脆弱性最新情報、Google PixelやLinuxカーネルに脆弱性 - 確認を

8月15日(米国時間)、セキュリティ企業の「Cymulate」はMicrosoft Entra IDに脆弱性が存在すると報じた(参考：「Exploiting Pass-through Authentication Validation in Azure AD」)。脆弱性はオンプレミスではなくクラウド環境に存在し、攻撃者は同期されたADユーザーとしてログイン可能とされる。

この脆弱性は7月にMicrosoftに報告されているが修正時期は未定。そのため、Cymulateは多要素認証(MFA: Multi-Factor Authentication)の有効化を推奨している。
○Linuxカーネルに脆弱性

8月17日(米国時間)、LinuxカーネルのDirect Memory Access(DMA)に脆弱性が存在すると報告された。この脆弱性は「CVE-2024-43856」として追跡されており、dmam_free_coherent関数のDMAアロケーション解放処理の不具合とされる。

GitHubに投稿されたアドバイザリーによると、この脆弱性はDMAアロケーションの解放前にdevresエントリーを破棄することで解決された(参考：「In the Linux kernel, the following vulnerability has been... · CVE-2024-43856 · GitHub Advisory Database · GitHub」)。
（後藤大地）