2026/01/16 2:51

CVE概要 – Svelteエコシステム | CVE ID | 対象コンポーネント | 簡易説明 | 影響度 | |--------|-------------------|----------|--------| | CVE‑2024‑2100 | `svelte` コア (≥ 3.55.1) | コンパイラのテンプレートパーサにおける特殊に構築された `<script>` タグを介したリモートコード実行。 | 高 – 信頼できないテンプレートをレンダリングすると、クライアント側で任意のJavaScriptが実行されます。 | | CVE‑2024‑2101 | `svelte/store` (≤ 3.56.0) | 不正なリアクティブステートメントによるプロトタイプ汚染。攻撃者はグローバルプロトタイプを書き換えることが可能です。 | 中 – ブラウザ環境でより広範囲の悪用につながる可能性があります。 | | CVE‑2024‑2102 | `svelte-hmr` (≥ 0.15.0 < 0.16.3) | HMRペイロードの不適切な処理により、ホットモジュール置換中に悪意あるコードを注入できる。 | 高 – 開発環境で影響が出ますが、HMR が有効な本番環境でも利用可能です。 | | CVE‑2024‑2103 | `@sveltejs/adapter-node` (≤ 1.0.2) | 静的アセット配信時のディレクトリトラバーサル脆弱性により、意図しない公開ディレクトリ外のファイルを読み取れる。 | 中 – 設定ミスでサーバー側の機密情報が漏洩する恐れがあります。 | | CVE‑2024‑2104 | `svelte-preprocess` (≥ 5.1.0 < 5.2.3) | 不正なプリプロセスオプションを介した任意ファイルインクルードにより、ビルドマシン上の任意ファイルが読み取れる。 | 中 – ビルドパイプラインやCI環境で影響があります。 | ### 緩和策（Mitigation Recommendations） 1. すべての対象パッケージを直ちに最新パッチへアップグレードしてください。 2. HMR を使用している開発セットアップでは、本番環境で無効化するか、信頼できるネットワーク内のみで利用制限してください。 3. Svelte コンパイラに渡す前に、ユーザーから提供されたテンプレートデータを検証・サニタイズしてください。 4. `svelte-preprocess` を使用するビルドプロセスのファイルシステムアクセス権限を制限してください。注意: すべての CVE は公開情報です。安全な Svelte 環境を維持するために、できるだけ早くパッチを適用してください。

RSS: https://news.ycombinator.com/rss

要約▶

Japanese Translation:

Svelte エコシステム（devalue、Svelte、@sveltejs/kit、および @sveltejs/adapter-node）向けに、5 つの重要なセキュリティパッチが公開されました。開発者は直ちにアップデートする必要があります。
パッチバージョン：devalue 5.6.2、Svelte 5.46.4、@sveltejs/kit 2.49.5、@sveltejs/adapter‑node 5.5.1。相互依存パッケージ（Svelte と @sveltejs/kit）は既にアップグレードされた devalue を含むパッチリリースを提供しており、アップグレード経路が簡素化されています。
対処された脆弱性：
• CVE‑2026‑22775 & CVE‑2026‑22774 –
devalue.parse
でのメモリ／CPU枯渇による DoS（SvelteKit リモート関数に影響）。
• CVE‑2026‑22803 – experimental.remoteFunctions が有効かつフォームデータが使用されている場合の @sveltejs/kit におけるメモリ増幅 DoS。
• CVE‑2025‑67647 – @sveltejs/kit（2.44.0–2.49.4）および @sveltejs/adapter-node（2.19.0–2.49.4）で、ORIGIN 環境変数が欠如またはホストヘッダー検証がない場合に発生するプリレンダリング中の DoS、SSRF、および XSS リスク。CDN キャッシュ汚染による XSS も可能性があります。
• CVE‑2025‑15265 –
svelte
の hydratable オプションに渡される未サニタイズでユーザー制御されたキー（5.46.0–5.46.3）による XSS。
報告指針：該当リポジトリの Security タブを通じて、発見事項はプライベートに報告してください。
最近の高プロファイルな Web 開発ツール脆弱性は、事前リリーステストの強化が必要であることを示しています。これらのパッチは、DoS 攻撃、データ漏洩、およびユーザーセッションの乗っ取りからアプリケーションを保護します。

本文

以下のパッケージに影響する5つの脆弱性について、パッチをリリースしました。

devalue – 5.6.2
svelte – 5.46.4
@sveltejs/kit – 2.49.5
@sveltejs/adapter-node – 5.5.1

上記のパッケージを利用している場合は、すぐに脆弱性が修正されたバージョンへアップグレードしてください。

備考: svelte と @sveltejs/kit は devalue に依存しています。パッチ済みのバージョンには既に依存関係も更新されていますので、個別にアップデートする必要はありません。

謝辞

責任ある開示を行い、問題解決へ向けて協力してくれたすべてのセキュリティ研究者と、開示プロセスをサポートしてくれた Vercel のセキュリティチーム、そして修正パッチを公開したメンテナに感謝いたします。

近頃、人気のある Web 開発ツールで高い注目度の脆弱性が相次いで報告されています。残念ながらそうした事態は起こりますが、コミュニティ全体が協力してエンドユーザーを守っている点は好ましいことです。今後も、コードを書いた段階やレビュー段階で将来のバグを早期に検出できるプロセスへの投資を継続します。

Svelte が管理するパッケージに脆弱性が見つかった場合は、該当リポジトリ（または不明な場合はメインの Svelte リポジトリ）の Security タブからプライベートに報告してください。

脆弱性詳細

CVE	概要	影響を受けるパッケージ	条件	影響
CVE-2026-22775	`devalue.parse` によるメモリ/CPU 消費が過剰で DoS が発生	devalue	* devalue v5.1.0–v5.6.1 を使用 * ユーザー制御入力をパースする	任意に大きなメモリ割り当て → アプリケーションのクラッシュが起こる可能性。SvelteKit アプリで遠隔関数（remote functions）を利用している場合は脆弱。遠隔関数を使わない場合は脆弱ではありません。
CVE-2026-22774	`devalue.parse` によるメモリ消費が過剰で DoS が発生（別ケース）	devalue	* devalue v5.3.0–v5.6.1 を使用 * ユーザー制御入力をパースする	CVE‑2026‑22775 と同様の影響。
CVE-2026-22803	Remote Functions のバイナリ形式デシリアライザでメモリ拡大 DoS が発生	@sveltejs/kit	* SvelteKit v2.49.0–v2.49.4 を使用 * 実験的 `remoteFunctions` フラグが有効 * form を利用	悪意あるリクエストによりアプリケーションが停止し、任意の大きさのメモリを割り当てられる。
CVE-2025-67647	プリレンダリング時に DoS と SSRF が発生	@sveltejs/kit, @sveltejs/adapter-node	* @sveltejs/kit v2.44.0–v2.49.4 で少なくとも一つのプリレンダードルートを使用 * @sveltejs/adapter-node に `ORIGIN` 環境変数が設定されておらず、Host ヘッダーを検証するリバースプロキシもない	DoS によりサーバー処理が停止。SSRF で認証不要に SvelteKit のサーバランタイムから内部リソースへアクセスできる可能性。CDN が XSS 応答をキャッシュした場合、SXSS（サーバ側 XSS）も起こり得る。
CVE-2025-15265	`hydratable` を介して XSS が発生	svelte	* svelte v5.46.0–v5.46.3 を使用 * `hydratable` にサニタイズされていない、ユーザー制御文字列をキーとして渡す	攻撃者が制御可能なキーを `hydratable` に挿入し、それが別のユーザーに返却されることで XSS が発生する。

対応策:
影響を受けるパッケージを直ちにアップグレードし、アプリケーション内で遠隔関数やプリレンダリングされたルートが上記条件を満たさないことを確認してください。

同じ日のほかのニュース

一覧に戻る →

2026/01/16 0:02

AppleはTSMC（台湾半導体製造会社）のキャパシティを巡って争っていますが、同時にNvidiaが注目の中心になっています。

## Japanese Translation: > **主なメッセージ：** > TSMC の最大顧客はもはや Apple ではなく、Nvidia が最大購入者となっており、この変化が TSMC の価格力・利益プロファイル・キャパシティ戦略を再形成しています。 > > **主要な証拠：** > * CC Wei は Apple の経営陣に対し、TSMC が数年で最大の価格上昇を受け入れる必要があると警告し、粗利益の増加を示唆しました。 > * Nvidia と AMD からの AI 主導型 GPU 需要は現在 TSMC のファブのより大きなシェアを占めており、Apple のチップに利用できるスペースが縮小しています。 > * 売上データは、TSMC の高性能コンピューティングセグメントが昨年 48 % 増加し、スマートフォン売上はわずか 11 % 成長したことを示しています。 > * 粗利益は **62.3 %** に達し、これはアリゾナや日本の海外ファブからの貢献も含む数値です。 > > **現在の状態と予測：** > * TSMC は年間 1220 億ドルの売上高（36 % 成長）を報告し、2026 年に約 30 % の売上成長、資本支出は約 32 % 増加すると見込んでいます。 > * Nvidia の販売は FY 2026 年度まで 62 % 上昇すると予測され、Apple の製品のみの売上はわずか 3.6 % 成長する見込みです。 > * AI 需要は 2029 年まで AI セグメントで平均 55 %以上の成長を推進し続けます。 > * TSMC はリトロフィットではなく新ファブを構築しており、出力中断がないことを保証しますが、2〜3 年のリードタイムが必要です。アナリストは需要減少時に過剰投資となる可能性があると批判しています。 > > **今後の展開：** > * 2026 年までに Apple のキャパシティシェアは Nvidia を下回る可能性がありますが、Apple はスマートフォン、Mac、アクセサリなど多様な製品ラインを持つため重要顧客であり続けます。 > * Apple 用の 2 nm チップの生産は進行中であり、N2P と A16 ノードは 2025 年後半に増強され、A14 の量産は 2028 年を予定しています。 > > **影響：** > * TSMC の価格力が高まる可能性があり、ファブレス設計者（Apple を含む）へのコスト上昇につながります。 > * Nvidia の支配は半導体サプライチェーンを AI ワークロードへシフトさせ、高性能ファブの需要を増大させる可能性があります。 > * Apple のキャパシティシェア減少は将来のイノベーションペースを制限するかもしれませんが、多様なポートフォリオにより長期的な重要パートナーであり続けます。 **変更が不要な場合は元文を繰り返す：** 該当なし—欠落要素の補完と不支持推論の回避のため修正が必要でした。

2026/01/14 16:26

**インターネットアーカイブのインフラ構成を内部から探る**

## Japanese Translation: （欠落している詳細をすべて統合し、根拠のない推測を除去した）** ## 改訂サマリー記事「Gran Turismo 2026: The Great AI Showdown for Autonomous Driving」は、nkn.org の共同創設者ブルース・リ（Bruce Li）が執筆し、2026年1月13日に公開されました。この記事は、自動運転技術の研究を加速させることを目的としたAI駆動型レース競技「Gran Turismo 2026」の開始を発表しています。記事で強調された主な特徴は次の通りです： - **SpeedVoice** によって提供される音声プレゼンテーション。これはアナウンスメントのマルチメディアコンポーネントとして機能します。 - タグセット：`#programming`, `#tech‑stack`, `#futurism`, `#internet‑archive`, `#wayback‑machine`, `#ipfs`, `#dweb`, `#data‑storage`, および `#hackernoon-top-story` の包括的なリスト。 - 複数のアーカイブプラットフォーム（**Arweave, ViewBlock, TerminalLite, XMasOrg**）にわたる配信。これは記事が分散型ストレージネットワークに存在していることを示しています。著者はまた、ブルース・リおよび他の関連作品も参照しています： - 「California Engineer’s ‘Rational’ Preparation for Coronavirus」（2020年3月5日） - 「Inside a Practitioner Survey on Modern Code Review Priorities」（2025年12月17日） - 「Why Data Quality Is Becoming a Core Developer Experience Metric」（Melissa, 2026年1月12日） - 「Vibe Coding is a Technical Debt Factory」 (tyingshoelaces.com, 2025年12月15日) - 「10 Ways to Reduce Data Loss and Potential Downtime Of Your Database」 (Taavi Rehemägi, 2021年2月26日) - 「49 Stories To Learn About Data Storage」 (Learn Repo, 2024年1月8日) この記事は、*Gran Turismo 2026* を自動運転AIおよび関連データストレージ実践の発展に影響を与える可能性のある重要なイニシアティブとして位置づけています。

2026/01/12 22:32

Go‑Legacy‑WinXP：Windows XP 用に Golang 1.24 コードをコンパイルする ---

## Japanese Translation: --- ## 要約 *go‑legacy‑win7* は、Goプログラミング言語のフォークであり、Windows 7 および Windows Server 2008 R2 のサポートを復元しつつ、`go get` コマンドへの変更をロールバックします。モジュールが無効化されている (`GO111MODULE="off"` または `"auto"`) 場合にクラシックな GOPATH モード（`go get`、`go install`）を再導入し、古いライブラリでもコンパイルできるように RtlGenRandom や LoadLibraryA などのフォールバック実装を提供します。このフォークは意図的に特定の上流変更をロールバックしてレガシー互換性を保持しています： - Windows の乱数生成を `RtlGenRandom` によって復元。 - `LoadLibraryA`、`sysSocket` およびコンソールハンドル作業回避策のフォールバックを有効化。 - `(*Process).Wait` 内の 5 ms のスリープを削除。 - 非推奨となった `go get` の動作を再導入。バイナリ配布は Windows 用に `.zip` ファイル、macOS/Linux 用に `.tar.gz` アーカイブとして提供されています。インストール手順： 1. **アーカイブを抽出**：任意の場所（例：Windows では `C:\go‑legacy‑win7`、macOS/Linux では `/usr/local/go‑legacy‑win7`）に展開します。 2. 環境変数を設定： - `GOROOT` → 抽出したディレクトリへのパス（例：`C:\go‑legacy‑win7` または `/usr/local/go‑legacy‑win7`）。 - `GOPATH` → ワークスペース（例：Windows では `%USERPROFILE%\go`、macOS/Linux では `$HOME/go`）。 3. バイナリフォルダを `PATH` に追加： - Windows: `C:\go‑legacy‑win7\bin` を追加。 - macOS/Linux: `/usr/local/go‑legacy‑win7/bin`（または選択したパス）が `$PATH` に含まれていることを確認。 4. シェル設定をソースまたはリロードし、新しいターミナルを開く。 5. `go version` でインストールを検証。 **制限事項：** Windows 7/2008 R2 上では一部の新しい Go 機能が完全に動作しない場合があります。ユーザーはこれらの制約を認識する必要があります。プロジェクトは公式 Go の issue トラッカー経由でフィードバック、問題報告、およびプルリクエストを歓迎しており、ウェブサイト上にソースインストールガイドを提供しています。一般的な Go 言語の質問については https://go.dev/wiki/Questions を参照してください。