NECは、企業や組織のサプライチェーンのセキュリティ強化に向け、ソフトウェアに潜む脆弱性を、ソースコードを用いることなく実行ファイルのバイナリコードから検出する技術を開発しました。

脅威アクターが、リモートコード実行（RCE）につながる最近修正された7-Zipの脆弱性を悪用していると、NHSイングランドが警告しています。 このバグはCVE-2025-11001（CVSSスコア7.0）として追跡されており、ファイル解析時のディレクトリトラバーサル問題と説明されており、悪用にはユーザーの操作が必要です。 この脆弱性は7-ZipがZIPファイル内のシンボリックリンクを処理する方法に影響し、細工されたデータによって処理中に意図しないディレクトリへ移動される可能性があります。 「攻撃者はこの脆弱性を利用して、サービスアカウントのコンテキストでコードを実行することができます」とTrend Micro Zero Day Initiative（ZDI）のアドバイザリには記載されています。ZDIによると、攻撃ベクトルは実装に依存します。 このセキュリティ欠陥と、同様の脆弱性であるCVE-2025-11002の発見には、GMO Flatt Securityの志賀亮太氏がクレジットされています。 両方の問題は5月に7-Zipの開発者に報告され、7月にリリースされた7-Zipバージョン25.00で修正されました。 現在、イングランド国民保健サービス（NHS）の主要統括機関であるNHSイングランドは、脅威アクターが野放しの脆弱な7-Zipインストールを標的にしていると警告しています。 「CVE-2025-11001の積極的な悪用が実際に確認されています」と同機関のアドバイザリには記載されており、このバグを標的とした概念実証（PoC）エクスプロイトが公開されていることを指摘しています。 「このPoCにより、攻撃者はシンボリックリンクの処理を悪用して、意図された展開フォルダの外にファイルを書き込むことができ、場合によっては任意のコード実行が可能になります」とNHSイングランドは述べています。 セキュリティエンジニアのDominik C.によると、悪用された脆弱性は7-Zipバージョン21.02から24.09までのLinuxからWindowsへのシンボリックリンク変換の方法に影響し、Windowsシステムでのみ悪用可能です。 パーサーがLinuxのシンボリックリンクをWindows形式のC:\パスで相対パスとしてマークしつつ、リンクパスを完全なC:\パスに設定するため、この問題は絶対パスへのリンク作成を防ぐチェックを回避する形で悪用可能になると、セキュリティエンジニアは説明しています。 これにより、攻撃者は任意のディレクトリに悪意のあるバイナリを書き込むシンボリックリンクを作成できますが、7-Zipが管理者権限で実行されている場合に限ります。 「これは、7-Zipプロセスがシンボリックリンクを作成するためであり、これはWindows上では特権操作です。そのため、7-Zipがサービスアカウントで使用されている場合のみ、悪用が意味を持ちます」とエンジニアは述べています。 翻訳元:

古いPDF解析の欠陥の影響範囲が拡大し、より多くのTikaモジュールが対象に。 広く利用されているApache TikaのXMLドキュメント抽出ユーティリティに存在するセキュリティ欠陥は、昨年夏に最初に公開された当初の想定よりも影響範囲が広く、より深刻であると、プロジェクトのメンテナが警告している。 彼らの新たなアラートは、2つの密接に関連した欠陥に関するもので、1つ目は8月に公開され、深刻度8.4と評価されたCVE-2025-54988、2つ目は先週公開され、深刻度10と評価されたCVE-2025-66516である。 CVE-2025-54988は、Apache Tikaのバージョン1.13から3.2.1まで（3.2.1を含む）でPDFを処理するために使用されるtika-parser-pdf-moduleの脆弱性である。これは、ソフトウェアツールが1,000種類のプロプライエタリ形式からデータを正規化し、インデックス付けや読み取りを行えるようにする、Tikaの広範なエコシステムの1モジュールである。 しかし残念ながら、このドキュメント処理機能そのものが、XML External Entity（XXE）インジェクション攻撃を用いるキャンペーンにとって格好の標的となっており、この種のユーティリティでは繰り返し発生している問題でもある。 CVE-2025-54988の場合、攻撃者は悪意あるPDFの内部にXML Forms Architecture（XFA）の命令を隠すことで、外部エンティティ（XXE）インジェクション攻撃を実行できた可能性がある。 これにより「攻撃者は機密データを読み取ったり、内部リソースやサードパーティサーバーへの悪意あるリクエストを引き起こしたりできる可能性がある」とCVEでは述べられている。攻撃者は、この欠陥を悪用してツールのドキュメント処理パイプラインからデータを取得し、Tikaによる悪意あるPDFの処理を通じてそれを流出させることができる。 CVEのスーパーセット メンテナは現在、このXXEインジェクションの欠陥がこのモジュールに限定されないことに気づいている。これは追加のTikaコンポーネント、すなわちApache Tika tika-core（バージョン1.13から3.2.1）およびtika-parsers（バージョン1.13から1.28.5）にも影響する。さらに、レガシーTika parsersのバージョン1.13から1.28.5も影響を受ける。 通常とは異なり、かつ紛らわしいことに、同じ問題に対して現在2つのCVEが存在しており、2つ目のCVE-2025-66516は1つ目のスーパーセットとなっている。おそらく、2つ目のCVEを発行した理由は、CVE-2025-54988を適用済みの人々であっても、CVE-2025-66516で列挙されている追加の脆弱なコンポーネントのせいで、依然としてリスクにさらされていることに注意を喚起するためだと考えられる。 これまでのところ、これらのCVEにおけるXXEインジェクションの脆弱性が、実際の攻撃者によって悪用されている証拠はない。しかし、この脆弱性がリバースエンジニアリングされたり、概念実証コードが公開されたりすれば、状況が急速に変化するリスクがある。 CVE-2025-66516は、深刻度が異例の最大値である10.0と評価されており、このソフトウェアを自分たちの環境で使用している人にとって、パッチ適用は最優先事項となる。ユーザーは、Tika-coreバージョン3.2.2、tika-parser-pdf-moduleバージョン3.2.2（スタンドアロンPDFモジュール）、あるいはレガシー環境の場合はtika-parsersバージョン2.0.0へ更新すべきである。 しかし、パッチ適用が役に立つのは、Apache Tikaを使用していることが分かっているアプリケーションを管理している開発者だけである。問題は、すべてのアプリケーション設定ファイルにTikaの利用状況が記載されているとは限らず、その結果としてTikaの利用が検知されないブラインドスポットが生じうる点だ。この不確実性に対する唯一の緩和策は、開発者がtika-config.xml設定ファイルを通じて、アプリケーション内でXML解析機能を無効化することだろう。 翻訳元:

An introduction to AIxCC and the design of our CRS | AI for Security, AIxCC

データの可視化や分析が行えるBIツール「Apache Superset」に情報漏洩につながるおそれのある脆弱性が明らかとなった。開発チームでは脆弱性を修正するアップデートを提供している。 ：Security NEXT

ソフトウエアやWebアプリの開発ベンダーは、脆弱性が存在しないかをリリース前に十分に調べる。リリース後、セキュリティー研究者やサイバー攻撃者はベンダーが見逃した脆弱性を見つけ出す。では、研究者や攻撃者などはどのように脆弱性を見つけるのだろうか。Part3では脆弱性の発見方法を解説しよう。

XML処理を行うライブラリ「libxml2」に複数の脆弱性が明らかとなった。 ：Security NEXT

「Python」の標準ライブラリとして提供されている「tarfile」モジュールに脆弱性が明らかとなった。 ：Security NEXT

有限会社アングラーズネットが提供するアクセス解析CGI An-Analyzer には、オープンリダイレクトの脆弱性が存在します。

Appleは、同社スマートフォンやタブレット端末向けにセキュリティアップデートとなる「iOS 26.0.1」「iPadOS 26.0.1」をリリースした。 ：Security NEXT

C言語向けに公開されているJSON解析ライブラリ「cJSON」の脆弱性が明らかとなった。ソースリポジトリでは修正パッチが公開されており、次期バージョンで解消される見込み。 ：Security NEXT

Background On April 16, 2025, Apple released a patch for a bug in CoreAudio which they said was “Actively exploited in the wild.” This flew under the radar a bit. Epsilon’s blog has a great writeup of the other bug that was presumably exploited in this chain: a bug in RPAC. The only thing out there that I am aware of about the CoreAudio side of the bug is a video by Billy Ellis (it’s great.

バッファロー製Wi-Fiルータ「WSR-1800AX4シリーズ」に脆弱性が明らかとなった。ファームウェアのアップデートが提供されている。 ：Security NEXT

本稿では、バグバウンティの脆弱性調査で使われているLLMの活用事例について少し紹介します。

こんにちは臼田ですみなさんセキュリティ対策してますか挨拶今回はCODEBLUEで行われた以下のセッションのレポートですシンボリック実行とテイント解析によるWDMドライバーの脆弱性ハンティング

列指向のストレージフォーマット「Apache Parquet」の一部モジュールに深刻な脆弱性が明らかとなった。アップデートで修正されている。 ：Security NEXT

AIソリューションを提供するDIVXが、無料オンラインセミナーを11月に複数開催。RAG技術を使った業務改善や、AIによる脆弱性解析について解説します。セキュリティ対策やDX推進に関心のある方は必見です。