Volt már szó az autógyárakat érintő szivárgó adatokról, A Toyota Motor Corporation nyilvánosságra hozta a több felhőkörnyezetében történt adatvédelmi incidenst is, amely tíz éven keresztül, 2013. november 6. és 2023. április 17. között 2 150 000 ügyfél autóhelyadatait tette hozzáférhetővé.

Az X.Org Server projekt csapata bejelentette a CVE-2023-0494 (ZDI-CAN-19596) hiba javítását, amely a X.Org Server DeepCopyPointerClasses use-after-free hibát javítja. Ezzel a problémával helyi jogosultságszint emelést érhez el a rosszindulatú felhasználó az X szervert futtató rendszereken, valamint távoli kódvégrehajtást ssh X továbbító munkamenetek esetén. A javítás már elérhető, célszerű mihamarabb telepíteni.

Európai és amerikai kórházak elleni elosztott szolgáltatás megtagadással járó támadásokhoz (DDoS) nyújt segítséget a Passion névre keresztelt oroszbarát hacktivisták által üzemeltetett DDoS-as-a-Service (DDoSaaS) platform.

Német repterek, államigazgatási és pénzügyi szervezetek weboldali ellen indított túlterheléses (DDoS) támadást a Killnet orosz hackercsoport elosztott – jelezte a német Szövetségi Információbiztonsági Hatóság (BSI) múlt hét csütörtökön.

Bár az autógyártók évtizedek óta hajtanak és rengeteget áldoznak technikai, anyagi, és figyelemfelhívási tekintetében az autójaik biztonságos megítélésére, és többek között jobbnál-jobb Euro NCAP teszteredményekkel és építenek arra reklámokat és biztonsági kampányokat. Úgy tűnik azonban szoftverbiztonsági töréstesztekre jóval kevesebb figyelmet és erőforrást szentelnek. Ennek megfelelően az eredmények is kiábrándítóak.

A kritikus hiba végül inkább csak magas besorolásúvá szelídült, de így is mindenki, aki OpenSSL-t 3.0.0-3.0.6 közötti verziókat használ valamilyen formában, frissítse az OpenSSL szoftverkönyvtárat a 2022. november elsejétől elérhető verziókra – így két CVE javítását is megkapja.

Az OpenSSL projekt a hibákról így ír:

2022 augusztusában a Vectra Protect csapata azonosított egy olyan támadási útvonalat, amely lehetővé teszi a fájlrendszerhez hozzáféréssel rendelkező rosszindulatú támadó számára, hogy ellopják a Microsoft Teams bármelyik bejelentkezett felhasználójának hitelesítő adatait. A támadóknak nincs szükségük emelt szintű engedélyekre ezen fájlok olvasásához, ami minden olyan rosszindulatú támadásnak teret enged, amelyek helyi vagy távoli fájlelérést biztosít. Ezen túlmenően a biztonsági résről megállapították, hogy az összes kereskedelmi és asztali Teams klienst érinti Windows, Mac és Linux operációs rendszereken is.

Kutatásuk felfedezte, hogy a Microsoft Teams alkalmazás a hitelesítési tokeneket egyszerű szövegben tárolja. Ezekkel a tokenekkel a támadók felvehetik a token tulajdonosának személyazonosságát a Microsoft Teams kliensen keresztül bármilyen engedélyezett művelethez, beleértve a token használatát a Microsoft Graph API funkciók eléréséhez a támadó rendszeréből. Ami még rosszabb, ezek az ellopott tokenek lehetővé teszik a támadók számára, hogy többtényezős azonosítást használó fiókokkal végezzenek műveleteket, így megteremtve a többtényezős azonosítás megkerülését.

A Microsoft tisztában van ezzel a problémával, és lezárta az ügyet azzal, hogy az nem felel meg az azonnali szoftver-hibajavítást igénylő követelményeinek. Amíg a Microsoft nem lép a Teams asztali alkalmazás frissítésére, a kutatók úgy gondolják, hogy az ügyfeleknek érdemes megfontolniuk, hogy kizárólag a webes Teams alkalmazást használják. Azon ügyfelek számára, akiknek a telepített asztali alkalmazást kell használniuk, kritikus fontosságú, hogy figyeljék a kulcsfontosságú alkalmazásfájlokat, hogy a hivatalos Teams alkalmazáson kívül más folyamatok ne férjenek hozzá.

Javaslatok a sérülékenység kihasználásának elkerüléséhez