Software Security

• OM Workspace（Windows版）のインストーラに、DLL読み込み時のファイル検索パス制御不備という脆弱性が確認されました。
• CVE-2026-26306として登録され、細工されたDLLを置き換えれば任意のコードを実行するリスクがあります。
• 基本値8.4と高い危惧性を示すため、最新インストーラへの更新が推奨されています。

画像編集ソフトであるOM Workspaceは個人ユーザーからプロフェッショナルまで広く利用されており、インストール時に行われる任意コード実行のリスクによりセキュリティ対策が必要です。

• SHA ピンによる依存管理の脆弱性が、Trivy の不正コード挿入インシデントによって浮き彫りになり、業界推奨アプローチへの疑問を投げかけられています。
• GitHub Actions はコミット SHA に基づく解決時にフォークからのオブジェクトも許可し、オーナーやレポジトリ名が明示されていてもセキュリティリスクが拡大していることが実証されました。
• コンテンツアドレスベースの SHAs の無制限な信頼は「セキュリティシアタ」に過ぎず、より堅牢な provenance チェックと人間可読性の高いタグ管理が必要です。

SHA ピンが提供される不透明な保証が、フォーク攻撃を招き依存関係の制御不能リスクを高めるという根本的な設計缺陷が浮き彫りになったためです。

• Apeman製「Apeman ID71」が複数の脆弱性を持つことを発表した。
• 認証情報の不十分な保護、CROSS-SITE scripting、および認証の欠如が存在する。
• 現在、開発者による対応情報はまだ確認されていない状態である。

ハードコードされた認証情報が遠隔で取得できたり、任意のスクリプトを実行されたりする重大なセキュリティリスクを抱えているため。