Our iOS 12 beta 1 Jailbreak demo at @marcograss @reconmtl https://t.co/YY8pEMZ4Tt

— Liang Chen (@chenliang0817) June 16, 2018

A 11.4-es iOS jailbreak után itt az iOS 12 beta 1 jailbreak. Aki bemutatja: Liang Chen, a Tencent KeenLab-jától.

Linux kernel v4.17 was released last week! I'm excited about Jailhouse, ADI, new stack wiping, MAP_FIXED_NOREPLACE, RLIMIT_STACK pinning, and VLA removals: https://t.co/TatTZROJV1

- Kees Cook June 14, 2018

Kees Cook, egykori Canonical, jelenleg Google alkalmazott folytatja blogbejegyzés-sorozatát az aktuális Linux kernel biztonsággal kapcsolatos újdonságairól. Részletek a Security things in Linux v4.17 blogbejegyzésben.

Microsoft reveals which Windows bugs it might decide not to fix https://t.co/gmaBmK1OeT

— The Register (@TheRegister) June 13, 2018

és melyiket nem. A blogbejegyzés itt. A dokumentum itt.

ios 11.4 jailbreak pic.twitter.com/fJOpkQlpOo

— Richard Zhu (@RZ_fluorescence) June 12, 2018

A Pwn2Own-ról és mesteri exploitjairól ismert Richard Zhu (@RZ_fluorescence) a Twitter-en közölte, hogy az éppen csak kiadott iOS 11.4 máris jailbreakelve van.

It's a beautiful day to sit outside and write poetry. Or, sit inside and Tweet. Either way, here is a poem:

Roses are red, violets are blue
The Pwnie Awards depends on you

(nominating, that is: https://t.co/s9UnLrQ1z8)

— Pwnie Awards (@PwnieAwards) June 9, 2018

A Pwnie-díjátadó egy évente megrendezésre kerülő ceremónia, ahol a számítógépes biztonsági szakértők és a biztonsággal foglalkozó közösség által adott évben elért eredményeket és kudarcokat "jutalmazzák". 2018-ban is lesz Pwnie-díjátadó, augusztus 8-án, Las Vegas-ban, a BlackHat USA konferenciarendezvény ideje alatt.

A rendezők már várják a javaslatokat az idei jelöltekre. A jelöléseket június 22-ig lehet elküldeni. Minden kategóriában a TOP5 jelöltet bejelentik majd a weboldalon és a bírák egy meg nem nevezett helyen összegyűlve döntenek majd a győztesekről.

Az idei kategóriák listája itt.

Két hete az Ars Technica megírta, hogy körülbelül 500 ezer routert fertőztek meg az orosz kormánynak dolgozó hackerek egy VPNFilter nevű kártevővel. Akkor úgy gondolták, hogy a kártevő célja az, hogy az otthoni routereket és hasonló eszközöket botnetként használva támadásokat indíthassanak a valódi célpontok ellen.

Tegnap viszont kijött egy új cikk, ami azt írja, hogy a szituáció rosszabb, mint korábban gondolták.

Russia to Apple: kill Telegram or the App Store gets it https://t.co/XndDz0ucmy

— The Register (@TheRegister) May 30, 2018

Az orosz telekommunikációs felügyeleti szerv szelíd fenyegetést küldött az Apple-nek, amiben az áll, hogy takarítsa ki mielőbb a Telegram titkosított üzenetküldőt az App Store-ból, különben... Részletek itt.

After successful HTTPS push, Chrome will soon remove ‘Secure’ badge from address bar https://t.co/yo2VuWrZNv by @technacity pic.twitter.com/mn78yQIlk6

— 9to5Google (@9to5Google) May 17, 2018

Részletek itt.

Sebastian Schinzel német biztonsági szakértő közzétett egy hírt vasárnap. Azt állítja, hogy a PGP, GPG, S/Mime titkosítást végző MUA kiegészítésekben olyan hibát talált, amivel a titkosított üzenetek tartalmához hozzá lehet férni.

Google will soon require OEMs to roll out ‘regular’ Android security patches https://t.co/zD6i5c9suI by @nexusben pic.twitter.com/QjY03mz1QG

— 9to5Google (@9to5Google) May 11, 2018

"A magyarországi Facebook felhasználók szerint sokkal nagyobb probléma az álhírek terjedése vagy az álprofilok jelenléte, mint az adatvédelem. A hazai felhasználók ötödével fordult már elő, hogy tudta nélkül osztott meg egy álhírt, és később szembesült vele. [...] Mindössze 1-2 százalék akarja törölni adatlapját vagy tette ezt meg a Facebookon a hazai felhasználók közül, pedig a közösség 64 százalék már hallott addigra a Cambridge Analytica botrány híréről."

Részletek itt.

A @Twitter lamerkedett picit - https://t.co/DvHNG0y7W6 #security #password #cleartext pic.twitter.com/GD1taMe894

— HUP (@huphu) May 4, 2018 #onhup

Célszerű jelszót váltani. Részletek itt.

A Rowhammer problémáról már volt korábban szó itt a HUP-on. Most egy csapat ezt az elméletet ültette át a gyakorlatba és ARM-os Android készülékeken hajtott végre sikeres, távoli Rowhammer exploitálást. Eret vágni azért nem kell, mert a sikeres támadáshoz számos (vagy inkább számtalan) dolog együttállása szükséges.

Részletek itt.

The security team is aware that SA-CORE-2018-004, is being exploited in the wild. If you have not updated, please do so now. https://t.co/TVGob2IXvL

— Drupal Security (@drupalsecurity) April 25, 2018

A Drupal core részét érintő SA-CORE-2018-004 sebezhetőség aktív kihasználására hívja fel a Drupal Security a figyelmet. Aki még nem patchelt, annak tanácsos mielőbb elvégeznie a foltozást.

Patchek:

• Drupal 8
• Drupal 7
• Drupal 6
• Drupal 5

A fiatal Zuckerberg nem sokra tartotta a privát szféra védelmét, gátlástalanul kiadta volna felhasználói adatait, akiket egyébként "buta fasz" jelzővel illetett. De már megbánta... - https://t.co/lhqg4DjS7u pic.twitter.com/yiyk2zbtjO

— HUP (@huphu) April 9, 2018 #onhup

A Facebook alapítójának korábbi megnyilatkozásairól, megbánásáról érdemes olvasni egykori cikkeket itt és itt.

Windows 7 patch for Meltdown enabled arbitrary reads and writes in kernel memory https://t.co/u5fOeGaZTN

— Hacker News (@newsycombinator) March 27, 2018

A Meltdown sebezhetőség arról szólt, hogy privilégium nélküli alkalmazások képesek lehettek olvasni a kernel memóriát nem túl tempós, másodpercenkénti megabájt sebességgel. Jött a Microsoft és megjavította. Az eredmény: kijavították a problémát, ami helyett most már bármely processz képes a teljes memóriatartalmat olvasni másodpercenkénti gigabájt sebességgel és ha ez nem elég, feltehetően írni is ...

Részletek itt.

Facebook denies it collects call and SMS data from phones without permission https://t.co/6NngjYODYX— Hacker News (@newsycombinator) March 26, 2018

Az Ars Technica indította el a lavinát egyik cikkével, amelyben azt állította, hogy a Facebook évekig gyűjtötte titokban a felhasználói hívás- és üzenet-történet adatait azok mobiltelefonjairól. A Facebook egy közleményt adott ki, amelyben tagadja ezt. A közleményben a cég állítja, hogy a hívás- és szöveges üzenet-történet logolása opt-in feature, azaz, alapból nincs bekapcsolva, azt a felhasználónak explicit engedélyeznie kell ahhoz, hogy bekapcsolva legyen. A feature egy kényelmi funkció, amely lehetővé teszi a felhasználó számára az ismerősei egyszerűbb megtalálását és az azokkal való kapcsolattartást, valamint a jobb felhasználói élményt a Facebook nyújtotta szolgáltatásokban. Az Ars Technica frissítette cikkét a Facebook közlemény után, fenntartva, hogy a Facebook közleményében olvashatók ellentmondásban vannak az ő (Ars) megállapításaikkal és egyes, az ügyben érintett felhasználók által tapasztaltakkal.

Részletek a Facebook közleményében. További részletek itt.

syzkaller/syzbot dashboard for #Linux kernel is now live at https://t.co/lq4Lds8KtL. In the past 8 months syzbot has reported 500+ bugs in kernel, 130 are still unfixed.

— Dmitry Vyukov (@dvyukov) March 21, 2018

Ahogy arról korábban szó volt:

Ehhez szorosan kapcsolódik a fenti Twitter bejelentés, miszerint elindult a syzkaller dashboard weboldal, ahol nyomon lehet követni a felfedett hibák életútját.

A teljes cikk itt.

Malware Alert ⚠️ If your smartphone (Honor, Huawei, #Xiaomi, OPPO, Vivo, Samsung and GIONEE) has any of the following app installed, immediately uninstall it.

→Yellow Calendarz (每日黄历)

→Changmi Launcher (畅米桌面)

→Secure WiFi Services (系统WIFI服务)

→ZDSGT Services

— The Hacker News (@TheHackersNews) March 16, 2018

Valahol a (be)szállítói láncban kerülhetett fel a rosszindulatú alkalmazás a készülékekre. A Xiaomi, Huawei, Honor, Samsung, OPPO, Vivo stb. az érintett gyártók közt. Részletek itt és itt.

Researcher publishes summary of #AMD flaws, confirming that significant efforts required to build attack tools https://t.co/CVDkiTpuxG

"Most of the discussion after public announcement of flaws has been focused on the way they were disclosed rather than their technical impact"

— The Hacker News (@TheHackersNews) March 15, 2018

A Trail of Bits biztonsági cég független konzulens minőségben látta a CTS Labs #AMDFlaws néven elhíresült AMD processzor hibákról írt dokumentációját. A cég összefoglalója elolvasható itt.

Március 14-16. közt zajlik Vancouverben a Zero Day Initiative szokásos, éves hackfesztje, a Pwn2Own. Az első napon 162 000 amerikai dollárnyi jutalmat osztottak szét a sikeres jelentkezők közt:

1. nap

Let's Encrypt wildcard certificates and ACMEv2 are available today! More information can be found here: https://t.co/0SdH98Oabn

— Let's Encrypt (@letsencrypt) March 13, 2018

Részletek a bejelentésben.

'GrayKey' #iPhone unlock in use by @IndStatePolice, documents reveal https://t.co/Hy6cYfZkpE pic.twitter.com/KWkogFqKEy

— AppleInsider (@appleinsider) March 9, 2018

A GrayShift nevű cég mögött állítólag egy ex-Apple biztonsági szakember áll. A cég azt állítja, hogy GrayKey nevű eszközével a hatóságok hozzáférhetnek az iPhone készülékeken tárolt adatokhoz. A GrayKey offline, korlátlan feloldást lehetővé tevő verziója 30 ezer dollárba, míg az online, 300 feloldást lehetővé tevő verziója 15 ezer dollárba kerül, ami rendkívül olcsónak mondható. A hírek szerint az Indiana állam rendőrsége már vásárolt is az eszközből...

Részletek itt.