Biztonsági hírek, kritikus sebezhetőségek a héten

Biztonsági hírek, kritikus sebezhetőségek a héten
Ha nem engedélyezted a Google Chrome automatikus frissítéseit, érdemes figyelmet fordítanod a programra, mivel a Google a múlt héten két biztonsági hibát is kijavított. A legsürgősebb egy kritikusnak minősített, használat-felszabadítás utáni memóriahasználat (use-after-free) hiba a Lens képkereső eszközben, amely lehetővé teszi, hogy egy távoli támadó rosszindulatú HTML-oldalt hozzon létre, amellyel megrongálhatja a memóriát, és potenciálisan eltérítheti a böngészőt.

Szerverek veszélyben: kritikus MegaRAC BMC sebezhetőség

Az Eclypsium kutatói felfedeztek egy maximális (CVSS 10) súlyossági besorolású sebezhetőséget az American Megatrends International MegaRAC alaplap-kezelő firmware-ében, amely lehetővé teszi a támadók számára, hogy megkerüljék a Redfish Host Interface hitelesítési mechanizmusát. Az AMI MegaRAC BMC-t olyan szervergyártók használják, mint a HPE, Asus és ASRock.

A CVE-2024-4302 sebezhetőség lehetővé teszi a támadóknak, hogy távoli irányítást szerezzenek a szerverek felett, majd kártékony programokat telepítsenek, manipulálják a firmware-t, tönkretegyék a hardvert vagy akár végtelen újraindítási hurkokat idézzenek elő. Az Eclypsium nem talált bizonyítékot arra, hogy a sebezhetőséget eddig kihasználták volna, bár egy Shodan-keresés több mint 1000 kitett MegaRAC példányt azonosított az interneten.

Orosz exploit-vásárlók Telegram nulladik napi sebezhetőségeket keresnek

Az Operation Zero nevű orosz exploit-vásárló csoport bejelentette, hogy jelentős összegeket fizet a Telegram üzenetküldő alkalmazás Android, iOS vagy Windows verzióiban található teljes láncú (full-chain) nulladik napi sebezhetőségekért. A csoport, amely “az egyetlen hivatalos orosz nulladik napi vásárlási platformnak” nevezi magát, állítólag az orosz kormányt és kiválasztott orosz magánszervezeteket számlálja ügyfelei között.

Akár 1,5 millió dollárt is kínálnak egy kattintás nélküli távoli kódfuttatásért (RCE) és akár 500 ezer dollárt egy egykattintásos RCE-ért a Telegramban. A csoport nem indokolta meg a Telegram exploitok iránti különös érdeklődését, de az időzítés figyelemre méltó. Pavel Durov, a Telegram vezérigazgatója tavaly augusztusban Franciaországba látogatott, majd 2024 szeptemberében bejelentette, hogy a platform többé nem lesz biztonságos menedék a bűnözői tevékenységek számára, és szorosabban együtt fog működni a bűnüldöző szervekkel.

WordPress biztonsági bővítmény súlyos biztonsági hibával

A WP Ghost, egy több mint 200 000 aktív telepítéssel rendelkező WordPress biztonsági bővítmény, súlyos sebezhetőséget tartalmaz, amely veszélyeztetheti a webhelyeket – hacsak nem telepítik a legújabb javítást. A Patchstack Alliance kutatói által felfedezett, CVE-2025-26909 azonosítójú és CVSS 9.6 besorolású sebezhetőség egy hitelesítés nélküli Helyi Fájl Beillesztési (LFI) hibát jelent.

Bár a hibának kritikus CVSS-pontszáma van, a Patchstack megjegyzi, hogy a sebezhetőség csak akkor használható ki, ha a WP Ghost Útvonalak Módosítása funkciója lite vagy ghost módra van állítva – egyik sincs alapértelmezetten engedélyezve. A felhasználóknak mielőbb frissíteniük kell a bővítmény 5.4.02-es verziójára.


NIST sebezhetőségi hátraléka továbbra is növekszik

A Nemzeti Szabványügyi és Technológiai Intézet (NIST), amely évek óta küzd a Nemzeti Sebezhetőségi Adatbázisba való felvételre váró sebezhetőségek hatalmas hátralékával, múlt héten rossz híreket osztott meg: a hátralék nem csökken. “Jelenleg körülbelül olyan ütemben dolgozzuk fel a beérkező CVE-ket, mint a 2024 tavaszán és kora nyarán bekövetkezett feldolgozási lassulás előtt” – írta a NIST.

Sajnos a CVE-beküldési arány 2024-ben 32 százalékkal nőtt. “Ennek eredményeként a hátralék még mindig növekszik” – tették hozzá. 2024 májusában körülbelül 12 720 sebezhetőség várt elemzésre; októberre ez a szám több mint 17 000-re növekedett. A NIST gépi tanulást kíván bevetni abban a reményben, hogy automatizálhat bizonyos feldolgozási feladatokat, és felgyorsíthatja a sebezhetőség-értékelési erőfeszítéseit.


Legfrissebb posztok

A MI-forradalom csúcsán: zsarolóvírusokat gyárt a Claude

csütörtök 23:26

A MI-forradalom csúcsán: zsarolóvírusokat gyárt a Claude

A Claude Code, az Anthropic MI-alapú nagy nyelvi modellje igazi aranybányává vált a kiberbűnözők számára: az elmúlt időszakban egészen új szintre lépett a fertőző programok fejlesztése és terjesztése....

Az állam beszállt az Intelbe – közel 10 százalékos részesedés

csütörtök 23:01

Az állam beszállt az Intelbe – közel 10 százalékos részesedés

Az Egyesült Államok kormánya 8,9 milliárd dollár értékben, azaz mintegy 3 230 milliárd forintért vásárol Intel-részvényeket, így 9,9 százalékos tulajdonrészt szerez a legendás chipgyártóban. A lépést Trump elnök...

Az MI-t könnyen átverik a bókok és a csoportnyomás

csütörtök 22:51

Az MI-t könnyen átverik a bókok és a csoportnyomás

Amerikai kutatók egyszerű pszichológiai trükkökkel érték el, hogy a ChatGPT olyan dolgokat tegyen, amit normális esetben tilos lenne. Például sértegesse a felhasználót, vagy elárulja, hogyan lehet lidokaint előállítani....

Összecsukható mobilok harca, Galaxy Z Fold 7 vagy Pixel 10 Pro Fold, meglepő a végeredmény

csütörtök 22:28

Összecsukható mobilok harca, Galaxy Z Fold 7 vagy Pixel 10 Pro Fold, meglepő a végeredmény

Az okostelefon-piac egyik legérdekesebb fejleménye, hogy a hajlítható készülékek szegmensében már nemcsak a Samsung, hanem a Google is komoly versenytárssá lépett elő. Két vadonatúj modell érkezett: a Samsung...

Az Acer legvadabb újdonságai az IFA-n: gamer e-bike, ultrakönnyű laptop és óriásmonitor

csütörtök 22:01

Az Acer legvadabb újdonságai az IFA-n: gamer e-bike, ultrakönnyű laptop és óriásmonitor

🚀 Berlinben, az IFA 2025 kiállításon az Acer megmutatta, milyen jövőt szán a számítástechnikának: több új laptop, egy high-tech monitor és egy szinte sci-fibe illő elektromos bicikli debütált, utóbbi...

A perui színes óriásfalfestmény, amely átírja a történelmet

csütörtök 21:51

A perui színes óriásfalfestmény, amely átírja a történelmet

🌈 Peru északnyugati partvidékén 3 000 éves, elképesztően jó állapotban fennmaradt, sokszínű falfestményre bukkantak régészek. A hat méter hosszú, közel három méter magas, háromdimenziós falfestményen kék, sárga, piros és...

Mesterséges intelligencia hozhat áttörést a segélyhívóknál

csütörtök 21:26

Mesterséges intelligencia hozhat áttörést a segélyhívóknál

Az amerikai 911-es segélyhívó központokban a mesterséges intelligencia (MI) már nem sci-fi: az Aurelian nevű digitális asszisztens valós időben segíti a híváskezelőket több mint egy tucat nagyvárosban. Milyen...

Rejtélyes múlt, aszteroidák után maradt troilitport keresnek

csütörtök 21:02

Rejtélyes múlt, aszteroidák után maradt troilitport keresnek

🚀 A Naprendszer mintegy 4,6 milliárd évvel ezelőtt keletkezett, amikor a Nap körül örvénylő hatalmas gáz- és porfelhőből alakultak ki a bolygók, valamint az aszteroidák is. Az égbolton keringő...

Kutatók szerint a pollen lehet a jövő papírja és szivacsa

csütörtök 20:52

Kutatók szerint a pollen lehet a jövő papírja és szivacsa

🌱 A Szingapúri Nanyang Műszaki Egyetem laboratóriumában látszólag szokványos kutatás zajlik, egészen addig, amíg meg nem pillantjuk a narancssárga-sárga foltokat a köpenyeken – ezek pollenből származnak. A pehelyszerű pollen...