Bug

A Neo Security Team kritikus hibákra figyelmeztet a népszerű PHP-Nuke tartalomkezelőben. A figyelmeztető szerint az SQL injekciós és ellenőrzés megkerüléses támadások hajthatók végre a PHP-Nuke 7.9 és korábbi verziójú CMS-t futtató oldalak ellen. Sajnos a hibára van PoC exploit.

Három biztonsági figyelmeztetés jelent meg az éjjel a Drupal tartalomkezelő rendszerhez, ebből egy kritikusnak minősítve. Ugyanakkor elérhetőek a legújabb, 4.7.4 és a 4.6.10 verziók is. Bejelentések:

A Rapid7 egyik új biztonsági figyelmeztetőjében arról számol be, hogy helyileg és távolról egyaránt kihasználható, súlyos (puffer túlcsordulásos) hiba van az NVIDIA zárt forrású, Linux-alapú operációs rendszerekhez használható eszközmeghajtó-programjában. A hibát sikeresen kihasználva a rosszindulatú támadó parancsokat hajthat végre a sebezhető rendszeren a "root" felhasználó nevében.

A biztosan sebezhető diverek a v8774-es és a v8762-es verziójúak. Emellett a figyelmeztető kitér arra is, hogy elképzelhető, hogy az NVIDIA FreeBSD-hez és Solaris-hoz használható driverei is érintettek. Az sem zárható ki, hogy a korábbi verziójú driverek is sebezhetőek.

Frissítés: Itt azt állítják, hogy a hiba már javítva van az 1.0-9xxx driverekben.

A Symantec a félévenként megjelenő Internet Security Threat Report-jának legfrissebb számában arról számol be, hogy egyre növekszik a böngészőket értintő sebezhetőségek száma. Az elmúlt félévben legtöbb bugot a Mozilla Firefoxban találták, szám szerint 47-et. Ezt követi a Microsoft Internet Explorer 38-cal, az Safari 12-vel, míg a sort az Opera zárja 7 felfedezett buggal.

Mobil számítógép tulajdonosok gyakran "láncolják" le eszközeiket nyilvános helyen annak reményében, hogy azokat nem tulajdonítják el. Az egyik leggyakrabban használt eszköz erre az ún. kensington lock. Egyesek szerint ez túl nagy védelmet nem biztosít, mert ha valaki el akarja vinni a stuffok, akkor el is viszi... egy biztos, e video megtekintése után még azok is kétkedve gondolnak majd a hasznosságára, akik eddig bíztak benne.

Az Apple MacBook-okban és a windows-os Centrino gépekben használt eszközmeghajtó-programok tele vannak lyukakkal, ezért egy prominens biztonsági szakértő azt javasolja, hogy a javításukig az ilyen gépek tulajdonosai jobb, ha kikapcsolják a WiFi eszközüket. A SANS Internet Storm Center három komoly hibáról szóló figyelmeztetést (távoli kódfuttatás, privilégium-szint emelés) adott ki a témával kapcsolatban.

Megjelent a Drupal portálmotor 4.6.8-as és 4.7.2-es verziója. A kiadásokban biztonsági hibákat javítottak a fejlesztők. Az egyik hiba egy kevésbé kritikus cross site scripting-et tesz lehetővé, míg a második kritikus lehet olyan Drupal telepítéseken, ahol a file feltöltés engedélyezve van.

Megjelent a Drupal CMS 4.6.7-es és 4.7.1-es verziója. A kiadások bugfix kiadások, amelyekben két-két kritikus (SQL injection, távoli kódfuttatás bizonyos Apache beállítások estén) hibát javítottak a fejlesztők.

A fejlett forráskód-elemző szoftveréről ismert Coverity bejelentette, hogy a US Department of Homeland Security-vel (DHS) kötött szerződésének eredményeként az elmúlt hat év legsúlyosabb bugját találták meg és javították ki az X Window System-ben.

Az Ubuntu telepítőjében fellelt hiba után úgy látszik sokan elkezdték boncolgatni, milyen a naplózással kapcsolatos hibákat rejthet kedvenc operációs rendszerünk.