A 0-click exploit chain for the Pixel 10
Google Project Zero が、Pixel 10 に対する 0-click の攻撃チェーンを公開しました。ユーザー操作なしで成立するタイプは、実害が出るまでの時間が短く、個人的にも最優先で警戒すべき類型だと感じます。
First public macOS kernel memory corruption exploit on Apple M5
Apple M5 環境で、公開ベースでは初とされる macOS カーネルのメモリ破損エクスプロイトが報告されています。カーネル絡みは一気に権限昇格や防御回避につながりやすく、ここはサボると意味が半減します。
Microsoft BitLocker – YellowKey zero-day exploit
BitLocker で保護されたドライブが、USB スティック上の一部ファイルだけで開けてしまう可能性を示す “YellowKey” ゼロデイが取り上げられています。もし再現性があるなら影響はかなり深刻で、暗号化しているから安心、とは言えない状況です。
Someone bought 30 WordPress plugins and planted a backdoor in all of them
誰かが WordPress プラグイン 30 本を買い取り、すべてにバックドアを埋め込んだとされる事案です。WordPress は導入数が多いぶん、更新元の信頼性や買収後の挙動確認を軽視すると一気に被害が広がります。
CERT is releasing six CVEs for serious security vulnerabilities in dnsmasq
CERT が dnsmasq の重大な脆弱性として 6 件の CVE を公開すると案内しています。現時点で個別の CVE 番号や影響バージョンはこの概要だけでは断定できませんが、DNS/DHCP の基盤部品だけに、該当環境は早めの確認と更新計画が必要です。
