windows10_ntfs_crash_dos - Marius Tivadar, a #Bitdefender biztonsági kutatója egy olyan #PoC #exploit kódot tett közzé a #GitHub-on, ami #BSOD-ot idéz elő #Windows operációs rendszerek különböző verzióin #NTFS #crash-t okozva - https://t.co/DsMTT0EP9z pic.twitter.com/CsBOjXqcRX

— HUP (@huphu) April 29, 2018 #onhup

A Proof-of-Concept exploit elérhető itt.

This is amazing, Windows Defender used the open source unrar code, but changed all the signed ints to unsigned for some reason, breaking the code. @halvarflake noticed and got it fixed. Remote SYSTEM memory corruption https://t.co/gsx9ZMk1Hz

— Tavis Ormandy (@taviso) April 4, 2018

Előzmények itt. Részletek itt.

CVE-2018-0986 | Microsoft Malware Protection Engine Remote Code Execution Vulnerability https://t.co/S4wCOE753N

— buherator (@buherator) April 4, 2018

Részletek itt.

Apple macOS High Sierra (10.13 and 10.13.1) Bug Reveals Passwords for Encrypted APFS Volumes in Plaintext.https://t.co/JJJZ54NZaN

Passwords can easily be retrieved by running a simple command in the terminal. pic.twitter.com/7IqC7ky2O7

— The Hacker News (@TheHackersNews) March 29, 2018 #onhup

Részletek itt, technikai elemzés itt.

Update now -- Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-002 -- https://t.co/uwzodrmegc

— Drupal Security (@drupalsecurity) March 28, 2018

Ahogy az várható volt, a Drupal projekt kiadta a Drupal 5.x, 6.x, 7.x, 8.x verziókat érintő, távoli kódfuttatást lehetővé tevő, "Highly critical" besorolású sebezhetőség biztonsági figyelmeztetőjét. Megtalálható itt. A sebezhetőséggel kapcsolatos FAQ itt.

Patchek:

Drupal 6 patch: https://www.drupal.org/files/issues/2018-03-28/SA-CORE-2018-002.patch
Drupal 5 patch: https://www.drupal.org/files/issues/2018-03-28/sa-core-2018-002-d5.patch

Google Discloses Microsoft Edge Security Feature Bypass https://t.co/n6wJZ0wCcS pic.twitter.com/NlUvfLclcI

— The Hacker News (@TheHackersNews) February 20, 2018

A Google biztonsági csapata, a Project Zero egy Arbitrary Code Guard bypass sebezhetőséget talált a Microsoft Edge böngészőben. A csapat a biztonsági problémát jelezte a gyártó felé. A Project Zero 90 napos határidőt (plusz 14 nap türelmi idő) szab a gyártóknak az általa talált biztonsági hibák javítására. A javítás megérkeztével vagy a határidő leteltével a Google nyilvánosságra hozza a sebezhetőség részleteit. Mivel a Microsoft nem javította a hibát 90 nap elteltével sem - arra hivatkozva, hogy a javítás komplexebb és az elkészítése hosszabb időt vesz igénybe mint azt elsőre várták és - a Google publikálta a hiba részleteit. A Microsoft szerint a javítás elkészülhet a márciusi Update Tuesday-re (leánykori nevén Patch Kedd).

Effective Power is back, baby!

chaiOS bug:
Text the link below, it will freeze the recipient's device, and possibly restart it. https://t.co/Ln93XN51Kq

Do not use it for bad stuff.
----
thanks to @aaronp613 @garnerlogan65 @lepidusdev @brensalsa for testing!

— Abraham Masri (@cheesecakeufo) January 16, 2018

Apple eszközökre - iOS, macOS - küldött speciálisan formázott HTML link - megnyitás nélkül is - crash-t, rosszabb esetben reboot-ot okoz. A hibát felfedező a PoC-ot előbb elérhetővé tette a GitHub-on, majd később eltávolította. Mint írta: a figyelemfelhívása elérte célját.

Ubuntu

Megérkeztek a #Meltdown javítással ellátott #Ubuntu kernelek - https://t.co/S1vzMVf4ys | https://t.co/JKlfg8YaIW | https://t.co/4Py2WQNeQG #infosec #kernel pic.twitter.com/Eqt361xBpU

— HUP (@huphu) January 10, 2018 #onhup

Microsoft have paused Windows security updates to some AMD devices (older CPUs - eg Athlon and Sempron) https://t.co/w47z9UN9Wj pic.twitter.com/Gc3CjtUX12

— Kevin Beaumont (@GossiTheDog) January 9, 2018

A hírek szerint azokon a gépeken, ahol hiányzik a CMPXCHG16B utasítás az AMD processzorból, különböző boot és működési problémákat okoz a Microsoft #meltdown javítása.

Frissítve: hivatalos Microsoft figyelmeztető: Windows operating system security update block for some AMD based devices