Bug

Here's an example of Google's AI reporting security vulnerabilities in this codec:https://t.co/CvGemnoUk9

We take security very seriously but at the same time is it really fair that trillion dollar corporations run AI to find security issues on people's hobby code? Then expect… https://t.co/RxOeoVphN0

— FFmpeg (@FFmpeg) October 31, 2025

Nyílt konfliktus alakult ki az FFmpeg fejlesztői és a Google között, miután a Google Project Zero és a DeepMind közös AI-eszköze, a Big Sleep sebezhetőséget jelentett egy őskövület formátumban: a LucasArts Smush kodekben.

A baj nem a buggal, hanem a Google folyamatával van: a Google Project Zero 2025-ös „Reporting Transparency” szabályai szerint egy héten belül nyilvánosságra hozzák, hogy sebezhetőséget találtak egy adott projektben, elindul a 90 napos disclosure-óra, és név szerint megnevezik az érintett projektet – függetlenül attól, hogy egy pár fős, önkéntes csapatról van szó, amelynek nincs vállalati szintű kapacitása ezek azonnali kezelésére. Az FFmpeg fejlesztők a levelezőlistán („fuzzer and security issues / Big Sleep” thread) és X-en már nyíltan „CVE slop”-nak nevezik az ilyen, gyakorlatban alig kihasználható hibák köré épített CVE-gyártást.

A hibákat ettől függetlenül javítják – erre példa az avcodec/exr patch, „Found-by: Google Big Sleep” megjelöléssel –, de egyre hangosabb az üzenet: ha a Google AI-val tömegesen túrja fel a kódot, és elvárja a gyors, „enterprise” szintű reakciót, akkor finanszírozza is az FFmpeg-et. Ha pedig nem fizet, akkor a fejlesztők szerint itt lenne az ideje visszavenni az AI-generált CVE-esőből – ahogy azt a The New Stack összefoglalója is kiemeli.

• FFmpeg-devel – fuzzer and security issues / Big Sleep
• Google Cloud – Our Big Sleep agent makes a big leap

Az Ubuntu a 25.10-es interim kiadásban elkezdett kísérletezni azzal, hogy az évtizedek alatt kiforrott, C-ben írt alapvető GNU segédprogramokat Rust-alapú megfelelőire cserélte. "Drop-in replacement"-ként hivatkoztak rájuk, azaz a terv az volt, hogy csak bedobják a régi, jól bevált segédprogramok helyére és a felhasználók a váltásból semmit sem vesznek észre, mert az új cuccok pont úgy működnek majd, mint a régiek.

Az elképzelés már az új, uutils coreutils-ba tartozó date paranccsal megbukott, hiszen a hibája eltörte az automatikus frissítéseket. Most kiderült, hogy probléma van a Rust-alapú du-val és sort-tal is: azok nem teljes egészében implementálják a GNU coreutils-ba tartozó du, sort funkcióit, így az olyan script-ek, amik rájuk támaszkodnak hibásan működhetnek.

More issues with the Rust-based “drop in” replacements for the GNU Core Utils keep popping up in the current (and upcoming) version of Ubuntu.

Both “du” and “sort” appear to have significant issues which could break some scripts and applications.

In fact, it turns out that the… pic.twitter.com/qc50QU4N86

— The Lunduke Journal (@LundukeJournal) November 8, 2025

Az Ubuntu projekt bejelentette, hogy az Ubuntu 25.10-zel szállított, Rust-alapú uutils-változatban lévő date parancs hibája eltörte az automatikus frissítéseket:

A date parancsban található, mára megoldott hiba miatt néhány Ubuntu 25.10 rendszer nem tudta automatikusan ellenőrizni az elérhető szoftverfrissítéseket. Az érintett gépek közé tartoznak a felhős telepítések, a konténerképek, valamint az Ubuntu Desktop és Ubuntu Server telepítések. 

A bejelentés tartalmaz javítási útmutatót az érintettek számára. A rust-coreutils csomag 0.2.2-0ubuntu2 vagy korábbi verziói tartalmazzák a hibát; a javítás a 0.2.2-0ubuntu2.1 vagy újabb verziókban található. Ez a probléma nem érinti az apt paranccsal vagy más segédprogramokkal végzett kézi frissítéseket.

Az Ubuntu projekt a 25.10-es kiadással arra vállalkozott, hogy Rust-alapú coreutils és sudo implementáció bevezetésével felmérje, hogy a Rust-alapú segédprogramok alkalmasak-e a jövő áprilisra tervezett hosszú távú kiadásra. 

? One flaw. Total takeover.

A critical bug in Windows Server 2025 lets attackers generate any dMSA/gMSA password—across the forest.

It bypasses Credential Guard and can persist for years.

Details here → https://t.co/Igt8MEWhxv

— The Hacker News (@TheHackersNews) July 16, 2025

Egy újonnan felfedezett, kritikus tervezési hiba érinti a Windows Server 2025-ben bevezetett delegált szolgáltatásfiókokat (dMSA). A sérülékenység révén, ha a támadó megszerzi a KDS root kulcsot (amit általában csak domain admin jogosultsággal lehet), akkor minden gMSA/dMSA jelszava kiszámíthatóvá válik – akár forest-szinten is. Ez lehetővé teszi a tartós rejtett hozzáférést, hitelesítési korlátok megkerülését és domain-ek közti mozgást a hálózatban. A támadási módszer – „Golden dMSA” néven – egyszerűen végrehajtható, mivel a jelszógeneráló algoritmus gyenge, mindössze 1024 lehetséges időalapú variációval. A Microsoft szerint ez nem véd a domain controller kompromittálása ellen – ám ha ez megtörténik, az egész vállalati környezet feltörhető egyetlen kulccsal. 

Részletek itt.

? New Cisco ISE flaw lets attackers run code as root — no login needed.

The bug (CVE-2025-20337) scores a perfect 10.0. Just one crafted API call = full system takeover.

Affected? Patch now or risk compromise.

Details here → https://t.co/sbJ0dofqcX

— The Hacker News (@TheHackersNews) July 17, 2025

A Cisco Identity Services Engine (ISE) egy vállalati hálózatokban használt hitelesítési, jogosultságkezelési és hozzáférés-szabályozási platform, amely kulcsszerepet játszik a belépési pontok védelmében, 802.1X, RADIUS/TACACS és integrált policy enforcement révén.

Megjelent egy kritikus sebezhetőség (CVE-2025-20337), amely lehetővé teszi, hogy hitelesítés nélkül, egyetlen kézzel formált API hívással a támadó root jogosultságot szerezzen a rendszeren. A CVSS pontszám: 10.0 – a lehető legmagasabb kockázati szint.

Mi az impact?

A sudo 1.9.14–1.9.17 verziókban egy súlyos sérülékenység (CVE-2025-32463) lehetővé teszi, hogy a helyi támadó a sudo -R (vagy --chroot) opcióval root jogosultságot szerezzen, még akkor is, ha nem szerepel a sudoers fájlban.

A probléma abból adódik, hogy a sudo hibásan a chroot-on belüli nsswitch.conf alapján tölt be osztott könyvtárakat, amelyet a támadó manipulálhat.

Megoldás:
A hibát a sudo 1.9.17p1 javítja, a chroot funkciót pedig elavultként jelölték, és jövőbeli verziókból el is távolítják.

Érintett rendszerek: minden, ahol van /etc/nsswitch.conf.

Bejelentés itt.

https://t.co/9qhx1SrRiU

— grsecurity (@grsecurity) February 3, 2025

A grsecurity csapat hívta fel a figyelmet a Google Security Team által fogott AMD mikrokód kezelési sérülékenységre:

A Google Biztonsági Csapata biztonsági sebezhetőséget azonosított néhány AMD Zen alapú processzorban. Ez a sebezhetőség lehetővé teszi, hogy egy támadó, aki helyi rendszergazdai jogosultságokkal rendelkezik, rosszindulatú mikrokód-patcheket töltsön be (a kihasználásához a felhasználónak rendszergazdai jogosultsággal kell rendelkeznie egy VM-en kívül).

[...]

A Google 2024. szeptember 25-én értesítette az AMD-t a sérülékenységről. Az AMD 2024. december 17-én embargó alá eső javítást biztosított ügyfeleinek. Az AMD-vel való koordinálás érdekében a Google egyedi kivételt alkalmazott a szokásos sérülékenység-közlési irányelvéből, és a nyilvános bejelentést 2025. február 3-ára tolta. A közlemény 46 nappal az AMD javításának megosztása után és 131 nappal a Google eredeti jelentése után történt. A részletek 2025. március 5-én lesznek közzétéve.

Részletek itt.

"A remote unauthenticated attacker can silently replace existing printers’ (or install new ones) IPP urls with a malicious one, resulting in arbitrary command execution (on the computer) when a print job is started (from that computer)."

azaz:

Egy távoli, nem authentikált támadó feltűnés nélkül lecserélheti a meglévő nyomtatóink IPP url-jét egy preparált, rosszindulatú site-ra, vagy akár új (fake) nyomtatót is hozzáadhat a rendszerünkhöz. Ha erre nyomtatási fealdat is érkezik, a támadó kódot futtathat a gépünkön.

Microsoft identified multiple vulnerabilities in the open-source platform OpenVPN, integrated into millions of devices worldwide, which could be exploited to create an attack chain allowing remote code execution (RCE) and local privilege escalation (LPE). https://t.co/QXOprJov3u

— Microsoft Threat Intelligence (@MsftSecIntel) August 8, 2024

Kihasználva ezeket a sérülékenységeket olyan exploitálási láncok részeként, amelyek LPE és RCE exploitokat is tartalmaznak, a támadók a távoli rendszerek felett akár teljes ellenőrzést szerezhetnek (vagy egyéb támadásokat hajthatnak végre):

Attackers could chain and remotely exploit some of the discovered vulnerabilities to achieve an attack chain consisting of remote code execution (RCE) and local privilege escalation (LPE). This attack chain could enable attackers to gain full control over targeted endpoints, potentially resulting in data breaches, system compromise, and unauthorized access to sensitive information.

A Microsoft blogbejegyzése itt olvasható.

This morning, we published the Root Cause Analysis (RCA) detailing the findings, mitigations and technical details of the July 19, 2024, Channel File 291 incident. We apologize unreservedly and will use the lessons learned from this incident to become more resilient and better…

— CrowdStrike (@CrowdStrike) August 6, 2024

Elérhető: External Technical Root Cause Analysis — Channel File 291