2025. 03. 24., 16:09

Biztonsági hírek, kritikus sebezhetőségek a héten

Biztonsági hírek, kritikus sebezhetőségek a héten
Ha nem engedélyezted a Google Chrome automatikus frissítéseit, érdemes figyelmet fordítanod a programra, mivel a Google a múlt héten két biztonsági hibát is kijavított. A legsürgősebb egy kritikusnak minősített, használat-felszabadítás utáni memóriahasználat (use-after-free) hiba a Lens képkereső eszközben, amely lehetővé teszi, hogy egy távoli támadó rosszindulatú HTML-oldalt hozzon létre, amellyel megrongálhatja a memóriát, és potenciálisan eltérítheti a böngészőt.

Szerverek veszélyben: kritikus MegaRAC BMC sebezhetőség

Az Eclypsium kutatói felfedeztek egy maximális (CVSS 10) súlyossági besorolású sebezhetőséget az American Megatrends International MegaRAC alaplap-kezelő firmware-ében, amely lehetővé teszi a támadók számára, hogy megkerüljék a Redfish Host Interface hitelesítési mechanizmusát. Az AMI MegaRAC BMC-t olyan szervergyártók használják, mint a HPE, Asus és ASRock.

A CVE-2024-4302 sebezhetőség lehetővé teszi a támadóknak, hogy távoli irányítást szerezzenek a szerverek felett, majd kártékony programokat telepítsenek, manipulálják a firmware-t, tönkretegyék a hardvert vagy akár végtelen újraindítási hurkokat idézzenek elő. Az Eclypsium nem talált bizonyítékot arra, hogy a sebezhetőséget eddig kihasználták volna, bár egy Shodan-keresés több mint 1000 kitett MegaRAC példányt azonosított az interneten.

Orosz exploit-vásárlók Telegram nulladik napi sebezhetőségeket keresnek

Az Operation Zero nevű orosz exploit-vásárló csoport bejelentette, hogy jelentős összegeket fizet a Telegram üzenetküldő alkalmazás Android, iOS vagy Windows verzióiban található teljes láncú (full-chain) nulladik napi sebezhetőségekért. A csoport, amely “az egyetlen hivatalos orosz nulladik napi vásárlási platformnak” nevezi magát, állítólag az orosz kormányt és kiválasztott orosz magánszervezeteket számlálja ügyfelei között.

Akár 1,5 millió dollárt is kínálnak egy kattintás nélküli távoli kódfuttatásért (RCE) és akár 500 ezer dollárt egy egykattintásos RCE-ért a Telegramban. A csoport nem indokolta meg a Telegram exploitok iránti különös érdeklődését, de az időzítés figyelemre méltó. Pavel Durov, a Telegram vezérigazgatója tavaly augusztusban Franciaországba látogatott, majd 2024 szeptemberében bejelentette, hogy a platform többé nem lesz biztonságos menedék a bűnözői tevékenységek számára, és szorosabban együtt fog működni a bűnüldöző szervekkel.

WordPress biztonsági bővítmény súlyos biztonsági hibával

A WP Ghost, egy több mint 200 000 aktív telepítéssel rendelkező WordPress biztonsági bővítmény, súlyos sebezhetőséget tartalmaz, amely veszélyeztetheti a webhelyeket – hacsak nem telepítik a legújabb javítást. A Patchstack Alliance kutatói által felfedezett, CVE-2025-26909 azonosítójú és CVSS 9.6 besorolású sebezhetőség egy hitelesítés nélküli Helyi Fájl Beillesztési (LFI) hibát jelent.

Bár a hibának kritikus CVSS-pontszáma van, a Patchstack megjegyzi, hogy a sebezhetőség csak akkor használható ki, ha a WP Ghost Útvonalak Módosítása funkciója lite vagy ghost módra van állítva – egyik sincs alapértelmezetten engedélyezve. A felhasználóknak mielőbb frissíteniük kell a bővítmény 5.4.02-es verziójára.


NIST sebezhetőségi hátraléka továbbra is növekszik

A Nemzeti Szabványügyi és Technológiai Intézet (NIST), amely évek óta küzd a Nemzeti Sebezhetőségi Adatbázisba való felvételre váró sebezhetőségek hatalmas hátralékával, múlt héten rossz híreket osztott meg: a hátralék nem csökken. “Jelenleg körülbelül olyan ütemben dolgozzuk fel a beérkező CVE-ket, mint a 2024 tavaszán és kora nyarán bekövetkezett feldolgozási lassulás előtt” – írta a NIST.

Sajnos a CVE-beküldési arány 2024-ben 32 százalékkal nőtt. “Ennek eredményeként a hátralék még mindig növekszik” – tették hozzá. 2024 májusában körülbelül 12 720 sebezhetőség várt elemzésre; októberre ez a szám több mint 17 000-re növekedett. A NIST gépi tanulást kíván bevetni abban a reményben, hogy automatizálhat bizonyos feldolgozási feladatokat, és felgyorsíthatja a sebezhetőség-értékelési erőfeszítéseit.

Legfrissebb posztok

MA 12:01

Az ausztrál kormány riaszt: globális hadjárat a sebezhető CMS-ek ellen

⚠ Kezdetben az ausztrál vállalkozások még nem is sejtették, hogy veszély fenyegeti weboldalaikat...

MA 11:31

A megrendelők rákapnak: az apró MI-modellek hódítanak

A vállalati MI fejlődésében új korszak kezdődik: míg a múltban mindenhatónak hitt, hatalmas modellek uralták a terepet, ma már egyre többen ismerik fel, hogy kisebb, egyedi feladatra tervezett rendszerek hatékonyabban és olcsóbban nyújtanak pontmegoldásokat...

MA 10:37

Az idő megszületik, hízik a sarki jég, előkerül egy ősi sír

🌌 A héten a tudomány világa ismét meglepő felfedezéseket hozott, amelyek közül az egyik legizgalmasabb egy miniatűr univerzumban „megszülető” idő volt...

MA 10:25

A brit boltok arcfelismerése azonnal riasztja a rendőrséget?

A brit üzletek forradalmi változás előtt állnak: hamarosan a rendőrség valós időben kap értesítést, ha súlyos bűncselekmények elkövetője lép be egy boltba...

MA 10:01

Az öt Android Auto-beállítás, amit új autóm megvétele előtt tudnom kellett volna

🚗 Érdekes felvetés, hogy mennyit változott az autózás élménye a technológiai fejlődésnek köszönhetően, különösen akkor, ha valaki két évtizedet ugrik előre: egy 2003-as PT Cruiser helyett egy 2022-es Hyundai Tucson volánja mögé ülve...

MA 09:37

A DuckDuckGo új, ingyenes YouTube-blokkolója eltünteti a reklámokat – így működik

🔒 Felmerül a kérdés, hogy mikor lesz vége a videónézést folyton megszakító reklámoknak...

MA 09:24

A válságos álláspiacon ne bízd karriered csak az MI-re

A munkaerőpiac egyre keményebb, sokan már a mindennapokban is különböző módokon vetik be az MI-t – gyakran karriertippeket is kérnek tőle...

APP
MA 09:11

APPok, Amik Ingyenesek MA, 7/12

Fizetős iOS appok és játékok, amik ingyenesek a mai napon.     Sharp: Skin Scan Routine (iPhone/iPad)A SHARP egy bőranalízis és rutin alkalmazás férfiaknak, akik jobban bíznak a mérésekben, mint a találgatásban...

MA 09:01

A Yale kutatói megfejthették a Parkinson-kór terjedésének módját

A Parkinson-kór egyik legalattomosabb tulajdonsága, hogy hosszan, alattomosan terjed az agyban, miközben sorra pusztítja az idegsejteket...

MA 08:49

A kísérleti régészek ősi módszerekkel mumifikáltak egy modernkori Ramszeszt

Ősi civilizációk emberei elképesztő találékonysággal őrizték meg halottaikat, de talán az egyiptomi múmiák ismertek a leginkább...

MA 08:37

Az OpenAI átszervez – távozik a biztonsági részleg vezetője

🚨 Egy lényeges fejlemény, hogy az OpenAI nagy átszervezésbe kezdett, melynek során távozik a vállalat biztonsági rendszerekért felelős vezetője, Johannes Heidecke...

MA 08:25

Az első Jupiter-méretű bolygó, amely túlélte csillaga halálát

Érdekes felvetés, hogy létezhet olyan bolygó, amely képes volt átvészelni anyacsillaga halálát...

MA 07:48

A Philips ingyen cseréli a frissítés miatt hazavágott okoshubokat

Száz felhasználó is meglepődve tapasztalta, hogy a Philips Hue Bridge Pro eszköze egyik pillanatról a másikra működésképtelenné vált egy júniusi szoftverfrissítés után...

MA 07:37

Az MI-kódolás mellékhatása: hamis csomagok fertőzik a szoftverláncot

💉 A szoftverfejlesztés világa soha nem volt még ennyire közvetlen célpontja a támadóknak, köszönhetően a mesterséges intelligencia térnyerésének...

MA 07:13

A 83 éves belga férfi kínzó viszketése ritka szifiliszre vallott

🤔 Érdekes eset, hogy egy 83 éves férfi kórházi útja végül meglepő diagnózissal zárult...

MA 07:01

Az esőerdők szén-dioxid-elnyelése El Niño alatt leáll – idén jöhet a mélypont

Meg kell vizsgálni, hogy az amazóniai és más trópusi esőerdők mennyire képesek továbbra is elnyelni és tárolni a légköri szén-dioxidot napjainkban, amikor évről évre egyre gyakoribb és intenzívebb éghajlati szélsőségekkel, például az El Niño-jelenséggel kell szembenézniük...

MA 06:48

A bél rendbetételével fordítja vissza a súlyos zsírmájat egy kísérleti szer

Egy forradalmi fejlesztésű gyógyszer, a DT-109 vegyület az állatkísérletekben teljesen visszafordította a súlyos zsírmájat azáltal, hogy helyreállította a bélrendszer egészségét...

MA 06:24

Tízmillió kubai áram nélkül – másodszor ezen a héten

Kuba pénteken újabb országos áramszünettel nézett szembe, alig pár nappal az előző, szintén teljes leállás után...

MA 06:05

Történelmi események a mai napon (Július 12.)

Mi történt ezen a napon a történelemben? Feszült ostromok, sorsfordító csaták és függetlenségi nyilatkozatok alakították ezt a napot: Jeruzsálem falainak áttörése és a Második Templom pusztulása, a Bastille ostromához vezető szikra, a Boyne és Aughrim döntő ütközetei, valamint a Libanon–Izrael háború kezdete mind ide tartozik...

MA 06:02

A kínai áttörés: első újrafelhasználható rakétájuk új módszerrel tért vissza

🚀 Kína történetének egyik legnagyobb űripari eseményét ünnepelte, amikor először sikerült visszanyerni egy újrafelhasználható, orbitális hordozórakéta első fokozatát a Dél-kínai-tengeren...

szombat 18:31

Az agyfúrás helyett itt a viselhető agytech jövője

Érdemes megvizsgálni, hogy az emberi elme és a technológia közötti közvetlen kapcsolat mennyire válhat mindennapossá a következő években...

szombat 18:01

Az MI-ügynökök pereit intézi az első digitális bíróság

💻 A mesterséges intelligenciával működő ügynökök egyre gyakrabban üzletelnek és kötnek megállapodásokat emberi beavatkozás nélkül, ám ezek a gépi tranzakciók is ugyanúgy vitákhoz vezethetnek, ahogyan akkor is, amikor emberek állnak egymással szemben...

szombat 17:01

Az üzleti MI-ügynökök magabiztosan tévednek – hiányzik a kontextus

Ami kezdetben ártalmatlannak tűnt, mára súlyos problémává nőtte ki magát: az üzleti MI-ügynökök magabiztosan hibás válaszokat adnak, mindezt úgy, hogy senki nem veszi észre, amíg valaki vissza nem követi az adatot egy elavult metrikáig vagy egy olyan dokumentumig, amelyet a lekérő rendszer soha nem töltött be...

szombat 15:31

Az MI-láz ára: a GPU-k 86%-a félgőzzel pörög

💸 A nagyvállalatok világa az MI-építkezés lázában ég, miközben kiderül: elsiették a fejlesztést, a vezérlési és kontrollrétegek csak utólag épülnek...

szombat 15:01

A drónok lecsaptak: 100 ezer dolláros bírság az illegális tűzijátékért

🎆 Nehéz elhinni, de a függetlenség napja minden évben nemcsak a látványos ünneplésről, hanem a szabálytalan tűzijátékok miatt kiszabott durva bírságokról is szól...

szombat 14:31

Írország áramának 23%-át már az adatközpontok falják.

Írországban az adatközpontok villamosenergia-fogyasztása 2025-ben újabb 10%-kal nőtt, miközben Dublin környékén továbbra is szinte teljes tiltás volt érvényben az új adatközpontok hálózatra kapcsolására...

szombat 12:01

Az első sikeres kínai hordozórakéta-leszállás orbitális indítás után

Kína történelmi sikert ért el az űrtechnológiában: a Hosszú Menetelés–10B (Long March 10B) hordozórakéta első fokozatát először sikerült épségben visszahozni a Földre, egy a tengerre telepített, hálóval felszerelt platformra...

szombat 11:31

A Ryuk zsarolóvírus bandatagja Amerikában beismerte bűnét, 15 év várhat rá

🕷 Egy 34 éves örmény férfi bűnösnek vallotta magát az Egyesült Államokban, miután több vállalat számítógépes rendszereibe tört be, és a hírhedt Ryuk zsarolóvírust használta adatállományok titkosítására...

szombat 11:01

A botrányos Roku-frissítés mindenkinél kiverte a biztosítékot

Két hete, amikor bekapcsoltam a Roku TV-t a nappaliban, már az első képernyőn egy oktatófelület fogadott, amely arról tájékoztatott, hogy teljesen megújult a főoldal és az egész kezelőfelület...