North Korean Lazarus hackers infect hundreds via npm packages
2025/03/11 BleepingComputer — npm (node package manager) で発見された6つの悪意のパッケージだが、悪名高い北朝鮮のハッカー集団 Lazarus にリンクしていたことが特定された。これらの 330 回もダウンロードされたパッケージは、アカウント認証情報の窃取/侵害済みシステムへのバックドア展開/機密性の高い暗号通貨情報の抽出などのために設計されていた。このキャンペーンを発見した Socket Research Team によると、一連の悪意のパッケージは、以前から知られている Lazarus のサプライ・チェーン・オペレーションにリンクしていたという。
Continue reading “npm リポジトリ汚染:Lazarus にリンクする6つの悪意のパッケージを発見”CVE-2025-27363: Font Library FreeType Flaw Exploited in the Wild, Millions at Risk
2025/03/11 SecurityOnline — 広く使用されている FreeType フォント・レンダリング・ライブラリに、深刻な脆弱性 CVE-2025-27363 (CVSS:8.1) が発見された。この脆弱性は、FreeType バージョン 2.13.0 以下に影響を及ぼし、数百万台のデバイスをリモート・コード実行のリスクにさらす可能性があるという。
Continue reading “FreeType Font Library の脆弱性 CVE-2025-27363 が FIX:Linux/Mobile/Browser で悪用の可能性”Zoom Addresses Multi High-Severity Vulnerabilities in Workplace Apps and SDKs
2025/03/11 SecurityOnline — 先日に Zoom Communications, Inc. が公表したのは、各種の Zoom Workplace アプリと Zoom Meeting SDK に影響を及ぼす、複数の脆弱性に対処するセキュリティ・アドバイザリのリリースである。これらの脆弱性の深刻度は Medium 〜 High に分布しているが、認証済の低権限ユーザーによる権限昇格や、サービス拒否攻撃が引き起こされる可能性があるという。
Continue reading “Zoom の複数の脆弱性が FIX:Workplace と Meeting SDK で発生する問題とは?”2025/03/11 SecurityOnline — 人気の WordPress プラグイン HUSKY (旧 WOOF:WooCommerce Products Filter Professional)に重大な脆弱性が発見され、10 万以上のオンライン・ストアが完全に侵害される危険にさらされている。この脆弱性 CVE-2025-1661 (CVSS:9.8) の悪用に成功した未認証の攻撃者は、影響を受けるサーバ上で任意のファイルを操作し、データ侵害/サイト改竄に加えて、システムを完全に制御する可能性を得る。
Continue reading “WordPress HUSKY (WOOF) の脆弱性 CVE-2025-1661 が FIX:任意の PHP コードの挿入と実行”Zyxel Patches Multi Vulnerabilities in DSL/Ethernet CPE, Fiber ONT, and WiFi Extender Devices
2025/03/11 SecurityOnline — ネットワーク・ソリューションを提供する Zyxel Networks が、前日に公表したのは、同社の DSL/Ethernet CPE/Fiber ONT/WiFi Extender デバイスなどに影響を及ぼす、認証後コマンド・インジェクションの脆弱性に対処するための、セキュリティ・パッチのリリースである。
Continue reading “Zyxel 製品の3つの脆弱性が FIX:OS コマンド実行にいたる恐れ”CVE-2025-26865: Apache OFBiz Vulnerability Could Lead to Remote Code Execution
2025/03/11 SecurityOnline — 先日に Apache OFBiz eCommerce プラグインで発見された脆弱性を悪用する攻撃者は、脆弱なサーバ上で任意のコード実行の機会を手にする。この脆弱性 CVE-2025-26865 は、テンプレート・エンジンで使用される特殊要素の不適切な無効化に起因し、深刻度は Important に分類されている。
Continue reading “Apache OFBiz の脆弱性 CVE-2025-26865 が FIX:リモートコード実行の恐れ”Apple Ships iOS 18.3.2 to Fix Already-Exploited WebKit Flaw
2025/03/11 SecurityWeek — 3月11日 (火) に Apple が発表したのは、モバイル OS の古いバージョンで悪用されている、WebKit の欠陥に対する修正を取り込んだ、iOS 18.3.2/iPadOS 1q8.3.2 のリリースである。この脆弱性 CVE-2025-24201 を悪用する攻撃者は、Web Content サンドボックスを突破する。Apple は「iOS バージョン 17.2 以下を使用する、特定の個人を標的にする、きわめて高度な攻撃で、悪用された可能性がある」と警告している。
Continue reading “Apple iOS の脆弱性 CVE-2025-24201 が FIX:USB 制限モードの欠陥を修正”Microsoft March 2025 Patch Tuesday fixes 7 zero-days, 57 flaws
2025/03/11 BleepingComputer — 今日は Microsoft の 2025年3月の Patch Tuesday だ。今月の Patch Tuesday では、 57 件の欠陥に対するセキュリティ・アップデートが提供され、その中には7つのゼロデイ脆弱性が含まれている。この Patch Tuesday では、6件の Critical 脆弱性も修正されている。それらは、すべてリモート・コード実行の脆弱性である。
Continue reading “Microsoft 2025-03 月例アップデート:7件のゼロデイを含む 57件の脆弱性に対応”CISA Adds Five Actively Exploited Vulnerabilities in Advantive VeraCore and Ivanti EPM to KEV List
2025/03/11 TheHackerNews — 3月10日 (月) に、米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Advantive VeraCore と Ivanti Endpoint Manager (EPM) の5つのつのセキュリティ上の欠陥を、実際に悪用されている証拠に基づき、Known Exploited Vulnerabilities (KEV) カタログに登録した。
Continue reading “CISA KEV 警告 25/03/10:Advantive VeraCore と Ivanti EPM の脆弱性を登録”
IoT OT Security News 