Biztonsági hírek, kritikus sebezhetőségek a héten

Biztonsági hírek, kritikus sebezhetőségek a héten
Ha nem engedélyezted a Google Chrome automatikus frissítéseit, érdemes figyelmet fordítanod a programra, mivel a Google a múlt héten két biztonsági hibát is kijavított. A legsürgősebb egy kritikusnak minősített, használat-felszabadítás utáni memóriahasználat (use-after-free) hiba a Lens képkereső eszközben, amely lehetővé teszi, hogy egy távoli támadó rosszindulatú HTML-oldalt hozzon létre, amellyel megrongálhatja a memóriát, és potenciálisan eltérítheti a böngészőt.

Szerverek veszélyben: kritikus MegaRAC BMC sebezhetőség

Az Eclypsium kutatói felfedeztek egy maximális (CVSS 10) súlyossági besorolású sebezhetőséget az American Megatrends International MegaRAC alaplap-kezelő firmware-ében, amely lehetővé teszi a támadók számára, hogy megkerüljék a Redfish Host Interface hitelesítési mechanizmusát. Az AMI MegaRAC BMC-t olyan szervergyártók használják, mint a HPE, Asus és ASRock.

A CVE-2024-4302 sebezhetőség lehetővé teszi a támadóknak, hogy távoli irányítást szerezzenek a szerverek felett, majd kártékony programokat telepítsenek, manipulálják a firmware-t, tönkretegyék a hardvert vagy akár végtelen újraindítási hurkokat idézzenek elő. Az Eclypsium nem talált bizonyítékot arra, hogy a sebezhetőséget eddig kihasználták volna, bár egy Shodan-keresés több mint 1000 kitett MegaRAC példányt azonosított az interneten.

Orosz exploit-vásárlók Telegram nulladik napi sebezhetőségeket keresnek

Az Operation Zero nevű orosz exploit-vásárló csoport bejelentette, hogy jelentős összegeket fizet a Telegram üzenetküldő alkalmazás Android, iOS vagy Windows verzióiban található teljes láncú (full-chain) nulladik napi sebezhetőségekért. A csoport, amely “az egyetlen hivatalos orosz nulladik napi vásárlási platformnak” nevezi magát, állítólag az orosz kormányt és kiválasztott orosz magánszervezeteket számlálja ügyfelei között.

Akár 1,5 millió dollárt is kínálnak egy kattintás nélküli távoli kódfuttatásért (RCE) és akár 500 ezer dollárt egy egykattintásos RCE-ért a Telegramban. A csoport nem indokolta meg a Telegram exploitok iránti különös érdeklődését, de az időzítés figyelemre méltó. Pavel Durov, a Telegram vezérigazgatója tavaly augusztusban Franciaországba látogatott, majd 2024 szeptemberében bejelentette, hogy a platform többé nem lesz biztonságos menedék a bűnözői tevékenységek számára, és szorosabban együtt fog működni a bűnüldöző szervekkel.

WordPress biztonsági bővítmény súlyos biztonsági hibával

A WP Ghost, egy több mint 200 000 aktív telepítéssel rendelkező WordPress biztonsági bővítmény, súlyos sebezhetőséget tartalmaz, amely veszélyeztetheti a webhelyeket – hacsak nem telepítik a legújabb javítást. A Patchstack Alliance kutatói által felfedezett, CVE-2025-26909 azonosítójú és CVSS 9.6 besorolású sebezhetőség egy hitelesítés nélküli Helyi Fájl Beillesztési (LFI) hibát jelent.

Bár a hibának kritikus CVSS-pontszáma van, a Patchstack megjegyzi, hogy a sebezhetőség csak akkor használható ki, ha a WP Ghost Útvonalak Módosítása funkciója lite vagy ghost módra van állítva – egyik sincs alapértelmezetten engedélyezve. A felhasználóknak mielőbb frissíteniük kell a bővítmény 5.4.02-es verziójára.


NIST sebezhetőségi hátraléka továbbra is növekszik

A Nemzeti Szabványügyi és Technológiai Intézet (NIST), amely évek óta küzd a Nemzeti Sebezhetőségi Adatbázisba való felvételre váró sebezhetőségek hatalmas hátralékával, múlt héten rossz híreket osztott meg: a hátralék nem csökken. “Jelenleg körülbelül olyan ütemben dolgozzuk fel a beérkező CVE-ket, mint a 2024 tavaszán és kora nyarán bekövetkezett feldolgozási lassulás előtt” – írta a NIST.

Sajnos a CVE-beküldési arány 2024-ben 32 százalékkal nőtt. “Ennek eredményeként a hátralék még mindig növekszik” – tették hozzá. 2024 májusában körülbelül 12 720 sebezhetőség várt elemzésre; októberre ez a szám több mint 17 000-re növekedett. A NIST gépi tanulást kíván bevetni abban a reményben, hogy automatizálhat bizonyos feldolgozási feladatokat, és felgyorsíthatja a sebezhetőség-értékelési erőfeszítéseit.


Legfrissebb posztok

Az ibériai kardszárnyú delfinek újra hajókat támadnak – de miért?

szerda 23:52

Az ibériai kardszárnyú delfinek újra hajókat támadnak – de miért?

🐳 Tovább fokozódik a hajósok félelme a spanyol partoknál, ahol az ibériai kardszárnyú delfinek – vagyis orkáknak is nevezik őket – ismét hajókat támadnak meg, meghibásodott kormányokkal és rémült...

A régi Apple órákra is megérkeznek a legújabb egészségügyi funkciók

szerda 23:26

A régi Apple órákra is megérkeznek a legújabb egészségügyi funkciók

Az Apple új egészségügyi fejlesztéseihez nem feltétlenül kell új órát vásárolnod: jövő héten, a watchOS 26 frissítéssel, már a Watch Series 9-től felfelé elérhető lesz a magas vérnyomás...

Az ingatlanpiac visszavág: sosem látott árcsökkenés 2012 óta

szerda 23:01

Az ingatlanpiac visszavág: sosem látott árcsökkenés 2012 óta

📊 Az elmúlt egy évben az ingatlanpiac erőviszonyai a vevők javára tolódtak: a kínálat nőtt, a kereslet csökkent, a vevők pedig egyre több helyen tudnak alkudni. Bár még mindig...

Az újabb Google Pixel mobil is forró krumpli lett

szerda 22:51

Az újabb Google Pixel mobil is forró krumpli lett

Számos Pixel 7 és Pixel 7 Pro tulajdonos panaszkodik akkumulátorproblémákra: az eszközökben található akkumulátor nemcsak túlmelegszik, hanem meg is duzzad, ami miatt a telefon háza elválik, sőt, robbanás-...

Kiderült, hogy tényleg van légköre a Trappist-1e bolygónak

szerda 22:28

Kiderült, hogy tényleg van légköre a Trappist-1e bolygónak

🔬 Negyvenegy fényévnyire egy vörös törpe körül kering egy kőzetbolygó, amelynek lehet légköre. A Trappist-1e bolygón végzett friss mérések először utalhatnak arra, hogy egy, a lakhatósági zónában található, Föld-méretű...

Az új Google-terv: Az MI vásárol helyetted, te csak nézd!

szerda 22:01

Az új Google-terv: Az MI vásárol helyetted, te csak nézd!

A Google bemutatta legújabb forradalmi ötletét: mostantól a mesterséges intelligencia ügynökök (MI-ügynökök) képesek lesznek helyetted vásárolni. Ehhez elkészült az Agent Payments Protocol (AP2) nevű rendszer is, amely állítólag...

iPhone 17, még a Pixel 10 is irigykedhet rá

szerda 21:51

iPhone 17, még a Pixel 10 is irigykedhet rá

📱 Az okostelefonok versenye továbbra is az állandó újításokról és utánzásokról szól: az Apple és a Google folyamatosan igyekszik lekörözni egymást, de még mindig vannak területek, ahol az iPhone...


szerda 21:25

Az eltűnt hód visszatért – most a holland gátak réme

A 19. század elején kihalt hódot 1988-ban telepítették vissza Hollandiába, azóta már több mint 7000 példány él az országban. A hódok azonban egyre nagyobb problémát okoznak: járataikat nemcsak...

Az Uber forradalmasítja a vendéglátóipari hiteleket

szerda 21:01

Az Uber forradalmasítja a vendéglátóipari hiteleket

Az Uber Eats és a pénzügyi technológiával foglalkozó Pipe új együttműködése teljesen átalakíthatja, hogyan jutnak finanszírozáshoz a kisvendéglők az Egyesült Államokban. A Pipe integrált technológiájának köszönhetően már az...