Nyílik az iOS, de tényleg annyira veszélyes ez? Annyira azért nem kell félni, elég sok kontroll van még az Apple-nél.

Életbe lépett az Európai Unió digitális piacok kereteit meghatározó rendelete, a sokat emlegetett Digital Markets Act (DMA), mely számos, nagy elérésű szolgáltatás számára határoz meg szigorúbb működési normákat. Az Apple korábban foggal-körömmel ellenezte, hogy rákényszerítsék a külső alkalmazásboltok és alternatív fizetési módok előtti utak megnyitására, többek közt arra hivatkozva, hogy az ökoszisztéma nyitottabbá tételével nő a malware-ek és a csalások kockázata.

De kell-e félni kártevő-armageddontól mostantól az iPhone-okon? Mennyire biztonságos valójában az App Store és az Apple rendszere? Mint kiderült, akár még humán mulasztás miatt is átcsúszhat néha egy-egy problémás app a rostán, például amelyik a LastPass-t mímelte. Mennyit érnek az iOS-t célzó exploitok a feketepiacon, biztonságosabb egy szervezet számára az Apple eszközeiből álló flotta a windowsos munkaállomásoknál?

Ezekről az izgalmas kérdésekről beszélgetünk aktuális HWSW Weekly podcastünkben Lévai Szabolccsal, a Sophos Threat Research Managerével, biztonsági szakértőjével.

Az adásban elhangzott cikkek, videók, tartalmak a Discord csatornánkon érhetők el, ahol még beszélgetni is tudsz velünk, és a többi hallgatóval.

Adásainkat megtaláljátok a SoundCloudon, a Spotify-on, az Apple Podcasten, a Google Podcasten.

Happy April! Who has time for jokes with all these games to play? Here are the top played games of March 2024 on Steam Deck, sorted by playtime. pic.twitter.com/dPcA6WE1N8

— Steam Deck (@OnDeck) April 1, 2024

Itt a Valve Linuxot futtató kézi játékkonzoljának márciusi toplistája ☝‍️

A backdoor-os #xzutils tarball fiaskó (CVE-2024-3094) miatt a #Debian projekt halasztja a Debian 12.6 pointrelease kiadását - https://t.co/NGG6MJW4SC

— HUP (@huphu) April 2, 2024

Ugyan nem ismert, hogy a CVE-2024-3094 a Debian stabil verzióit érintené, a soron követező 12.6-os pointrelease-t elhalasztottuk, amíg e CVE archívumra gyakorolt hatásait vizsgáljuk. - Debian Micronews

6.9-rc2: mainline Version: 6.9-rc2 (mainline) Released: 2024-03-31 Source: linux-6.9-rc2.tar.gz Patch: full ( incremental ) https://t.co/IgdwnXcVM2 #linux #kernel

— Linux Kernel Releases (@LinuxKReleases) March 31, 2024

Linus kiadta tesztelésre a 6.9-es Linux kernel második prepatchét:

#NetBSD 10.0 available! - https://t.co/6YnJ4KqngG pic.twitter.com/2XTbmtvUUn

— HUP (@huphu) April 2, 2024

A NetBSD projekt bejelentette, hogy elérhető 18. nagy (major) kiadásuk, a NetBSD 10. Hivatalos bejelentés itt. Levlista bejelentés itt.

Happy 20th birthday, @gmail! Glad it wasn’t an April Fools’ Day prank after all:) https://t.co/fH43qomJ59

— Sundar Pichai (@sundarpichai) April 1, 2024

Az egykori bejelentés - ami nem bizonyult április 1-jei tréfának - itt olvasható.

Social-media startup Discord plans to start showing advertisements on its free platform in the coming week after long dismissing them, becoming the latest tech company to turn to ads to try to boost revenue https://t.co/dMQScq3zSk https://t.co/dMQScq3zSk

— The Wall Street Journal (@WSJ) April 2, 2024

A WSJ szerint hosszas ellenállás után jönnek a reklámok az ingyenes, azonnali üzenetküldő és VoIP közösségi hálózat platform Discord-ra. Első körben számítógépes játékfejlesztő cégek reklámjai tűnnek fel. Részletek itt és itt.

🛑 URGENT SECURITY ALERT!

Secret backdoor found in XZ Utils compression library used by major #Linux distros, like Fedora, Kali Linux, and openSUSE. Attackers could breach SSH and take control of systems.https://t.co/lnZC90oC2k

Update and review your systems immediately.

— The Hacker News (@TheHackersNews) March 30, 2024

RedHat on Friday released an "urgent security alert" warning that two versions of a popular data compression library called XZ Utils (previously LZMA Utils) have been backdoored with malicious code designed to allow unauthorized remote access.

The software supply chain compromise, tracked as CVE-2024-3094, has a CVSS score of 10.0, indicating maximum severity. It impacts XZ Utils versions 5.6.0 (released February 24) and 5.6.1 (released March 9).

iPhone 16 Pro Capture Button rumors boosted by accessory leak https://t.co/fLvzSoawHg #Apple

— AppleInsider (@appleinsider) March 27, 2024

A pletykák szerint új gomb érkezhet az iPhone 16 Pro-ra. Ezt a következtetést a készülékhez készülő tartozékok alapján vonták le egyesek:

Blender Foundation and the online developers community are proud to present Blender 4.1!

A solid release packed with quality of life improvements and better performance across the board.

📖 What's new: https://t.co/W2XP1FpSfN
🧡 Support Blender at https://t.co/vFdhNcJbOR #b3d

— Blender 🔶 (@Blender) March 26, 2024

Megjelent a Blender 4.1-es kiadása. Újdonságok:

A tegnapi napon, 2024. március 26-án megjelent a Plasma 6 harmadik hibajavító kiadása, a Plasma 6.0.3. Részletek a bejelentésben.

Today is a major #FedoraLinux milestone. The Fedora Linux 40 Beta has arrived!

You can now upgrade existing systems and find install media for fresh installs. You can also help us test the new release before it goes GA next month!https://t.co/sjSImJfbG3

— Fedora Project (@fedora@fosstodon.org) (@fedora) March 26, 2024

Tesztelhető a Fedora Linux 40 bétája. A végleges kiadás április végére várható. Bejelentés itt.

Linux 6.9 Deprecates The EXT2 File-System Driverhttps://t.co/eZfHvYS7f3

— Phoronix (@phoronix) March 26, 2024

Nagyjából a kezdetek óta a Linux kernellel együtt élő EXT2 fájlrendszer "deprecated" státuszba kerül a 6.9-es kernel kiadásával. Ennek oka leginkább, hogy meggyűlik a baja a Y2038 problémakör.

Részletek itt.

ZenHammer Attack Targets DRAM on Systems With AMD CPUs https://t.co/KvnyRXtr8o

— SecurityWeek (@SecurityWeek) March 26, 2024

A Rowhammer problémáról már korábban volt szó a HUP-on:

• A DRAM "rowhammer" probléma kihasználása kernel szintű privilégiumokhoz jutás érdekében
• A DDR4 memóriák is érintettek a rowhammering problémában

Egy új kutatás szerint a probléma érinti az AMD processzoros, DRAM5 RAM modulokkal szerelt rendszereket is. Bemutatkozik a ZenHammer támadás:

Apple Patches Code Execution Vulnerability in iOS, macOS https://t.co/IFOojygLbs

— SecurityWeek (@SecurityWeek) March 26, 2024

Érdemes mielőbb frissíteni: iOS 17.4.1 / iPadOS 17.4.1 | macOS Sonoma 14.4.1

Today I am launching pre-orders for Compass - a $99 open-source guide.

- 30 hours battery life
- learns by transcribing your conversations
- revisit important moments in your life
- shipping first orders next week
- iOS and Android

Pre-order link below 👇 pic.twitter.com/eZ52UrE9D7

— mkrupskis (@ItsMartynasK) March 24, 2024

• early adopters-eknek szól
• előrendelhető / jövő héten szállítják az első darabokat
• 99 dollár
• open source
• 30 órás akkuidő
• "látogasd meg újra életed legfontosabb pillanatait"
• iOS és Android támogatás

Hogy működik?

Today, we've opened five non-compliance investigations under the Digital Markets Act.

It concerns:
🔹Alphabet’s rules on steering in Google Play
🔹Alphabet’s self-preferencing on Google Search
🔹Apple’s rules on steering in the App Store
🔹Apple's choice screen for Safari… pic.twitter.com/kiZ7sLQa8B

— European Commission (@EU_Commission) March 25, 2024

Az Európai Bizottság a vizsgálatot a Digital Markets Act-tel összefüggésben, meg nem felelés miatt indította. Problémás ügyek az EB szerint:

• Alphabet's and Apple's steering rules
• Alphabet's measures to prevent self-preferencing
• Apple's compliance with user choice obligations
• Meta's “pay or consent” model

A következő 12 hónapban a Bizottság lefolytatja a vizsgálatokat. Ha szükséges tájékoztatja az említett "kapuőrök"-et előzetes megállapításairól, és elmagyarázza, milyen intézkedéseket kell megtennie a kapuőröknek a Bizottság aggályainak hatékony kezelése érdekében. Jogsértés esetén a Bizottság a vállalat teljes világméretű forgalmának 10%-áig terjedő bírságot szabhat ki. Ismétlődő jogsértés esetén akár a 20%-ot is elérheti a bírság összege.

Részletek itt.

We're excited to announce the release of #GNOME46! This release brings many updates and improvements thanks to the hard work of #GNOME contributors. 🎉https://t.co/E50kePebqW

Read all the details in our release notes: https://t.co/X8vXNpVxYf

— GNOME (@gnome) March 20, 2024

A GNOME projekt bejelentette a "Kathmandu" kódnevű soron következő, 46-os kiadását, ami fél évnyi kemény munka eredményeként került bejelentésre. Részletek a bejelentésben.

6.9-rc1: mainline Version: 6.9-rc1 (mainline) Released: 2024-03-24 Source: linux-6.9-rc1.tar.gz Patch: full https://t.co/IgdwnXcVM2 #linux #kernel

— Linux Kernel Releases (@LinuxKReleases) March 24, 2024

Linus bezárta a 6.9-es kernel beolvasztási időablakát (merge window) és a szokásának megfelelően kiadta az első prepatchet az -rc1 képében:

A Supermiumról először a Friss böngészők Windows XP-re című topicban írtam még 2024. januárban, amikor mint ígéretes alternatíva hivatkoztam rá. Az első verzió január 27-én meg is jelent, immáron sokak álmát, köztük az enyémet is valóra váltva: Legyen naprakész Chromium-alapú browser Windows XP-re és úgy általában a legacy Windows-okra, az egyre gyorsabban és erőszakosabban elavultatott ökoszisztémákra, lehetőleg olyan, ami mentes a különféle Google anti-feature-öktől is, amik Chromium 49 óta nehezítik a tudatos/haladó felhasználók mindennapjait. Nos hát, lett... és nem is akármilyen híre ment az online médiában...

Congrats to #Mozilla for being the first vendor to provide patches for bugs disclosed during #Pwn2Own Vancouver. https://t.co/DA4Yq377Zp

— Zero Day Initiative (@thezdi) March 22, 2024

A héten zajlott a Zero Day Initiative (ZDI) népszerű, biztonsági szakemberek számára szervezett "törjünk fel mindent, amit csak tudunk komoly pénzdíjakért és dicsőségpontokért" vetélkedőjének egyik ága, a Pwn2Own Vancouver 2024. A vetélkedőn a szakemberek sorra mutatták be 0day sebezhetőségekre írt exploitjaikat a gyakorlatban. Elesett a rendezvény alatt a Windows 11, VMware Workstation, Google Chrome, Safari, VirtualBox, Tesla ECU, Ubuntu Linux és a Mozilla Firefox is, hogy csak a nagyobbakat említsük.

Az elesettek között azonban a Mozilla élen jár abban, hogy a bemutatott 0day sebezhetőségeket - (két 0day bug - Manfred Paul (@_manfp) earned a $100,000 award and 10 Master of Pwn points after exploiting an out-of-bounds (OOB) write flaw (CVE-2024-29944) to gain remote code execution and escaping Mozilla Firefox's sandbox using an exposed dangerous function weakness (CVE-2024-29943)) - a gyártók közül a leggyorsabban javította. Ezért a teljesítményéért a Pwn2Pwn szervezője, a ZDI dicséretben részesítette a nyílt forráskódú böngészőt gyártó projektet. ☝‍️

Apple's Potential Partners for iOS 18 Generative AI Features Include Google, OpenAI, and Baidu https://t.co/tyH7jskCNd pic.twitter.com/60mj23FxRH

— MacRumors.com (@MacRumors) March 22, 2024

Úgy fest, hogy az Apple érdeklődik a Google és az OpenAI mesterséges intelligencia megoldásai felől és vizsgálja annak lehetőségét, hogy valamelyiket felhasználja termékeiben, például az iPhone-ban. Nem kizárt, hogy globálisan a Google Gemini, Kínában pedig a Baidu generatív AI funkcióira támaszkodna. Hogy miért nem fejleszt saját megoldást a világ legtőkeerősebb IT vállalata? 🤷‍♂️

AI Surpasses Doctors In Spotting Early Breast Cancer Signs In NHS Trial https://t.co/ReG4V6vaX6

— Slashdot (@slashdot) March 23, 2024

A Mia nevű AI eszköz 11 olyan esetben fedezte fel korai mellrák jeleit, amelyek felett a humán orvosok elsiklottak. Az eszközt az NHS klinikai orvosaival együtt tesztelték, és több mint 10 000 nő mammográfiás felvételét elemezték. A legtöbbjük rákmentes volt, de a Mia sikeresen megjelölte az összes érintett esetet, valamint további 11-et, akiket az orvosok nem azonosítottak. Korai stádiumukban a rákos megbetegedések rendkívül kicsik és nehezen észrevehetők. A BBC látta Miát akció közben az NHS Grampianban, ahol olyan daganatokat mutattak be nekik, amelyek gyakorlatilag láthatatlanok voltak az emberi szem számára, de típusuktól függően gyorsan növekedhetnek és terjedhetnek.

Tegnap, 2024. március 21-én megjelent a a KDE 6 MegaRelease részeként kiadott KDE Gear 24.02 első hibajavító kiadása. A hibajavítások mellett a fordítások is frissültek, a Merkuro (lánykori nevén Kalendar) és a NeoChat átnézésre, javításra és befejezésre került.

A KDE Gear több, mint 180 alkalmazásból, plusz programkönyvtárakból és bővítményekből áll, amelyek ütemezetten, egyszerre jelennek meg. Ide tartoznak a legismertebb KDE alkalmazások, többek között a Dolphin, a Konsole, a Kate és az Okular is. Részletek a bejelentésben.

A munkakörülményeket, a munkahelyi kultúrát alapjaiban határozzák meg a vezetők, főleg ha még toxikusak is. A 29. kraftie adást nekik szenteltük.

A helytelen munkahelyi viselkedés az elmúlt évtizedekben került a pszichológia radarjára, egy rakat olyan szakkifejezéssel egyetemben, mint a bullying, a mobbing, és a toxic leadership. A teljesítménykényszer - sok egyéb paraméter mellett - melegágya a toxikus vezetésnek, s bár az IT sosem volt a legérintettebb iparág, de a jelenség itt is megtalálható. Az ilyen környezetből kiszállni pont olyan gyötrelmes, mint egy rossz házasságból. Az elszenvedőknek pedig külön nehézség, hogy a vállalatok sokszor elnézőek az ilyen vezetőkkel, ha azok az elvárt eredményeket szállítják. Czifra Juli pszichológussal beszéltünk a jelenség hátteréről, tüneteiről, lehetséges lefolyásáról.

Az adásban elhangzott cikkek, videók, tartalmak a Discord csatornánkon érhetők el, ahol még beszélgetni is tudsz velünk, és a többi hallgatóval. Adásainkat megtaláljátok a SoundCloudon, a Spotify-on, az Apple Podcasten, a Google Podcasten, és a YouTube csatornánkon is.