Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

本日気になった注意喚起情報(9/5)

注意喚起情報

当方は忙しくない時は平日朝に、セキュリティ/AI関連の記事を巡回チェックしていますが、目についた注意喚起系の記事・情報(普段もXで呟いていますが…)を可能な範囲でまとめて配信します。人力&片手間でやっているので、類似記事などの重複や情報精度等々のクレームはご容赦ください。

※平日朝に記事をチェックしている関係上、前日までの注意喚起情報が拾われる事が多いかと思います。速報性を求められる方は元ソースなどを参考に、この手の情報収集(RSS利用)をされる事をお勧めします。

 

■国内情報

【セキュリティ ニュース】AIサーバ向けプラットフォーム「NVIDIA HGX」「DGX」に脆弱性(1ページ目 / 全1ページ):Security NEXT

【セキュリティ ニュース】米当局、TP-Link製ルータ2件の脆弱性悪用を確認 - 利用中止も勧告(1ページ目 / 全1ページ):Security NEXT

スマートフォンアプリ「グノシー」に送信データへの機微な情報の挿入の脆弱性 | ScanNetSecurity

「ステーブルコインの法整備加速を」ECB総裁が警鐘|MiCAに抜け穴か - CRYPTO TIMES

 

■海外情報

CISA Adds Three Known Exploited Vulnerabilities to Catalog | CISA (CISAが3つの既知の脆弱性をカタログに追加)

CVE-2025-38352 LinuxカーネルのTime-of-Check Time-of-Use(TOCTOU)競合状態の脆弱性
CVE-2025-48543 Android ランタイムの未指定の脆弱性
CVE-2025-53690 Sitecore 複数製品における信頼できないデータのデシリアライゼーションの脆弱性

CISA Releases Five Industrial Control Systems Advisories | CISA (CISAが産業用制御システムに関する5つの勧告を発表)

ICSA-25-247-01 Honeywell OneWireless ワイヤレス デバイス マネージャー (WDM)
ICSA-25-217-01三菱電機 Iconics デジタルソリューション 複数製品 (アップデート A)
ICSA-25-105-07 Delta Electronics COMMGR(アップデートA)
ICSA-25-205-03ハネウェル エクスペリオン PKS(アップデート A)
ICSA-25-191-10列車終端および列車先頭リモートリンクプロトコル(更新 B)

Google fixes actively exploited Android vulnerabilities (CVE-2025-48543, CVE-2025-38352) - Help Net Security (Google、現在悪用されているAndroid脆弱性(CVE-2025-48543、CVE-2025-38352)を修正)

macOS vulnerability allowed Keychain and iOS app decryption without a password - Help Net Security (macOS脆弱性により、キーチェーンとiOSアプリがパスワードなしで復号可能になる)

Sitecore zero-day vulnerability exploited by attackers (CVE-2025-53690) - Help Net Security (Sitecore のゼロデイ脆弱性が攻撃者に悪用される (CVE-2025-53690))

Attackers are turning Salesforce trust into their biggest weapon - Help Net Security (攻撃者はSalesforceの信頼を最大の武器にしている)

Hackers exploited Sitecore zero-day flaw to deploy backdoors (ハッカーはSitecoreのゼロデイ脆弱性を悪用してバックドアを展開した)

New TP-Link zero-day surfaces as CISA warns other flaws are exploited (TP-Linkの新たなゼロデイ脆弱性が出現、CISAが他の脆弱性も悪用されると警告)

Microsoft says recent Windows updates cause app install issues (マイクロソフトによると、最近のWindowsアップデートによりアプリのインストールに問題が発生)

Threat actors abuse X’s Grok AI to spread malicious links (脅威アクターがXのGrok AIを悪用して悪質なリンクを拡散)

CMS Provider Sitecore Patches Exploited Critical Zero Day - Infosecurity Magazine (CMSプロバイダーのSitecoreが重大なゼロデイ脆弱性を悪用したパッチを公開)

Severe Hikvision HikCentral product flaws: What You Need to Know (Hikvision HikCentral製品の重大な欠陥:知っておくべきこと)

U.S. CISA adds TP-Link Archer C7(EU) and TL-WR841N flaws to its Known Exploited Vulnerabilities catalog (米国CISAがTP-Link Archer C7(EU)とTL-WR841Nの脆弱性を既知の脆弱性カタログに追加)

Crooks turn HexStrike AI into a weapon for fresh vulnerabilities (犯罪者がHexStrike AIを新たな脆弱性を突く武器に転用)

GhostRedirector Hacks 65 Windows Servers Using Rungan Backdoor and Gamshen IIS Module (GhostRedirector が Rungan バックドアと Gamshen IIS モジュールを使って 65 台の Windows サーバーをハッキング)

 

■イエローページ(主な情報ソース)

JPCERTCC

フィッシング対策協議会

SecurityNext

ScanNetSecurity

マイナビニュース

CISA

FBI

HelpNetSecurity

BleepingComputer

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

更新履歴

  • 2025年9月5