0日

CVE-2025-6554 は、Google Chrome V8 JavaScript エンジンの型混乱の脆弱性です。この脆弱性は、プログラムがあるデータ型を別のデータ型として誤って解釈した場合に、安全でないメモリ操作を引き起こし、攻撃者が被害者のシステム上で任意のコードを実行することを可能にします。

この脆弱性は、V8 TurboFanコンパイラがストアストア・エリミネーション最適化を実行する際に、動的インデックス・ローディングを誤って処理することに起因しており、これによりエイリアス関係の分類が誤って行われ、重要なストア操作が誤って排除され、その結果、メモリ・アクセスがアウトオブバウンズになります。攻撃者は、特別に細工された HTML ページを構築してユーザーアクセスを誘導し、悪意のある JavaScript コードの実行をトリガーし、脆弱性を悪用してリモート・コードの実行とサンドボックスからの脱出を達成し、最終的に被害者のデバイスを完全に制御することができます。

2016年以降に公開されたゼロデイ脆弱性（0day）は、政府機関向けの商用スパイウェアベンダーに関連するものが60件以上あり、アップル、アドビ、グーグルなど多くの企業の製品に脆弱性が存在し、ジャーナリストや政治的反体制派を標的とした攻撃など、攻撃目的に利用されている。レポートでは、2023年には多数の脆弱性が積極的に悪用されると指摘している。

最近、Google は HTTP/2 プロトコルの脆弱性 CVE-2023-44487 を発表しました。
攻撃者はこの脆弱性を利用して、低コストで非常に大規模な攻撃 (http2-rapid-reset-ddos-攻撃) を開始する可能性があります。攻撃者は 8 月からこの方法を使用して Google Cloud Platform の顧客に対して攻撃を開始しており、ある攻撃では、攻撃者は 1 秒間に最大 3 億 9,800 万のリクエストを発行しましたが、これは 1 秒あたりのリクエスト数としては過去最高となっています。

説明: cURL は、URL 構文を使用してデータを送信し、SSL、TLS、HTTP、FTP、SMTP などのさまざまなネットワーク プロトコルをサポートする、広く使用されている多機能のオープン ソース コマンド ライン ツールです。リブカールとは…

Predator と呼ばれるスパイウェアが Apple の新たなゼロデイ脆弱性を悪用し、元エジプト議員を標的にしました。この攻撃の発見により、特に政治家や著名人にとってサイバーセキュリティの重要性がさらに強調されました。