A Check Point Research az "Achilles" nevet adta annak a kutatásának, amelynek során a Qualcomm Technologies Digital Signal Processor (DSP) chipjét vetette alapos biztonsági tesztelés alá. A tesztelés során több mint 400 sebezhetőségre bukkantak.
{NEWS} The Linux Foundation announces the formation of the Open Source Security Foundation (OpenSSF). Read the press release and learn more here: https://t.co/NkibRfpUI3#opensource#security
— The Linux Foundation (@linuxfoundation) August 3, 2020
We're excited to be joining industry partners in creating the Open Source Security Foundation to improve the security of #opensource software by building a broader community, targeted initiatives, and best practices. @markrussinovichhttps://t.co/uo3KtzvKrJ
Az Open Source Security Foundation (OSSF) célja a nyílt forrású szoftverek biztonságosságának elősegítése, biztonságának javítása. Az alapító tagok közt megtalálható:
— Project Zero Bugs (@ProjectZeroBugs) July 30, 2020
In this blog post, I'll describe a new iOS kernel exploitation technique that turns a one-byte controlled heap overflow directly into a read/write primitive for arbitrary physical addresses, all while completely sidestepping current mitigations such as KASLR, PAC, and zone_require. By reading a special hardware register, it's possible to locate the kernel in physical memory and build a kernel read/write primitive without a fake kernel task port. I'll conclude by discussing how effective various iOS mitigations were or could be at blocking this technique and by musing on the state-of-the-art of iOS kernel exploitation. You can find the proof-of-concept code here.
A Tencent Security Lab csapata egy BadPower nevű támadás részleteit tette közzé. Lényege: az újabban gyártott gyorstöltők közt van olyan, amelyikekben egyszerűen módosítható a firmware. A firmware módosításához elég rádugni egy pillanatra egy speciális eszközt, de egyes töltőknél akár egy malware-t tartalmazó laptop vagy okostelefon is felhasználható erre, vagyis akár a felhasználó saját maga is korrumpálhatja a saját töltője firmware-ét a tudtán kívül.
Széles körű támadást indítottak a Twitter ellen, ami során számos nagyvállalat és ismert ember Twitter fiókja esett áldozatul. A fiókokat Bitcoin-csalásra használták fel. Így esett meg, hogy például az Apple, Barack Obama is "arról tweetelt", hogy Bitcoin-t "adományozna" a COVID-19 áldozatainak. A csalás mások mellett az alábbi fiókokat érintette:
Alig néhány órája vált publikussá a SIGRed névre hallgató, kritikus Microsoft DNS sebezhetőség, máris fenn van a GitHub-on a sebezhetőségre megjelent első PoC exploit. Elérhető Windows bináris, Linux shell script formában. Mivel az állítólagos exploit egy ismeretlen által került feltöltésre, nem jó ötlet futtatni. Viszont egy dologra mindenképpen felhívja a figyelmet: mielőbb érdemes frissíteni a sebezhető rendszereket, mert csak idő kérdése, hogy mikor bukkan fel a sebezhetőségre egy exploit vagy worm.
Az előadás az XML kihasználhatóságát veszi górcső alá: miután mára a technológia biztonságának szinte minden aspektusát felboncolta a szakértői közösség, most néhány érdekes és ritkán használt támadás kerül terítékre, amelyek részletei a mindennapi munka, sőt, akár bug bounty programok során is hasznosak lehetnek - a 2020.07.07-i HWSW free! IT biztonsági meetupon elhangzott előadásban tapasztalatait Módly Márk, a HardcoreIT biztonsági szakértője osztotta meg.
Akit érdekel az IT biztonság témaköre, mindenképp érdemes ellátogatnia a július 17-én megrendezett Sysadminday rendezvényünkre, ahol a rendszergazdák világnapjának megünneplése mellett további IT biztonsági előadásokkal készülünk!
A Microsoft érdekeltségébe tartozó LinkedIn-t azon kapták, hogy iPhone-nal és iPad-del rendelkező felhasználók vágólapjait olvasgatta. Noha a vállalat azt állította, hogy csak egy szoftverhibáról van szó, egy iPhone felhasználó pert indított érzékeny adatok feltételezett, vágólapról történő engedély nélküli olvasása miatt.
WASHINGTON, June 30, 2020—The Federal Communications Commission today took a major step in its ongoing efforts to protect U.S. communications networks from security risks. Specifically, the FCC’s Public Safety and Homeland Security Bureau formally designated two companies—Huawei Technologies Company (Huawei) and ZTE Corporation (ZTE), as well as their parents, affiliates, and subsidiaries—as covered companies for purposes of the agency’s November 2019 ban on the use of universal service support to purchase equipment or services from companies posing a national security threat.