Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。
ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。
このページの情報を利用される前に、注意書きをお読みください。
》 航空自衛隊 F‐15戦闘機4機が訓練「タッチアンドゴー」 南紀白浜空港 和歌山県 (テレビ和歌山 / Yahoo, 10/21)。 南紀白浜空港は滑走路が 2000m しかないのでタッチアンドゴーなんですかね。 2500m へ延伸する計画があるそうなので、これが完成すると着陸までするようになるのかなあ。
2025 年 10 月のセキュリティ更新プログラム (月例) (2025.10.17)
Windows 回復環境 (WinRE) で USB キーボード・マウスが使えない件、 帯域外の累積的更新プログラム KB5070773 で修正されました。 Windows Update に流れているので適用しませう。
「KB5070773」が緊急公開、「WinRE」でUSBキーボード・マウスが機能しない問題を解決 (窓の杜, 2025.10.21)
Windows回復環境でUSB機器が動作しない不具合を修正。MS、KB5070773を緊急リリース。アップデート後、USBマウスやUSBキーボードが動作するように。Windows11 25H2 / 24H2 / Windows Server 2025にて (ニッチなPCゲーマーの環境構築Z, 2025.10.21)
》 凄惨な状態で搬送されるクマ外傷、受け入れ時の対応は? (日経メディカル, 10/6)。記事ラストに凄惨な写真があるので注意。
クマによる外傷は、非常に強い外力による顔面への受傷が多い。実際に2023年に当院で受け入れたクマ外傷患者21人では、9割が顔面、7割が上肢、6割が頭部を受傷。中には顔面骨骨折や眼球破裂、頭蓋内出血を伴う頭蓋骨骨折の症例も含まれていたことを当院では過去に報告している。関連:
グロ過ぎて報道されないクマ被害の実際の症例報告 (ナゾロジー, 9/13)
【クマ襲撃】被害者の9割が顔面損傷…鼻がなくなり骨は粉砕「体を大きく見せようと立ち上がって…」医師が語るクマ外傷の実態 47歳男性はあの日を境に人生が一変 (HBC / Yahoo, 10/14)
クマ外傷 クマージェンシー・メディシン (amazon)。品切れのようですね。
》 5Gミリ波の現在地(2)普及の課題と今後の展望 (Business Network, 10/20)
実際には、ミリ波基地局はすでに4万5千局程度が稼働している。にも拘わらず、ミリ波を利用しているモバイル通信トラフィックは全体の0.1%程度に過ぎない。基地局はあるが、ほとんど使われていないのが現状だ。現状、ミリ波に対応した端末は限定的にしか市場に投入されていない。日本で流通しているスマートフォンについては、iPhoneがサポートしていないこともあり10%以下の機種しかミリ波をサポートしていない。
米国では、iPhoneを含めて70%程度の機種がミリ波に対応している。スマートフォンだけではなくWiFiルーターや機械に組み込むモジュール等も含めて、まずは端末でのミリ波のサポートを普及促進していく必要がある。関連:
【社内雑談】iPhone17日本版もやっぱりミリ波非対応 (三技協【公式】 / note, 9/24)
iPhoneも、Pixelも、Galaxyも、ミリ波に対応しているのは米国モデルだけ。日本含めたそれ以外の国では、ミリ波対応モデルの入手すら困難になってきている。
これまで、ミリ波対応基地局が少ないと文句言ってきたけど、厳しい言い方をするとミリ波は「手遅れ」になったのかも知れない。もう、スマホメーカーはミリ波へ積極的に対応する気はないよ、きっと。もともと、Huawei、Xiaomi、OPPO等の大手中国メーカーは最初からミリ波に対応する気はないから、そこもミリ波には厳しいしね。オワコン感が凄い。
2025 年 10 月のセキュリティ更新プログラム (月例) (2025.10.17)
Windows 11、バージョン 24H2 の既知の問題と通知 (Microsoft, 2025.10.18)。一覧になってる。
IIS に接続できない (localhost に接続できない、HTTP/2.0 で接続できない) 件、まずはこういう対処だそうで:
この問題は、デバイスのインターネット接続、および最近の更新プログラム のインストールとデバイスの再起動のタイミングによって影響を受ける可能性があるさまざまな条件によって発生します。 このため、上記の更新プログラムをインストールしたにもかかわらず、一部の環境で観察されない可能性があります。 次の手順は、この問題が観察される環境で解決するのに役立ちます。
- 影響を受けるデバイスで、"Windows 設定" アプリで "Windows Update" を開きます。
- これは、スタート メニューを開き、「更新プログラムのチェック」と入力し、結果から右側に選択することで実現できます。
- [更新プログラムの確認] をクリックします。 更新プログラムのインストールを許可します。
- デバイスを再起動します。
- 注: 前の手順で更新プログラムがインストールされていない場合でも、デバイスを再起動してください。
これでも復旧しない場合は、KB5066835 / KB5065789 のアンインストール、 もしくは レジストリ設定でHTTP/2を無効化 することで回避、ということになるんですかね。
エンタープライズ環境の場合は、Known Issue Rollback (KIR) が提供されているので、これを適用することで回避できるそうで。
Windows 11 24H2、Windows 11 25H2、Windows Server 2025 KB5066835 251015_22001 既知の問題のダウンロード Rollback.msi (Microsoft)
Known Issue Rollback (KIR) のご紹介 (Inside SCCM / Intune Japan, 2022.02.12)
「Windows Recovery Environment (WinRE) で USB マウスとキーボードが動作しない」問題があり、これはまだ解決方法が示されていない。
こちらの件です: Windows回復環境でマウスとキーボードが動作しない不具合。2025年10月のWindows Update後に発生。Windows11 25H2 / 24H2にて。KB5067039 / KB5066835が原因。回避策あり [Update 2: Microsoftが不具合を認める] (ニッチなPCゲーマーの環境構築Z, 2025.10.19 更新)。 回避策が 2 つ提示されている。
Winre.wim を古いバージョンのものに置き換える。
マウスとキーボードを PS/2 コネクターに接続する。
Microsoft 2024.09 更新で対応された Windows Cryptographic Services Security Feature Bypass Vulnerability CVE-2024-30098 (Microsoft, 2024.07.09) に関して、
UPDATE: Starting with the October 2025 security updates, the fix will be enabled by default (DisableCapiOverrideForRSA set to 1) and the KSP will be used for RSA based certificates in the Smart Card Certificate Propagation service. If you discover applications relying on the old behavior, the DisableCapiOverrideForRSA registry key can be set back to 0 to switch back to auditing mode. The DisableCapiOverrideForRSA registry key will be removed in April 2026.Microsoft 2025.10 更新とともにデフォルト有効になった (DisableCapiOverrideForRSA = 1 になった) ことに伴うスマートカード認証の不具合が発生しているようで。
2025 年 10 月の Windows セキュリティ更新プログラム (KB5066835) をインストールする前に、スマート カード サービスのシステム イベント ログにイベント ID 624 が存在することを確認すると、スマート カードがこの問題の影響を受けるかどうかを検出できます。詳細については、次のリンクを参照してください: https://go.microsoft.com/fwlink/?linkid=2300823。問題が発生している場合は DisableCapiOverrideForRSA = 0 に設定する。
》 「中国の中流階級」が東京に大挙して移り住むようになった理由 (クーリエ・ジャポン, 10/17)。 元記事は How Tokyo become an unexpected haven for China's middle class (FT, 9/6) のようだ。 記事中で 潤日: 日本へ大脱出する中国人富裕層を追う (舛友 雄大 / 東洋経済) が参照されている。
Microsoft 2025.10 更新。 175 Microsoft CVE + 21 non-MS CVE。 いつもの倍くらいあるなあ。 CVE 番号が太字 なのは critical (最大深刻度: 緊急) 扱い。 (Security Update Guide から拾っています)
Copilot 関係は全て critical ですか……。
- .NET CVE-2025-55247
- .NET, .NET Framework, Visual Studio CVE-2025-55248
- Active Directory Federation Services CVE-2025-59258
- Agere Windows Modem Driver CVE-2025-24052 CVE-2025-24990
- AMD Restricted Memory Page CVE-2025-0033
- ASP.NET Core CVE-2025-55315
- Azure Connected Machine Agent CVE-2025-47989 CVE-2025-58724
- Azure Entra ID CVE-2025-59218 CVE-2025-59246
- Azure Local CVE-2025-55697
- Azure Monitor CVE-2025-55321
- Azure Monitor Agent CVE-2025-59285 CVE-2025-59494
- Azure PlayFab CVE-2025-59247
- Confidential Azure Container Instances CVE-2025-59291 CVE-2025-59292
- Connected Devices Platform Service (Cdpsvc) CVE-2025-55326 CVE-2025-58719 CVE-2025-59191
- Copilot CVE-2025-59252 CVE-2025-59272 CVE-2025-59286
- Data Sharing Service Client CVE-2025-59200
- Games CVE-2025-59489
- GitHub CVE-2025-59288
- Inbox COM Objects CVE-2025-58730 CVE-2025-58731 CVE-2025-58732 CVE-2025-58733 CVE-2025-58734 CVE-2025-58735 CVE-2025-58736 CVE-2025-58738 CVE-2025-59282
- Internet Explorer CVE-2025-59295
- JDBC Driver for SQL Server CVE-2025-59250
- Microsoft Brokering File System CVE-2025-48004 CVE-2025-59189
- Microsoft Configuration Manager CVE-2025-55320 CVE-2025-59213
- Microsoft Defender for Linux CVE-2025-59497
- Microsoft Edge (Chromium-based) CVE-2025-11205 CVE-2025-11206 CVE-2025-11207 CVE-2025-11208 CVE-2025-11209 CVE-2025-11210 CVE-2025-11211 CVE-2025-11212 CVE-2025-11213 CVE-2025-11215 CVE-2025-11216 CVE-2025-11219 CVE-2025-11458 CVE-2025-11460
- Microsoft Exchange Server CVE-2025-53782 CVE-2025-59248 CVE-2025-59249
- Microsoft Failover Cluster Virtual Driver CVE-2025-59260
- Microsoft Graphics Component (LibTIFF) CVE-2016-9535 CVE-2025-49708 CVE-2025-59195 CVE-2025-59205 CVE-2025-59261
- Microsoft Office CVE-2025-59227 CVE-2025-59229 CVE-2025-59234
- Microsoft Office Excel CVE-2025-59223 CVE-2025-59224 CVE-2025-59225 CVE-2025-59231 CVE-2025-59232 CVE-2025-59233 CVE-2025-59235 CVE-2025-59236 CVE-2025-59243
- Microsoft Office PowerPoint CVE-2025-59238
- Microsoft Office SharePoint CVE-2025-59228 CVE-2025-59237
- Microsoft Office Visio CVE-2025-59226
- Microsoft Office Word CVE-2025-59221 CVE-2025-59222
- Microsoft PowerShell CVE-2025-25004
- Microsoft Windows CVE-2025-55701
- Microsoft Windows Codecs Library CVE-2025-54957
- Microsoft Windows Search Component CVE-2025-59190 CVE-2025-59198 CVE-2025-59253
- Microsoft Windows Speech CVE-2025-58715 CVE-2025-58716
- Network Connection Status Indicator (NCSI) CVE-2025-59201
- NtQueryInformation Token function (ntifs.h) CVE-2025-55696
- Redis Enterprise CVE-2025-59271
- Remote Desktop Client CVE-2025-58718
- Software Protection Platform (SPP) CVE-2025-59199
- Storport.sys Driver CVE-2025-59192
- TCG TPM2.0 CVE-2025-2884
- Virtual Secure Mode CVE-2025-48813
- Visual Studio CVE-2025-54132 CVE-2025-55240
- Windows Ancillary Function Driver for WinSock CVE-2025-58714 CVE-2025-59242
- Windows Authentication Methods CVE-2025-59275 CVE-2025-59277 CVE-2025-59278
- Windows BitLocker CVE-2025-55330 CVE-2025-55332 CVE-2025-55333 CVE-2025-55337 CVE-2025-55338 CVE-2025-55682
- Windows Bluetooth Service CVE-2025-58728 CVE-2025-59289 CVE-2025-59290
- Windows Cloud Files Mini Filter Driver CVE-2025-55336 CVE-2025-55680
- Windows COM CVE-2025-58725
- Windows Connected Devices Platform Service CVE-2025-58727
- Windows Core Shell CVE-2025-59185 CVE-2025-59244
- Windows Cryptographic Services CVE-2025-58720
- Windows Device Association Broker service CVE-2025-50174 CVE-2025-55677
- Windows Digital Media CVE-2025-50175 CVE-2025-53150
- Windows DirectX CVE-2025-55678 CVE-2025-55698
- Windows DWM CVE-2025-55681 CVE-2025-58722
- Windows DWM Core Library CVE-2025-59254 CVE-2025-59255
- Windows Error Reporting CVE-2025-55692 CVE-2025-55694
- Windows ETL Channel CVE-2025-59197
- Windows Failover Cluster CVE-2025-47979 CVE-2025-59188
- Windows File Explorer CVE-2025-58739 CVE-2025-59214
- Windows Health and Optimized Experiences Service CVE-2025-59241
- Windows Hello CVE-2025-53139
- Windows High Availability Services CVE-2025-59184
- Windows Hyper-V CVE-2025-55328
- Windows Kernel CVE-2025-50152 CVE-2025-55334 CVE-2025-55679 CVE-2025-55683 CVE-2025-55693 CVE-2025-55699 CVE-2025-59186 CVE-2025-59187 CVE-2025-59194 CVE-2025-59207
- Windows Local Session Manager (LSM) CVE-2025-58729 CVE-2025-59257 CVE-2025-59259
- Windows Management Services CVE-2025-59193 CVE-2025-59204
- Windows MapUrlToZone CVE-2025-59208
- Windows NDIS CVE-2025-55339
- Windows NTFS CVE-2025-55335
- Windows NTLM CVE-2025-59284
- Windows PrintWorkflowUserSvc CVE-2025-55331 CVE-2025-55684 CVE-2025-55685 CVE-2025-55686 CVE-2025-55688 CVE-2025-55689 CVE-2025-55690 CVE-2025-55691
- Windows Push Notification Core CVE-2025-59209 CVE-2025-59211
- Windows Remote Access Connection Manager CVE-2025-59230
- Windows Remote Desktop CVE-2025-58737
- Windows Remote Desktop Protocol CVE-2025-55340
- Windows Remote Desktop Services CVE-2025-59202
- Windows Remote Procedure Call CVE-2025-59502
- Windows Resilient File System (ReFS) CVE-2025-55687
- Windows Resilient File System (ReFS) Deduplication Service CVE-2025-59206 CVE-2025-59210
- Windows Routing and Remote Access Service (RRAS) CVE-2025-55700 CVE-2025-58717
- Windows Secure Boot CVE-2025-47827
- Windows Server Update Service CVE-2025-59287
- Windows SMB Client CVE-2025-59280
- Windows SMB Server CVE-2025-58726
- Windows SSDP Service CVE-2025-59196
- Windows StateRepository API CVE-2025-59203
- Windows Storage Management Provider CVE-2025-55325
- Windows Taskbar Live CVE-2025-59294
- Windows USB Video Driver CVE-2025-55676
- Windows Virtualization-Based Security (VBS) Enclave CVE-2025-53717
- Windows WLAN Auto Config Service CVE-2025-55695
- Xbox CVE-2025-53768
- XBox Gaming Services CVE-2025-59281
0-day は以下だそうです。
Cert CC: CVE-2025-2884 Out-of-Bounds read vulnerability in TCG TPM2.0 reference implementation (Microsoft, 2025.10.14)。Windows 11 22H2〜 / Server 2022 23H2 / Server 2025 のみ。
- JVNDB-2025-007201 TCG TPM2.0 のリファレンス実装に境界外読み込みの脆弱性 (JVN, 6/18)
Trusted Platform Module (TPM) 2.0 のリファレンス実装コード Revision 1.83、1.59 あるいは 1.38 を使用して実装したファームウェアを搭載した TPM 2.0 製品- Out-of-Bounds read vulnerability in TCG TPM2.0 reference implementation Vulnerability Note VU#282450 (CERT/CC, 2025.06.10)
Windows Agere Modem Driver Elevation of Privilege Vulnerability New CVE-2025-24052 (Microsoft, 2025.10.14)。「third party Agere Modem driver that ships natively with supported Windows operating systems」。 情報公開のみ。
MITRE CVE-2025-47827: Secure Boot bypass in IGEL OS before 11 New CVE-2025-47827 (Microsoft, 2025.10.14)。 攻略済み。
Windows Remote Access Connection Manager Elevation of Privilege Vulnerability New CVE-2025-59230 (Microsoft, 2025.10.14)。攻略済み。
Windows Agere Modem Driver Elevation of Privilege Vulnerability New CVE-2025-24990 (Microsoft, 2025.10.14)。攻略済み。
不具合情報
Windows回復環境でマウスとキーボードが動作しない不具合。2025年10月のWindows Update後に発生。Windows11 25H2 / 24H2にて。KB5067039が原因。回避策あり [Update 1] (ニッチなPCゲーマーの環境構築Z, 2025.10.17)
IISが正常に動作しない不具合。KB5066835 / KB5065789に起因。Windows11 24H2 / 25H2にて [Update 1: 修正] (ニッチなPCゲーマーの環境構築Z, 2025.10.17)
関連
【Windows11】 WindowsUpdate 2025年10月 不具合情報 - セキュリティ更新プログラム KB5066793 / KB5066835 ゲームの動画シーンが真っ赤になる不具合は今回も未修正 [Update 4] (ニッチなPCゲーマーの環境構築Z, 2025.10.17)
【Windows10】 WindowsUpdate 2025年10月 不具合情報 - セキュリティ更新プログラム KB5066791 サポート終了。継続使用する場合はESUの登録を (ニッチなPCゲーマーの環境構築Z, 2025.10.15)
あと、RDP Wrapper の rdpwrap.ini は 2025-10-16b 版が出ています。
2025.10.20 追記:
Windows 11、バージョン 24H2 の既知の問題と通知 (Microsoft, 2025.10.18)。一覧になってる。
IIS に接続できない (localhost に接続できない、HTTP/2.0 で接続できない) 件、まずはこういう対処だそうで:
この問題は、デバイスのインターネット接続、および最近の更新プログラム のインストールとデバイスの再起動のタイミングによって影響を受ける可能性があるさまざまな条件によって発生します。 このため、上記の更新プログラムをインストールしたにもかかわらず、一部の環境で観察されない可能性があります。 次の手順は、この問題が観察される環境で解決するのに役立ちます。
- 影響を受けるデバイスで、"Windows 設定" アプリで "Windows Update" を開きます。
- これは、スタート メニューを開き、「更新プログラムのチェック」と入力し、結果から右側に選択することで実現できます。
- [更新プログラムの確認] をクリックします。 更新プログラムのインストールを許可します。
- デバイスを再起動します。
- 注: 前の手順で更新プログラムがインストールされていない場合でも、デバイスを再起動してください。
これでも復旧しない場合は、KB5066835 / KB5065789 のアンインストール、 もしくは レジストリ設定でHTTP/2を無効化 することで回避、ということになるんですかね。
エンタープライズ環境の場合は、Known Issue Rollback (KIR) が提供されているので、これを適用することで回避できるそうで。
Windows 11 24H2、Windows 11 25H2、Windows Server 2025 KB5066835 251015_22001 既知の問題のダウンロード Rollback.msi (Microsoft)
Known Issue Rollback (KIR) のご紹介 (Inside SCCM / Intune Japan, 2022.02.12)
「Windows Recovery Environment (WinRE) で USB マウスとキーボードが動作しない」問題があり、これはまだ解決方法が示されていない。
こちらの件です: Windows回復環境でマウスとキーボードが動作しない不具合。2025年10月のWindows Update後に発生。Windows11 25H2 / 24H2にて。KB5067039 / KB5066835が原因。回避策あり [Update 2: Microsoftが不具合を認める] (ニッチなPCゲーマーの環境構築Z, 2025.10.19 更新)。 回避策が 2 つ提示されている。
Winre.wim を古いバージョンのものに置き換える。
マウスとキーボードを PS/2 コネクターに接続する。
Microsoft 2024.09 更新で対応された Windows Cryptographic Services Security Feature Bypass Vulnerability CVE-2024-30098 (Microsoft, 2024.07.09) に関して、
UPDATE: Starting with the October 2025 security updates, the fix will be enabled by default (DisableCapiOverrideForRSA set to 1) and the KSP will be used for RSA based certificates in the Smart Card Certificate Propagation service. If you discover applications relying on the old behavior, the DisableCapiOverrideForRSA registry key can be set back to 0 to switch back to auditing mode. The DisableCapiOverrideForRSA registry key will be removed in April 2026.Microsoft 2025.10 更新とともにデフォルト有効になった (DisableCapiOverrideForRSA = 1 になった) ことに伴うスマートカード認証の不具合が発生しているようで。
2025 年 10 月の Windows セキュリティ更新プログラム (KB5066835) をインストールする前に、スマート カード サービスのシステム イベント ログにイベント ID 624 が存在することを確認すると、スマート カードがこの問題の影響を受けるかどうかを検出できます。詳細については、次のリンクを参照してください: https://go.microsoft.com/fwlink/?linkid=2300823。問題が発生している場合は DisableCapiOverrideForRSA = 0 に設定する。
2025.10.21 追記:
Windows 回復環境 (WinRE) で USB キーボード・マウスが使えない件、 帯域外の累積的更新プログラム KB5070773 で修正されました。 Windows Update に流れているので適用しませう。
「KB5070773」が緊急公開、「WinRE」でUSBキーボード・マウスが機能しない問題を解決 (窓の杜, 2025.10.21)
Windows回復環境でUSB機器が動作しない不具合を修正。MS、KB5070773を緊急リリース。アップデート後、USBマウスやUSBキーボードが動作するように。Windows11 25H2 / 24H2 / Windows Server 2025にて (ニッチなPCゲーマーの環境構築Z, 2025.10.21)
》 ビル・ゲイツ特別寄稿: それでも気候変動対策に私が投資し続ける理由 (MIT Technology Review, 10/10)
》 ANAと米Joby、空飛ぶクルマのデモ飛行 万博で12分飛ぶ (AviationWire, 9/30)。N542JX、万博では ANA カラーになっていたのですね。 Joby S4 のページ では TOYOTA カラーの N542JX を見ることができます。
ANAHDとJobyは8月に、日本でのエアタクシーサービスの実現に向けて、合弁会社設立の検討を開始したと発表。2027年度以降、首都圏では東京都心と成田空港や羽田空港などを結ぶサービスを視野に入れておりはたして事業運行、成りますかねえ。
関連:
》 FCAS中止に備えたプランB、ドイツメディアはスウェーデンとの共同開発を勧告 (航空万能論 GF, 10/12)
》 ロシアの燃料不足、これが持続的な問題に発展するかどうかはウクライナ次第 (航空万能論 GF, 10/13)
》 日本人ルポライターが受けた、ウイグル「国家安全危害罪の疑い」取り調べの壮絶な実態 (ニューズウィーク日本版, 10/11)。 一九八四+四〇 ウイグル潜行 (西谷 格 / 小学館)。
》 中国レアアース輸出、9月に急減 3カ月連続の減少 (ロイター, 10/13)
中国、レアアースと関連技術の輸出制限強化へ-米中摩擦の火種再燃も (ブルームバーグ, 10/9)
米大統領、高関税で中国揺さぶり レアアース規制で対立再燃 (時事, 10/12)
中国、米の協議要請「保留」 レアアース規制巡り=USTR代表 (ロイター / ニューズウィーク日本版, 10/13)
》 ラトビア、ロシア人841人に退去命令 言語・安全審査の厳格化で (日経, 10/13)
米ニュースサイト、ポリティコによると、約3万人のロシア人が改正法の影響を受け、大半は条件を満たしたものの、約2600人が自発的にラトビアを出国。841人は期限内に必要書類を提出できなかったという。この記事っぽい: Latvia orders more than 800 Russian citizens to leave by mid-October (politico.eu, 10/10)
》 PCの物理破壊を外部委託→なぜかネット接続を検知 個人情報漏えいの可能性 「ぼんち揚」製造会社が謝罪 (ITmedia, 10/10)
ぼんちは3月12日、使用終了したPCの物理破壊によるデータ消去を伴う廃棄処分を外部業者に委託。しかし4月26日、そのうち1台のPCがWebに短時間接続したことを、セキュリティ監視ツールで検知した。ぼんちがこの事実を認識したのは6月2日で、その後に外部業者に事実確認を実施。結果、複数台のPCの廃棄状況が不明であることが9月1日に判明し、PC内の個人情報が漏えいした可能性があることが分かった。
》 日本政府、OpenAIに「著作権侵害行為」を行わないよう要請 Sora 2での“アニメ風動画”問題を受け (ITmedia, 10/10)
》 OpenSSH 10.2 Release Notes (OpenSSH, 10/10)。不具合修正。
いろいろ (2025.07.22) 7-Zip
7-Zip 25.00 には上記とは別に 2 件のセキュリティ修正が含まれていたことが明らかに。
》 映画『ネタニヤフ調書 汚職と戦争』ポスター&チラシ設置にご協力いただける方を募集します (株式会社トランスフォーマー / google docs)
お店や施設、オフィスなどご使用場所のジャンルは問いません。ポスター・チラシどちらかでも結構です。
送料含め費用は発生いたしませんので、ぜひお気軽にご連絡ください!関連:
映画サイトはこちら: 『ネタニヤフ調書 汚職と戦争』
イスラエルでは上映禁止『ネタニヤフ調書 汚職と戦争』より本編映像公開 (株式会社トランスフォーマー / YouTube)
出演者は全員イスラエル人、しかしイスラエル本国で上映禁止…「ネタニヤフ調書 汚職と戦争」本編映像&場面写真 (映画.com / Yahoo, 10/7)
》 公明党・斉藤鉄夫代表、自公連立政権「いったん白紙」 離脱方針表明 (日経, 10/10)。ついに来ましたね。 アベの時にやっておくべきでしたが。 関連:
公明、連立離脱へ 党首会談、自民と決裂―首相指名、不透明に (時事, 10/10)
斉藤氏は会談後の記者会見で「自公連立政権はいったん白紙にする。これまでの関係に区切りを付ける」と表明。国政選挙での協力解消も打ち出した。
自民に求めてきた企業・団体献金の規制強化や派閥裏金事件の真相解明などに関し、党首会談での回答が「不十分で残念だった」と理由を説明。「『政治とカネ』の基本姿勢に意見の相違があった」と断じた。
首相指名選挙での対応については「とても『高市早苗』と書くわけにはいかない」と明言した。公明は、斉藤氏に投票する方針だ。「首班指名、高市早苗と書けない」公明・斉藤鉄夫代表の会見冒頭全文 (朝日, 10/10)
自民党は戦々恐々…公明党「連立離脱」なら次の衆院選で93人が落選危機 (日刊ゲンダイ, 10/10)
円売り圧力「政治空白」で増幅 円153円台、急落の歯止め乏しく (日経, 10/8 18:08)。「8か月ぶりに153円台へ急落」。
ドル円相場 (表示期間6か月) (日経)
自民・高市総裁、行き過ぎた円安を誘発するつもりはない (ブルームバーグ, 10/9 22:20)。ようやく「口先介入(弱)」を発動した模様。
高市氏の発言を受け、為替市場で円は対ドルで一時152円14銭まで上昇したが、その後、再び円安が進んだ。午後3時のドルは152円後半、8カ月ぶり高値更新後に調整売り (ロイター, 10/10 15:33)
しかし、日中のドルの安値は152円半ばにとどまり、下げは限定的だった。ドルは前日海外市場で、自民党総裁選で勝利した高市早苗氏が「行き過ぎた円安を誘発するつもりはない」と発言したことが伝わると、152円前半まで下落したが、すぐに値を戻した。加藤財務相、進む円安に「足元で一方的、急激な動き」 市場を牽制 (朝日, 10/10)
「高市円安」の行方見極め、米政府閉鎖の長期化も懸念=来週の外為市場 (ロイター, 10/10)
》 高市早苗氏の“馬車馬”発言はガチだった? 総裁選公約に労働規制緩和を掲げ「働かせ放題」画策 (日刊ゲンダイ, 10/9)
実際、高市氏は総裁選公約に〈労働時間規制につき、心身の健康維持と従業者の選択を前提に緩和します〉と明確に掲げている。留保付きとはいえ、これまで国が「働き方改革」として推進してきた残業時間の上限規制とは真逆の考えがにじむ。関連:
総裁選公約 (高市早苗 総裁選特設サイト)
●成長投資と人材総活躍の環境づくり
(中略)
・労働時間規制につき、心身の健康維持と従業者の選択を前提に緩和します。ワークライフバランスの必要性及び重要性を前提とした政治を求める談話 (日本労働弁護団, 10/6)
高市氏の上記発言に対する批判について、「高市氏が自分自身と自民党所属議員に対して述べた決意にすぎない」、「一国の総理大臣になる予定の高市氏が覚悟を示したのは当然」といった意見が散見される。しかし、そうした意見は、一国の総理大臣となる者の発言を軽んじる意見である。
高市氏の上記発言における根本的問題は、同氏が「ワークライフバランス」という言葉を選択したことにある。「ワークライフバランス」、すなわち「仕事と生活の調和」は、労働契約法3条3項に労使ともに配慮すべき事項として挙げられる概念であり、長時間労働に対置されるものである。ゆえに、「ワークライフバランス」は、働く者にとって重要かつ必須の理念であり、これを「捨てる」という発言は、育児・介護など仕事と生活の調和を懸命に図ろうとしている労働者や企業、さらには、長時間労働に苦しんでいる当事者、そして、その家族に対しても、無配慮な言葉である。
Discord情報流出、顔写真約210万件と機密情報1.5TBを盗んだとハッカー声明 (Gadget Gate, 10/9)
Discordがユーザー7万人分の身分証明書画像やID・クレジットカード番号下4桁などが流出した可能性があることを発表 (gigazine, 10/9)
本件について詳しい情報を持つvx-underground氏は、具体的に不正アクセスを受けたサービスがZendeskであり、脅威アクターは運転免許証やパスポートの写真、合計1.5TB相当(218万5151枚)を入手したと報告しています。The Discord Hack is Every User’s Worst Nightmare (404media, 10/9)
In an email, a Zendesk spokesperson told 404 Media “Our investigation indicates this incident did not arise from a vulnerability within Zendesk's platform. Zendesk’s own systems were not compromised.” In messages with the infosec X account VX-Underground, the hackers reportedly said they compromised an outsourced support agent.Zendesk 本体ではなく外部のサポート会社がヤラレた、と Zendesk は主張している模様。
》 早大で約3400件の個人情報漏えい 氏名や顔写真にアクセスできる「IELTS」の成績証明書番号などを誤掲載 (ITmedia, 10/8)
》 “マウス”から盗聴するサイバー攻撃 米国チームが発表 ゲーミングマウスの高感度センサーを悪用 (ITmedia, 10/3)
NVIDIA GPU ドライバー
NVIDIA製GPUドライバーに8件の脆弱性、最大深刻度は「High」 (窓の杜, 2025.10.10)
Unity ランタイム
「Unity」ランタイムにリモート攻撃のおそれのある脆弱性、ゲーム開発者は対応を (窓の杜, 2025.10.08)
Oracle E-Business Suite 12.2.3 〜 12.2.14 に RCE を招く 0-day 欠陥 CVE-2025-61882。 広く攻撃されている。
CVE-2025-61882 is a vulnerability in the BI Publisher Integration component of Oracle Concurrent Processing within Oracle E-Business Suite. An unauthenticated attacker can send specially crafted HTTP requests to the affected component resulting in full system compromise. No user interaction is required.無認証の攻撃者が攻略 HTTP リクエストを送ることで完全にシステムを屈服させることが可能。対話的操作は不要。
関連:
Apply Oracle Security Alert CVE-2025-61882 for Oracle E-Business Suite (EBS) (Oracle Security Blog, 2025.10.05)。patch が出ているようです。
Oracle E-Business Suite Zero-Day Exploited in Widespread Extortion Campaign (Google, 2025.10.10)
CVE-2025-61882: Frequently Asked Questions About Oracle E-Business Suite (EBS) Zero-Day and Associated Vulnerabilities (tenable, 2025.10.05)
Oracle E-Business スイート RCEゼロデイ (FortiGuard Labs, 2025.10.08)、 Indicators of Compromise (FortiGuard Labs)
CVE-2025-61882: Critical 0day in Oracle E-Business Suite exploited in-the-wild (Rapid7, 2025.10.07)
CrowdStrike Identifies Campaign Targeting Oracle E-Business Suite via Zero-Day Vulnerability (now tracked as CVE-2025-61882) (CrowdStrike, 2025.10.06)
The first known exploitation occurred on August 9, 2025; however, investigations remain ongoing, and this date is subject to change.グーグルのオラクル製ソフト狙ったハッキング、被害顧客企業は100社超か (ロイター, 2025.10.10)
》 「マルチステークホルダー主義を支持する技術コミュニティ連合(TCCM)」 によるWSIS 20周年評価に関するゼロドラフトへの提出意見にJPNICも署名 (JPNIC, 10/6)
》 「Windows 11」のインストールはMicrosoftアカウント必須に--裏技ついに終了 (CNET, 10/8)、 Windows 11のセットアップ時にユーザーフォルダー名を指定する機能がようやく導入へ その代わりローカルアカウントを作成する方法は削除、Dev/Betaチャネルでテスト (窓の杜, 10/7)
》 東急田園都市線「衝突事故」を招いた10年前のミス 「ATC完備」なのに…万全なはずの安全対策に死角 (小佐野 景寿 / 東洋経済, 10/8)
この設定ミスは、2015年3月に梶が谷駅構内の改修を行った際に起きたという。効率的な運行ができるよう、下り2番線から引き込み線への列車の移動と、上り列車の3番線への進入を同時に可能にするため設備を改修したが、この際の設計に問題があった。
本来なら、回送列車が今回はみ出していた場所に列車がいる場合は3番線に入る列車が通れないよう信号の条件を設定しなくてはならない。だが、設計図である「連動図表」からこの条件が抜け落ちていたという。
これまで見落とされていたのは、今回の回送列車のように上りの3番線から引き込み線に入る列車が1日に1本しかないことも要因としてありそうだ。藤江部長によると、これまで今回と同種のトラブルは起きたことがなかったといい、「残念ながらそのリスクに気づけなかった」と語る。うわあ。まさに「10年バグ」だ。
関連: 東急脱線事故、回送電車運転の「見習い運転士」に心配の声「トラウマにならないといい」 事故原因は信号システムの問題 (JCAST / Yahoo, 10/7)。ほんとそれ。
》 LUUP、違反情報の共有を義務化 アカウント停止を厳格に (Impress Watch, 10/8)
従来は、警察が違反情報を事業者へ提供する際、取り締まり時に警察官がユーザーから同意を取得する必要があり、制度適用が部分的なものに留まっていた。今回の改定で、同意取得の主体を警察官からLuupへ、取得の場面を取り締まり時からサービス利用開始時へと変更し、Luupが違反情報を確実に取得できるようにする。
》 今月はAndroidのセキュリティパッチなし ~四半期ごとの大型修正へ移行 2025年10月のセキュリティ情報が公開 (窓の杜, 10/7)
》 人気テキストエディター「Notepad++」に脆弱性が指摘されるも、開発元は否定 (窓の杜, 10/8)
》 「高市トレード」で円安加速、注目集める政府・日銀の為替介入ライン (ブルームバーグ, 10/8)。こちらの方がよっぽど大きな危機なのだが。
》 アサヒGHDにサイバー攻撃、ハッカー集団の「Qilin」が犯行声明 (ブルームバーグ, 10/8)。関連:
サイバー攻撃によるシステム障害発生について (アサヒGHD、9/29)
サイバー攻撃によるシステム障害発生について(第2報) (アサヒGHD、10/3)
アサヒビール商品出荷状況について (アサヒGHD、10/7)。出荷中 / 出荷再開予定 / 新商品発売延期。
サントリー、「ザ・プレミアム・モルツ」限定2商品の発売中止…アサヒシステム障害の影響で (読売, 10/8)。「代替商品の注文を想定以上に受けており、対応に集中する」。
ビールなどの在庫が尽きるのを避けるため、 飲食店や小売店は、サントリーを含む他のビールメーカーに代わりの商品を発注している。
サントリーとサッポロビールはこうした注文に対応しきれず出荷調整を始めており、キリンビールも9日から調整を始めるとしているそりゃそうだよなあ、余剰能力なんてそうそう無いよなあ。
アサヒGHD サイバー攻撃の被害は甚大だ (読売, 10/8)
ASAHI-CSIRT アサヒグループサイバーセキュリティ対応チーム (日本シーサート協議会)
ASAHI-CSIRTは、アサヒグループジャパンDX統括部担当役員配下でグループ向けにインシデント対応等の支援を実施するアサヒグループジャパン(株)、アサヒビジネスソリューションズ(株)の共同チームとしております。各事業会社やシステムのPoCと連携してグループで発生したインシデントの被害を低減し、平時においてもセキュリティに関する最新の脅威や脆弱性等の情報を継続的に収集・分析し、適時・適切な予防策の実施をしております。アサヒGHDは対象外ということなのかなあ。
Chrome 141.0.7390.65/.66 (Windows / Mac) および 141.0.7390.65 (Linux) 公開。 3 件のセキュリティ修正を含む。関連:
Chrome for Android Update (Google, 2025.10.07) 。Chrome 141 (141.0.7390.70) for Android。
》 韓国の国家情報資源管理院で UPS の交換作業中に発火、全焼 (9/26)
韓国の国家情報資源管理院で火災、10時間後に鎮圧…「データ毀損の懸念で難航」 (中央日報, 9/27)
26日午後8時20分ごろ大田市儒城区花岩洞(ユソング・ファアムドン)情報管理院5階の電算室でリチウムイオンバッテリーの爆発で発生した火災が、約9時間50分後に鎮圧された。(中略) この火災でリチウムイオンバッテリー384個が全焼した。無停電電源装置(UPS)用のこれらバッテリーは一般的にラック(rack)形態でキャビネット形式で設置されている。火災で停止した韓国‘デジタル政府’…実質的に存在しなかったバックアップシステム(1) (中央日報, 9/29)
3年前の2022年10月にインターネット情報媒介サービス大手「カカオ」に大規模障害が発生した際、韓国政府は「災害があっても3時間以内に復旧できるシステムが構築されている」と明らかにしたが、誇張された発言だったことが今回露呈した。政府の電算システム災害対策は穴だらけだった。バックアップシステムは事実上存在しなかった。出火元は5階7-1電算室だ。(中略) 大規模クラウドシステムだ。今回の火災で、当該電算室内の電算機器740台とバッテリー384台が焼失した。火災で停止した韓国‘デジタル政府’…実質的に存在しなかったバックアップシステム(2) (中央日報, 9/29)
今回の火災の最初の発火地点は無停電電源装置(UPS)用リチウムイオン電池だ。公共機関のバッテリー管理問題も俎上に載せられた。該当バッテリーは2014年8月管理院に納品されたもので、使用年限の10年からすでに1年を過ぎている。バッテリーとサーバーが同じ空間に…韓国国家情報資源管理院、火災に打つ手ない「予告されたシャットダウン」 (中央日報, 9/29)
バッテリー業界によると、今回の火災は移設作業過程の管理ミスとする見方が優勢だ。移設作業中の電源遮断と復旧過程で過電流が流入したりバッテリー管理システム(BMS)が正常に稼動しなかった可能性があるという。(中略)
実際に韓国政府が移設を決めた理由も火災のリスクのためだった。国家情報資源管理院のイ・サンミン運営企画官は27日、「電算室内にサーバーとバッテリーが一緒にあるのは非常に危険なためこれら装備を地下に移す作業を進行中だった。事故が起きる前にバッテリーにあったケーブルを分離し電源を遮断したが、何らかの状況により火花が散り火災が起こったものと把握している」と話した。続けて「正確な原因は鑑識を通じて明らかになるだろう」と付け加えた。【社説】世界最高のはずが…1度の火災で露わになったデジタル政府の素顔=韓国 (中央日報, 9/29)
焼けた韓国災難安全システム…秋夕連休中の事故情報伝播に影響も (中央日報, 10/1)
<韓国国家情報資源管理院火災> 公務員12万人分の業務資料が丸ごと消えた…Gドライブ全焼 (中央日報, 10/2)
韓国行政安全部は2018年に「Gドライブ利用指針」を通じて使用を奨励してきたが、いざ災難状況に備えるための外部バックアップ体系は不十分だった。同部公共サービス局のイム・ジョンギュ局長は1日の対策本部のブリーフィングで「Gドライブは現在バックアップがなく、復旧が不可能な状況だ」と説明した。【社説】火災収拾中に次々と表れる韓国電子政府の実情 (中央日報, 10/3)
このほかにも人災が疑われる状況が多い。バッテリー推奨使用期限(10年)の交換勧告を黙殺した事実も明らかになり、バッテリー移転作業に零細通信設備業者のアルバイトが投入されたという証言までが出てきた。高度な安全が要求される作業を非専門業者と非熟練者に任せたとすれば明白な安全不感症だ。無停電電源装置(UPS)とリチウムイオンバッテリー移転過程で電気工事安全守則を守らなかった状況も表れた。国家電算網担当職員が投身死…「火災の捜査対象者ではなかった」 (中央日報, 10/3)
》 電動自転車バッテリー、国際線ターミナルで激しく燃える…機内持ち込み禁止で乗客から回収したもの (読売, 10/2)
》 証券口座乗っ取りの“STBが踏み台”報道がケーブルテレビ業界に波紋 問題は「ネット通販等で売られている管理されていない端末」 (ITmedia, 10/2)
》 「忌避レーザー搭載ドローン」で鳥インフル対策 NTT東などが千葉県で新たな試み (ITmedia, 10/2)
鳥獣が本能的に不快感を覚える光を照射することで(忌避レーザー)、ウイルスを保持した野鳥の鶏舎内への侵入を防ぐ。プレスリリースには商品名「鳥獣忌避装置「クルナムーブ」」が明記されている。
① 赤色と緑色のレーザー光は、目を守る習性が強い鳥獣(ハト・カラス・ムクドリ・シカなど)へ本能的な不快感を与えることから忌避効果を発揮します
② ランダムに動くレーザー光に鳥獣が慣れにくい特性を活かし、継続的に照射することで「危険」と認識させ、養鶏場への飛来を防止しウイルス侵入リスクの低減に寄与します
さらに、スペックルノイズ(ちらつき)によってレーザー光へランダムな揺らぎを加えることで、忌避効果の持続性が高まります関連: 鳥獣被害対策 ~クルナレーザーによる~ (一般社団法人 地域総研, 2024.01.26)
》 「NHK ONE」登録不具合が解消 原因は「新規ドメインからの大量送信」 (ITmedia, 10/2)
》 「ドラゴンボール」「NARUTO」もそっくり再現 Sora 2使った日本のアニメ風動画がXに続々 自民・塩崎衆院議員は「重大な問題」と指摘 (ITmedia, 10/2)
なお、「野放し」ともいえる日本のIPに対して、「ディズニー」や「マーベル」などの米国キャラクターはSora 2で出力できないようだ。「(日本のコンテンツは)足元を見られているのでは」といった声も上がっているが、米Wall Street Journalによる9月29日(現地時間)の報道によれば、Sora 2は「著作権者がオプトアウト(除外)を申請しない限り、著作物を含む動画を生成できる仕様」であり、OpenAIは一部のスタジオやタレント事務所に対し、Sora 2の公開前にオプトアウト手続きの通知を送ったという。OpenAI が送ったという「一部のスタジオやタレント事務所」とはどこなのか (どこではないのか) が問題であろ。
》 DDoS攻撃、ランサムウェア被害のインシデント報告様式を統一し、被害組織の報告負担軽減へ。国家サイバー統括室 (Internet Watch, 10/2)、 サイバー攻撃による被害発生時のインシデント報告様式の統一について (国家サイバー統括室, 10/1)。Excel ファイルが用意されている。
》 メールで国勢調査の回答を依頼することは「絶対にありません」。届いたらそれは詐欺、即ゴミ箱へ! (Internet Watch, 10/3)
》 「長距離無線LAN」は日本国内でも活躍していた。いったいどんな場所で使われているのか? (Internet Watch, 10/1)。バッファロー製品も実績あるよ話。
TP-Linkの製品がもとより長距離接続の専用機として設計・提供されているものだったのに対し、今回紹介するバッファローの製品は長距離専用機というわけではない。屋外対応の無線LANアクセスポイントに、接続する距離やカバーする範囲などのニーズに応じて、オプションのアンテナを組み合わせて設置するかたちだ。
》 Gmail、POPのサポートを2026年1月に終了へ。海外のGmailユーザーへ順次案内中 (やじうま Watch, 10/2)。おぅ。
》 警察庁、新たにネット銀行4行と特殊詐欺やSNS型投資・ロマンス詐欺の被害拡大防止を目的とした「情報連携協定書」締結 (Internet Watch, 10/1)
NVIDIA 「NVIDIA アプリ」
「NVIDIA アプリ」に特権昇格の脆弱性 ~セキュリティアドバイザリが公開 v11.0.5.245への更新を (窓の杜, 2025.10.02)
Chrome 141.0.7390.54 (Linux) および 141.0.7390.54/55 (Windows / Mac) が stable になった件。セキュリティ更新が 21 件ありました。
リリース当初は脆弱性修正がアナウンスされていなかったが、のちにGoogleがリリースノートを更新した。詳細はこちら: Chrome Stable Channel Update for Desktop (Google, 2025.09.30)。$25000 なんてのも含まれている。
[$25000][442444724] High CVE-2025-11205: Heap buffer overflow in WebGPU. Reported by Atte Kettunen of OUSPG on 2025-09-02関連:
Chrome for Android Update (Google, 2025.09.30)。Chrome 141 (141.0.7390.43) for Android。
》 [clamav-users] ClamAV 0.103 past end of life for signature updates (ClamAV, 10/1)。 ClamAV 0.103 のサポート自体は 2024.09.14 で EOL になっている のだが、シグネチャ更新についても 2025.09.30 で EOL になったと。
》 「NHK ONE」早々のトラブルにSNSでは「やっぱり」 “移行期間なし”に疑問の声 (ITmedia, 10/1)
》 サイバー攻撃受けたアサヒグループ、新商品が発売延期に ミンティアや1本満足バー、三ツ矢サイダーなど (ITmedia, 10/1)
》 富士通ゼネラル、商号を「ゼネラル」に 41年ぶり旧社名へ回帰 26年1月から (ITmedia, 10/1)。ナショナルも復活してください。
》 非実在キャラの「合意」とは? Blueskyの新しいコミュニティガイドラインがいろいろと波紋 (Internet Watch, 9/24)。関連:
Bluesky コミュニティガイドライン(日本語訳) (フィーナビ!, 9/19更新)。これか:
未成年者や未成年を思わせるキャラクターを性的に描写したり、搾取するコンテンツ(実写、合成、イラスト、アニメーションを含む)の作成、共有、宣伝は許可されません。i.適切にラベル付けされ、年齢制限が適用される場合に限り、合意ある成人の性的コンテンツ(フィクション表現を含む)は許容されます。
ii.非同意の性行為に関する性的コンテンツ(実写・合成・イラスト・アニメを含む)は許可しません。未成年に見える、同意が無いように見える、 と駄目ですよと。なかなかに厳しい。
》 教員盗撮グループで6人目、都内の小学校教諭を容疑で逮捕「教員になり児童ポルノ収集」「自分も盗撮」 (読売, 10/1)。 「チャットには教員10人近くが参加していたとみられ」。 まだまだいるのか……。
》 出場辞退にまで発展したアーチェリー選手間の誹謗中傷についてー東京地裁令和6年8月6日判決ー (田本伸雄/弁護士 / note, 9/28)
(2) 令和3年1月2日、5日
小野寺選手のブログに対する誹謗中傷の投稿(本件投稿1,2)
(※実際は令和元年12月15日にも、同様の投稿がされていた模様)
(2) 令和3年3月9日
小野寺選手において、発信者情報開示手続開始
(3) 令和4年5月20日
開示の認容判決(→6月7日に氏名、住所等開示。重定選手、と判明)で、8/6 に判決です。実際に、このくらいの時間経過になるのですね。
(2)不法行為の個数について
実務的にはよく問題となる、不法行為の個数ですが、裁判所は、12日の投稿1と15日の投稿2について、別個独立のもの、と認定しました。投稿1について30万円、投稿2について50万円の合計80万円と認めています。 事案の特質性もありますが、相場に比べて割と高いな、、、普通の事案でもこれくらい認めてくれよ、、という印象はあります。「割と高い」で 80 万円なのですね。
》 セキュアブート署名切れに備えた「Rufus 4.10」が公開 ~無料のブータブルUSB作成ツール (窓の杜, 10/1)
「Windows UEFI CA 2023」は (中略) 「セキュアブート」で用いられる証明書の一つ。セキュアブートのソフトウェア検証に用いられている証明書のなかには2026年6月以降、期限切れを迎えるものが出てくるため、「Windows UEFI CA 2023」への更新が必要となることがある。
》 Chrome Stable Channel Update for Desktop (Google, 9/30)。Chrome 141.0.7390.54 (Linux) および 141.0.7390.54/55 (Windows / Mac) が stable に。
セキュリティ更新は含まれない。関連: Chrome for Android Update (Google, 9/30)。Chrome 141 (141.0.7390.43) for Android。
Firefox 143.0 / 140.3.0 ESR / 115.28.0 ESR、Thunderbird 143.0 / 140.3.0esr 公開 (2025.09.19)
出てます。
Firefox 143.0.3、Firefox for Android 143.0.3 がリリースされた (mozillaZine, 2025.10.01)。セキュリティ修正 2 件を含む。
Thunderbird 140.3.1esr がリリースされた (mozillaZine, 2025.10.01)。こちらはセキュリティ修正は無い。
いずれも FontParser CVE-2025-43400 の修正のみ。 tvOS と watchOS も更新されたけど、そちらは影響ないそうです。
全体
Apple security releases (Apple)
iOS / iPadOS
About the security content of iOS 26.0.1 and iPadOS 26.0.1 (Apple, 2025.09.29)
About the security content of iOS 18.7.1 and iPadOS 18.7.1 (Apple, 2025.09.29)
visionOS
About the security content of visionOS 26.0.1 (Apple, 2025.09.29)
macOS
About the security content of macOS Tahoe 26.0.1 (Apple, 2025.09.29)
About the security content of macOS Sequoia 15.7.1 (Apple, 2025.09.29)
About the security content of macOS Sonoma 14.8.1 (Apple, 2025.09.29)
OpenSSL 3.5.4 / 3.4.3 / 3.3.5 / 3.2.6 / 3.0.18 / 1.1.1zd / 1.0.2zm 登場。 OpenSSL Security Advisory [30th September 2025] 記載の欠陥を修正。
Out-of-bounds read & write in RFC 3211 KEK Unwrap (CVE-2025-9230) (Moderate)
Timing side-channel in SM2 algorithm on 64 bit ARM (CVE-2025-9231) (Moderate)
OpenSSL 3.1 以前にはこの欠陥は存在しない。
Out-of-bounds read in HTTP client no_proxy handling (CVE-2025-9232) (Low)
OpenSSL 1.1 以前にはこの欠陥は存在しない。
iida さん情報ありがとうございます。