Az egyik legnépszerűbb JavaScript-titkosító könyvtár kritikus sebezhetést foltoz
Egy komoly biztonsági hibát fedeztek fel a node-forge nevű JavaScript-titkosítási könyvtárban, amely világszerte rendkívül népszerű a fejlesztők körében. A sérülékenység lehetővé tette, hogy támadók olyan adatokat hamisítsanak, amelyek hitelesnek tűntek, így megkerülhették az aláírás-ellenőrzési folyamatokat. Az érintett funkcionalitás az ASN.1 adatstruktúrák érvényesítésével kapcsolatos, amelynél hibás adatok is átmehettek az ellenőrzésen, noha kriptográfiailag érvénytelenek voltak.
Komoly biztonsági kockázat
A hibát Hunter Wodzenski, a Palo Alto Networks munkatársa találta meg, és felelősségteljesen jelentette a node-forge fejlesztőinek. Elmondása szerint azok az alkalmazások, amelyek a könyvtárra bízták a kriptográfiai protokollok integritásának ellenőrzését, könnyen átverhetők voltak megfelelően formázott, ám hamisított adatcsomagokkal. A Carnegie Mellon CERT-CC szerint az érintett alkalmazásoknál ez akár a hitelesítés megkerülését, az aláírt adatok manipulálását vagy a tanúsítványok helytelen kezelését is eredményezhette.
Mi változott, mit tegyenek a fejlesztők?
A probléma a node-forge 1.3.1-es vagy régebbi verzióit érintette, de a javítás már elérhető a ma megjelent 1.3.2-es kiadásban. Mivel a könyvtár óriási népszerűségnek örvend a Node Package Manageren (NPM), a fejlesztőknek erősen ajánlott az mielőbbi átállás a legfrissebb verzióra, hogy minimalizálják a támadások esélyét. A nyílt forráskódú projektek sérülékenységeinek kijavítása gyakran hosszabb időt vesz igénybe a tesztelések miatt, ezért érdemes azonnal frissíteni minden érintett rendszert.
🚫 A héten a kaliforniai főügyészség vizsgálatot indított az Elon Musk-féle xAI ellen, miután a Grok nevű chatbotjukat azzal vádolták, hogy nők beleegyezése nélkül készít szexuális tartalmú deepfake-képeket...
📖 Többek között az egyik leghíresebb árnyékkönyvtár, az Anna’s Archive is célkeresztbe került: a szövetségi bíróság arra kötelezte az oldalt, hogy törölje minden, a WorldCat-ből illegálisan leszedett adatát, álljon le az adatokkal kapcsolatos bármilyen tevékenységgel, és tiltsa meg a további adatkaparást...
Érdemes megvizsgálni, hogy az APF-80 nevű új fém-organikus váz (MOF) miként alakítja át a természetes vegyületek szerkezetének feltárását, és ezzel jelentős előrelépést hoz a gyógyszertervezés és más anyagtudományi területek számára...
🤖 2018 elején Elon Musk néhány hétig komolyan támogatta azt a tervet, hogy az OpenAI 10 milliárd dollárt – azaz mintegy 3 740 milliárd forintot – gyűjtsön össze egy kezdeti tokenkibocsátás (ICO) segítségével...
Idén januárban sok Windows 11 (23H2) felhasználó szembesülhetett egy szokatlan jelenséggel: hiába próbálták leállítani vagy hibernálni a gépüket, a PC egyszerűen nem hagyta magát kikapcsolni...
📱 Lényeges szempont, hogy a mérnököknek sikerült olyan berendezést készíteniük, amely a legapróbb „földrengéseket” képes előidézni: ezek a mikrochip-méretű szeizmikus rezgések nyithatnak utat a jövő okostelefonjainak – kisebbek, gyorsabbak és energiatakarékosabbak lehetnek, mint valaha...
Szerda délután komoly szolgáltatáskiesés bénította meg a Verizon hálózatát, ami miatt órákon át nem lehetett sem hívni, sem SMS-t küldeni vagy fogadni, a mobilnet pedig teljesen elérhetetlen volt...
Erre utal többek között az is, hogy a technológiai világban szinte minden stand tele volt Meta Ray-Ban-másolatokkal, mégis az Even Realities G2 okosszemüveg messze kitűnt közülük...
A Micron megkezdte New York államban az óriási DRAM-gyár építését, amely akár 50 000 új munkahelyet teremthet, miközben az MI-forradalom miatt az égbe szöknek a memóriák árai...
💸 Elon Musk egészen döbbenetes, 29 000 és 47 000 milliárd forint közötti kártérítést követel az OpenAI-tól és a Microsofttól, mondván: a cég elárulta nonprofit küldetését, amivel becsapta őt...
🌊 2026. január 17-én hatályba lépett a világ első jogilag kötelező érvényű egyezménye, amely a nemzetközi vizek tengeri élővilágának védelmét célozza...
📈 A MikroTik legújabb dobása, a CRS804 DDQ típusú switch egy igazi nagyágyú a gyors hálózatépítés világában: mindössze négy darab 400GbE portot kínál, mégis hatalmas teljesítményt sűrít fél rackszélességű házába...
🧠 Ezt a jelenséget jól illusztrálja a Gyalog galopp (Monty Python and the Holy Grail) kultikus jelenete, amelyben Artúr király levágja a Fekete Lovag végtagjait, ő pedig hősiesen azt állítja: „Ez csupán karcolás.”..
🚀 A NASA 98 méter magas új holdrakétája szombaton indult el lassan, mindössze 1,6 km/órás sebességgel a Kennedy Űrközpont Összeszerelőcsarnokából, hogy megtegye a 6 kilométeres utat a kilövőállásig...
