Security Research

• K000156741 は BIG-IP APM の脆弱性を表しており、元々は DoS で再分類されています。
• CVSS スコアが CVSS v3.1/4.0 でも 9.8/9.3 と極めて高レベルに上昇しました。
• この脆弱性の再分類は RCE として脅威評価を根本的に変容させた事実です。

DoS から RCE への脆弱性再分類は、攻撃範囲と影響度の質的重大変化を示します。これによりセキュリティ対策の優先順位が完全に逆転する可能性があります。

• 2026 年に Astrid Tech が公開した、Linux カーネルの kexec を使用して自身を再構成する悪意のあるスクリプト 'rkx' の分析記事。
• このスクリプトは根乗りを強制し、自らの cpioアーカイブとバイナリカーネルを含む RAM ディスクを作成し、kexec を呼び出して現在の OS に書き換える。
• 従来のスタック再帰の限界を超え、memcpy によるコピーオンライト方式でメモリ領域を置換する「クエイ」的かつ自己参照的な構文を持つ。

この実装は、OS 更新やローカリティ管理において、従来のブートストラップフローに潜む脆弱性を浮き彫りにし、再帰的自己書き換えの安全な実装可能性を示唆する。

• VoIP と WebRTC の意図的に脆弱な実験環境 DVRTC が発表され、攻撃手法のデモが提供されている。
• Kamailio, Asterisk, rtpengine, coturn などのコンポーネントが構成され、SIP 列挙や弱密码解法等を実行可能に設定されている。
• web app セキュリティ分野での DVWA に相当するテストセットとして機能し、具体的な練習問題とライブインスタンスが公開された。

VoIP/WebRTC の脆弱性実験環境の不足を埋める初めての取り組みであり、実際の攻撃シナリオを学習するための重要なリソースとなる。

• 研究家が Piezo-electric BBQ Igniter を利用して、ラップトップの DDR バス上でハードウェアフォルトを注入し成功した。
• その手法は、特定のビットを不安定にすることで CPython のメモリ構造を読み書きし、ローカル権限昇格を可能にした。
• 低予算かつ簡易的な装置で実現可能な新しいハードウェア脆弱性利用法の具体例を提供している。

低コストの EMFI デバイスを用いた実質的なエクスプロイト手法が示され、一般ユーザーや開発者がハードウェア脆弱性を容易に活用できるようになった.