中

「攻撃もしくはAI関連の悪質なスクレイピング」とみており、簡易的な対応では防御が難しい状況。

:rss: ITmedia NEWS 最新記事一覧
@itmedia_news@rss-mstdn.studiofreesia.com

AI関連のスクレイピングか Twilogに「通常の数十倍」のアクセス ログイン必須の緊急制限中
itmedia.co.jp/news/articles/26

itmedia.co.jp

AI関連のスクレイピングか Twilogに「通常の数十倍」のアクセス ログイン必須の緊急制限中

「攻撃もしくはAI関連の悪質なスクレイピング」とみており、簡易的な対応では防御が難しい状況。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

ファイルを開くだけで任意コード実行、「Adobe Acrobat Reader」に緊急のセキュリティ更新/致命的な脆弱性に対処、一刻も早いアップデートを
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

「Adobe Acrobat Reader」に緊急のセキュリティ更新、一刻も早いアップデートを/ファイルを開くだけで任意コード実行、すでに悪用が確認済み

 米Adobeは4月12日(現地時間)、「Adobe Acrobat Reader」のセキュリティアップデートを実施した。すでに悪用が確認されているゼロデイ脆弱性が修正されており、一刻も早いアップデートが必要だ。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

ファイルを開くだけで任意コード実行、「Adobe Acrobat Reader」に緊急のセキュリティ更新/致命的な脆弱性に対処、一刻も早いアップデートを
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

「Adobe Acrobat Reader」に緊急のセキュリティ更新、一刻も早いアップデートを/ファイルを開くだけで任意コード実行、すでに悪用が確認済み

 米Adobeは4月12日(現地時間)、「Adobe Acrobat Reader」のセキュリティアップデートを実施した。すでに悪用が確認されているゼロデイ脆弱性が修正されており、一刻も早いアップデートが必要だ。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

Apple、「iOS 26.4.1」「macOS Tahoe 26.4.1」などをリリース/
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

Apple、「iOS 26.4.1」「macOS Tahoe 26.4.1」などをリリース/

 米Appleは4月9日(現地時間)、自社製OSのアップデートを実施した。以下の新しいバージョンが提供中。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

「OpenSSL」なのに……次期バージョン「OpenSSL 4.0」で「SSL 3.0」対応が完全削除/実装から27年、「SSL」のコードベースがなくなる
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

「OpenSSL」なのに……次期バージョン「OpenSSL 4.0」で「SSL 3.0」対応が完全削除/実装から27年、「SSL」のコードベースがなくなる

 「OpenSSL」の次期バージョン「OpenSSL 4.0」では、「SSL 3.0」(Secure Sockets Layer version 3.0)サポートが完全に削除される。開発チームが4月7日(米国時間)、公式ブログで発表した。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

「OpenSSL」なのに……次期バージョン「OpenSSL 4.0」で「SSL 3.0」対応が完全削除/実装から27年、「SSL」のコードベースがなくなる
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

「OpenSSL」なのに……次期バージョン「OpenSSL 4.0」で「SSL 3.0」対応が完全削除/実装から27年、「SSL」のコードベースがなくなる

 「OpenSSL」の次期バージョン「OpenSSL 4.0」では、「SSL 3.0」(Secure Sockets Layer version 3.0)サポートが完全に削除される。開発チームが4月7日(米国時間)、公式ブログで発表した。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

無料のメールソフト「Thunderbird」にセキュリティ修正 ~最大深刻度はhigh/任意コード実行につながるおそれのあるメモリ破損などの脆弱性を修正
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

無料のメールソフト「Thunderbird」にセキュリティ修正 ~最大深刻度はhigh/任意コード実行につながるおそれのあるメモリ破損などの脆弱性を修正

 オープンソースのメールソフト「Thunderbird」v149.0.2が、4月7日にリリースされた。Windows/Mac/Linuxに対応する寄付歓迎のフリーソフトで、現在、公式サイト「thunderbird.net」や「Microsoft Store」からダウンロードできる。Windows版はWindows 10以降をサポートしており、窓の杜ライブラリからもダウンロード可能だ。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

無料のメールソフト「Thunderbird」にセキュリティ修正 ~最大深刻度はhigh/任意コード実行につながるおそれのあるメモリ破損などの脆弱性を修正
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

無料のメールソフト「Thunderbird」にセキュリティ修正 ~最大深刻度はhigh/任意コード実行につながるおそれのあるメモリ破損などの脆弱性を修正

 オープンソースのメールソフト「Thunderbird」v149.0.2が、4月7日にリリースされた。Windows/Mac/Linuxに対応する寄付歓迎のフリーソフトで、現在、公式サイト「thunderbird.net」や「Microsoft Store」からダウンロードできる。Windows版はWindows 10以降をサポートしており、窓の杜ライブラリからもダウンロード可能だ。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

「Zoom」に非認証ユーザーによる権限昇格などの脆弱性/最大深刻度は「Critical」、Windows版に影響
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

「Zoom」に非認証ユーザーによる権限昇格などの脆弱性/最大深刻度は「Critical」、Windows版に影響

 米Zoom Video Communicationsは3月10日(現地時間)、オンラインビデオ会議サービス「Zoom」に複数の脆弱性があることを明らかにした。最大深刻度は4段階中1番高い「Critical」、CVE番号ベースで全4件が公表されている。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

「Zoom」に非認証ユーザーによる権限昇格などの脆弱性/最大深刻度は「Critical」、Windows版に影響
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

「Zoom」に非認証ユーザーによる権限昇格などの脆弱性/最大深刻度は「Critical」、Windows版に影響

 米Zoom Video Communicationsは3月10日(現地時間)、オンラインビデオ会議サービス「Zoom」に複数の脆弱性があることを明らかにした。最大深刻度は4段階中1番高い「Critical」、CVE番号ベースで全4件が公表されている。

Masaki Hara
@qnighy@qnmd.info · Reply to Masaki Hara

Goに脆弱性報告した話 | Wantedly Engineer Blog by @qnighy wantedly.com/companies/wantedl

経緯書きました!
気に入ったら拡散・リアクションお願いします🙏

wantedly.com

Goに脆弱性報告した話 | Wantedly Engineer Blog

本日3/6に、 Go 1.26.1 と Go 1.25.8 がリリースされました。本バージョンで修正された脆弱性のひとつは私が見つけたものです。せっかくの人生初のCVEなので、経緯を紹介しようと...

:rss: ITmedia NEWS 最新記事一覧
@itmedia_news@rss-mstdn.studiofreesia.com

イラン関連のサイバー攻撃活発化か ロシア系ハクティビストの活動も パロアルト調査
itmedia.co.jp/news/articles/26

itmedia.co.jp

イラン関連のサイバー攻撃活発化か ロシア系ハクティビストの活動も パロアルト調査

セキュリティ企業の米Palo Alto Networksは3月2日(現地時間、以下同)、イランに関連するサイバー攻撃が活発化しているとのレポートを公開した。米国とイスラエルによる2月28日の攻撃以降、イラン国外のハクティビストなどによる動きが活性化しているという。

:rss: ITmedia NEWS 最新記事一覧
@itmedia_news@rss-mstdn.studiofreesia.com

イラン関連のサイバー攻撃活発化か ロシア系ハクティビストの活動も パロアルト調査
itmedia.co.jp/news/articles/26

itmedia.co.jp

イラン関連のサイバー攻撃活発化か ロシア系ハクティビストの活動も パロアルト調査

セキュリティ企業の米Palo Alto Networksは3月2日(現地時間、以下同)、イランに関連するサイバー攻撃が活発化しているとのレポートを公開した。米国とイスラエルによる2月28日の攻撃以降、イラン国外のハクティビストなどによる動きが活性化しているという。

h12o
@h12o@mastodon.tokyo

2.7までのGNU inetutilsに含まれるtelnetdに、細工した環境変数を送信するだけで認証を回避して特権ユーザーでのログインが可能な脆弱性が発見されたらしい。CVE-2026-24061。いまどきtelnetdをThe Internetに露出している人はそうそういないはずとはいえ、なかなか興味深いので調べてみたところ。`telnetd`が`execv()`で呼び出す`/usr/bin/login`のコマンドラインオプションをうまく使うことでそういうことができてしまうようで、正直興奮した。

safebreach.com/blog/safebreach

safebreach.com

Root Cause Analysis & PoC Exploit for CVE-2026-24061 | SafeBreach

Learn more about SafeBreach Labs root cause analysis and PoC exploit for critical CVE-2026-24061: Telnetd RCE as Root Vulnerability.

h12o
@h12o@mastodon.tokyo

2.7までのGNU inetutilsに含まれるtelnetdに、細工した環境変数を送信するだけで認証を回避して特権ユーザーでのログインが可能な脆弱性が発見されたらしい。CVE-2026-24061。いまどきtelnetdをThe Internetに露出している人はそうそういないはずとはいえ、なかなか興味深いので調べてみたところ。`telnetd`が`execv()`で呼び出す`/usr/bin/login`のコマンドラインオプションをうまく使うことでそういうことができてしまうようで、正直興奮した。

safebreach.com/blog/safebreach

safebreach.com

Root Cause Analysis & PoC Exploit for CVE-2026-24061 | SafeBreach

Learn more about SafeBreach Labs root cause analysis and PoC exploit for critical CVE-2026-24061: Telnetd RCE as Root Vulnerability.

Hollo :hollo:
@hollo@hollo.social · Reply to Hollo :hollo:

セキュリティアップデート: Hollo 0.6.19 リリース

FedifyのHTMLパースコードにおけるセキュリティ脆弱性に対応したHollo 0.6.19をリリースしました。

この脆弱性 (CVE-2025-68475) は ReDoS (正規表現によるサービス拒否) の問題であり、攻撃者がフェデレーション操作中に特別に細工されたHTMLレスポンスを送信することで、サービス停止を引き起こす可能性があります。悪意のあるペイロードは小さい (約170バイト) ですが、Node.jsのイベントループを長時間ブロックする可能性があります。

すべてのHollo運営者の皆様には、直ちにバージョン 0.6.19 へのアップグレードを強くお勧めします。

項目 詳細
CVE CVE-2025-68475
深刻度 高 (CVSS 7.5)
対応 Hollo 0.6.19 にアップグレード

github.com

ReDoS Vulnerability in HTML Parsing Regex

Hi Fedify team! 👋 Thank you for your work on Fedify—it's a fantastic library for building federated applications. While reviewing the codebase, I discovered a Regular Expression Denial of Servic...

Hollo :hollo:
@hollo@hollo.social · Reply to Hollo :hollo:

セキュリティアップデート: Hollo 0.6.19 リリース

FedifyのHTMLパースコードにおけるセキュリティ脆弱性に対応したHollo 0.6.19をリリースしました。

この脆弱性 (CVE-2025-68475) は ReDoS (正規表現によるサービス拒否) の問題であり、攻撃者がフェデレーション操作中に特別に細工されたHTMLレスポンスを送信することで、サービス停止を引き起こす可能性があります。悪意のあるペイロードは小さい (約170バイト) ですが、Node.jsのイベントループを長時間ブロックする可能性があります。

すべてのHollo運営者の皆様には、直ちにバージョン 0.6.19 へのアップグレードを強くお勧めします。

項目 詳細
CVE CVE-2025-68475
深刻度 高 (CVSS 7.5)
対応 Hollo 0.6.19 にアップグレード

github.com

ReDoS Vulnerability in HTML Parsing Regex

Hi Fedify team! 👋 Thank you for your work on Fedify—it's a fantastic library for building federated applications. While reviewing the codebase, I discovered a Regular Expression Denial of Servic...

Hollo :hollo:
@hollo@hollo.social · Reply to Hollo :hollo:

セキュリティアップデート: Hollo 0.6.19 リリース

FedifyのHTMLパースコードにおけるセキュリティ脆弱性に対応したHollo 0.6.19をリリースしました。

この脆弱性 (CVE-2025-68475) は ReDoS (正規表現によるサービス拒否) の問題であり、攻撃者がフェデレーション操作中に特別に細工されたHTMLレスポンスを送信することで、サービス停止を引き起こす可能性があります。悪意のあるペイロードは小さい (約170バイト) ですが、Node.jsのイベントループを長時間ブロックする可能性があります。

すべてのHollo運営者の皆様には、直ちにバージョン 0.6.19 へのアップグレードを強くお勧めします。

項目 詳細
CVE CVE-2025-68475
深刻度 高 (CVSS 7.5)
対応 Hollo 0.6.19 にアップグレード

github.com

ReDoS Vulnerability in HTML Parsing Regex

Hi Fedify team! 👋 Thank you for your work on Fedify—it's a fantastic library for building federated applications. While reviewing the codebase, I discovered a Regular Expression Denial of Servic...

Hollo :hollo:
@hollo@hollo.social · Reply to Hollo :hollo:

セキュリティアップデート: Hollo 0.6.19 リリース

FedifyのHTMLパースコードにおけるセキュリティ脆弱性に対応したHollo 0.6.19をリリースしました。

この脆弱性 (CVE-2025-68475) は ReDoS (正規表現によるサービス拒否) の問題であり、攻撃者がフェデレーション操作中に特別に細工されたHTMLレスポンスを送信することで、サービス停止を引き起こす可能性があります。悪意のあるペイロードは小さい (約170バイト) ですが、Node.jsのイベントループを長時間ブロックする可能性があります。

すべてのHollo運営者の皆様には、直ちにバージョン 0.6.19 へのアップグレードを強くお勧めします。

項目 詳細
CVE CVE-2025-68475
深刻度 高 (CVSS 7.5)
対応 Hollo 0.6.19 にアップグレード

github.com

ReDoS Vulnerability in HTML Parsing Regex

Hi Fedify team! 👋 Thank you for your work on Fedify—it's a fantastic library for building federated applications. While reviewing the codebase, I discovered a Regular Expression Denial of Servic...

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

「Thunderbird」v146.0.1が公開 ~特殊フォルダー名がローカライズされる問題を修正/セキュリティに関する修正はなし
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

「Thunderbird」v146.0.1が公開 ~特殊フォルダー名がローカライズされる問題を修正/セキュリティに関する修正はなし

 オープンソースのメールソフト「Thunderbird」v146.0.1が、12月17日(米国時間)にリリースされた。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

「Thunderbird」v146.0.1が公開 ~特殊フォルダー名がローカライズされる問題を修正/セキュリティに関する修正はなし
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

「Thunderbird」v146.0.1が公開 ~特殊フォルダー名がローカライズされる問題を修正/セキュリティに関する修正はなし

 オープンソースのメールソフト「Thunderbird」v146.0.1が、12月17日(米国時間)にリリースされた。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

「Google Chrome」へのセキュリティ攻撃を確認、すぐに修正版へのアップデートを/Windows環境では143.0.7499.109/.110が展開中
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

「Google Chrome」へのセキュリティ攻撃を確認、すぐに修正版へのアップデートを/Windows環境では143.0.7499.109/.110が展開中

 米Googleは12月10日(現地時間)、デスクトップ向け「Google Chrome」の安定(Stable)チャネルをアップデートした。現在、Windows/Mac環境にはv143.0.7499.109/.110が、Linux環境にはv143.0.7499.109が展開中だ。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

「Google Chrome」へのセキュリティ攻撃を確認、すぐに修正版へのアップデートを/Windows環境では143.0.7499.109/.110が展開中
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

「Google Chrome」へのセキュリティ攻撃を確認、すぐに修正版へのアップデートを/Windows環境では143.0.7499.109/.110が展開中

 米Googleは12月10日(現地時間)、デスクトップ向け「Google Chrome」の安定(Stable)チャネルをアップデートした。現在、Windows/Mac環境にはv143.0.7499.109/.110が、Linux環境にはv143.0.7499.109が展開中だ。

:rss: INTERNET Watch
@internet_watch_impress@rss-mstdn.studiofreesia.com

丸亀製麺、公式Xのなりすましアカウントに注意呼びかけ、偽のキャンペーン当選連絡などが発生
internet.watch.impress.co.jp/d

internet.watch.impress.co.jp

丸亀製麺、公式Xのなりすましアカウントに注意呼びかけ、偽のキャンペーン当選連絡などが発生 

 株式会社丸亀製麺は12月3日、同社の公式Xアカウントを装ったなりすましアカウントやメッセージが確認されたとして、注意を呼びかけた。

:rss: INTERNET Watch
@internet_watch_impress@rss-mstdn.studiofreesia.com

丸亀製麺、公式Xのなりすましアカウントに注意呼びかけ、偽のキャンペーン当選連絡などが発生
internet.watch.impress.co.jp/d

internet.watch.impress.co.jp

丸亀製麺、公式Xのなりすましアカウントに注意呼びかけ、偽のキャンペーン当選連絡などが発生 

 株式会社丸亀製麺は12月3日、同社の公式Xアカウントを装ったなりすましアカウントやメッセージが確認されたとして、注意を呼びかけた。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

Android OSの2025年12月のセキュリティ情報が公開。致命的なもの複数、悪用の兆候も/メーカーからパッチが提供され次第適用を
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

Android OSの2025年12月のセキュリティ情報が公開。致命的なもの複数、悪用の兆候も/メーカーからパッチが提供され次第適用を

 米Googleは12月1日(現地時間)、Android OSのセキュリティ情報(ABS)を発表した。四半期ごと(3月、6月、9月、12月)にリリースされるだが、大規模なセキュリティアップデートとなっている。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

Android OSの2025年12月のセキュリティ情報が公開。致命的なもの複数、悪用の兆候も/メーカーからパッチが提供され次第適用を
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

Android OSの2025年12月のセキュリティ情報が公開。致命的なもの複数、悪用の兆候も/メーカーからパッチが提供され次第適用を

 米Googleは12月1日(現地時間)、Android OSのセキュリティ情報(ABS)を発表した。四半期ごと(3月、6月、9月、12月)にリリースされるだが、大規模なセキュリティアップデートとなっている。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

「OpenSSL 3.2」のサポートが終了、今後はセキュリティパッチの提供なし/「OpenSSL 3.5」「OpenSSL 3.6」への移行を
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

「OpenSSL 3.2」のサポートが終了、今後はセキュリティパッチの提供なし/「OpenSSL 3.5」「OpenSSL 3.6」への移行を

 「OpenSSL 3.2」が11月23日でサポート終了(EOL)を迎えた。今後はセキュリティアップデートが提供されなくなるため、利用の継続は重大なセキュリティリスクを伴う。サポートが提供されている後継バージョンへの移行が必要だ。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

「OpenSSL 3.2」のサポートが終了、今後はセキュリティパッチの提供なし/「OpenSSL 3.5」「OpenSSL 3.6」への移行を
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

「OpenSSL 3.2」のサポートが終了、今後はセキュリティパッチの提供なし/「OpenSSL 3.5」「OpenSSL 3.6」への移行を

 「OpenSSL 3.2」が11月23日でサポート終了(EOL)を迎えた。今後はセキュリティアップデートが提供されなくなるため、利用の継続は重大なセキュリティリスクを伴う。サポートが提供されている後継バージョンへの移行が必要だ。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

複数のアドビアプリで発生した大規模障害は復旧、ただし原因と再発防止策は公表せず/「Illustrator」「Premiere」「InDesign」などが起動できない問題
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

複数のアドビアプリで発生した大規模障害は復旧、ただし原因と再発防止策は公表せず/「Illustrator」「Premiere」「InDesign」などが起動できない問題

 米Adobeは11月19日(日本時間)、複数のアドビアプリケーションにおいて発生した大規模障害は復旧したと発表した。「アドビ カスタマー サポート」の公式Xアカウントにて、全ユーザーに対して謝罪文の掲載とともに告知している。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

複数のアドビアプリで発生した大規模障害は復旧、ただし原因と再発防止策は公表せず/「Illustrator」「Premiere」「InDesign」などが起動できない問題
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

複数のアドビアプリで発生した大規模障害は復旧、ただし原因と再発防止策は公表せず/「Illustrator」「Premiere」「InDesign」などが起動できない問題

 米Adobeは11月19日(日本時間)、複数のアドビアプリケーションにおいて発生した大規模障害は復旧したと発表した。「アドビ カスタマー サポート」の公式Xアカウントにて、全ユーザーに対して謝罪文の掲載とともに告知している。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

「Cloudflare」のグローバルネットワークに障害 ~Google、X、AWS、OpenAIなど影響多数/広範囲にわたり500エラーが発生、現在も復旧作業が継続中
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

「Cloudflare」のグローバルネットワークに障害 ~Google、X、AWS、OpenAIなど影響多数/広範囲にわたり500エラーが発生、現在も復旧作業が継続中

 Web高速化・セキュリティ強化サービス「Cloudflare」のグローバルネットワークで11月18日の20時45分ごろから障害が発生している。「Cloudflare」を使用しているサイトにアクセスすると『500』エラーが表示されるほか、「Cloudflare」のダッシュボードとAPIも機能しなくなった。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

「Cloudflare」のグローバルネットワークに障害 ~Google、X、AWS、OpenAIなど影響多数/広範囲にわたり500エラーが発生、現在も復旧作業が継続中
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

「Cloudflare」のグローバルネットワークに障害 ~Google、X、AWS、OpenAIなど影響多数/広範囲にわたり500エラーが発生、現在も復旧作業が継続中

 Web高速化・セキュリティ強化サービス「Cloudflare」のグローバルネットワークで11月18日の20時45分ごろから障害が発生している。「Cloudflare」を使用しているサイトにアクセスすると『500』エラーが表示されるほか、「Cloudflare」のダッシュボードとAPIも機能しなくなった。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

「Cloudflare」のグローバルネットワークに障害 ~Google、X、AWS、OpenAIなど影響多数/広範囲にわたり500エラーが発生、現在も復旧作業が継続中
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

「Cloudflare」のグローバルネットワークに障害 ~Google、X、AWS、OpenAIなど影響多数/広範囲にわたり500エラーが発生、現在も復旧作業が継続中

 Web高速化・セキュリティ強化サービス「Cloudflare」のグローバルネットワークで11月18日の20時45分ごろから障害が発生している。「Cloudflare」を使用しているサイトにアクセスすると『500』エラーが表示されるほか、「Cloudflare」のダッシュボードとAPIも機能しなくなった。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

「Illustrator」「Premiere」「InDesign」などが起動できない、複数のアドビアプリに問題が発生/現在、解決に向けて調査中
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

「Illustrator」「Premiere」「InDesign」などが起動できない、複数のアドビアプリに問題が発生/現在、解決に向けて調査中

 日本時間11月18日現在、「Adobe Illustrator」「Adobe InDesign」「Adobe Premiere(Premiere Pro)」といった複数のアドビアプリケーションが起動できないなどの問題が発生している。米Adobeは「アドビ カスタマー サポート」公式Xアカウントにて通知している。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

「Illustrator」「Premiere」「InDesign」などが起動できない、複数のアドビアプリに問題が発生/現在、解決に向けて調査中
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

「Illustrator」「Premiere」「InDesign」などが起動できない、複数のアドビアプリに問題が発生/現在、解決に向けて調査中

 日本時間11月18日現在、「Adobe Illustrator」「Adobe InDesign」「Adobe Premiere(Premiere Pro)」といった複数のアドビアプリケーションが起動できないなどの問題が発生している。米Adobeは「アドビ カスタマー サポート」公式Xアカウントにて通知している。

:rss: ITmedia NEWS 最新記事一覧
@itmedia_news@rss-mstdn.studiofreesia.com

アスクル、さらなる情報漏えい確認 個人向け通販「LOHACO」などで
itmedia.co.jp/news/articles/25

itmedia.co.jp

アスクル、さらなる情報漏えい確認 個人向け通販「LOHACO」などで

アスクルが追加の情報漏えいを確認したと発表した。10月末に発表した、個人向け通販サービス「LOHACO」などに関する問い合わせ情報の漏えい件数がさらに拡大した。

:rss: ITmedia NEWS 最新記事一覧
@itmedia_news@rss-mstdn.studiofreesia.com

アスクル、さらなる情報漏えい確認 個人向け通販「LOHACO」などで
itmedia.co.jp/news/articles/25

itmedia.co.jp

アスクル、さらなる情報漏えい確認 個人向け通販「LOHACO」などで

アスクルが追加の情報漏えいを確認したと発表した。10月末に発表した、個人向け通販サービス「LOHACO」などに関する問い合わせ情報の漏えい件数がさらに拡大した。

セキュリティ対策Lab
@securitylab_jp@mastodon-japan.net

GitLab、緊急アップデート公開:Runner乗っ取り(CVE-2025-11702)とDoS 3件を修正—18.5.1/18.4.3/18.3.5へ即時更新を

rocket-boys.co.jp/security-mea

rocket-boys.co.jp

GitLab、緊急アップデート公開:Runner乗っ取り(CVE-2025-11702)とDoS 3件を修正—18.5.1/18.4.3/18.3.5へ即時更新を|セキュリティニュースのセキュリティ対策Lab

GitLabは2025年10月22日、GitLab Community Edition(CE)/Enterprise Edition(EE)向けに18.5.1/18.4.3/18.3.5のパッチを公開しました。複数の脆弱性が修正され、なかでもCVE-2025-11702(CVSS 8.5)はRunner APIの不適切なアクセス制御により、特定権限を持つ認証済みユーザーが他プロジェクトのRunnerをハイジャックできる可能性がある高深刻度の問題です。速やかなアップグレードが推奨されています。

セキュリティ対策Lab
@securitylab_jp@mastodon-japan.net

GitLab、緊急アップデート公開:Runner乗っ取り(CVE-2025-11702)とDoS 3件を修正—18.5.1/18.4.3/18.3.5へ即時更新を

rocket-boys.co.jp/security-mea

rocket-boys.co.jp

GitLab、緊急アップデート公開:Runner乗っ取り(CVE-2025-11702)とDoS 3件を修正—18.5.1/18.4.3/18.3.5へ即時更新を|セキュリティニュースのセキュリティ対策Lab

GitLabは2025年10月22日、GitLab Community Edition(CE)/Enterprise Edition(EE)向けに18.5.1/18.4.3/18.3.5のパッチを公開しました。複数の脆弱性が修正され、なかでもCVE-2025-11702(CVSS 8.5)はRunner APIの不適切なアクセス制御により、特定権限を持つ認証済みユーザーが他プロジェクトのRunnerをハイジャックできる可能性がある高深刻度の問題です。速やかなアップグレードが推奨されています。

:rss: ITmedia NEWS 最新記事一覧
@itmedia_news@rss-mstdn.studiofreesia.com

「個人情報入りUSBメモリを拾った」──医療機関に郵便が届く→情報漏えい発覚 しかし紛失の形跡なく
itmedia.co.jp/news/articles/25

itmedia.co.jp

「個人情報入りUSBメモリを拾った」──医療機関に郵便が届く→情報漏えい発覚 しかし紛失の形跡なく

多摩総合医療センターは、患者の個人情報が漏えいしたと発表した。差出人不明の郵便による告発によって、事態が判明した。

:rss: ITmedia NEWS 最新記事一覧
@itmedia_news@rss-mstdn.studiofreesia.com

「個人情報入りUSBメモリを拾った」──医療機関に郵便が届く→情報漏えい発覚 しかし紛失の形跡なく
itmedia.co.jp/news/articles/25

itmedia.co.jp

「個人情報入りUSBメモリを拾った」──医療機関に郵便が届く→情報漏えい発覚 しかし紛失の形跡なく

多摩総合医療センターは、患者の個人情報が漏えいしたと発表した。差出人不明の郵便による告発によって、事態が判明した。

:rss: ITmedia NEWS 最新記事一覧
@itmedia_news@rss-mstdn.studiofreesia.com

Unityに脆弱性、任意コード実行の恐れ Windows、Android、macOS、Linux向けゲームとアプリに影響、SteamやMicrosoftも対処
itmedia.co.jp/news/articles/25

itmedia.co.jp

Unityに脆弱性、任意コード実行の恐れ Windows、Android、macOS、Linux向けゲームとアプリに影響、SteamやMicrosoftも対処

米Unity Technologiesがゲームエンジン「Unity」に重大な脆弱性(CVE-2025-59489)を確認したと発表した。「Unity 2017.1」以降のバージョンでビルドされたWindows、Android、macOS、Linux向けの全ゲームとアプリケーションに影響するといい、PCゲーム配信プラットフォーム「Steam」を手掛ける米Valveといった国内外のゲーム・アプリ関連事業者が対応に動いている。

:rss: ITmedia NEWS 最新記事一覧
@itmedia_news@rss-mstdn.studiofreesia.com

Unityに脆弱性、任意コード実行の恐れ Windows、Android、macOS、Linux向けゲームとアプリに影響、SteamやMicrosoftも対処
itmedia.co.jp/news/articles/25

itmedia.co.jp

Unityに脆弱性、任意コード実行の恐れ Windows、Android、macOS、Linux向けゲームとアプリに影響、SteamやMicrosoftも対処

米Unity Technologiesがゲームエンジン「Unity」に重大な脆弱性(CVE-2025-59489)を確認したと発表した。「Unity 2017.1」以降のバージョンでビルドされたWindows、Android、macOS、Linux向けの全ゲームとアプリケーションに影響するといい、PCゲーム配信プラットフォーム「Steam」を手掛ける米Valveといった国内外のゲーム・アプリ関連事業者が対応に動いている。

洪 民憙 (Hong Minhee) :nonbinary:
@hongminhee@hollo.social · Reply to 洪 民憙 (Hong Minhee) :nonbinary:

Holloをお使いの方は、できるだけ早く0.6.12バージョンにアップデートしてください。DMが公開投稿ページで露出する深刻なセキュリティ脆弱性が修正されました。

https://hollo.social/@hollo/0199aaaf-7979-7da3-9509-73c9e487de05

hollo.social

### Security update: Hollo 0.6…

### Security update: Hollo 0.6.12 is now available We've released #Hollo 0.6.12 to fix a critical privacy #vulnerability where direct messages were being exposed in the replies section of public posts. Please update your instances immediately to ensure your private conversations remain private. #security

Hollo :hollo:
@hollo@hollo.social

Security update: Hollo 0.6.12 is now available

We've released 0.6.12 to fix a critical privacy where direct messages were being exposed in the replies section of public posts. Please update your instances immediately to ensure your private conversations remain private.

洪 民憙 (Hong Minhee) :nonbinary:
@hongminhee@hollo.social · Reply to 洪 民憙 (Hong Minhee) :nonbinary:

Holloをお使いの方は、できるだけ早く0.6.12バージョンにアップデートしてください。DMが公開投稿ページで露出する深刻なセキュリティ脆弱性が修正されました。

https://hollo.social/@hollo/0199aaaf-7979-7da3-9509-73c9e487de05

hollo.social

### Security update: Hollo 0.6…

### Security update: Hollo 0.6.12 is now available We've released #Hollo 0.6.12 to fix a critical privacy #vulnerability where direct messages were being exposed in the replies section of public posts. Please update your instances immediately to ensure your private conversations remain private. #security

Hollo :hollo:
@hollo@hollo.social

Security update: Hollo 0.6.12 is now available

We've released 0.6.12 to fix a critical privacy where direct messages were being exposed in the replies section of public posts. Please update your instances immediately to ensure your private conversations remain private.

洪 民憙 (Hong Minhee) :nonbinary:
@hongminhee@hollo.social · Reply to 洪 民憙 (Hong Minhee) :nonbinary:

Holloをお使いの方は、できるだけ早く0.6.12バージョンにアップデートしてください。DMが公開投稿ページで露出する深刻なセキュリティ脆弱性が修正されました。

https://hollo.social/@hollo/0199aaaf-7979-7da3-9509-73c9e487de05

hollo.social

### Security update: Hollo 0.6…

### Security update: Hollo 0.6.12 is now available We've released #Hollo 0.6.12 to fix a critical privacy #vulnerability where direct messages were being exposed in the replies section of public posts. Please update your instances immediately to ensure your private conversations remain private. #security

Hollo :hollo:
@hollo@hollo.social

Security update: Hollo 0.6.12 is now available

We've released 0.6.12 to fix a critical privacy where direct messages were being exposed in the replies section of public posts. Please update your instances immediately to ensure your private conversations remain private.

洪 民憙 (Hong Minhee) :nonbinary:
@hongminhee@hollo.social · Reply to 洪 民憙 (Hong Minhee) :nonbinary:

Holloをお使いの方は、できるだけ早く0.6.12バージョンにアップデートしてください。DMが公開投稿ページで露出する深刻なセキュリティ脆弱性が修正されました。

https://hollo.social/@hollo/0199aaaf-7979-7da3-9509-73c9e487de05

hollo.social

### Security update: Hollo 0.6…

### Security update: Hollo 0.6.12 is now available We've released #Hollo 0.6.12 to fix a critical privacy #vulnerability where direct messages were being exposed in the replies section of public posts. Please update your instances immediately to ensure your private conversations remain private. #security

Hollo :hollo:
@hollo@hollo.social

Security update: Hollo 0.6.12 is now available

We've released 0.6.12 to fix a critical privacy where direct messages were being exposed in the replies section of public posts. Please update your instances immediately to ensure your private conversations remain private.

:rss: INTERNET Watch
@internet_watch_impress@rss-mstdn.studiofreesia.com

メールで国勢調査の回答を依頼することは「絶対にありません」。届いたらそれは詐欺、即ゴミ箱へ!【読めば身に付くネットリテラシー】
internet.watch.impress.co.jp/d

internet.watch.impress.co.jp

メールで国勢調査の回答を依頼することは「絶対にありません」。届いたらそれは詐欺、即ゴミ箱へ!【読めば身に付くネットリテラシー】

 令和7年(2025年)の国勢調査が9月20日から始まりました。国勢調査は5年に一度、日本国内に住む全ての人と世帯を対象として、人口や世帯の実態を把握するために実施される重要な統計調査です。今回が22回目で、調査結果は選挙区の区割りや社会福祉施策、防災計画、行政基礎データとして幅広く利用されます。

:rss: INTERNET Watch
@internet_watch_impress@rss-mstdn.studiofreesia.com

メールで国勢調査の回答を依頼することは「絶対にありません」。届いたらそれは詐欺、即ゴミ箱へ!【読めば身に付くネットリテラシー】
internet.watch.impress.co.jp/d

internet.watch.impress.co.jp

メールで国勢調査の回答を依頼することは「絶対にありません」。届いたらそれは詐欺、即ゴミ箱へ!【読めば身に付くネットリテラシー】

 令和7年(2025年)の国勢調査が9月20日から始まりました。国勢調査は5年に一度、日本国内に住む全ての人と世帯を対象として、人口や世帯の実態を把握するために実施される重要な統計調査です。今回が22回目で、調査結果は選挙区の区割りや社会福祉施策、防災計画、行政基礎データとして幅広く利用されます。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

「Google Chrome」に深刻度「Critical」の致命的な脆弱性、アップデートを/Windows環境には修正版のv140.0.7339.127/.128が展開中
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

「Google Chrome」に深刻度「Critical」の致命的な脆弱性、アップデートを/Windows環境には修正版のv140.0.7339.127/.128が展開中

 米Googleは9月9日(現地時間)、デスクトップ向け「Google Chrome」の安定(Stable)チャネルをアップデートした。現在、Windows環境にはv140.0.7339.127/.128が、Mac環境にはv140.0.7339.132/.133が、Linux環境にはv140.0.7339.127が展開中だ。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

「Google Chrome」に深刻度「Critical」の致命的な脆弱性、アップデートを/Windows環境には修正版のv140.0.7339.127/.128が展開中
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

「Google Chrome」に深刻度「Critical」の致命的な脆弱性、アップデートを/Windows環境には修正版のv140.0.7339.127/.128が展開中

 米Googleは9月9日(現地時間)、デスクトップ向け「Google Chrome」の安定(Stable)チャネルをアップデートした。現在、Windows環境にはv140.0.7339.127/.128が、Mac環境にはv140.0.7339.132/.133が、Linux環境にはv140.0.7339.127が展開中だ。

セキュリティ対策Lab
@securitylab_jp@mastodon-japan.net

堺市文化振興財団の元職員、SNSへ個人情報漏洩-3万7千人分の個人情報の抜き取りも



rocket-boys.co.jp/security-mea

rocket-boys.co.jp

堺市文化振興財団の元職員、SNSへ個人情報漏洩-3万7千人分の個人情報の抜き取りも|セキュリティニュースのセキュリティ対策Lab

公益財団法人堺市文化振興財団の元職員が、会員サイト「sacay(サカイ)メイト」等の個人情報を不正に持ち出し、X(旧Twitter)やGmailを用いて一部を外部へ流出させていたことが判明しました。財団は2025年9月8日に公表し、窃取データは回収済みで二次被害は現時点で確認されていないと説明しています。一方、報道では元職員が退職後も財団システムへ不正アクセスを継続し、誹謗中傷を含む投稿を大量に行っていた実態が伝えられており、警察は2025年9月3日付で偽計業務妨害容疑として書類送検しています。

セキュリティ対策Lab
@securitylab_jp@mastodon-japan.net

堺市文化振興財団の元職員、SNSへ個人情報漏洩-3万7千人分の個人情報の抜き取りも



rocket-boys.co.jp/security-mea

rocket-boys.co.jp

堺市文化振興財団の元職員、SNSへ個人情報漏洩-3万7千人分の個人情報の抜き取りも|セキュリティニュースのセキュリティ対策Lab

公益財団法人堺市文化振興財団の元職員が、会員サイト「sacay(サカイ)メイト」等の個人情報を不正に持ち出し、X(旧Twitter)やGmailを用いて一部を外部へ流出させていたことが判明しました。財団は2025年9月8日に公表し、窃取データは回収済みで二次被害は現時点で確認されていないと説明しています。一方、報道では元職員が退職後も財団システムへ不正アクセスを継続し、誹謗中傷を含む投稿を大量に行っていた実態が伝えられており、警察は2025年9月3日付で偽計業務妨害容疑として書類送検しています。

:rss: ITmedia NEWS 最新記事一覧
@itmedia_news@rss-mstdn.studiofreesia.com

「FeliCa」の脆弱性で共同通信の報道が波紋 ソニーが公表していなかった“真っ当”な理由とは?
itmedia.co.jp/news/articles/25

itmedia.co.jp

「FeliCa」の脆弱性で共同通信の報道が波紋 ソニーが公表していなかった“真っ当”な理由とは?

共同通信が8月28日夕方に配信した「FeliCa」の脆弱性に関する記事が話題になっている。報道後に、ソニーをはじめとした各社がプレスリリースを出しているが、詳細についてはコメントできないと一様に述べている。これは「脆弱性」による被害を最小限に抑えることを目的とした、とあるガイドラインにのっとった行動である。

:rss: ITmedia NEWS 最新記事一覧
@itmedia_news@rss-mstdn.studiofreesia.com

「FeliCa」の脆弱性で共同通信の報道が波紋 ソニーが公表していなかった“真っ当”な理由とは?
itmedia.co.jp/news/articles/25

itmedia.co.jp

「FeliCa」の脆弱性で共同通信の報道が波紋 ソニーが公表していなかった“真っ当”な理由とは?

共同通信が8月28日夕方に配信した「FeliCa」の脆弱性に関する記事が話題になっている。報道後に、ソニーをはじめとした各社がプレスリリースを出しているが、詳細についてはコメントできないと一様に述べている。これは「脆弱性」による被害を最小限に抑えることを目的とした、とあるガイドラインにのっとった行動である。

:rss: INTERNET Watch
@internet_watch_impress@rss-mstdn.studiofreesia.com

豪州策定の国際文書「暗号鍵及びシークレットの管理ー実践者向けガイダンス」に日本も共同署名
internet.watch.impress.co.jp/d

internet.watch.impress.co.jp

豪州策定の国際文書「暗号鍵及びシークレットの管理ー実践者向けガイダンス」に日本も共同署名 

 国家サイバー統括室(NOC)は8月26日、豪州通信情報局(ASD)豪州サイバーセキュリティセンター(ACSC)が策定した文書「暗号鍵及びシークレットの管理ー実践者向けガイダンス」の共同署名に加わり、文書を公表した。

:rss: INTERNET Watch
@internet_watch_impress@rss-mstdn.studiofreesia.com

豪州策定の国際文書「暗号鍵及びシークレットの管理ー実践者向けガイダンス」に日本も共同署名
internet.watch.impress.co.jp/d

internet.watch.impress.co.jp

豪州策定の国際文書「暗号鍵及びシークレットの管理ー実践者向けガイダンス」に日本も共同署名 

 国家サイバー統括室(NOC)は8月26日、豪州通信情報局(ASD)豪州サイバーセキュリティセンター(ACSC)が策定した文書「暗号鍵及びシークレットの管理ー実践者向けガイダンス」の共同署名に加わり、文書を公表した。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

Windows 11パッチでSSDに障害発生、起動不能の場合も?~Phisonが声明を発表/「KB5062660」「KB5063878」適用後の影響をXユーザーが確認【やじうまの杜】
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

Windows 11パッチでSSDに障害発生、起動不能の場合も?~Phisonが声明を発表/「KB5062660」「KB5063878」適用後の影響をXユーザーが確認【やじうまの杜】

 「やじうまの杜」では、ニュース・レビューにこだわらない幅広い話題をお伝えします。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

Windows 11パッチでSSDに障害発生、起動不能の場合も?~Phisonが声明を発表/「KB5062660」「KB5063878」適用後の影響をXユーザーが確認【やじうまの杜】
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

Windows 11パッチでSSDに障害発生、起動不能の場合も?~Phisonが声明を発表/「KB5062660」「KB5063878」適用後の影響をXユーザーが確認【やじうまの杜】

 「やじうまの杜」では、ニュース・レビューにこだわらない幅広い話題をお伝えします。

h12o
@h12o@mastodon.tokyo

この手のニュースが出るたびに、漏洩した情報の中にクレジットカードのセキュリティーコードが含まれているところまで見て、言語道断と言わんばかりの顔で「セキュリティーコードを保存していたんですか?」と言う人がいるのだけど、記事にある通り、セキュリティーコードが漏洩したことはセキュリティーコードを保存していたことを意味しない。

>>
これは、一般的にWebスキミングなどと呼ばれている手法と考えられる。この手法では、ペイメントアプリケーションなどWebサイトのシステムを改ざんすることで、サーバーがクレジットカード情報を保持していなくても、Webサイト上で入力した情報を盗み取り、個人情報・カード情報を外部に送信できてしまう。
<<

itmedia.co.jp/news/articles/25

itmedia.co.jp

駿河屋、ECサイトに不正アクセス クレカ情報を含む個人情報が漏えいか 8日よりカード決済停止

駿河屋は8月8日、同社が運営するECサイト「駿河屋.JP」が第三者による不正アクセスを受け、クレジットカード情報を含む個人情報が漏洩したと発表した。被害件数は調査中としており、影響拡大防止のため同日よりクレジットカード決済を停止している。

h12o
@h12o@mastodon.tokyo

この手のニュースが出るたびに、漏洩した情報の中にクレジットカードのセキュリティーコードが含まれているところまで見て、言語道断と言わんばかりの顔で「セキュリティーコードを保存していたんですか?」と言う人がいるのだけど、記事にある通り、セキュリティーコードが漏洩したことはセキュリティーコードを保存していたことを意味しない。

>>
これは、一般的にWebスキミングなどと呼ばれている手法と考えられる。この手法では、ペイメントアプリケーションなどWebサイトのシステムを改ざんすることで、サーバーがクレジットカード情報を保持していなくても、Webサイト上で入力した情報を盗み取り、個人情報・カード情報を外部に送信できてしまう。
<<

itmedia.co.jp/news/articles/25

itmedia.co.jp

駿河屋、ECサイトに不正アクセス クレカ情報を含む個人情報が漏えいか 8日よりカード決済停止

駿河屋は8月8日、同社が運営するECサイト「駿河屋.JP」が第三者による不正アクセスを受け、クレジットカード情報を含む個人情報が漏洩したと発表した。被害件数は調査中としており、影響拡大防止のため同日よりクレジットカード決済を停止している。

Hollo :hollo:
@hollo@hollo.social · Reply to Hollo :hollo:

Fedifyフレームワークの脆弱性に対処するため、Holloのセキュリティアップデートをリリースしました。(0.4.120.5.70.6.6)これらのアップデートには、CVE-2025-54888を修正する最新のFedifyセキュリティパッチが含まれています。

すべてのHolloインスタンス管理者の皆様には、できるだけ早く該当するリリースブランチの最新バージョンにアップデートしていただくことを強く推奨いたします。

アップデート方法:

  • Railwayユーザー: プロジェクトダッシュボードでHolloサービスを選択し、deploymentsの三点メニューをクリックして「Redeploy」を選択してください
  • Dockerユーザーdocker pull ghcr.io/fedify-dev/hollo:latestで最新イメージを取得し、コンテナを再起動してください
  • 手動インストールユーザーgit pullで最新コードを取得した後、pnpm installを実行してサービスを再起動してください

github.com

Improper Authentication and Incorrect Authorization in @fedify/fedify

### Summary An authentication bypass vulnerability allows any unauthenticated attacker to impersonate any ActivityPub actor by sending forged activities signed with their own keys. Activities are...

Hollo :hollo:
@hollo@hollo.social · Reply to Hollo :hollo:

Fedifyフレームワークの脆弱性に対処するため、Holloのセキュリティアップデートをリリースしました。(0.4.120.5.70.6.6)これらのアップデートには、CVE-2025-54888を修正する最新のFedifyセキュリティパッチが含まれています。

すべてのHolloインスタンス管理者の皆様には、できるだけ早く該当するリリースブランチの最新バージョンにアップデートしていただくことを強く推奨いたします。

アップデート方法:

  • Railwayユーザー: プロジェクトダッシュボードでHolloサービスを選択し、deploymentsの三点メニューをクリックして「Redeploy」を選択してください
  • Dockerユーザーdocker pull ghcr.io/fedify-dev/hollo:latestで最新イメージを取得し、コンテナを再起動してください
  • 手動インストールユーザーgit pullで最新コードを取得した後、pnpm installを実行してサービスを再起動してください

github.com

Improper Authentication and Incorrect Authorization in @fedify/fedify

### Summary An authentication bypass vulnerability allows any unauthenticated attacker to impersonate any ActivityPub actor by sending forged activities signed with their own keys. Activities are...

Hollo :hollo:
@hollo@hollo.social · Reply to Hollo :hollo:

Fedifyフレームワークの脆弱性に対処するため、Holloのセキュリティアップデートをリリースしました。(0.4.120.5.70.6.6)これらのアップデートには、CVE-2025-54888を修正する最新のFedifyセキュリティパッチが含まれています。

すべてのHolloインスタンス管理者の皆様には、できるだけ早く該当するリリースブランチの最新バージョンにアップデートしていただくことを強く推奨いたします。

アップデート方法:

  • Railwayユーザー: プロジェクトダッシュボードでHolloサービスを選択し、deploymentsの三点メニューをクリックして「Redeploy」を選択してください
  • Dockerユーザーdocker pull ghcr.io/fedify-dev/hollo:latestで最新イメージを取得し、コンテナを再起動してください
  • 手動インストールユーザーgit pullで最新コードを取得した後、pnpm installを実行してサービスを再起動してください

github.com

Improper Authentication and Incorrect Authorization in @fedify/fedify

### Summary An authentication bypass vulnerability allows any unauthenticated attacker to impersonate any ActivityPub actor by sending forged activities signed with their own keys. Activities are...

Hollo :hollo:
@hollo@hollo.social · Reply to Hollo :hollo:

Fedifyフレームワークの脆弱性に対処するため、Holloのセキュリティアップデートをリリースしました。(0.4.120.5.70.6.6)これらのアップデートには、CVE-2025-54888を修正する最新のFedifyセキュリティパッチが含まれています。

すべてのHolloインスタンス管理者の皆様には、できるだけ早く該当するリリースブランチの最新バージョンにアップデートしていただくことを強く推奨いたします。

アップデート方法:

  • Railwayユーザー: プロジェクトダッシュボードでHolloサービスを選択し、deploymentsの三点メニューをクリックして「Redeploy」を選択してください
  • Dockerユーザーdocker pull ghcr.io/fedify-dev/hollo:latestで最新イメージを取得し、コンテナを再起動してください
  • 手動インストールユーザーgit pullで最新コードを取得した後、pnpm installを実行してサービスを再起動してください

github.com

Improper Authentication and Incorrect Authorization in @fedify/fedify

### Summary An authentication bypass vulnerability allows any unauthenticated attacker to impersonate any ActivityPub actor by sending forged activities signed with their own keys. Activities are...

Hollo :hollo:
@hollo@hollo.social · Reply to Hollo :hollo:

Fedifyフレームワークの脆弱性に対処するため、Holloのセキュリティアップデートをリリースしました。(0.4.120.5.70.6.6)これらのアップデートには、CVE-2025-54888を修正する最新のFedifyセキュリティパッチが含まれています。

すべてのHolloインスタンス管理者の皆様には、できるだけ早く該当するリリースブランチの最新バージョンにアップデートしていただくことを強く推奨いたします。

アップデート方法:

  • Railwayユーザー: プロジェクトダッシュボードでHolloサービスを選択し、deploymentsの三点メニューをクリックして「Redeploy」を選択してください
  • Dockerユーザーdocker pull ghcr.io/fedify-dev/hollo:latestで最新イメージを取得し、コンテナを再起動してください
  • 手動インストールユーザーgit pullで最新コードを取得した後、pnpm installを実行してサービスを再起動してください

github.com

Improper Authentication and Incorrect Authorization in @fedify/fedify

### Summary An authentication bypass vulnerability allows any unauthenticated attacker to impersonate any ActivityPub actor by sending forged activities signed with their own keys. Activities are...

Hollo :hollo:
@hollo@hollo.social · Reply to Hollo :hollo:

Fedifyフレームワークの脆弱性に対処するため、Holloのセキュリティアップデートをリリースしました。(0.4.120.5.70.6.6)これらのアップデートには、CVE-2025-54888を修正する最新のFedifyセキュリティパッチが含まれています。

すべてのHolloインスタンス管理者の皆様には、できるだけ早く該当するリリースブランチの最新バージョンにアップデートしていただくことを強く推奨いたします。

アップデート方法:

  • Railwayユーザー: プロジェクトダッシュボードでHolloサービスを選択し、deploymentsの三点メニューをクリックして「Redeploy」を選択してください
  • Dockerユーザーdocker pull ghcr.io/fedify-dev/hollo:latestで最新イメージを取得し、コンテナを再起動してください
  • 手動インストールユーザーgit pullで最新コードを取得した後、pnpm installを実行してサービスを再起動してください

github.com

Improper Authentication and Incorrect Authorization in @fedify/fedify

### Summary An authentication bypass vulnerability allows any unauthenticated attacker to impersonate any ActivityPub actor by sending forged activities signed with their own keys. Activities are...

Hollo :hollo:
@hollo@hollo.social · Reply to Hollo :hollo:

Fedifyフレームワークの脆弱性に対処するため、Holloのセキュリティアップデートをリリースしました。(0.4.120.5.70.6.6)これらのアップデートには、CVE-2025-54888を修正する最新のFedifyセキュリティパッチが含まれています。

すべてのHolloインスタンス管理者の皆様には、できるだけ早く該当するリリースブランチの最新バージョンにアップデートしていただくことを強く推奨いたします。

アップデート方法:

  • Railwayユーザー: プロジェクトダッシュボードでHolloサービスを選択し、deploymentsの三点メニューをクリックして「Redeploy」を選択してください
  • Dockerユーザーdocker pull ghcr.io/fedify-dev/hollo:latestで最新イメージを取得し、コンテナを再起動してください
  • 手動インストールユーザーgit pullで最新コードを取得した後、pnpm installを実行してサービスを再起動してください

github.com

Improper Authentication and Incorrect Authorization in @fedify/fedify

### Summary An authentication bypass vulnerability allows any unauthenticated attacker to impersonate any ActivityPub actor by sending forged activities signed with their own keys. Activities are...

:rss: ITmedia NEWS 最新記事一覧
@itmedia_news@rss-mstdn.studiofreesia.com

警察庁、ランサムウェア「Phobos/8Base」で暗号化されたデータを復号するツールを開発・公開
itmedia.co.jp/news/articles/25

itmedia.co.jp

警察庁、ランサムウェア「Phobos/8Base」で暗号化されたデータを復号するツールを開発・公開

警察庁は、ハッカー集団「8Base」が使うランサムウェア「Phobos/8Base」で暗号化されたデータを復号するツールを開発し、Webサイトで公開した。

:rss: ITmedia NEWS 最新記事一覧
@itmedia_news@rss-mstdn.studiofreesia.com

警察庁、ランサムウェア「Phobos/8Base」で暗号化されたデータを復号するツールを開発・公開
itmedia.co.jp/news/articles/25

itmedia.co.jp

警察庁、ランサムウェア「Phobos/8Base」で暗号化されたデータを復号するツールを開発・公開

警察庁は、ハッカー集団「8Base」が使うランサムウェア「Phobos/8Base」で暗号化されたデータを復号するツールを開発し、Webサイトで公開した。

Hollo :hollo:
@hollo@hollo.social · Reply to Hollo :hollo:

🚨 セキュリティアップデート:Hollo 0.6.5 リリース

CVE-2025-53941のセキュリティ脆弱性を修正したHollo 0.6.5をリリースしました。連合投稿のHTMLインジェクション脆弱性が修正されています。

フィッシングやXSS攻撃からインスタンスを保護するため、今すぐアップデートしてください

アップデート方法:

  • Railway:デプロイメント → 縦3点クリック → Redeploy
  • Docker:docker pull ghcr.io/fedify-dev/hollo:latest して再起動
  • 手動:git pull origin stable && pnpm install してサーバー再起動

github.com

Posts received with form elements are rendered allow submission

### Summary When an incoming post has form elements included, the elements are rendered and are submittable. Other platforms normally remove such elements before rendering. Please note that I a...

Hollo :hollo:
@hollo@hollo.social · Reply to Hollo :hollo:

🚨 セキュリティアップデート:Hollo 0.6.5 リリース

CVE-2025-53941のセキュリティ脆弱性を修正したHollo 0.6.5をリリースしました。連合投稿のHTMLインジェクション脆弱性が修正されています。

フィッシングやXSS攻撃からインスタンスを保護するため、今すぐアップデートしてください

アップデート方法:

  • Railway:デプロイメント → 縦3点クリック → Redeploy
  • Docker:docker pull ghcr.io/fedify-dev/hollo:latest して再起動
  • 手動:git pull origin stable && pnpm install してサーバー再起動

github.com

Posts received with form elements are rendered allow submission

### Summary When an incoming post has form elements included, the elements are rendered and are submittable. Other platforms normally remove such elements before rendering. Please note that I a...

Hollo :hollo:
@hollo@hollo.social · Reply to Hollo :hollo:

🚨 セキュリティアップデート:Hollo 0.6.5 リリース

CVE-2025-53941のセキュリティ脆弱性を修正したHollo 0.6.5をリリースしました。連合投稿のHTMLインジェクション脆弱性が修正されています。

フィッシングやXSS攻撃からインスタンスを保護するため、今すぐアップデートしてください

アップデート方法:

  • Railway:デプロイメント → 縦3点クリック → Redeploy
  • Docker:docker pull ghcr.io/fedify-dev/hollo:latest して再起動
  • 手動:git pull origin stable && pnpm install してサーバー再起動

github.com

Posts received with form elements are rendered allow submission

### Summary When an incoming post has form elements included, the elements are rendered and are submittable. Other platforms normally remove such elements before rendering. Please note that I a...

Hollo :hollo:
@hollo@hollo.social · Reply to Hollo :hollo:

🚨 セキュリティアップデート:Hollo 0.6.5 リリース

CVE-2025-53941のセキュリティ脆弱性を修正したHollo 0.6.5をリリースしました。連合投稿のHTMLインジェクション脆弱性が修正されています。

フィッシングやXSS攻撃からインスタンスを保護するため、今すぐアップデートしてください

アップデート方法:

  • Railway:デプロイメント → 縦3点クリック → Redeploy
  • Docker:docker pull ghcr.io/fedify-dev/hollo:latest して再起動
  • 手動:git pull origin stable && pnpm install してサーバー再起動

github.com

Posts received with form elements are rendered allow submission

### Summary When an incoming post has form elements included, the elements are rendered and are submittable. Other platforms normally remove such elements before rendering. Please note that I a...

Hollo :hollo:
@hollo@hollo.social · Reply to Hollo :hollo:

🚨 セキュリティアップデート:Hollo 0.6.5 リリース

CVE-2025-53941のセキュリティ脆弱性を修正したHollo 0.6.5をリリースしました。連合投稿のHTMLインジェクション脆弱性が修正されています。

フィッシングやXSS攻撃からインスタンスを保護するため、今すぐアップデートしてください

アップデート方法:

  • Railway:デプロイメント → 縦3点クリック → Redeploy
  • Docker:docker pull ghcr.io/fedify-dev/hollo:latest して再起動
  • 手動:git pull origin stable && pnpm install してサーバー再起動

github.com

Posts received with form elements are rendered allow submission

### Summary When an incoming post has form elements included, the elements are rendered and are submittable. Other platforms normally remove such elements before rendering. Please note that I a...

:rss: ITmedia NEWS 最新記事一覧
@itmedia_news@rss-mstdn.studiofreesia.com

「ファイル共有ソフトで知らぬ間に著作権侵害」数十万円の示談金請求された例も 国民生活センターが注意喚起
itmedia.co.jp/news/articles/25

itmedia.co.jp

「ファイル共有ソフトで知らぬ間に著作権侵害」数十万円の示談金請求された例も 国民生活センターが注意喚起

ファイル共有ソフトを使ったことによる著作権侵害に関わるトラブルが発生しているとして国民生活センターが注意を呼びかけた。

:rss: ITmedia NEWS 最新記事一覧
@itmedia_news@rss-mstdn.studiofreesia.com

「ファイル共有ソフトで知らぬ間に著作権侵害」数十万円の示談金請求された例も 国民生活センターが注意喚起
itmedia.co.jp/news/articles/25

itmedia.co.jp

「ファイル共有ソフトで知らぬ間に著作権侵害」数十万円の示談金請求された例も 国民生活センターが注意喚起

ファイル共有ソフトを使ったことによる著作権侵害に関わるトラブルが発生しているとして国民生活センターが注意を呼びかけた。

:rss: ITmedia NEWS 最新記事一覧
@itmedia_news@rss-mstdn.studiofreesia.com

CICが信用情報を第三者に開示した恐れ 本人になりすまして開示請求か 信用スコア開示も一部停止
itmedia.co.jp/news/articles/25

itmedia.co.jp

CICが信用情報を第三者に開示した恐れ 本人になりすまして開示請求か 信用スコア開示も一部停止

クレジットカード事業者など800社超が加盟する信用情報機関のシー・アイ・シー(東京都新宿区)が、個人の信用情報を第三者に開示した可能性があると発表した。第三者がネット経由での開示サービスを悪用し、本人になりすまして開示請求した可能性があるという。

:rss: ITmedia NEWS 最新記事一覧
@itmedia_news@rss-mstdn.studiofreesia.com

CICが信用情報を第三者に開示した恐れ 本人になりすまして開示請求か 信用スコア開示も一部停止
itmedia.co.jp/news/articles/25

itmedia.co.jp

CICが信用情報を第三者に開示した恐れ 本人になりすまして開示請求か 信用スコア開示も一部停止

クレジットカード事業者など800社超が加盟する信用情報機関のシー・アイ・シー(東京都新宿区)が、個人の信用情報を第三者に開示した可能性があると発表した。第三者がネット経由での開示サービスを悪用し、本人になりすまして開示請求した可能性があるという。

:rss: ITmedia NEWS 最新記事一覧
@itmedia_news@rss-mstdn.studiofreesia.com

大阪万博・ウズベキスタン館で個人情報流出 入場用QRコードを誤送信
itmedia.co.jp/news/articles/25

itmedia.co.jp

大阪万博・ウズベキスタン館で個人情報流出 入場用QRコードを誤送信

大阪万博のウズベキスタン館の来場登録システムで個人情報が流出した。来場登録者へのQRコード配信に不備があった。流出した可能性のある登録者は「200人未満」としている。

:rss: ITmedia NEWS 最新記事一覧
@itmedia_news@rss-mstdn.studiofreesia.com

大阪万博・ウズベキスタン館で個人情報流出 入場用QRコードを誤送信
itmedia.co.jp/news/articles/25

itmedia.co.jp

大阪万博・ウズベキスタン館で個人情報流出 入場用QRコードを誤送信

大阪万博のウズベキスタン館の来場登録システムで個人情報が流出した。来場登録者へのQRコード配信に不備があった。流出した可能性のある登録者は「200人未満」としている。

:rss: INTERNET Watch
@internet_watch_impress@rss-mstdn.studiofreesia.com

SNS広告から“お試し”のはずが…意図せぬサブスク契約のトラブルに国民生活センターが注意喚起
internet.watch.impress.co.jp/d

internet.watch.impress.co.jp

SNS広告から“お試し”のはずが…意図せぬサブスク契約のトラブルに国民生活センターが注意喚起 

 独立行政法人国民生活センターは、SNSの広告で見つけた占いサイトが意図せぬサブスク契約になっていたが、解約方法が分からないという海外事業者とのサブスクリプション契約に関するトラブルについて、注意を呼び掛ける情報を発表した。

:rss: INTERNET Watch
@internet_watch_impress@rss-mstdn.studiofreesia.com

前澤友作氏や石破首相のフェイク動画を使った投資詐欺へ誘導するネット広告が氾濫!【読めば身に付くネットリテラシー】
internet.watch.impress.co.jp/d

internet.watch.impress.co.jp

前澤友作氏や石破首相のフェイク動画を使った投資詐欺へ誘導するネット広告が氾濫!【読めば身に付くネットリテラシー】

 著名人の写真を流用した詐欺広告については、本誌連載で何度か取り上げました。しかし、とうとう日本でもフェイク動画による詐欺広告が氾濫し始めました。

:rss: INTERNET Watch
@internet_watch_impress@rss-mstdn.studiofreesia.com

前澤友作氏や石破首相のフェイク動画を使った投資詐欺へ誘導するネット広告が氾濫!【読めば身に付くネットリテラシー】
internet.watch.impress.co.jp/d

internet.watch.impress.co.jp

前澤友作氏や石破首相のフェイク動画を使った投資詐欺へ誘導するネット広告が氾濫!【読めば身に付くネットリテラシー】

 著名人の写真を流用した詐欺広告については、本誌連載で何度か取り上げました。しかし、とうとう日本でもフェイク動画による詐欺広告が氾濫し始めました。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

トランプ政権による支援打ち切りで存続が危ぶまれていた「CVE」、財団設立で一国依存脱却へ/世界中の脆弱性情報は今後「CVE Foundation」で管理
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

トランプ政権による支援打ち切りで存続が危ぶまれていた「CVE」、財団設立で一国依存脱却へ/世界中の脆弱性情報は今後「CVE Foundation」で管理

 米国政府がMITREへの支援を打ち切ったことが明らかになり、同団体が共通脆弱性識別子「CVE」の管理で従来のような大きな役割を果たせなくなるのではないかとの懸念が広がっていることを受け、米国時間4月16日、「CVE Foundation」の設立がアナウンスされた。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

トランプ政権による支援打ち切りで存続が危ぶまれていた「CVE」、財団設立で一国依存脱却へ/世界中の脆弱性情報は今後「CVE Foundation」で管理
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

トランプ政権による支援打ち切りで存続が危ぶまれていた「CVE」、財団設立で一国依存脱却へ/世界中の脆弱性情報は今後「CVE Foundation」で管理

 米国政府がMITREへの支援を打ち切ったことが明らかになり、同団体が共通脆弱性識別子「CVE」の管理で従来のような大きな役割を果たせなくなるのではないかとの懸念が広がっていることを受け、米国時間4月16日、「CVE Foundation」の設立がアナウンスされた。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

「Zoom Workplace」に複数の脆弱性 ~最新版へのアップデートを/
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

「Zoom Workplace」に複数の脆弱性 ~最新版へのアップデートを/

 米Zoom Video Communicationsは4月8日(現地時間)、オンラインビデオ会議サービス「Zoom Workplace」Windows版に複数の脆弱性があることを明らかにした。最大深刻度は4段階中3番目に高い「Medium」。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

「Zoom Workplace」に複数の脆弱性 ~最新版へのアップデートを/
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

「Zoom Workplace」に複数の脆弱性 ~最新版へのアップデートを/

 米Zoom Video Communicationsは4月8日(現地時間)、オンラインビデオ会議サービス「Zoom Workplace」Windows版に複数の脆弱性があることを明らかにした。最大深刻度は4段階中3番目に高い「Medium」。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

EOLを迎えた古い「Node.js」へのCVE付番、MITREに却下されてしまう/開発チームが新方針発表、EOL版は便宜上「今後の新たな脆弱性全てが該当する」原則に
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

EOLを迎えた古い「Node.js」へのCVE付番、MITREに却下されてしまう/開発チームが新方針発表、EOL版は便宜上「今後の新たな脆弱性全てが該当する」原則に

 ライフサイクルを終えた(EOL)古い「Node.js」バージョンに付番したCVE番号は、MITREによって却下されてしまったとのこと。「Node.js」の開発チームが3月7日、公式ブログで明らかにした。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

EOLを迎えた古い「Node.js」へのCVE付番、MITREに却下されてしまう/開発チームが新方針発表、EOL版は便宜上「今後の新たな脆弱性全てが該当する」原則に
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

EOLを迎えた古い「Node.js」へのCVE付番、MITREに却下されてしまう/開発チームが新方針発表、EOL版は便宜上「今後の新たな脆弱性全てが該当する」原則に

 ライフサイクルを終えた(EOL)古い「Node.js」バージョンに付番したCVE番号は、MITREによって却下されてしまったとのこと。「Node.js」の開発チームが3月7日、公式ブログで明らかにした。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

垂直タブ、AI統合の新しいサイドバーを搭載した「Firefox 136」が正式リリース/Linux向けARM64版も追加。セキュリティ関連の修正は15件
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

垂直タブ、AI統合の新しいサイドバーを搭載した「Firefox 136」が正式リリース/Linux向けARM64版も追加。セキュリティ関連の修正は15件

 Mozillaは3月4日(米国時間)、デスクトップ向け「Firefox」の最新版v136.0をリリースチャネルで公開した。「Firefox 136」の目玉は、新しくなったサイドバーと垂直タブレイアウトだ。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

垂直タブ、AI統合の新しいサイドバーを搭載した「Firefox 136」が正式リリース/Linux向けARM64版も追加。セキュリティ関連の修正は15件
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

垂直タブ、AI統合の新しいサイドバーを搭載した「Firefox 136」が正式リリース/Linux向けARM64版も追加。セキュリティ関連の修正は15件

 Mozillaは3月4日(米国時間)、デスクトップ向け「Firefox」の最新版v136.0をリリースチャネルで公開した。「Firefox 136」の目玉は、新しくなったサイドバーと垂直タブレイアウトだ。

:rss: INTERNET Watch
@internet_watch_impress@rss-mstdn.studiofreesia.com

インターネット・ホットラインセンター、ネット上の「闇バイト」関連情報の通報を受付
internet.watch.impress.co.jp/d

internet.watch.impress.co.jp

インターネット・ホットラインセンター、ネット上の「闇バイト」関連情報の通報を受付 

 インターネット上の違法情報の通報を受け付けている「インターネット・ホットラインセンター」(IHC)は2月28日、いわゆる「闇バイト」に関係したSNSの投稿などを通報対象に追加し、通報の受け付けを開始した。

:rss: INTERNET Watch
@internet_watch_impress@rss-mstdn.studiofreesia.com

インターネット・ホットラインセンター、ネット上の「闇バイト」関連情報の通報を受付
internet.watch.impress.co.jp/d

internet.watch.impress.co.jp

インターネット・ホットラインセンター、ネット上の「闇バイト」関連情報の通報を受付 

 インターネット上の違法情報の通報を受け付けている「インターネット・ホットラインセンター」(IHC)は2月28日、いわゆる「闇バイト」に関係したSNSの投稿などを通報対象に追加し、通報の受け付けを開始した。

:rss: ITmedia NEWS 最新記事一覧
@itmedia_news@rss-mstdn.studiofreesia.com

セブン銀行でシステム障害 スマホアプリからの振込が利用できず
itmedia.co.jp/news/articles/25

itmedia.co.jp

セブン銀行でシステム障害 スマホアプリからの振込が利用できず

セブン銀行は2月21日、システム障害が生じていると公式X(@7BankOfficial)で発表した。

:rss: ITmedia NEWS 最新記事一覧
@itmedia_news@rss-mstdn.studiofreesia.com

セブン銀行でシステム障害 スマホアプリからの振込が利用できず
itmedia.co.jp/news/articles/25

itmedia.co.jp

セブン銀行でシステム障害 スマホアプリからの振込が利用できず

セブン銀行は2月21日、システム障害が生じていると公式X(@7BankOfficial)で発表した。

Toshiyasu Oba
@tsysoba@toot.blue

地方独立行政法人 岡山県精神科医療センター ランサムウェア事案調査報告書について(令和7年2月13日)
popmc.jp/home/consultation/er9

攻撃を許す要因となった、セキュリティ関連の設定のザルぶりには、それ絶対やったらあかんやつ……という話連発という感じで背筋が凍るが、事態が発覚して以降の対応や、この報告書自体の出来については、学ぶべきところが多々あるように思う。こうして教訓を共有できる形で、報告書を公開してくれたことに感謝したい。

popmc.jp

地方独立行政法人 岡山県精神科医療センター ランサムウェア事案調査報告書について – 地方独立行政法人 岡山県精神科医療センター

Toshiyasu Oba
@tsysoba@toot.blue

地方独立行政法人 岡山県精神科医療センター ランサムウェア事案調査報告書について(令和7年2月13日)
popmc.jp/home/consultation/er9

攻撃を許す要因となった、セキュリティ関連の設定のザルぶりには、それ絶対やったらあかんやつ……という話連発という感じで背筋が凍るが、事態が発覚して以降の対応や、この報告書自体の出来については、学ぶべきところが多々あるように思う。こうして教訓を共有できる形で、報告書を公開してくれたことに感謝したい。

popmc.jp

地方独立行政法人 岡山県精神科医療センター ランサムウェア事案調査報告書について – 地方独立行政法人 岡山県精神科医療センター

Toshiyasu Oba
@tsysoba@toot.blue

地方独立行政法人 岡山県精神科医療センター ランサムウェア事案調査報告書について(令和7年2月13日)
popmc.jp/home/consultation/er9

攻撃を許す要因となった、セキュリティ関連の設定のザルぶりには、それ絶対やったらあかんやつ……という話連発という感じで背筋が凍るが、事態が発覚して以降の対応や、この報告書自体の出来については、学ぶべきところが多々あるように思う。こうして教訓を共有できる形で、報告書を公開してくれたことに感謝したい。

popmc.jp

地方独立行政法人 岡山県精神科医療センター ランサムウェア事案調査報告書について – 地方独立行政法人 岡山県精神科医療センター

Toshiyasu Oba
@tsysoba@toot.blue

地方独立行政法人 岡山県精神科医療センター ランサムウェア事案調査報告書について(令和7年2月13日)
popmc.jp/home/consultation/er9

攻撃を許す要因となった、セキュリティ関連の設定のザルぶりには、それ絶対やったらあかんやつ……という話連発という感じで背筋が凍るが、事態が発覚して以降の対応や、この報告書自体の出来については、学ぶべきところが多々あるように思う。こうして教訓を共有できる形で、報告書を公開してくれたことに感謝したい。

popmc.jp

地方独立行政法人 岡山県精神科医療センター ランサムウェア事案調査報告書について – 地方独立行政法人 岡山県精神科医療センター

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

「Google Chrome」にヒープバッファオーバーフローなどの脆弱性、修正版が公開/Windows環境にはv133.0.6943.126/.127が展開中
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

「Google Chrome」にヒープバッファオーバーフローなどの脆弱性、修正版が公開/Windows環境にはv133.0.6943.126/.127が展開中

 米Googleは2月18日(現地時間)、デスクトップ向け「Google Chrome」の安定(Stable)チャネルをアップデートした。現在、Windows/Mac環境にv133.0.6943.126/.127、Linux環境にv133.0.6943.126が展開中だ。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

「Google Chrome」にヒープバッファオーバーフローなどの脆弱性、修正版が公開/Windows環境にはv133.0.6943.126/.127が展開中
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

「Google Chrome」にヒープバッファオーバーフローなどの脆弱性、修正版が公開/Windows環境にはv133.0.6943.126/.127が展開中

 米Googleは2月18日(現地時間)、デスクトップ向け「Google Chrome」の安定(Stable)チャネルをアップデートした。現在、Windows/Mac環境にv133.0.6943.126/.127、Linux環境にv133.0.6943.126が展開中だ。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

老舗の圧縮・解凍ツール「WinZip」にリモートコード実行の脆弱性/「WinZip 29.0」へのアップデートを
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

老舗の圧縮・解凍ツール「WinZip」にリモートコード実行の脆弱性/「WinZip 29.0」へのアップデートを

 Trend Microのセキュリティ部門Zero Day Initiative(ZDI)は1月20日(現地時間)、圧縮・解凍ツール「WinZip」にリモートコード実行の脆弱性(CVE-2025-1240)があることを明らかにした。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

老舗の圧縮・解凍ツール「WinZip」にリモートコード実行の脆弱性/「WinZip 29.0」へのアップデートを
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

老舗の圧縮・解凍ツール「WinZip」にリモートコード実行の脆弱性/「WinZip 29.0」へのアップデートを

 Trend Microのセキュリティ部門Zero Day Initiative(ZDI)は1月20日(現地時間)、圧縮・解凍ツール「WinZip」にリモートコード実行の脆弱性(CVE-2025-1240)があることを明らかにした。

:rss: ITmedia NEWS 最新記事一覧
@itmedia_news@rss-mstdn.studiofreesia.com

サンリオピューロランド運営、最大200万件情報漏えいの可能性 ランサムウェア攻撃で
itmedia.co.jp/news/articles/25

itmedia.co.jp

サンリオピューロランド運営、最大200万件情報漏えいの可能性 ランサムウェア攻撃で

サンリオ子会社で、テーマパーク「サンリオピューロランド」を運営するサンリオエンターテイメントは、ランサムウェア攻撃を受け、個人情報や機密情報最大200万件が漏えいした可能性があると発表した。

:rss: ITmedia NEWS 最新記事一覧
@itmedia_news@rss-mstdn.studiofreesia.com

サンリオピューロランド運営、最大200万件情報漏えいの可能性 ランサムウェア攻撃で
itmedia.co.jp/news/articles/25

itmedia.co.jp

サンリオピューロランド運営、最大200万件情報漏えいの可能性 ランサムウェア攻撃で

サンリオ子会社で、テーマパーク「サンリオピューロランド」を運営するサンリオエンターテイメントは、ランサムウェア攻撃を受け、個人情報や機密情報最大200万件が漏えいした可能性があると発表した。

:rss: ITmedia NEWS 最新記事一覧
@itmedia_news@rss-mstdn.studiofreesia.com

日本企業を狙う、相次ぐDDoS攻撃に国が注意喚起 今すぐ始めるべき対策とは?
itmedia.co.jp/news/articles/25

itmedia.co.jp

日本企業を狙う、相次ぐDDoS攻撃に国が注意喚起 今すぐ始めるべき対策とは?

内閣サイバーセキュリティセンターは、2024年12月~25年1月にかけてDDoS攻撃が相次いでいることを受け、各事業者に注意を呼びかけた。

:rss: ITmedia NEWS 最新記事一覧
@itmedia_news@rss-mstdn.studiofreesia.com

日本企業を狙う、相次ぐDDoS攻撃に国が注意喚起 今すぐ始めるべき対策とは?
itmedia.co.jp/news/articles/25

itmedia.co.jp

日本企業を狙う、相次ぐDDoS攻撃に国が注意喚起 今すぐ始めるべき対策とは?

内閣サイバーセキュリティセンターは、2024年12月~25年1月にかけてDDoS攻撃が相次いでいることを受け、各事業者に注意を呼びかけた。

:rss: ITmedia NEWS 最新記事一覧
@itmedia_news@rss-mstdn.studiofreesia.com

警察・自衛隊の合同拠点新設へ 能動的サイバー防御で東京・市谷に
itmedia.co.jp/news/articles/25

itmedia.co.jp

警察・自衛隊の合同拠点新設へ 能動的サイバー防御で東京・市谷に

政府はサイバー攻撃に先手を打って被害を未然に防ぐ「能動的サイバー防御」を巡り、サーバー侵入や無害化を担う警察、自衛隊の実動部隊を同じ拠点で運用する方針を固めた。拠点は東京・市谷の防衛省近くに新設する。同じ建物で勤務させることで平時から連携を深め、サイバー攻撃への備えを強化する狙いがある。

:rss: ITmedia NEWS 最新記事一覧
@itmedia_news@rss-mstdn.studiofreesia.com

警察・自衛隊の合同拠点新設へ 能動的サイバー防御で東京・市谷に
itmedia.co.jp/news/articles/25

itmedia.co.jp

警察・自衛隊の合同拠点新設へ 能動的サイバー防御で東京・市谷に

政府はサイバー攻撃に先手を打って被害を未然に防ぐ「能動的サイバー防御」を巡り、サーバー侵入や無害化を担う警察、自衛隊の実動部隊を同じ拠点で運用する方針を固めた。拠点は東京・市谷の防衛省近くに新設する。同じ建物で勤務させることで平時から連携を深め、サイバー攻撃への備えを強化する狙いがある。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

「BitLocker」に情報漏えいの脆弱性 ~物理的アクセスで悪用可能に、盗難時のリスクに警戒を/修正パッチは1月のパッチチューズデーで提供済み
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

「BitLocker」に情報漏えいの脆弱性 ~物理的アクセスで悪用可能に、盗難時のリスクに警戒を/修正パッチは1月のパッチチューズデーで提供済み

 米Microsoftは1月14日(現地時間、以下同)、Windowsのセキュリティ機能「BitLocker」に情報漏えいの脆弱性「CVE-2025-21210」が発見されたことを明らかにした。深刻度は「CVSS 3.1」ベーススコアにおいて「4.2」、「重要」(Important)と評価されているが、攻撃者が物理的にデバイスにアクセスすることで悪用が可能になるということで、新たなリスクに警戒が必要だ。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

「BitLocker」に情報漏えいの脆弱性 ~物理的アクセスで悪用可能に、盗難時のリスクに警戒を/修正パッチは1月のパッチチューズデーで提供済み
forest.watch.impress.co.jp/doc

forest.watch.impress.co.jp

「BitLocker」に情報漏えいの脆弱性 ~物理的アクセスで悪用可能に、盗難時のリスクに警戒を/修正パッチは1月のパッチチューズデーで提供済み

 米Microsoftは1月14日(現地時間、以下同)、Windowsのセキュリティ機能「BitLocker」に情報漏えいの脆弱性「CVE-2025-21210」が発見されたことを明らかにした。深刻度は「CVSS 3.1」ベーススコアにおいて「4.2」、「重要」(Important)と評価されているが、攻撃者が物理的にデバイスにアクセスすることで悪用が可能になるということで、新たなリスクに警戒が必要だ。

:rss: ITmedia NEWS 最新記事一覧
@itmedia_news@rss-mstdn.studiofreesia.com

日本郵便、小型荷物配送サービス「クリックポスト」サイトで一時障害 サイバー攻撃の可能性は確認中
itmedia.co.jp/news/articles/25

itmedia.co.jp

日本郵便、小型荷物配送サービス「クリックポスト」サイトで一時障害 サイバー攻撃の可能性は確認中

日本郵便の小型荷物配送サービス「クリックポスト」のサービスサイトに一時アクセスしにくい状況になっていた。

:rss: ITmedia NEWS 最新記事一覧
@itmedia_news@rss-mstdn.studiofreesia.com

日本郵便、小型荷物配送サービス「クリックポスト」サイトで一時障害 サイバー攻撃の可能性は確認中
itmedia.co.jp/news/articles/25

itmedia.co.jp

日本郵便、小型荷物配送サービス「クリックポスト」サイトで一時障害 サイバー攻撃の可能性は確認中

日本郵便の小型荷物配送サービス「クリックポスト」のサービスサイトに一時アクセスしにくい状況になっていた。

Fedify: ActivityPub server framework
@fedify@hollo.social · Reply to Fedify: ActivityPub server framework

FedifyのWebFinger実装における脆弱性CVE-2025-23221に対するセキュリティアップデート(1.0.141.1.111.2.111.3.4)をリリースいたしました。すべてのユーザー様におかれましては、お使いのバージョンに応じた最新版への速やかなアップデートを推奨いたします。

脆弱性の詳細

セキュリティ研究者により、FedifyのlookupWebFinger()関数において以下のセキュリティ上の問題が発見されました:

  • 無限リダイレクトループによるサービス拒否攻撃(DoS)の可能性
  • プライベートネットワークアドレスへのリダイレクトを利用したSSRF(サーバーサイドリクエストフォージェリ)攻撃の可能性
  • リダイレクト操作による意図しないURLスキームへのアクセスの可能性

修正されたバージョン

  • 1.3.xシリーズ:1.3.4へアップデート
  • 1.2.xシリーズ:1.2.11へアップデート
  • 1.1.xシリーズ:1.1.11へアップデート
  • 1.0.xシリーズ:1.0.14へアップデート

変更内容

本セキュリティアップデートでは、以下の修正が実施されました:

  1. 無限リダイレクトループを防ぐため、最大リダイレクト回数(5回)の制限を導入
  2. 元のリクエストと同じスキーム(HTTP/HTTPS)のみにリダイレクトを制限
  3. SSRFを防止するため、プライベートネットワークアドレスへのリダイレクトをブロック

アップデート方法

以下のコマンドで最新のセキュアバージョンにアップデートできます:

# npmユーザーの場合
npm update @fedify/fedify

# Denoユーザーの場合
deno add jsr:@fedify/fedify

この脆弱性を責任を持って報告していただいたセキュリティ研究者の方に感謝申し上げます。迅速な対応が可能となりました。

本脆弱性の詳細については、セキュリティ勧告をご参照ください。

ご質問やご懸念がございましたら、GitHub DiscussionsMatrixチャットスペース、またはDiscordサーバーまでお気軽にご連絡ください。

discord.com

Join the Fedify/Hollo Discord Server!

Check out the Fedify/Hollo community on Discord - hang out with 84 other members and enjoy free voice and text chat.

Fedify: ActivityPub server framework
@fedify@hollo.social · Reply to Fedify: ActivityPub server framework

FedifyのWebFinger実装における脆弱性CVE-2025-23221に対するセキュリティアップデート(1.0.141.1.111.2.111.3.4)をリリースいたしました。すべてのユーザー様におかれましては、お使いのバージョンに応じた最新版への速やかなアップデートを推奨いたします。

脆弱性の詳細

セキュリティ研究者により、FedifyのlookupWebFinger()関数において以下のセキュリティ上の問題が発見されました:

  • 無限リダイレクトループによるサービス拒否攻撃(DoS)の可能性
  • プライベートネットワークアドレスへのリダイレクトを利用したSSRF(サーバーサイドリクエストフォージェリ)攻撃の可能性
  • リダイレクト操作による意図しないURLスキームへのアクセスの可能性

修正されたバージョン

  • 1.3.xシリーズ:1.3.4へアップデート
  • 1.2.xシリーズ:1.2.11へアップデート
  • 1.1.xシリーズ:1.1.11へアップデート
  • 1.0.xシリーズ:1.0.14へアップデート

変更内容

本セキュリティアップデートでは、以下の修正が実施されました:

  1. 無限リダイレクトループを防ぐため、最大リダイレクト回数(5回)の制限を導入
  2. 元のリクエストと同じスキーム(HTTP/HTTPS)のみにリダイレクトを制限
  3. SSRFを防止するため、プライベートネットワークアドレスへのリダイレクトをブロック

アップデート方法

以下のコマンドで最新のセキュアバージョンにアップデートできます:

# npmユーザーの場合
npm update @fedify/fedify

# Denoユーザーの場合
deno add jsr:@fedify/fedify

この脆弱性を責任を持って報告していただいたセキュリティ研究者の方に感謝申し上げます。迅速な対応が可能となりました。

本脆弱性の詳細については、セキュリティ勧告をご参照ください。

ご質問やご懸念がございましたら、GitHub DiscussionsMatrixチャットスペース、またはDiscordサーバーまでお気軽にご連絡ください。

discord.com

Join the Fedify/Hollo Discord Server!

Check out the Fedify/Hollo community on Discord - hang out with 84 other members and enjoy free voice and text chat.

Hollo :hollo:
@hollo@hollo.social · Reply to Hollo :hollo:

この件に関連して、Holloもセキュリティアップデートをリリースしました。0.3.6または0.4.4バージョンに今すぐアップデートしてください!

https://hollo.social/@fedify/0194848e-7cac-7af3-941b-c93999a51274

hollo.social

FedifyのWebFinger実装における脆弱性[CVE-…

FedifyのWebFinger実装における脆弱性[CVE-2025-23221]に対するセキュリティアップデート([1.0.14]、[1.1.11]、[1.2.11]、[1.3.4])をリリースいたしました。すべてのユーザー様におかれましては、お使いのバージョンに応じた最新版への速やかなアップデートを推奨いたします。 [1.0.14]: https://github.com/dahlia/fedify/releases/tag/1.0.14 [1.1.11]: https://github.com/dahlia/fedify/releases/tag/1.1.11 [1.2.11]: https://github.com/dahlia/fedify/releases/tag/1.2.11 [1.3.4]: https://github.com/dahlia/fedify/releases/tag/1.3.4 [CVE-2025-23221]: https://github.com/dahlia/fedify/security/advisories/GHSA-c59p-wq67-24wx ## 脆弱性の詳細 セキュリティ研究者により、Fedifyの`lookupWebFinger()`関数において以下のセキュリティ上の問題が発見されました: - 無限リダイレクトループによるサービス拒否攻撃(DoS)の可能性 - プライベートネットワークアドレスへのリダイレクトを利用したSSRF(サーバーサイドリクエストフォージェリ)攻撃の可能性 - リダイレクト操作による意図しないURLスキームへのアクセスの可能性 ## 修正されたバージョン - 1.3.xシリーズ:[1.3.4]へアップデート - 1.2.xシリーズ:[1.2.11]へアップデート - 1.1.xシリーズ:[1.1.11]へアップデート - 1.0.xシリーズ:[1.0.14]へアップデート ## 変更内容 本セキュリティアップデートでは、以下の修正が実施されました: 1. 無限リダイレクトループを防ぐため、最大リダイレクト回数(5回)の制限を導入 2. 元のリクエストと同じスキーム(HTTP/HTTPS)のみにリダイレクトを制限 3. SSRFを防止するため、プライベートネットワークアドレスへのリダイレクトをブロック ## アップデート方法 以下のコマンドで最新のセキュアバージョンにアップデートできます: ```sh # npmユーザーの場合 npm update @fedify/fedify # Denoユーザーの場合 deno add jsr:@fedify/fedify ``` この脆弱性を責任を持って報告していただいたセキュリティ研究者の方に感謝申し上げます。迅速な対応が可能となりました。 本脆弱性の詳細については、[セキュリティ勧告][CVE-2025-23221]をご参照ください。 --- ご質問やご懸念がございましたら、[GitHub Discussions](https://github.com/dahlia/fedify/discussions)、[Matrixチャットスペース](https://matrix.to/#/#fedify:matrix.org)、または[Discordサーバー](https://discord.gg/bhtwpzURwd)までお気軽にご連絡ください。 #Fedify #WebFinger #セキュリティ #脆弱性 #DoS #SSRF

Fedify: ActivityPub server framework
@fedify@hollo.social · Reply to Fedify: ActivityPub server framework

FedifyのWebFinger実装における脆弱性CVE-2025-23221に対するセキュリティアップデート(1.0.141.1.111.2.111.3.4)をリリースいたしました。すべてのユーザー様におかれましては、お使いのバージョンに応じた最新版への速やかなアップデートを推奨いたします。

脆弱性の詳細

セキュリティ研究者により、FedifyのlookupWebFinger()関数において以下のセキュリティ上の問題が発見されました:

  • 無限リダイレクトループによるサービス拒否攻撃(DoS)の可能性
  • プライベートネットワークアドレスへのリダイレクトを利用したSSRF(サーバーサイドリクエストフォージェリ)攻撃の可能性
  • リダイレクト操作による意図しないURLスキームへのアクセスの可能性

修正されたバージョン

  • 1.3.xシリーズ:1.3.4へアップデート
  • 1.2.xシリーズ:1.2.11へアップデート
  • 1.1.xシリーズ:1.1.11へアップデート
  • 1.0.xシリーズ:1.0.14へアップデート

変更内容

本セキュリティアップデートでは、以下の修正が実施されました:

  1. 無限リダイレクトループを防ぐため、最大リダイレクト回数(5回)の制限を導入
  2. 元のリクエストと同じスキーム(HTTP/HTTPS)のみにリダイレクトを制限
  3. SSRFを防止するため、プライベートネットワークアドレスへのリダイレクトをブロック

アップデート方法

以下のコマンドで最新のセキュアバージョンにアップデートできます:

# npmユーザーの場合
npm update @fedify/fedify

# Denoユーザーの場合
deno add jsr:@fedify/fedify

この脆弱性を責任を持って報告していただいたセキュリティ研究者の方に感謝申し上げます。迅速な対応が可能となりました。

本脆弱性の詳細については、セキュリティ勧告をご参照ください。

ご質問やご懸念がございましたら、GitHub DiscussionsMatrixチャットスペース、またはDiscordサーバーまでお気軽にご連絡ください。

discord.com

Join the Fedify/Hollo Discord Server!

Check out the Fedify/Hollo community on Discord - hang out with 84 other members and enjoy free voice and text chat.

Hollo :hollo:
@hollo@hollo.social · Reply to Hollo :hollo:

この件に関連して、Holloもセキュリティアップデートをリリースしました。0.3.6または0.4.4バージョンに今すぐアップデートしてください!

https://hollo.social/@fedify/0194848e-7cac-7af3-941b-c93999a51274

hollo.social

FedifyのWebFinger実装における脆弱性[CVE-…

FedifyのWebFinger実装における脆弱性[CVE-2025-23221]に対するセキュリティアップデート([1.0.14]、[1.1.11]、[1.2.11]、[1.3.4])をリリースいたしました。すべてのユーザー様におかれましては、お使いのバージョンに応じた最新版への速やかなアップデートを推奨いたします。 [1.0.14]: https://github.com/dahlia/fedify/releases/tag/1.0.14 [1.1.11]: https://github.com/dahlia/fedify/releases/tag/1.1.11 [1.2.11]: https://github.com/dahlia/fedify/releases/tag/1.2.11 [1.3.4]: https://github.com/dahlia/fedify/releases/tag/1.3.4 [CVE-2025-23221]: https://github.com/dahlia/fedify/security/advisories/GHSA-c59p-wq67-24wx ## 脆弱性の詳細 セキュリティ研究者により、Fedifyの`lookupWebFinger()`関数において以下のセキュリティ上の問題が発見されました: - 無限リダイレクトループによるサービス拒否攻撃(DoS)の可能性 - プライベートネットワークアドレスへのリダイレクトを利用したSSRF(サーバーサイドリクエストフォージェリ)攻撃の可能性 - リダイレクト操作による意図しないURLスキームへのアクセスの可能性 ## 修正されたバージョン - 1.3.xシリーズ:[1.3.4]へアップデート - 1.2.xシリーズ:[1.2.11]へアップデート - 1.1.xシリーズ:[1.1.11]へアップデート - 1.0.xシリーズ:[1.0.14]へアップデート ## 変更内容 本セキュリティアップデートでは、以下の修正が実施されました: 1. 無限リダイレクトループを防ぐため、最大リダイレクト回数(5回)の制限を導入 2. 元のリクエストと同じスキーム(HTTP/HTTPS)のみにリダイレクトを制限 3. SSRFを防止するため、プライベートネットワークアドレスへのリダイレクトをブロック ## アップデート方法 以下のコマンドで最新のセキュアバージョンにアップデートできます: ```sh # npmユーザーの場合 npm update @fedify/fedify # Denoユーザーの場合 deno add jsr:@fedify/fedify ``` この脆弱性を責任を持って報告していただいたセキュリティ研究者の方に感謝申し上げます。迅速な対応が可能となりました。 本脆弱性の詳細については、[セキュリティ勧告][CVE-2025-23221]をご参照ください。 --- ご質問やご懸念がございましたら、[GitHub Discussions](https://github.com/dahlia/fedify/discussions)、[Matrixチャットスペース](https://matrix.to/#/#fedify:matrix.org)、または[Discordサーバー](https://discord.gg/bhtwpzURwd)までお気軽にご連絡ください。 #Fedify #WebFinger #セキュリティ #脆弱性 #DoS #SSRF

Fedify: ActivityPub server framework
@fedify@hollo.social · Reply to Fedify: ActivityPub server framework

FedifyのWebFinger実装における脆弱性CVE-2025-23221に対するセキュリティアップデート(1.0.141.1.111.2.111.3.4)をリリースいたしました。すべてのユーザー様におかれましては、お使いのバージョンに応じた最新版への速やかなアップデートを推奨いたします。

脆弱性の詳細

セキュリティ研究者により、FedifyのlookupWebFinger()関数において以下のセキュリティ上の問題が発見されました:

  • 無限リダイレクトループによるサービス拒否攻撃(DoS)の可能性
  • プライベートネットワークアドレスへのリダイレクトを利用したSSRF(サーバーサイドリクエストフォージェリ)攻撃の可能性
  • リダイレクト操作による意図しないURLスキームへのアクセスの可能性

修正されたバージョン

  • 1.3.xシリーズ:1.3.4へアップデート
  • 1.2.xシリーズ:1.2.11へアップデート
  • 1.1.xシリーズ:1.1.11へアップデート
  • 1.0.xシリーズ:1.0.14へアップデート

変更内容

本セキュリティアップデートでは、以下の修正が実施されました:

  1. 無限リダイレクトループを防ぐため、最大リダイレクト回数(5回)の制限を導入
  2. 元のリクエストと同じスキーム(HTTP/HTTPS)のみにリダイレクトを制限
  3. SSRFを防止するため、プライベートネットワークアドレスへのリダイレクトをブロック

アップデート方法

以下のコマンドで最新のセキュアバージョンにアップデートできます:

# npmユーザーの場合
npm update @fedify/fedify

# Denoユーザーの場合
deno add jsr:@fedify/fedify

この脆弱性を責任を持って報告していただいたセキュリティ研究者の方に感謝申し上げます。迅速な対応が可能となりました。

本脆弱性の詳細については、セキュリティ勧告をご参照ください。

ご質問やご懸念がございましたら、GitHub DiscussionsMatrixチャットスペース、またはDiscordサーバーまでお気軽にご連絡ください。

discord.com

Join the Fedify/Hollo Discord Server!

Check out the Fedify/Hollo community on Discord - hang out with 84 other members and enjoy free voice and text chat.

Hollo :hollo:
@hollo@hollo.social · Reply to Hollo :hollo:

この件に関連して、Holloもセキュリティアップデートをリリースしました。0.3.6または0.4.4バージョンに今すぐアップデートしてください!

https://hollo.social/@fedify/0194848e-7cac-7af3-941b-c93999a51274

hollo.social

FedifyのWebFinger実装における脆弱性[CVE-…

FedifyのWebFinger実装における脆弱性[CVE-2025-23221]に対するセキュリティアップデート([1.0.14]、[1.1.11]、[1.2.11]、[1.3.4])をリリースいたしました。すべてのユーザー様におかれましては、お使いのバージョンに応じた最新版への速やかなアップデートを推奨いたします。 [1.0.14]: https://github.com/dahlia/fedify/releases/tag/1.0.14 [1.1.11]: https://github.com/dahlia/fedify/releases/tag/1.1.11 [1.2.11]: https://github.com/dahlia/fedify/releases/tag/1.2.11 [1.3.4]: https://github.com/dahlia/fedify/releases/tag/1.3.4 [CVE-2025-23221]: https://github.com/dahlia/fedify/security/advisories/GHSA-c59p-wq67-24wx ## 脆弱性の詳細 セキュリティ研究者により、Fedifyの`lookupWebFinger()`関数において以下のセキュリティ上の問題が発見されました: - 無限リダイレクトループによるサービス拒否攻撃(DoS)の可能性 - プライベートネットワークアドレスへのリダイレクトを利用したSSRF(サーバーサイドリクエストフォージェリ)攻撃の可能性 - リダイレクト操作による意図しないURLスキームへのアクセスの可能性 ## 修正されたバージョン - 1.3.xシリーズ:[1.3.4]へアップデート - 1.2.xシリーズ:[1.2.11]へアップデート - 1.1.xシリーズ:[1.1.11]へアップデート - 1.0.xシリーズ:[1.0.14]へアップデート ## 変更内容 本セキュリティアップデートでは、以下の修正が実施されました: 1. 無限リダイレクトループを防ぐため、最大リダイレクト回数(5回)の制限を導入 2. 元のリクエストと同じスキーム(HTTP/HTTPS)のみにリダイレクトを制限 3. SSRFを防止するため、プライベートネットワークアドレスへのリダイレクトをブロック ## アップデート方法 以下のコマンドで最新のセキュアバージョンにアップデートできます: ```sh # npmユーザーの場合 npm update @fedify/fedify # Denoユーザーの場合 deno add jsr:@fedify/fedify ``` この脆弱性を責任を持って報告していただいたセキュリティ研究者の方に感謝申し上げます。迅速な対応が可能となりました。 本脆弱性の詳細については、[セキュリティ勧告][CVE-2025-23221]をご参照ください。 --- ご質問やご懸念がございましたら、[GitHub Discussions](https://github.com/dahlia/fedify/discussions)、[Matrixチャットスペース](https://matrix.to/#/#fedify:matrix.org)、または[Discordサーバー](https://discord.gg/bhtwpzURwd)までお気軽にご連絡ください。 #Fedify #WebFinger #セキュリティ #脆弱性 #DoS #SSRF

Fedify: ActivityPub server framework
@fedify@hollo.social · Reply to Fedify: ActivityPub server framework

FedifyのWebFinger実装における脆弱性CVE-2025-23221に対するセキュリティアップデート(1.0.141.1.111.2.111.3.4)をリリースいたしました。すべてのユーザー様におかれましては、お使いのバージョンに応じた最新版への速やかなアップデートを推奨いたします。

脆弱性の詳細

セキュリティ研究者により、FedifyのlookupWebFinger()関数において以下のセキュリティ上の問題が発見されました:

  • 無限リダイレクトループによるサービス拒否攻撃(DoS)の可能性
  • プライベートネットワークアドレスへのリダイレクトを利用したSSRF(サーバーサイドリクエストフォージェリ)攻撃の可能性
  • リダイレクト操作による意図しないURLスキームへのアクセスの可能性

修正されたバージョン

  • 1.3.xシリーズ:1.3.4へアップデート
  • 1.2.xシリーズ:1.2.11へアップデート
  • 1.1.xシリーズ:1.1.11へアップデート
  • 1.0.xシリーズ:1.0.14へアップデート

変更内容

本セキュリティアップデートでは、以下の修正が実施されました:

  1. 無限リダイレクトループを防ぐため、最大リダイレクト回数(5回)の制限を導入
  2. 元のリクエストと同じスキーム(HTTP/HTTPS)のみにリダイレクトを制限
  3. SSRFを防止するため、プライベートネットワークアドレスへのリダイレクトをブロック

アップデート方法

以下のコマンドで最新のセキュアバージョンにアップデートできます:

# npmユーザーの場合
npm update @fedify/fedify

# Denoユーザーの場合
deno add jsr:@fedify/fedify

この脆弱性を責任を持って報告していただいたセキュリティ研究者の方に感謝申し上げます。迅速な対応が可能となりました。

本脆弱性の詳細については、セキュリティ勧告をご参照ください。

ご質問やご懸念がございましたら、GitHub DiscussionsMatrixチャットスペース、またはDiscordサーバーまでお気軽にご連絡ください。

discord.com

Join the Fedify/Hollo Discord Server!

Check out the Fedify/Hollo community on Discord - hang out with 84 other members and enjoy free voice and text chat.

Fedify: ActivityPub server framework
@fedify@hollo.social · Reply to Fedify: ActivityPub server framework

FedifyのWebFinger実装における脆弱性CVE-2025-23221に対するセキュリティアップデート(1.0.141.1.111.2.111.3.4)をリリースいたしました。すべてのユーザー様におかれましては、お使いのバージョンに応じた最新版への速やかなアップデートを推奨いたします。

脆弱性の詳細

セキュリティ研究者により、FedifyのlookupWebFinger()関数において以下のセキュリティ上の問題が発見されました:

  • 無限リダイレクトループによるサービス拒否攻撃(DoS)の可能性
  • プライベートネットワークアドレスへのリダイレクトを利用したSSRF(サーバーサイドリクエストフォージェリ)攻撃の可能性
  • リダイレクト操作による意図しないURLスキームへのアクセスの可能性

修正されたバージョン

  • 1.3.xシリーズ:1.3.4へアップデート
  • 1.2.xシリーズ:1.2.11へアップデート
  • 1.1.xシリーズ:1.1.11へアップデート
  • 1.0.xシリーズ:1.0.14へアップデート

変更内容

本セキュリティアップデートでは、以下の修正が実施されました:

  1. 無限リダイレクトループを防ぐため、最大リダイレクト回数(5回)の制限を導入
  2. 元のリクエストと同じスキーム(HTTP/HTTPS)のみにリダイレクトを制限
  3. SSRFを防止するため、プライベートネットワークアドレスへのリダイレクトをブロック

アップデート方法

以下のコマンドで最新のセキュアバージョンにアップデートできます:

# npmユーザーの場合
npm update @fedify/fedify

# Denoユーザーの場合
deno add jsr:@fedify/fedify

この脆弱性を責任を持って報告していただいたセキュリティ研究者の方に感謝申し上げます。迅速な対応が可能となりました。

本脆弱性の詳細については、セキュリティ勧告をご参照ください。

ご質問やご懸念がございましたら、GitHub DiscussionsMatrixチャットスペース、またはDiscordサーバーまでお気軽にご連絡ください。

discord.com

Join the Fedify/Hollo Discord Server!

Check out the Fedify/Hollo community on Discord - hang out with 84 other members and enjoy free voice and text chat.

Hollo :hollo:
@hollo@hollo.social · Reply to Hollo :hollo:

この件に関連して、Holloもセキュリティアップデートをリリースしました。0.3.6または0.4.4バージョンに今すぐアップデートしてください!

https://hollo.social/@fedify/0194848e-7cac-7af3-941b-c93999a51274

hollo.social

FedifyのWebFinger実装における脆弱性[CVE-…

FedifyのWebFinger実装における脆弱性[CVE-2025-23221]に対するセキュリティアップデート([1.0.14]、[1.1.11]、[1.2.11]、[1.3.4])をリリースいたしました。すべてのユーザー様におかれましては、お使いのバージョンに応じた最新版への速やかなアップデートを推奨いたします。 [1.0.14]: https://github.com/dahlia/fedify/releases/tag/1.0.14 [1.1.11]: https://github.com/dahlia/fedify/releases/tag/1.1.11 [1.2.11]: https://github.com/dahlia/fedify/releases/tag/1.2.11 [1.3.4]: https://github.com/dahlia/fedify/releases/tag/1.3.4 [CVE-2025-23221]: https://github.com/dahlia/fedify/security/advisories/GHSA-c59p-wq67-24wx ## 脆弱性の詳細 セキュリティ研究者により、Fedifyの`lookupWebFinger()`関数において以下のセキュリティ上の問題が発見されました: - 無限リダイレクトループによるサービス拒否攻撃(DoS)の可能性 - プライベートネットワークアドレスへのリダイレクトを利用したSSRF(サーバーサイドリクエストフォージェリ)攻撃の可能性 - リダイレクト操作による意図しないURLスキームへのアクセスの可能性 ## 修正されたバージョン - 1.3.xシリーズ:[1.3.4]へアップデート - 1.2.xシリーズ:[1.2.11]へアップデート - 1.1.xシリーズ:[1.1.11]へアップデート - 1.0.xシリーズ:[1.0.14]へアップデート ## 変更内容 本セキュリティアップデートでは、以下の修正が実施されました: 1. 無限リダイレクトループを防ぐため、最大リダイレクト回数(5回)の制限を導入 2. 元のリクエストと同じスキーム(HTTP/HTTPS)のみにリダイレクトを制限 3. SSRFを防止するため、プライベートネットワークアドレスへのリダイレクトをブロック ## アップデート方法 以下のコマンドで最新のセキュアバージョンにアップデートできます: ```sh # npmユーザーの場合 npm update @fedify/fedify # Denoユーザーの場合 deno add jsr:@fedify/fedify ``` この脆弱性を責任を持って報告していただいたセキュリティ研究者の方に感謝申し上げます。迅速な対応が可能となりました。 本脆弱性の詳細については、[セキュリティ勧告][CVE-2025-23221]をご参照ください。 --- ご質問やご懸念がございましたら、[GitHub Discussions](https://github.com/dahlia/fedify/discussions)、[Matrixチャットスペース](https://matrix.to/#/#fedify:matrix.org)、または[Discordサーバー](https://discord.gg/bhtwpzURwd)までお気軽にご連絡ください。 #Fedify #WebFinger #セキュリティ #脆弱性 #DoS #SSRF

Fedify: ActivityPub server framework
@fedify@hollo.social · Reply to Fedify: ActivityPub server framework

FedifyのWebFinger実装における脆弱性CVE-2025-23221に対するセキュリティアップデート(1.0.141.1.111.2.111.3.4)をリリースいたしました。すべてのユーザー様におかれましては、お使いのバージョンに応じた最新版への速やかなアップデートを推奨いたします。

脆弱性の詳細

セキュリティ研究者により、FedifyのlookupWebFinger()関数において以下のセキュリティ上の問題が発見されました:

  • 無限リダイレクトループによるサービス拒否攻撃(DoS)の可能性
  • プライベートネットワークアドレスへのリダイレクトを利用したSSRF(サーバーサイドリクエストフォージェリ)攻撃の可能性
  • リダイレクト操作による意図しないURLスキームへのアクセスの可能性

修正されたバージョン

  • 1.3.xシリーズ:1.3.4へアップデート
  • 1.2.xシリーズ:1.2.11へアップデート
  • 1.1.xシリーズ:1.1.11へアップデート
  • 1.0.xシリーズ:1.0.14へアップデート

変更内容

本セキュリティアップデートでは、以下の修正が実施されました:

  1. 無限リダイレクトループを防ぐため、最大リダイレクト回数(5回)の制限を導入
  2. 元のリクエストと同じスキーム(HTTP/HTTPS)のみにリダイレクトを制限
  3. SSRFを防止するため、プライベートネットワークアドレスへのリダイレクトをブロック

アップデート方法

以下のコマンドで最新のセキュアバージョンにアップデートできます:

# npmユーザーの場合
npm update @fedify/fedify

# Denoユーザーの場合
deno add jsr:@fedify/fedify

この脆弱性を責任を持って報告していただいたセキュリティ研究者の方に感謝申し上げます。迅速な対応が可能となりました。

本脆弱性の詳細については、セキュリティ勧告をご参照ください。

ご質問やご懸念がございましたら、GitHub DiscussionsMatrixチャットスペース、またはDiscordサーバーまでお気軽にご連絡ください。

discord.com

Join the Fedify/Hollo Discord Server!

Check out the Fedify/Hollo community on Discord - hang out with 84 other members and enjoy free voice and text chat.

Fedify: ActivityPub server framework
@fedify@hollo.social · Reply to Fedify: ActivityPub server framework

FedifyのWebFinger実装における脆弱性CVE-2025-23221に対するセキュリティアップデート(1.0.141.1.111.2.111.3.4)をリリースいたしました。すべてのユーザー様におかれましては、お使いのバージョンに応じた最新版への速やかなアップデートを推奨いたします。

脆弱性の詳細

セキュリティ研究者により、FedifyのlookupWebFinger()関数において以下のセキュリティ上の問題が発見されました:

  • 無限リダイレクトループによるサービス拒否攻撃(DoS)の可能性
  • プライベートネットワークアドレスへのリダイレクトを利用したSSRF(サーバーサイドリクエストフォージェリ)攻撃の可能性
  • リダイレクト操作による意図しないURLスキームへのアクセスの可能性

修正されたバージョン

  • 1.3.xシリーズ:1.3.4へアップデート
  • 1.2.xシリーズ:1.2.11へアップデート
  • 1.1.xシリーズ:1.1.11へアップデート
  • 1.0.xシリーズ:1.0.14へアップデート

変更内容

本セキュリティアップデートでは、以下の修正が実施されました:

  1. 無限リダイレクトループを防ぐため、最大リダイレクト回数(5回)の制限を導入
  2. 元のリクエストと同じスキーム(HTTP/HTTPS)のみにリダイレクトを制限
  3. SSRFを防止するため、プライベートネットワークアドレスへのリダイレクトをブロック

アップデート方法

以下のコマンドで最新のセキュアバージョンにアップデートできます:

# npmユーザーの場合
npm update @fedify/fedify

# Denoユーザーの場合
deno add jsr:@fedify/fedify

この脆弱性を責任を持って報告していただいたセキュリティ研究者の方に感謝申し上げます。迅速な対応が可能となりました。

本脆弱性の詳細については、セキュリティ勧告をご参照ください。

ご質問やご懸念がございましたら、GitHub DiscussionsMatrixチャットスペース、またはDiscordサーバーまでお気軽にご連絡ください。

discord.com

Join the Fedify/Hollo Discord Server!

Check out the Fedify/Hollo community on Discord - hang out with 84 other members and enjoy free voice and text chat.

Fedify: ActivityPub server framework
@fedify@hollo.social · Reply to Fedify: ActivityPub server framework

FedifyのWebFinger実装における脆弱性CVE-2025-23221に対するセキュリティアップデート(1.0.141.1.111.2.111.3.4)をリリースいたしました。すべてのユーザー様におかれましては、お使いのバージョンに応じた最新版への速やかなアップデートを推奨いたします。

脆弱性の詳細

セキュリティ研究者により、FedifyのlookupWebFinger()関数において以下のセキュリティ上の問題が発見されました:

  • 無限リダイレクトループによるサービス拒否攻撃(DoS)の可能性
  • プライベートネットワークアドレスへのリダイレクトを利用したSSRF(サーバーサイドリクエストフォージェリ)攻撃の可能性
  • リダイレクト操作による意図しないURLスキームへのアクセスの可能性

修正されたバージョン

  • 1.3.xシリーズ:1.3.4へアップデート
  • 1.2.xシリーズ:1.2.11へアップデート
  • 1.1.xシリーズ:1.1.11へアップデート
  • 1.0.xシリーズ:1.0.14へアップデート

変更内容

本セキュリティアップデートでは、以下の修正が実施されました:

  1. 無限リダイレクトループを防ぐため、最大リダイレクト回数(5回)の制限を導入
  2. 元のリクエストと同じスキーム(HTTP/HTTPS)のみにリダイレクトを制限
  3. SSRFを防止するため、プライベートネットワークアドレスへのリダイレクトをブロック

アップデート方法

以下のコマンドで最新のセキュアバージョンにアップデートできます:

# npmユーザーの場合
npm update @fedify/fedify

# Denoユーザーの場合
deno add jsr:@fedify/fedify

この脆弱性を責任を持って報告していただいたセキュリティ研究者の方に感謝申し上げます。迅速な対応が可能となりました。

本脆弱性の詳細については、セキュリティ勧告をご参照ください。

ご質問やご懸念がございましたら、GitHub DiscussionsMatrixチャットスペース、またはDiscordサーバーまでお気軽にご連絡ください。

discord.com

Join the Fedify/Hollo Discord Server!

Check out the Fedify/Hollo community on Discord - hang out with 84 other members and enjoy free voice and text chat.

Fedify: ActivityPub server framework
@fedify@hollo.social · Reply to Fedify: ActivityPub server framework

FedifyのWebFinger実装における脆弱性CVE-2025-23221に対するセキュリティアップデート(1.0.141.1.111.2.111.3.4)をリリースいたしました。すべてのユーザー様におかれましては、お使いのバージョンに応じた最新版への速やかなアップデートを推奨いたします。

脆弱性の詳細

セキュリティ研究者により、FedifyのlookupWebFinger()関数において以下のセキュリティ上の問題が発見されました:

  • 無限リダイレクトループによるサービス拒否攻撃(DoS)の可能性
  • プライベートネットワークアドレスへのリダイレクトを利用したSSRF(サーバーサイドリクエストフォージェリ)攻撃の可能性
  • リダイレクト操作による意図しないURLスキームへのアクセスの可能性

修正されたバージョン

  • 1.3.xシリーズ:1.3.4へアップデート
  • 1.2.xシリーズ:1.2.11へアップデート
  • 1.1.xシリーズ:1.1.11へアップデート
  • 1.0.xシリーズ:1.0.14へアップデート

変更内容

本セキュリティアップデートでは、以下の修正が実施されました:

  1. 無限リダイレクトループを防ぐため、最大リダイレクト回数(5回)の制限を導入
  2. 元のリクエストと同じスキーム(HTTP/HTTPS)のみにリダイレクトを制限
  3. SSRFを防止するため、プライベートネットワークアドレスへのリダイレクトをブロック

アップデート方法

以下のコマンドで最新のセキュアバージョンにアップデートできます:

# npmユーザーの場合
npm update @fedify/fedify

# Denoユーザーの場合
deno add jsr:@fedify/fedify

この脆弱性を責任を持って報告していただいたセキュリティ研究者の方に感謝申し上げます。迅速な対応が可能となりました。

本脆弱性の詳細については、セキュリティ勧告をご参照ください。

ご質問やご懸念がございましたら、GitHub DiscussionsMatrixチャットスペース、またはDiscordサーバーまでお気軽にご連絡ください。

discord.com

Join the Fedify/Hollo Discord Server!

Check out the Fedify/Hollo community on Discord - hang out with 84 other members and enjoy free voice and text chat.

:rss: AAPL Ch.
@applech2@rss-mstdn.studiofreesia.com

macOSのパッケージ管理ツールHomebrewの公式サイトを装い、マルウェアをダウンロードさせるサイトが確認されているので注意を。
applech2.com/archives/20250120

applech2.com

macOSのパッケージ管理ツールHomebrewの公式サイトを装い、マルウェアをダウンロードさせるサイトが確認されているので注意を。

カナダでセキュリティエンジニアをされているRyan Chenkieさんらによると、現在GoogleのスポンサーリンクにmacOSのパッケージ管理ツール「Homebrew」の公式サイトを装い、Macにマルウェアをダウンロード(cURL)させようとするサイトが度々表示されるようになっているそうです。

:rss: AAPL Ch.
@applech2@rss-mstdn.studiofreesia.com

macOSのパッケージ管理ツールHomebrewの公式サイトを装い、マルウェアをダウンロードさせるサイトが確認されているので注意を。
applech2.com/archives/20250120

applech2.com

macOSのパッケージ管理ツールHomebrewの公式サイトを装い、マルウェアをダウンロードさせるサイトが確認されているので注意を。

カナダでセキュリティエンジニアをされているRyan Chenkieさんらによると、現在GoogleのスポンサーリンクにmacOSのパッケージ管理ツール「Homebrew」の公式サイトを装い、Macにマルウェアをダウンロード(cURL)させようとするサイトが度々表示されるようになっているそうです。

:rss: AAPL Ch.
@applech2@rss-mstdn.studiofreesia.com

macOSのパッケージ管理ツールHomebrewの公式サイトを装い、マルウェアをダウンロードさせるサイトが確認されているので注意を。
applech2.com/archives/20250120

applech2.com

macOSのパッケージ管理ツールHomebrewの公式サイトを装い、マルウェアをダウンロードさせるサイトが確認されているので注意を。

カナダでセキュリティエンジニアをされているRyan Chenkieさんらによると、現在GoogleのスポンサーリンクにmacOSのパッケージ管理ツール「Homebrew」の公式サイトを装い、Macにマルウェアをダウンロード(cURL)させようとするサイトが度々表示されるようになっているそうです。

:rss: ITmedia NEWS 最新記事一覧
@itmedia_news@rss-mstdn.studiofreesia.com

「tenki.jp」Web版がつながりにくい状態に 復旧めど立たず またもサイバー攻撃
itmedia.co.jp/news/articles/25

itmedia.co.jp

「tenki.jp」Web版がつながりにくい状態に 復旧めど立たず またもサイバー攻撃

日本気象協会は1月9日、同日午前7時ごろから、同社の天気予報メディア「tenki.jp」のWeb版にアクセスしづらい状況になっていると発表した。

:rss: ITmedia NEWS 最新記事一覧
@itmedia_news@rss-mstdn.studiofreesia.com

「tenki.jp」Web版がつながりにくい状態に 復旧めど立たず またもサイバー攻撃
itmedia.co.jp/news/articles/25

itmedia.co.jp

「tenki.jp」Web版がつながりにくい状態に 復旧めど立たず またもサイバー攻撃

日本気象協会は1月9日、同日午前7時ごろから、同社の天気予報メディア「tenki.jp」のWeb版にアクセスしづらい状況になっていると発表した。

:rss: INTERNET Watch
@internet_watch_impress@rss-mstdn.studiofreesia.com

「SMSは二要素認証には使うべきではない」米CISAがモバイルユーザー向けガイダンスを公開【やじうまWatch】
internet.watch.impress.co.jp/d

internet.watch.impress.co.jp

「SMSは二要素認証には使うべきではない」米CISAがモバイルユーザー向けガイダンスを公開【やじうまWatch】

 米サイバーセキュリティ・インフラセキュリティ庁(CISA)が公開したモバイル通信のベストプラクティスガイダンスの中で、SMSによる二要素認証を使わないよう警鐘を鳴らしている。

:rss: ITmedia NEWS 最新記事一覧
@itmedia_news@rss-mstdn.studiofreesia.com

カシオ、個人情報含む内部資料の一部流出を確認 ランサムウェア攻撃の調査で
itmedia.co.jp/news/articles/25

itmedia.co.jp

カシオ、個人情報含む内部資料の一部流出を確認 ランサムウェア攻撃の調査で

カシオ計算機は7日、昨年10月に公表したランサムウェア攻撃についての調査結果を発表した。8479人分の個人情報を含む内部資料の一部流出を確認した。

:rss: ITmedia NEWS 最新記事一覧
@itmedia_news@rss-mstdn.studiofreesia.com

カシオ、個人情報含む内部資料の一部流出を確認 ランサムウェア攻撃の調査で
itmedia.co.jp/news/articles/25

itmedia.co.jp

カシオ、個人情報含む内部資料の一部流出を確認 ランサムウェア攻撃の調査で

カシオ計算機は7日、昨年10月に公表したランサムウェア攻撃についての調査結果を発表した。8479人分の個人情報を含む内部資料の一部流出を確認した。

:rss: INTERNET Watch
@internet_watch_impress@rss-mstdn.studiofreesia.com

「SMSは二要素認証には使うべきではない」米CISAがモバイルユーザー向けガイダンスを公開【やじうまWatch】
internet.watch.impress.co.jp/d

internet.watch.impress.co.jp

「SMSは二要素認証には使うべきではない」米CISAがモバイルユーザー向けガイダンスを公開【やじうまWatch】

 米サイバーセキュリティ・インフラセキュリティ庁(CISA)が公開したモバイル通信のベストプラクティスガイダンスの中で、SMSによる二要素認証を使わないよう警鐘を鳴らしている。

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

iPhoneとWindows間でファイル共有 ~「Phone Link」「Link to Windows」の新機能がテスト開始/Androidでは実現済みの機能がようやくiPhoneにも対応へ
forest.watch.impress.co.jp/doc

:rss: 窓の杜
@forest_watch_impress@rss-mstdn.studiofreesia.com

注意! 国産Webブラウザー「Lunascape」の配信サイトがオンラインカジノへ誘導する詐欺サイトに/正しい配信サイトは現在「lunascape.org」【やじうまの杜】
forest.watch.impress.co.jp/doc