-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
8月6日:サイバーセキュリティ関連ニュース
Googleが8月の月例パッチをリリース、悪用が確認されたQualcommの脆弱性2件などを修正(CVE-2025-21479、CVE-2025-27038他)
The Hacker News – Aug 05, 2025
Googleが8月の月例パッチをリリースし、悪用が確認されたQualcommの脆弱性2件を含むAndroidの欠陥を複数修正した。
この2件のバグはCVE-2025-21479(CVSSスコアは8.6)およびCVE-2025-27038(同7.5)として追跡されており、どちらも2025年6月にCVE-2025-21480(同8.6)と同時にQualcommから公開されていた。悪用方法の詳細は明らかにされていないが、Qualcommチップセットの同様の脆弱性が過去にVaristonやCy4Gateといった商用スパイウェアベンダーに不正利用されたことを踏まえると、同じような状況で悪用された可能性があるとみられている。
CVE-2025-21479はグラフィックスコンポーネントにおける不正な認証の脆弱性に関連し、GPUマイクロコードで認可されていないコマンドが実行されることでメモリ破損を引き起こす可能性があるという。一方、CVE-2025-27038はグラフィックスコンポーネントにおける解放済みメモリ使用の脆弱性で、ChromeでAdreno GPUドライバを使ってグラフィックをレンダリングする際にメモリ破損を引き起こす危険性があるようだ。
また、Androidフレームワークに存在する深刻度の高い権限昇格の脆弱性2件(CVE-2025-22441、CVE-2025-48533)に加え、システムコンポーネントの重大な欠陥1件(CVE-2025-48530)も今回の月例パッチで修正されている。CVE-2025-48530はほかの脆弱性と組み合わせると、追加の権限やユーザーの操作を必要とせずリモートコード実行を可能にすると説明された。
Broadcomチップ搭載のDell製PC100機種以上に複数の重大な欠陥、早急なパッチ適用を呼びかけ(CVE-2025-24311、CVE-2025-25215他)
シスコの脅威インテリジェンスチームCisco Talosがブログ記事を公開し、Dell製パソコン100機種以上に搭載されたBroadcomチップのBCM5820Xシリーズに深刻なセキュリティ欠陥が複数見つかったと報じた。
これらの脆弱性はCVE-2025-24311、CVE-2025-25215、CVE-2025-24922、CVE-2025-25050、CVE-2025-24919として追跡され、デバイス乗っ取りやパスワード窃取のほか、指紋情報など機微データへの不正アクセスを許す恐れがあると説明された。Dellの広報担当はThe Registerに対し、これらのバグを修正するアップデートは6月13日に顧客へ通知済みとコメント。これまで実際の攻撃に悪用された事例は確認されていないと述べた上、影響を受ける製品やバージョンなどの関連情報についてはセキュリティアドバイザリDSA-2025-053を参照するよう付け加えた。
BCM5820Xシリーズのチップは、パスワードや生体認証、セキュリティコードといった機微情報を保護するハードウェアベースのセキュリティ機能「ControlVault3」を搭載したビジネス向けPC数千万台(主にLatitudeおよびPrecisionシリーズ)で使われているようだ。
Talosの説明によると、同チップがこれらのDell製PC以外で使われていることは確認されていないとのこと。BroadcomはThe Registerの問い合わせに回答していないという。
とは?.jpg)
