Day: February 27, 2025

Gradle の脆弱性 CVE-2025-27148 が FIX:macOS の旧バージョンが危険

Gradle Build Automation Tool Vulnerable to Privilege Escalation (CVE-2025-27148)

2025/02/27 SecurityOnline — ソフトウェア・アプリケーションの構築/テスト/デプロイに使用される、人気の OSS 自動ビルド・ツール Gradle に、セキュリティ上の脆弱性が発見された。この脆弱性 CVE-2025-27148 (CVSS:8.8) の悪用に成功したローカル攻撃者は、侵害したシステム上での権限昇格の可能性を手にする。

Continue reading “Gradle の脆弱性 CVE-2025-27148 が FIX:macOS の旧バージョンが危険”

CrowdStrike の 2025 Global Threat Report:高度化する犯罪グループを数値で分析する

Unpatched Vulnerabilities Attract Cybercriminals as EDR Visibility Remains Limited

2025/02/27 gbhackers — CrowdStrike 2025 Global Threat Report によると、サイバー攻撃者たちの集団は、合法的なビジネスの業務効率を模倣し、高度に組織化されたプロ組織へと進化している。このレポートが強調するのは、2024年のサイバー脅威の状況が大きく変化し、高度な戦術を採用する攻撃者が、GenAI などの最新テクノロジーを活用して、そのアクティビティを拡大している状況である。

Continue reading “CrowdStrike の 2025 Global Threat Report:高度化する犯罪グループを数値で分析する”

Ping Identity の脆弱性 CVE-2025-20059 (CVSS 9.2) が FIX:リソースへの不正アクセスの可能性

CVE-2025-20059 (CVSS 9.2): Urgent Action Needed to Patch PingAM Java Agent Vulnerability

2025/02/27 SecurityOnline — Ping Identity が明らかにしたのは、IAM (Identity and Access Management) プラットフォームの主要コンポーネントである PingAM Java Agent に、深刻なセキュリティ脆弱性が存在することだ。

Continue reading “Ping Identity の脆弱性 CVE-2025-20059 (CVSS 9.2) が FIX:リソースへの不正アクセスの可能性”

Better Auth Library のオープン・リダイレクトの脆弱性が FIX:CVE は未採番

Account Takeover Vulnerability Found in Better Auth Library

2025/02/07 SecurityOnline — 人気の TypeScript 認証フレームワーク Better Auth ライブラリに、深刻なセキュリティ脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、セキュリティ対策を回避し、ユーザー・アカウント乗っ取りの可能性を手にする。

Continue reading “Better Auth Library のオープン・リダイレクトの脆弱性が FIX:CVE は未採番”

台湾を攻撃する Silver Fox APT:Winos 4.0 マルウェアと洗練された手口とは?

Silver Fox APT Uses Winos 4.0 Malware in Cyber Attacks Against Taiwanese Organizations

2025/02/27 TheHackerNews — 台湾で新たに発見された攻撃キャンペーンは、同国の国税局を装うフィッシング・メールに潜ませた、Winos 4.0 という名のマルウェアにより、企業を狙うものだ。2025年1月に、この攻撃を検出した Fortinet FortiGuard Labs は、悪意のゲーム関連アプリケーションを介していた、それまでの攻撃チェーンからの脱却を示していると指摘している。

Continue reading “台湾を攻撃する Silver Fox APT:Winos 4.0 マルウェアと洗練された手口とは?”

Cisco Nexus 3000/9000 Switch の脆弱性 CVE-2025-20161 が FIX:OS コマンド実行の可能性

Cisco Nexus Vulnerability Allows Attackers to Inject Malicious Commands

2025/02/27 gbhackers — Cisco Systems が発行したのは、スタンドアロン NX-OS モードで動作する Nexus 3000/9000 Series Switches に影響を及ぼす、新たに公開されたコマンド・インジェクション脆弱性に関する、重要なセキュリティ・アドバイザリである。

Continue reading “Cisco Nexus 3000/9000 Switch の脆弱性 CVE-2025-20161 が FIX:OS コマンド実行の可能性”

Phishing トレンド 2024:状況を分析して 2025年の攻撃に備える

2024 phishing trends tell us what to expect in 2025

2025/02/27 HelpNetSecurity — リスク・アドバイザリー企業 Kroll によると、2024年のサイバー犯罪者たちが、標的とする組織へのイニシャル・アクセスを達成するために頻繁に用いた手口はフィッシングであり、この傾向は 2025年も続くようだ。

Continue reading “Phishing トレンド 2024:状況を分析して 2025年の攻撃に備える”

LibreOffice の脆弱性 CVE-2025-0514 が FIX:悪意の Windows ファイル実行の恐れ

LibreOffice Flaws Allow Attackers to Run Malicious Files on Windows

2025/02/27 gbhackers — 広く使用されている OSS オフィス・スイート LibreOffice に存在する、深刻度の高いセキュリティ脆弱性 CVE-2025-0514 が修正された。そのハイパーリンク処理メカニズムを悪用する攻撃者が、Windows システム上で悪意のファイル実行を達成する可能性があることを、研究者たちが発見した。

Continue reading “LibreOffice の脆弱性 CVE-2025-0514 が FIX:悪意の Windows ファイル実行の恐れ”

GenAI の企業での用方を調査する:可視化されない 89% の利用が新たなリスクを生み出す

89% of Enterprise GenAI Usage Is Invisible to Organizations Exposing Critical Security Risks, New Report Reveals

2025/02/27 TheHackerNews — GenAI に対する組織の立ち位置を整理すると、すでに導入しているケースと、ビジネス・プランに統合する戦略を評価しているケース、あるいは、その両方を推進しているケースに分かれるだろう。その一方で、情報に基づいた意思決定と効果的な計画を推進するには、現実を定量化したデータが不可欠となるが、その種のデータが、GenAI の世界では驚くほど不足している。

Continue reading “GenAI の企業での用方を調査する:可視化されない 89% の利用が新たなリスクを生み出す”