セキュリティ

「HTTP/2 Bomb」公開——nginx・Apache・IIS・Envoy・Cloudflare横断のDoS脆弱性、家庭回線1本で20秒・32GB消費(CVE-2026-49975 / CVE-2026-47774)

2026年6月2日、カリフォルニアのセキュリティ企業Calif(カリフ)が「HTTP/2 Bomb」と命名した新規リモートDoS攻撃を、PoC(実証コード)付きで公開しました。本件は、nginx、Apache httpd、Microsoft...
2026.06.04
セキュリティ
セキュリティ

VSCode webview脆弱性でgithub.devから1クリックGitHub OAuthトークン窃取——修正PRマージ済み、公開版反映待ち

2026年6月2日、セキュリティ研究者Ammar Askar氏が、Visual Studio Codeのwebview実装に存在する脆弱性を実証コード(PoC)付きで完全公開しました。攻撃者が用意した github.dev リンクを開発者が...
2026.06.03
セキュリティ
セキュリティ

Red Hat系npm名前空間に「Miasma」ワーム——32パッケージ侵害、Anthropic API風ドメイン悪用エクスフィルとClaude Code永続化

2026年6月1日、Red Hat Cloud Services関連の @redhat-cloud-services 名前空間に属するnpmパッケージ群が、開発者端末やCI/CD環境の認証情報を広範に窃取する自己増殖ワーム「Miasma(ミ...
2026.06.02
セキュリティ
総合テック

Claude Opus 4.8公開——自己検証を強める「正直さ」と、多数のサブエージェントを束ねる動的ワークフロー

Anthropicは2026年5月28日(米国時間)、フラッグシップAIモデルの新版「Claude Opus 4.8」を公開しました。前版のOpus 4.7を土台にした段階的な更新で、通常利用の価格は据え置きです。同社が前面に押し出している...
2026.05.29
総合テック
セキュリティ

Microsoft Copilot Cowork、Skillファイル経由の間接プロンプトインジェクションでM365ファイル流出経路を実証 — Claude Opus 4.7でも100%成立、エージェント設計の構造的課題

プロンプトインジェクション専門のセキュリティ研究組織 PromptArmor は2026年5月25日、Microsoft 365 の Frontier feature として提供されている Microsoft Copilot Cowork ...
2026.05.26
セキュリティ
セキュリティ

GitHub内部リポジトリ流出、Nx Console悪性版が入口に — 攻撃者主張の約3,800件と調査が一致、TeamPCPのサプライチェーン攻撃が連鎖中

Microsoft 傘下の GitHub は2026年5月20日、自社の内部リポジトリが外部に流出したインシデントを公表しました。CISO の Alexis Wales 氏が公式ブログで発表した内容によれば、攻撃者が主張する「約3,800件...
2026.05.21
セキュリティ
セキュリティ

Project Zeroが Pixel 10 のゼロクリック・ルート奪取チェーンを公開 — Dolby UDC + Tensor G5 VPUの「5行で任意カーネルread-write」

Google の脆弱性研究チーム Project Zero は2026年5月13日、最新フラッグシップ Pixel 10 に対する完全なゼロクリック・エクスプロイトチェーンの研究結果を公開しました。Seth Jenkins 氏が執筆した本ポ...
2026.05.16
セキュリティ
セキュリティ

オンプレ Exchange Server に細工メール経由のXSS脆弱性 CVE-2026-42897、悪用観測あり — Microsoftが緊急緩和策をプッシュ

Microsoftは2026年5月14日、オンプレミス版 Microsoft Exchange Server に影響するスプーフィング脆弱性 CVE-2026-42897(CVSS 8.1、High) を公開しました。攻撃者が細工したメール...
2026.05.15
セキュリティ
セキュリティ

Linuxカーネル「Dirty Frag」(CVE-2026-43284 / CVE-2026-43500)公開——Copy Failから2週、esp4/esp6/rxrpcを使った完全制御のページキャッシュ書き込み

2026年5月7日(日本時間5月8日)、独立研究者Hyunwoo Kim氏(V4bel)は、Linuxカーネルの新たなローカル権限昇格脆弱性チェーンを公開しました。「Dirty Frag」と命名されたこの脆弱性は、xfrm-ESP(IPse...
2026.05.12
セキュリティ
セキュリティ

偽OpenAI Privacy Filter、Hugging Faceで244,000ダウンロード——タイポスクワッティングからSefirah infostealerへの攻撃チェーンを解説

2026年5月7日、HiddenLayer Research Teamは、Hugging Face上で公開されていた悪意あるリポジトリ「Open-OSS/privacy-filter」を発見し、報告しました。このリポジトリはOpenAIが2...
2026.05.11
セキュリティ
次のページ