Az iOS 15.0.2 és az iPadOS 15.0.2 egy aktívan kihasznált nulladik napi hibát (CVE-2021-30883) orvosol, amelyről a tech óriás csupán annyi információt tett közzé, hogy az IOMobileFrameBuffer memóriakezelési hibájából fakad, és sikeres kihasználás esetén a sérülékeny eszközön kernel szintű jogosultságot nyújthat a támadónak. A sérülékenységben a következő termékek érintettek:iPhone 6s (és későbbi modellek),iPad Pro (minden…
Olvass tovább...A Birminghami és a Surrey Egyetem kutatói az érintés nélküli fizetések elleni relay támadásokat vizsgálva azt találták, hogy az Apple Pay segítségével jogosulatlan fizetéseket lehet végrehajtani egy zárolt iPhone-ról Visa kártyával. Az iPhone felhasználóknak a sikeres fizetéseket alapesetben engedélyezniük kell a telefon Face ID, Touch ID vagy jelszóval történő feloldásával. Bizonyos esetekben ─ például tömegközlekedésért…
Olvass tovább...Az Apple iCloud Private Relay szolgáltatásának egy új, egyelőre javítatlan gyenge pontja kijátszható, így kiszivároghatnak a felhasználók valódi IP címei a legújabb iOS verziót futtató eszközökről. Az iOS 15-tel bétaverzióként bevezetett iCloud Private Relay célja az anonimitás javítása az interneten egy olyan dual-hop architektúra alkalmazásával, amely hatékonyan védi a felhasználók IP címét, tartózkodási helyét és…
Olvass tovább...Újabb rendkívüli frissítést adott ki a Google, hamarosan minden felhasználó számára elérhető lesz a Chrome böngésző 94.0.4606.61 verziója Windows, Mac és Linux rendszeren. Ezúttal a CVE-2021-37973 azonosítójú zero day sérülékenység miatt vált sürgetővé a frissítés, ugyanis a tech óriás elmondása szerint széles körben kihasználható sebezhetőségről van szó, bár ennek részleteiről addig nem árul el bővebb…
Olvass tovább...Az Apple vészhelyzeti frissítést adott ki egy aktívan kihasznált sebezhetőség (CVE-2021-30869) befoltozására. Az XNU kernel hibáját a támadók kihasználhatják arra, hogy kernel szintű jogosultsággel futtassanak káros kódot a sérülékeny eszközökön, ami sikeres támadás esetén az adott rendszer teljes kompromittálódását jelenti. A biztonsági hiba a macOS Catalina verzióját, valamint a régebbi iPhone-okat és iPadeket (iPhone 5s,…
Olvass tovább...Allan Liska, a CSIRT Recorded Future (Computer Security Incidens Response Team) munkatársa több biztonsági kutatóval együtt összeállított egy listát a zsarolóvírus bandák által gyakran kihasznált sebezhetőségekről. A lista több mint egy tucat különböző szoftver- és hardvergyártó termékeiben talált biztonsági hibát tartalmaz, ami jó kiindulópontot nyújthat a védekezők számára a hálózati infrastruktúrájuk védelmének megfelelő kiépítéséhez. Csak…
Olvass tovább...Egy új módszert azonosítottak a kutatók, amellyel a támadók elérhetik, hogy áldozatuk a saját hálózata helyett az ő hozzáférési pontjukhoz (AP) csatlakozzon. Az SSID Strippingnek nevezett módszert 2021. szeptember 13-án hozta nyilvánosságra a vezeték nélküli biztonságra szakosodott AirEye, amely a Technion (Izraeli Technológiai Intézet) kutatóival együttműködve fedezte fel a hibát. A biztonsági rés a Windows, macOS,…
Olvass tovább...Vészhelyzeti frissítést adott ki az Apple több termékét illetően. A CVE-2021-30860 azonosítón jegyzett sérülékenység a CoreGraphics-t, a CVE-2021-30858 számú biztonsági hiba pedig a WebKit böngészőmotort érinti, és mindkét sérülékenység távoli kódfuttatásra ad lehetőséget a sebezhető eszközökön. iOS-t és iPadOS-t futtató eszközök közül az érintett verziók az alábbiak: iPhone 6s (és ennél frissebb típusok), iPad Pro…
Olvass tovább...A Google hétfőn biztonsági frissítést adott ki, amelyben a Chrome böngésző 11 db – ebből a támadók által kettő aktívan kihasznált – zero-day sérülékenysége került javításra. A CVE-2021-30632 és CVE-2021-30633 néven bejegyzett sebezhetőségek memóriakezelési problémákból adódnak, amelyek közül az egyiket a V8-as JavaScript motor komponensben, míg a másikat az indexelt DP API-ban alkalmaznak. A Google…
Olvass tovább...Új firmware-frissítéseket adott ki a Netgear a vállalati környezetben használt több mint egy tucat okos switch eszközéhez, hogy javítsa a nemrég felfedezett súlyos biztonsági réseket. A sérülékenységek kockázati besorolása magas (10-es skálán 7,4 és 8,8 között helyezkedik el). Az legújabb frissítésben három biztonsági hiba került javításra, amelyek 20 Netgear terméket érintettek, főként intelligens switch-eket. A…
Olvass tovább...