Az új Windows-hiba fenyegeti a gépeket – megérkezett a javítás
Az év első nagy Windows-javítása rögtön egy komoly biztonsági rést foltoz be, amelyet már aktívan kihasználnak támadók. A most napvilágot látott sérülékenységet a Microsoft saját fenyegetéskutató csapata fedezte fel: a hibát kihasználva a támadó jogos hozzáférés birtokában egy távoli ALPC-portból képes memóriacímet kiszivárogtatni. Ez jelentősen megkönnyíti a támadók dolgát: innentől egyszerűbbé válik további támadási lépések végrehajtása, például tetszőleges kód futtatása a megtámadott rendszeren.
Közepes súlyosságú sebezhetőség, gyors frissítés szükséges
A hiba közepes súlyosságúnak számít, 5,5-ös CVSS-pontszámot kapott. Az Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynöksége (CISA) már felvette a kötelezően javítandó sérülékenységek listájára, így a közigazgatási intézményeknek február 3-ig kötelező frissíteniük. Az ilyen típusú hibák gyakori belépési pontot jelentenek a kiberbűnözők számára, ezért a szakértők kiemelten sürgetik a gyors javítást.
A probléma abban áll, hogy a hiba miatt a támadók képesek lehetnek kijátszani az Address Space Layout Randomization (ASLR) védelmet, amely alapból a memóriacímek véletlenszerű kiosztásával akadályozza a memória‑manipulációs támadásokat. Ha a támadó ismeri a kód pontos helyét a memóriában, könnyedén láncolhat össze további sérülékenységeket, és hatékony, ismételhető támadást hajthat végre. Ráadásul a Microsoft nem árulta el, mely más komponensek kapcsolódhatnak ehhez a hibához, ami jelentősen nehezíti a hálózatvédelem proaktív intézkedéseit.
Két további nyilvános hiba, tovább tart a kockázat
Az újonnan javított hibán kívül két másik, nyilvánosan ismert sebezhetőség is szerepel a mostani frissítési csomagban. Az egyik, 6,4-es CVSS-pontszámú hiba lehetővé teszi egyes Secure Boot tanúsítványok lejáratát követően a biztonsági védelem megkerülését – az ezekre, a már 2011-ből származó tanúsítványokra épülő eszközök üzemeltetőinek a gyors frissítés javasolt, különben elveszítik a rendszer biztonsági frissítéseit.
A másik komolyabb hiba egy 7,8-ra értékelt jogosultságnövelési rés egy harmadik fél által fejlesztett, Windows-szal szállított Agere Modem illesztőprogramban. Ez a sérülékenység már 2023-ban ismertté vált, de csak most távolította el a Microsoft az érintett illesztőprogramokat.
A mostani Patch Tuesday csomag két további figyelemre méltó hibát is tartalmaz: mindkettő az Office-ban található, és helyi kódfuttatást tesz lehetővé egy úgynevezett use-after-free hibán keresztül; bár egyiket sem használják még ki támadók, a szakértők szerint csak idő kérdése, hogy ezek is célponttá váljanak.
Az összes érintett felhasználónak – különösen rendszergazdáknak – sürgősen ajánlott a legújabb frissítések telepítése, hogy elkerüljék a támadók által már aktívan kihasznált biztonsági réseket.
Érdekes felvetés, hogy az OpenAI újabb módosításokat vezet be a védelmi minisztériummal kötött megállapodásában, hogy egyértelműen tiltsa MI-rendszereinek tömeges amerikai megfigyelésre való használatát...
🚀 Ez a jelenség jól illusztrálható azzal, hogy a Star Citizen mögött álló Cloud Imperium Games fejlesztőcéget januárban kibertámadás érte, amelynek során ismeretlen támadók hozzáfértek több felhasználó személyes adataihoz...
🚨 Bonyolódik a helyzet a tőzsdéken, ahogy a konfliktus a Közel-Keleten már a negyedik napjába lépett – és ezt bizony mindenki megérzi, aki szeret kockáztatni...
⚡ Nem unatkozott mostanában az Android csapata: 129 biztonsági rést kellett befoltoznia, köztük egy nulladik napi hibát, amelyet támadók már aktívan kihasználnak, és amely a Qualcomm kijelzőchipjeit érinti...
📖 Rövid időn belül komoly hullámokat vert az OpenAI legújabb szerződése az Egyesült Államok Védelmi Minisztériumával, miután Sam Altman vezérigazgató teljes nyilvánosság előtt elismerte: hiba volt elsietni a megállapodást...
Az OpenAI ChatGPT mobilappjának amerikai letöltései drasztikusan visszaestek, miután bejelentették a cég együttműködését a Védelmi Minisztériummal (DoD), amelyet Trump új adminisztrációja idején át is neveztek...
🚀 A Mars felszínén nincs GPS, és más navigációs műholdak sincsenek, mégis szükség van arra, hogy az ott dolgozó járművek önállóan, pontosan tudják a pozíciójukat...
💸 Januárban a Core Scientific közel 54 milliárd forintért, vagyis nagyjából 175 millió dollárért adott el 1 900 bitcoint, a darabonkénti átlagár pedig 92 100 dollár körül alakult...
Képzeld el, ahogy száz játékos zúdul le egy gigantikus pályára – ez lesz a Black Ops Royale, amely március 13-án robban be a Call of Duty életébe, ráadásul teljesen ingyen!..
Az Apple meghatározó lépésre készül a Siri fejlesztésében: nemcsak a Google Gemini MI-modelljeit tervezi használni, hanem felmerült, hogy a Google szerverei is részt vehetnek az új generációs, MI-alapú személyes asszisztens háttérfolyamataiban...
A Charter Communications, a Spectrum márka mögött álló vállalat, engedélyt kapott az amerikai hírközlési hatóságtól (FCC), hogy felvásárolja a Coxot, ezzel megelőzheti a Comcastet, és a legnagyobb lakossági internetszolgáltatóvá válhat az Egyesült Államokban...
👑 Egy 52 éves floridai nő, Heidi Richards közel két év, pontosan 22 hónap börtönbüntetést kapott, miután bizonyítottan évekig illegálisan árusított Microsoft Certificate of Authenticity (COA) címkéket világszerte...
Mostantól pofonegyszerűen lehet megosztani bármely weboldal tartalmát Mastodonon: megérkezett ugyanis a platform univerzális Share to Mastodon gombja...
Közben az is tény, hogy az HBO Max és a Paramount+ valóban egyetlen gigantikus streaming-szolgáltatássá olvadnak össze, amellyel rögtön 200 millió előfizetőt kezelnek majd világszerte...
🚀 A NEAR token lendületes, 17 százalékos emelkedést mutatott, tovább erősítve közel 40 százalékos heti nyereségét, miután elindította a Confidential Intents nevű új, privát végrehajtási réteget...
Az USA internetes játszóterén eddig a Comcast volt a főnök, de most villámgyorsan színre lépett a Charter, amely rövid úton megkapta a Szövetségi Kommunikációs Bizottság (FCC) engedélyét, hogy felvásárolja a Coxot, így hamarosan a legnagyobb internetszolgáltatóvá válik az országban...
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. Castle Zombiestein – 3D FPS (iPhone/iPad)A Zombiestein egy fizikán alapuló akciójáték, amelyben a játékos Yuri Agron, egy elit Spetsnaz katona bőrébe bújik...
📱 A GrapheneOS 2027-ben érkezik a Motorola okostelefonokra, de csak a Lenovo tulajdonában lévő márka azon készülékeire, amelyek megfelelnek a szigorú, adatvédelem-központú Android-fork elvárásainak...
