Titkosítás, biztonság, privát szféra

Big Microsoft data breach – 250 million records exposed https://t.co/Xe521ubswe

— Naked Security (@NakedSecurity) January 22, 2020

14 évnyi adat volt szabadon hozzáférhető majdnem egy hónapig. Részletek itt. A Microsoft bejelentése itt.

Megjelent a legnépszerűbb nyílt forráskódú WAF legújabb kiadása, a ModSecurity 3.0.4-es verziója.

We're excited to announce #Pwn2Own Vancouver 2020 with new categories and returning partners, #Microsoft & @Tesla along with sponsor @VMware. More than $1,000,000 USD available - plus a Model 3! Details at https://t.co/eiZOb281Bk #P2OVancouver

— Zero Day Initiative (@thezdi) January 9, 2020

A ZDI bejelentette, hogy idén is megtartják népszerű, biztonsági szakemberek számára szervezett vetélkedőjüket, a Pwn2Own-t. Helyszíne a szokásos, a kanadai Vancouverben tartott CanSecWest konferencia. Időpontja 2020. március 18-20. A nyereményalap nem gyenge: több mint 1 millió dollár készpénz és egy vadonatúj Tesla Model 3-as. Az alábbi kategóriákban hirdettek versenyt:

Remote iPhone Exploitation Part 1: Poking Memory via iMessage and CVE-2019-8641 https://t.co/5F29wQtVJ4

— Project Zero Bugs (@ProjectZeroBugs) January 9, 2020

Remote iPhone Exploitation Part 2: Bringing Light into the Darkness -- a Remote ASLR Bypass https://t.co/USp8qmiRBs

— Project Zero Bugs (@ProjectZeroBugs) January 9, 2020

Remote iPhone Exploitation Part 3: From Memory Corruption to JavaScript and Back -- Gaining Code Execution https://t.co/7sFKXSHCcH

— Project Zero Bugs (@ProjectZeroBugs) January 9, 2020

A Google P0 csapatának blogján egy sorozat indult iPhone készülékek távoli exploitálásával kapcsolatban:

Policy and Disclosure: 2020 Edition https://t.co/437PanOTTx

— Project Zero Bugs (@ProjectZeroBugs) January 7, 2020

A Google Project Zero(P0) csapata az elmúlt években számos kritikus biztonsági sebezhetőség feltárásában és javításának elősegítésében működött közre.

Local root exploit for the FreeBSD fd vulnerability as disclosed in FreeBSD-SA-19:02.fd https://t.co/kEzzC3C0au #Rootkit #Vulnerability #Exploit #CyberSecurity #Infosec pic.twitter.com/aOTnmXuBWA

— Ptrace Security GmbH (@ptracesecurity) January 4, 2020

Ugyan a hibát a FreeBSD már rég javította, viszont aki nem patchelt, annak érdemes mielőbb, mert nemrég publikusan elérhető local root exploit látott napvilágot hozzá.

We present #plundervolt TL;DR First ever fault injection attack on Intel SGX enclaves. Abuses an undocumented software-based interface to undervolt the CPU. Extract full crypto keys and trigger memory safety violations in bug-free code. Read the paper at https://t.co/xfrFtNcQGE pic.twitter.com/ozuCF4Vzhh

— Jo Van Bulck (@jovanbulck) December 10, 2019

A hibát bejelentők közt van a Meltdown kapcsán ismertté vált Daniel Gruss is:

SockPuppet: A Walkthrough of a Kernel Exploit for iOS 12.4 https://t.co/b6ZtRYS1br

— Project Zero Bugs (@ProjectZeroBugs) December 10, 2019

Ned Williamson a P0 csapat blogján egy olyan, iOS és macOS kernelt érintő súlyos sebezhetőséget elemez ki, ami öt évig volt jelen. A sebezhetőséget 2019 márciusában jelezte az Apple-nek, ami az iOS 12.3-ban ki is javította. Utána olyasmi következett, ami az Apple-nél nem ritka: a sebezhetőség "visszatért" az iOS 12.4-ben, amit aztán újra kijavítottak az iOS 12.4.1-ben, augusztusban:

A teljes leírás itt olvasható.

ProtonCalendar will be in beta soon. Our secure and encrypted calendar will help you stay organized while protecting your data. This post explains exactly how we encrypt your data to ensure it stays safe: https://t.co/CKOj8ETMd4

— ProtonMail (@ProtonMail) December 5, 2019

A svájci központú, végpontok közti titkosítású, anonim e-mail szolgáltatást nyújtó Proton Technologies AG bejelentette, hogy szintén a biztonságot és a privát szféra védelmét szem előtt tartó naptárszolgáltatást indít hamarosan, egyelőre béta üzemben, ProtonCalendar néven. Részletek itt.

Mai napon az Intel - havi rendszerességű biztonsági állapotjelentés keretében - nyilvánosságra hozott összesen 77 biztonsági figyelmeztetést. Ezek jelentős része driver, illetve firmware frissítés, viszont külön kiemelendő két, CPU-kat érintő sebezhetőség, valamint egy harmadik nem biztonsági, hanem stabilitási-jellegű processzorhiba.

A Zombieload TAA (TSX Asynchronous Abort) CVE-2019-11135, (Intel SA-00270), a korábban nyilvánosságra hozott Zombieload MDS (Microarchitectural Data Sampling) két új variánsát takarja.

Az iITLB Multihit CVE-2018-12207 (Intel SA-00210) denial of service támadásra ad lehetőséget memória-laptáblában szándékosan érvénytelen lapméretű bejegyzések létrehozásával. Úgy tűnik itt is egy korábbi hiba újabb variánsáról van szó.

A Jump Conditional Code (JCC) Errata - jelen ismereteink szerint - nem hordoz biztonsági kockázatot, ám ahhoz hasonló mitigációs lépéseket igényel. A hiba feltételes ugrás utasítások 32byte-os kerek címhatárokra kerülése esetén nemdeterminisztikus viselkedésben nyilvánul meg.

Mindhárom probléma csak az Intel processzorait érinti.