Google fixed two actively exploited Android zero-days
2025/04/08 SecurityAffairs — Google が公表した、2025年4月の Android セキュリティ・アップデートは、62件の脆弱性に対処するものである。このアップデートには、標的型攻撃で悪用されている2件のゼロデイ脆弱性 CVE-2024-53197/CVE-2024-53150 が含まれる。脆弱性 CVE-2024-53197 は、Linux カーネルの問題であり、ALSA USB オーディオに影響を与えるものだ。悪意のデバイスにより、設定値を悪用されると、境界外メモリ・アクセスを引き起こす可能性が生じるという。
Continue reading “Android のゼロデイ脆弱性 CVE-2024-53197/53150 が FIX:実際の攻撃での悪用を確認”NIST Defers Pre-2018 CVEs to Tackle Growing Vulnerability Backlog
2025/04/08 InfoSecurity — NIST (National Institute of Standards and Technology) の正式発表によると、2018年1月1日以前に公開された、すべての CVE に対して、NVD 上で “Deferred” (保留) としてマークされることが決定したようだ。このステータスが付与された CVE は、CISA (Cybersecurity and Infrastructure Security Agency) の KEV (Known Exploited Vulnerabilities) に登録されない限り、詳細情報の更新の優先順位が下げられる。
Continue reading “古い脆弱性は後回しに? NIST が CVE データ管理の方針転換を発表”Zoom Workplace Apps Vulnerability Enables Malicious Script Injection Through XSS Flaws
2025/04/08 gbhackers — Zoom Workplaceアプリに新たに発見された脆弱性 CVE-2025-27441/CVE-2025-27442 を悪用する攻撃者は、クロスサイト・スクリプティング (XSS) により悪意のスクリプトを挿入し、世界中の数百万人のユーザーにリスクをもたらすものだ。これらの脆弱性の CVSS スコアは 4.6 Medium と評価されているが、隣接ネットワーク上の未認証の攻撃者に対して、任意のコード実行を許し、整合性を侵害する可能性があるという。
Continue reading “Zoom Workplace の複数の脆弱性が FIX:XSS 攻撃を介した悪意のスクリプト挿入の可能性”Adobe Calls Urgent Attention to Critical ColdFusion Flaws
2025/04/08 SecurityWeek — 4月8日 (火) に Adobe がリリースしたのは、コンピュータ・システムに対するリモート制御される可能性がある、深刻な脆弱性に対する大量のセキュリティ・アップデートである。今月の Adobe Patch Tuesday は、ColdFusion/FrameMaker/Photoshop/Commerceといった企業向け製品における、合計で 54件の深刻な脆弱性に対処するものだ。
Continue reading “Adobe 製品群の 54件の深刻な脆弱性が FIX:ColdFusion/Commerce などの問題に対処”Microsoft April 2025 Patch Tuesday fixes exploited zero-day, 134 flaws
2025/04/08 BleepingComputer — 今日は Microsoft の April 2025 Patch Tuesday の日だ。今回のパッチでは、134件の脆弱性に対するセキュリティ・アップデートが提供され、その中には、現時点で悪用されているゼロデイ脆弱性1件が含まれる。なお、今回の月例パッチでは、Critical レベルの脆弱性が 11件も修正されているが、そこにはリモートコード実行の脆弱性も含まれている。
Continue reading “Microsoft 2025-04 月例アップデート:1件のゼロデイを含む 134件の脆弱性に対応”WhatsApp for Windows Flaw Could Let Hackers Sneak In Malicious Files
2025/04/08 HackRead — 先日に発行された Facebook Security のセキュリティ・アドバイザリでは、WhatsApp for Windows に影響を与える、なりすましの脆弱性 CVE-2025-30401 が取り上げられている。この脆弱性を悪用するハッカーは、無防備なユーザーへの悪意の添付ファイル送信の可能性を手にする。これらのファイルは無害に見えるが、WhatsApp アプリ内で開くと、悪意のコード実行を引き起こす可能性があるという。
Continue reading “WhatsApp for Windows の脆弱性 CVE-2025-30401 が FIX:添付ファイルに対する不正確な判定のバグ”Fortinet Warns of Multiple Vulnerabilities in FortiAnalyzer, FortiManager, & Other Products
2025/04/08 gbhackers — Fortinet が公表したのは、FortiAnalyzer/FortiManager/FortiOS/FortiProxy/FortiVoice/FortiWeb/FortiSwitch などの製品群で発見された、複数の脆弱性の詳細と修正に関するリリースである。これらの脆弱性は、ログ出力の不適切なフィルタリングから、未確認のパスワード変更や、認証情報に対する不十分なセキュリティ保護にいたる多様なものである。すでに Fortinet は、アップデートと対策をリリースし、一連の脆弱性に対処している。
Continue reading “Fortinet の複数の脆弱性が FIX:FortiAnalyzer/FortiManager/FortiOS などの欠陥に対応”CVE-2025-27520: Critical BentoML Flaw Allows Full Remote Code Execution, Exploit Available
2025/04/08 SecurityOnline — AI アプリケーションやモデル推論向けに最適化された、オンライン・サービス・システムの構築に用いられる、Python ライブラリ BentoML に、深刻なセキュリティ脆弱性が発見された。この脆弱性 CVE-2025-27520 (CVSS:9.8) は、攻撃者にリモート・コード実行 (RCE) を許し、影響を受けるライブラリ・バージョンを使用するシステムに重大なリスクをもたらす。
Continue reading “BentoML の深刻な脆弱性 CVE-2025-27520 が FIX:RCE の恐れと PoC の提供”Pexip Issues Urgent Security Update to Address Critical Vulnerabilities
2025/04/08 SecurityOnline — セルフホスト型ビデオ会議プロバイダーである Pexip が発表したのは、Infinity プラットフォームに存在する深刻な脆弱性を詳述するセキュリティ情報である。その内容は、深刻なヒープバッファ・オーバーフローの脆弱性 CVE-2024-12084 と、サービス拒否の脆弱性 CVE-2025-32095/CVE-2025-30080 に関するものである。
Continue reading “Pexip の脆弱性 CVE-2024-12084 などが FIX:境界外書き込みとサービス拒否の恐れ”PoC Released for CVE-2025-3155: Yelp Flaw Can Expose SSH Keys on Ubuntu Systems
2025/04/08 SecurityOnline — Ubuntu デスクトップにプリインストールされる GNOME ユーザーのための、ヘルプ・アプリケーション Yelp に脆弱性 CVE-2025-3155 が発見された。この脆弱性は、Yelp が URIスキームである “ghelp://” を処理する方法に起因している。
Continue reading “Yelp の脆弱性 CVE-2025-3155:URI スキームを悪用する情報窃取 PoC”CISA Warns of CrushFTP Vulnerability Exploitation in the Wild
2025/04/08 InfoSecurity — 米国のサイバーセキュリティ最高機関である CISA は、ファイル転送ソリューションの CrushFTP に存在する重大な脆弱性が、実際に悪用されていることを明らかにした。CVE-2025-31161 として追跡されている、この認証バイパスの脆弱性は、2025年4月7日付で CISA (Cybersecurity and Infrastructure Security Agency) の KEV (Known Exploited Vulnerabilities) カタログに追加された。
Continue reading “CISA KEV 警告 25/04/07:CrushFTP の脆弱性 CVE-2025-31161/2825 を登録”
IoT OT Security News 