A Checkmarx Zero kutatója, Ariel Harush, egy összetett és kifinomult rosszindulatú csomagkampányt tárt fel, amely a Python és az NPM felhasználókat célozza meg Windows és Linux platformokon egyaránt. A támadást a népszerű csomagok nevének elírásával (typo-squatting) hajtják végre, így becsapva a felhasználókat. A felfedezett supply chain támadás kereszt-platformos tulajdonságokkal rendelkezik és fejlett elkerülési technikákat alkalmaz, melyek a szakemberek szerint az open-source fenyegetések fejlődését jelenthetik.
A Cisco 10 biztonsági közleményt tett közzé, amelyben többek között az Identity Services Engine (ISE) és az Unified Intelligence Center két súlyos sérülékenységét is javította.
A WithSecure’s Threat Intelligence szakemberei egy olyan kampányt tártak fel, amelyben módosított KeePass jelszókezelő alkalmazást terjesztettek azzal a céllal, hogy a felhasználók rendszereibe kártékony vezérlőkomponenseket juttassanak be. A támadás központi eleme egy olyan eszköz, amely lehetővé teszi a támadók számára, hogy a célrendszereket távolról irányítsák, adatokat gyűjtsenek, és előkészítsék a további behatolásokat. Ezt az eszközt Cobalt Strike beacon-nek nevezik.
Hat évnyi viszonylagos nyugalom után ismét támadhatóvá váltak az Intel modern processzorai egy új, kritikus biztonsági rés révén. A Branch Privilege Injection (BPI) névre keresztelt sebezhetőséget (CVE-2024-45332 és CVE-2024-43420) a kutatók a Spectre-BTI (Branch Target Injection) típusú oldalsávos támadások új generációjaként azonosították – és ezzel gyakorlatilag visszatértek a 2018-ban felfedezett Spectre sebezhetőségek legsúlyosabb formái.
A Cisco nemrégiben egy rendkívül súlyos sebezhetőséget javított a IOS XE Wireless Controller szoftverében. A CVE-2025-20188 azonosítóval ellátott, 10-es CVSS pontszámú hiba lehetővé teheti egy nem hitelesített, távoli támadó számára, hogy tetszőleges fájlokat töltsön fel a célrendszerre, root jogosultságot szerezzen és tetszőleges parancsokat hajtson végre.
Az SAP közzétette a CVE-2025-31324 azonosítójú hitelesítést nem igénylő fájlfeltöltési (unauthenticated file upload) sérülékenységet, amely az SAP NetWeaver Visual Composer, azon belül is a Metadata Uploader komponensét érinti.
A kiberbiztonsági szakemberek újabb kritikus sérülékenységekre hívták fel a figyelmet az Apple AirPlay protokolljában és az AirPlay SDK-ban. Az Oligo Security kutatói által felfedezett, AirBorne gyűjtőnéven ismertté vált hibák 23 különböző sebezhetőséget tartalmaznak.
Egy több éves, eddig rejtve maradt rosszindulatú kód aktiválódott több Magento bővítményben, melyeket világszerte webáruházak százai használnak. A támadás több ismert fejlesztőtől származó bővítményeket érint, köztük a Tigren, Meetanshi és MGS cégek termékeit. Cikkünkben bemutatjuk, hogyan történt a támadás, és mit tehetnek az érintettek.
Az NVIDIA friss biztonsági közleményében egy új sebezhetőségre hívta fel a figyelmet Linux rendszereken használt grafikus kártya-illesztőprogramjaikban. A CVE-2025-23244 azonosítójú hiba komoly kockázatot jelenthet, ezért minden érintett felhasználónak javasolt a mielőbbi frissítés.
A CISA figyelmeztetést adott ki az a SonicWall Secure Mobile Access (SMA) 100 sorozatú eszközök ellen irányuló támadásokkal kapcsolatban. Az érintett rendszerek egy távoli kódfuttatásra alkalmas, magas kockázatú sérülékenységet tartalmaznak, amely lehetőséget biztosít támadók számára a rendszer kompromittálására, minimális jogosultság és alacsony támadási komplexitás mellett.
A PCAutomotive biztonsági kutatói a Black Hat Asia 2025 konferencián mutatták be, miként tudták távolról átvenni egy 2020-as gyártású, második generációs Nissan Leaf elektromos jármű teljes szoftveres és részben fizikai irányítását. A több lépcsős támadási lánc nemcsak megfigyelést, hanem kritikus járműfunkciók manipulálását is lehetővé tette.
A Meta biztonsági csapata súlyos biztonsági rést fedezett fel a WhatsApp for Windows asztali alkalmazásában, amely CVE-2025-30401 azonosítót kapta. Ez a sérülékenység távoli kódfuttatást tesz lehetővé, ha a felhasználó a WhatsApp Desktopban megnyitott egy manipulált fájlcsatolmányt.
Az XZ Utils tömörítőeszköz 5.8-as verziója számos teljesítménybeli és biztonsági fejlesztéssel érkezett. A nyílt forráskódú, .xz formátumot kezelő C99-alapú eszközkészlet mostantól még hatékonyabban használható a különböző architektúrákon.
A frissítés a liblzma könyvtár teljesítményét optimalizálja:
A FreeType nyílt forráskódú betűkészlet-megjelenítő könyvtárban egy kritikus biztonsági sérülékenységet fedeztek fel, amely távoli kódfuttatást tehet lehetővé. A CVE-2025-27363 azonosítón nyomon követett sérülékenység súlyosságát jelzi a 8,1-es CVSS pontszám, továbbá az is, hogy a jelentések szerint jelenleg aktív kihasználás alatt áll.