2025. 03. 24., 16:09

Biztonsági hírek, kritikus sebezhetőségek a héten

Biztonsági hírek, kritikus sebezhetőségek a héten
Ha nem engedélyezted a Google Chrome automatikus frissítéseit, érdemes figyelmet fordítanod a programra, mivel a Google a múlt héten két biztonsági hibát is kijavított. A legsürgősebb egy kritikusnak minősített, használat-felszabadítás utáni memóriahasználat (use-after-free) hiba a Lens képkereső eszközben, amely lehetővé teszi, hogy egy távoli támadó rosszindulatú HTML-oldalt hozzon létre, amellyel megrongálhatja a memóriát, és potenciálisan eltérítheti a böngészőt.

Szerverek veszélyben: kritikus MegaRAC BMC sebezhetőség

Az Eclypsium kutatói felfedeztek egy maximális (CVSS 10) súlyossági besorolású sebezhetőséget az American Megatrends International MegaRAC alaplap-kezelő firmware-ében, amely lehetővé teszi a támadók számára, hogy megkerüljék a Redfish Host Interface hitelesítési mechanizmusát. Az AMI MegaRAC BMC-t olyan szervergyártók használják, mint a HPE, Asus és ASRock.

A CVE-2024-4302 sebezhetőség lehetővé teszi a támadóknak, hogy távoli irányítást szerezzenek a szerverek felett, majd kártékony programokat telepítsenek, manipulálják a firmware-t, tönkretegyék a hardvert vagy akár végtelen újraindítási hurkokat idézzenek elő. Az Eclypsium nem talált bizonyítékot arra, hogy a sebezhetőséget eddig kihasználták volna, bár egy Shodan-keresés több mint 1000 kitett MegaRAC példányt azonosított az interneten.

Orosz exploit-vásárlók Telegram nulladik napi sebezhetőségeket keresnek

Az Operation Zero nevű orosz exploit-vásárló csoport bejelentette, hogy jelentős összegeket fizet a Telegram üzenetküldő alkalmazás Android, iOS vagy Windows verzióiban található teljes láncú (full-chain) nulladik napi sebezhetőségekért. A csoport, amely “az egyetlen hivatalos orosz nulladik napi vásárlási platformnak” nevezi magát, állítólag az orosz kormányt és kiválasztott orosz magánszervezeteket számlálja ügyfelei között.

Akár 1,5 millió dollárt is kínálnak egy kattintás nélküli távoli kódfuttatásért (RCE) és akár 500 ezer dollárt egy egykattintásos RCE-ért a Telegramban. A csoport nem indokolta meg a Telegram exploitok iránti különös érdeklődését, de az időzítés figyelemre méltó. Pavel Durov, a Telegram vezérigazgatója tavaly augusztusban Franciaországba látogatott, majd 2024 szeptemberében bejelentette, hogy a platform többé nem lesz biztonságos menedék a bűnözői tevékenységek számára, és szorosabban együtt fog működni a bűnüldöző szervekkel.

WordPress biztonsági bővítmény súlyos biztonsági hibával

A WP Ghost, egy több mint 200 000 aktív telepítéssel rendelkező WordPress biztonsági bővítmény, súlyos sebezhetőséget tartalmaz, amely veszélyeztetheti a webhelyeket – hacsak nem telepítik a legújabb javítást. A Patchstack Alliance kutatói által felfedezett, CVE-2025-26909 azonosítójú és CVSS 9.6 besorolású sebezhetőség egy hitelesítés nélküli Helyi Fájl Beillesztési (LFI) hibát jelent.

Bár a hibának kritikus CVSS-pontszáma van, a Patchstack megjegyzi, hogy a sebezhetőség csak akkor használható ki, ha a WP Ghost Útvonalak Módosítása funkciója lite vagy ghost módra van állítva – egyik sincs alapértelmezetten engedélyezve. A felhasználóknak mielőbb frissíteniük kell a bővítmény 5.4.02-es verziójára.


NIST sebezhetőségi hátraléka továbbra is növekszik

A Nemzeti Szabványügyi és Technológiai Intézet (NIST), amely évek óta küzd a Nemzeti Sebezhetőségi Adatbázisba való felvételre váró sebezhetőségek hatalmas hátralékával, múlt héten rossz híreket osztott meg: a hátralék nem csökken. “Jelenleg körülbelül olyan ütemben dolgozzuk fel a beérkező CVE-ket, mint a 2024 tavaszán és kora nyarán bekövetkezett feldolgozási lassulás előtt” – írta a NIST.

Sajnos a CVE-beküldési arány 2024-ben 32 százalékkal nőtt. “Ennek eredményeként a hátralék még mindig növekszik” – tették hozzá. 2024 májusában körülbelül 12 720 sebezhetőség várt elemzésre; októberre ez a szám több mint 17 000-re növekedett. A NIST gépi tanulást kíván bevetni abban a reményben, hogy automatizálhat bizonyos feldolgozási feladatokat, és felgyorsíthatja a sebezhetőség-értékelési erőfeszítéseit.

Legfrissebb posztok

MA 12:01

Az apró szilícium-dioxid-részecskék egerekben kiirtották az agresszív prosztatarákot

🔬 A Cornell Egyetem kutatói új típusú, mikroszkopikus szilícium-dioxid nanorészecskéket fejlesztettek ki, amelyek képesek közvetlenül elpusztítani a prosztatarákos daganatokat, miközben egyidejűleg aktiválják a szervezet immunrendszerét is a rák elleni harcra...

MA 11:01

A Grok 4.5 már önmagában megéri az X-előfizetést?

💡 Grok 4.5 bemutatkozott, és jelentősen egyszerűsíti a bonyolult feladatok elvégzését. Kódírás, táblázatok és prezentációk készítése most egyetlen munkafolyamatba sűríthető anélkül, hogy újra és újra át kellene írni az utasításokat...

MA 10:49

A New Horizons felébredt: indul a küldetés a Plútón túl

321 napos alvás után újra felébredt a New Horizons űrszonda, amely már a Naprendszerünk peremén gyűjti az adatokat...

MA 10:36

Az Einstein-jóslat beteljesült: a Föld magával sodorja a téridőt

Több mint száz évvel Einstein elméletének megszületése után az asztrofizikusok ismét igazolták a nagy fizikus forradalmi gondolatát: a Föld valóban maga után húzza a téridőt, miközben kering a Nap körül...

MA 10:24

A Samsung PM1763 PCIe Gen6 vállalati SSD már gyártásban

A Samsung bemutatta első PCIe 6.0 szabványú üzleti SSD-jét, a PM1763-at, amelyet kifejezetten MI- és nagy teljesítményű számítógépes szerverekhez fejlesztettek...

MA 10:01

Az AirPods-gyártó Luxshare több mint 5%-ot zuhan hongkongi debütjén

💸 A Luxshare Precision Industry tőzsdei premierje csalódást okozott Hongkongban: a részvényárfolyam több mint 5 százalékot esett csütörtök reggel, annak ellenére, hogy a városban az idei év legnagyobb elsődleges nyilvános részvénykibocsátását (IPO) bonyolította le...

MA 09:49

A diagnosztikai rejtély: évekig hallotta a hangokat, mégsem pszichózis

Egy kanadai nő életét éveken át ismeretlen eredetű hanghallás keserítette meg...

MA 09:37

A fényben is ütős OLED: Samsung vagy LG a nyerő?

A nappali központja ma már a televízió, főleg, ha nagy fényerejű helyiségben kell helytállnia...

MA 09:25

A GPT-Live itt van: a ChatGPT végre emberien beszél

Újabb fordulóponthoz érkezett az MI-alapú hangkommunikáció: az OpenAI bemutatta a GPT-Live nevű megoldását, amely minden eddiginél természetesebb, párbeszédszerű beszélgetést tesz lehetővé a ChatGPT-vel...

MA 09:13

A T‑Mobile két legjobb akcióját már nem kapják meg saját ügyfelei

Megemlíthető, hogy az utóbbi hetekben a T‑Mobile ügyfeleinek egyre több csalódással kellett szembenézniük...

APP
MA 09:11

APPok, Amik Ingyenesek MA, 7/9

Fizetős iOS appok és játékok, amik ingyenesek a mai napon.     Stack zero (iPhone/iPad)A Stack Zero alkalmazás beépített, Apple által támogatott dokumentum-szkennerével a papíralapú iratok digitalizálása rendkívül egyszerű és gyors...

MA 08:49

Az adriai harcos herceg 2500 éves sírja szekérrel és sisakkal került elő

Egy itáliai tengerparti kisváros földje alatt bukkantak rá egy rejtélyes ókori uralkodó temetkezési helyére...

MA 08:37

A hackerek Roundcube-hibával kémkednek az egyetemi kutatók után

🔎 A legutóbbi kiberbiztonsági vizsgálatok szerint veszélybe kerültek az amerikai és kanadai egyetemek kutatói: ismeretlen támadók gyenge pontokat fedeztek fel a Roundcube-levelezőszervereken, és ezt kihasználva fizikusokat, mérnököket, adminisztrátorokat, illetve asztrofizikával, részecskefizikával vagy nemzetbiztonsággal foglalkozó intézményeket is megcéloztak...

MA 08:25

A tévém lebutításával léptem meg a követést – így tedd te is

Otthon a tévézés már régen nem a magánszféráról szól. Az okostévék folyamatosan figyelik, mit nézel, majd ezt az adatot eladják más cégeknek, vagy éppen azért jelennek meg ugyanazok a hirdetések a telefonodon, a weben vagy a tévéden, amit előzőleg valamelyik online áruházban kerestél...

MA 08:13

Az FTC kiharcolta: a John Deere traktorai végre szabadon javíthatók

🚜 Az elmúlt évben komoly viták dúltak arról, javíthatják-e a gazdák saját gépeiket, vagy minden apróbb hibával szerelőhöz kell-e fordulniuk...

MA 07:48

A nagy Ozempic–Wegovy baki: ezrek a toxikológián

🤒 Tipikus eset, amikor valami, ami elsőre kézenfekvőnek és egyszerűnek látszik, valójában jóval bonyolultabb, mint gondolnánk...

MA 07:25

A foci-vb új csúcsra pörgette a Google-kereséseket

⚽ Páratlan forgalmat hozott a Google-nek a világbajnokság, minden eddigi keresési csúcsot megdöntve...

MA 07:13

Az óceánfenék születése most tárul fel a legtisztábban

Kilométerekkel az óceán felszíne alatt a Föld tengerfenéke folyamatos mozgásban van...

MA 07:01

A Harvard tudósai DNS-írót faragtak egy szilíciumchipből

🔬 A Harvard Egyetem kutatói forradalmasítják a biotechnológiát: egy szilíciumchip már nemcsak információt dolgoz fel, hanem képes DNS-t is létrehozni...

MA 06:36

A heidelbergi fizikusok egyesítettek két ellentétes kvantumelméletet – történelmi áttörés

💡 Régóta húzódó rejtély oldódott meg a kvantumfizika világában. Egy új elméleti keretrendszer először egyesíti két, egymásnak látszólag ellentmondó modellt arról, hogy miként viselkedik egy különösen szokatlan részecske a zsúfolt kvantumkörnyezetben...

MA 06:06

Történelmi események a mai napon (Július 9.)

Viharos nap a történelemben: pusztító földrengés Japánban, nagyhatalmi fordulatok Európában, mérföldkő a rabszolgaság felszámolásában, és modern kori sorsfordulók Dél-Szudán függetlenné válásáig...

MA 06:01

Az online piactereken még mindig tucatjával kínálnak veszélyes babatermékeket

🛑 A brit online piactereken még mindig tucatjával bukkannak fel veszélyes babatermékek, köztük önetető eszközök, párnák és hálózsákok...

szerda 18:31

A neutroncsillag-ütközések titka: az új MI-modell felfedi a nehéz elemek eredetét

Külön említést érdemel, hogy egy nemzetközi kutatócsoport forradalmi szimulációt dolgozott ki, amely mesterséges intelligenciát használ fel annak feltérképezésére, hogyan keletkeznek az univerzum legnehezebb elemei...

szerda 18:02

A kreatin nem csak izmot épít: segíthet a rák ellen is?

Ki gondolta volna, hogy az egyik legnépszerűbb sporttáplálék-kiegészítő nemcsak a testépítők kedvence lehet, hanem a rákkutatás egyik izgalmas eszközévé is válhat?..

szerda 17:31

Az OpenAI megkapta az engedélyt: jön a GPT-5.6 július 9-én

Az OpenAI július 9-én világszerte elérhetővé teszi a GPT-5.6 három változatát, Solt, Lunát és Terrát, alig néhány héttel azt követően, hogy csak egy szűk kör kapott próbalehetőséget...

szerda 17:02

A legtisztább Android TV‑indító, amit nem a Google készített

Általában nincs is jobb annál, mint egy hosszú, fárasztó nap után bedőlni az ágyba, előkapni a távirányítót, és megnézni az egyik kedvenc sorozatodat...

szerda 16:01

A DuckDuckGo böngésző már a YouTube‑videóhirdetéseket is blokkolja

🐞 Ma már fontos kérdés, miként lehet hatékonyan megszabadulni a kéretlen videóhirdetésektől böngészés közben...

szerda 15:30

Az Apple megemeli a költést: Broadcommal milliárdokkal több amerikai chip készül

Az Apple bejelentette, hogy újabb többéves megállapodást kötött a Broadcommal, melynek célja, hogy egy sor Apple-termékekhez készült, egyedi szilíciumchipek és korszerű vezeték nélküli kommunikációs technológiák az Egyesült Államokban készüljenek...

szerda 15:01

Az indiai jegybank továbbra is betiltaná a kriptót az adóelkerülés miatt

Egy lényeges szempont, hogy miközben világszerte egyre több kormány és nagybank fogadja el a blokklánc-technológiát, India továbbra is ragaszkodik a kriptovaluták elleni kemény fellépéshez...