署名の可変性を悪用し、攻撃者が検証済みGitHubコミットの複製を生成可能に
攻撃者はGitのコミット署名フォーマットにおける署名の可変性(signature malleability)を悪用することで、「検証済み(Verified)」とされたGitHubコミットを密かに複製できます。内容は同一でありながらバイト単位では異なるコミットを作成し、有効な署名を保持したまま、新しいハッシュ値のもとで
攻撃者はGitのコミット署名フォーマットにおける署名の可変性(signature malleability)を悪用することで、「検証済み(Verified)」とされたGitHubコミットを密かに複製できます。内容は同一でありながらバイト単位では異なるコミットを作成し、有効な署名を保持したまま、新しいハッシュ値のもとで
新たに発表された研究論文により、GitHubの「Verified」バッジはコミットハッシュが署名済みコンテンツを一意に識別することを保証しないことが明らかになりました。この事実は、ソフトウェアサプライチェーン全体でハッシュベースのセキュリティ制御を支えてきた根本的な前提を揺るがすものです。 Jacob Ginesin
PuTTYは2026年5月24日にバージョン0.84をリリースし、3件の確認済みセキュリティ脆弱性にパッチを適用しました。そのうち2件はSSH鍵交換のクラッシュに関するもの、1件はTelnetを悪用した認証情報なりすましを可能にするものです。 この開示はOracle SolarisのエンジニアであるAlan Coop
wolfSSL SSL/TLSライブラリの重大な脆弱性により、楕円曲線デジタル署名アルゴリズム(ECDSA)署名の検証時にハッシュアルゴリズムまたはそのサイズが不適切に検証されることで、セキュリティが低下する可能性があります。 研究者らは、攻撃者がこの問題を悪用して、対象のデバイスまたはアプリケーションに悪意のあ