Bug

Egy macOS High Sierra bug plain text-ben felfedi a titkosított APFS kötetek jelszavát

Címkék

Részletek itt, technikai elemzés itt.

Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-002

Címkék

Ahogy az várható volt, a Drupal projekt kiadta a Drupal 5.x, 6.x, 7.x, 8.x verziókat érintő, távoli kódfuttatást lehetővé tevő, "Highly critical" besorolású sebezhetőség biztonsági figyelmeztetőjét. Megtalálható itt. A sebezhetőséggel kapcsolatos FAQ itt.

Patchek:

Drupal 6 patch: https://www.drupal.org/files/issues/2018-03-28/SA-CORE-2018-002.patch
Drupal 5 patch: https://www.drupal.org/files/issues/2018-03-28/sa-core-2018-002-d5.patch

ACG bypass sebezhetőséget talált a Google az Edge böngészőben; a határidő leteltével nyilvánosságra hozta részleteit

Címkék

A Google biztonsági csapata, a Project Zero egy Arbitrary Code Guard bypass sebezhetőséget talált a Microsoft Edge böngészőben. A csapat a biztonsági problémát jelezte a gyártó felé. A Project Zero 90 napos határidőt (plusz 14 nap türelmi idő) szab a gyártóknak az általa talált biztonsági hibák javítására. A javítás megérkeztével vagy a határidő leteltével a Google nyilvánosságra hozza a sebezhetőség részleteit. Mivel a Microsoft nem javította a hibát 90 nap elteltével sem - arra hivatkozva, hogy a javítás komplexebb és az elkészítése hosszabb időt vesz igénybe mint azt elsőre várták és - a Google publikálta a hiba részleteit. A Microsoft szerint a javítás elkészülhet a márciusi Update Tuesday-re (leánykori nevén Patch Kedd).

"Text bomb" a legújabb Apple bug

Címkék

Apple eszközökre - iOS, macOS - küldött speciálisan formázott HTML link - megnyitás nélkül is - crash-t, rosszabb esetben reboot-ot okoz. A hibát felfedező a PoC-ot előbb elérhetővé tette a GitHub-on, majd később eltávolította. Mint írta: a figyelemfelhívása elérte célját.

Egyes AMD processzoros gépeken problémákat okozhat a Microsoft meltdown javítása

Címkék

A hírek szerint azokon a gépeken, ahol hiányzik a CMPXCHG16B utasítás az AMD processzorból, különböző boot és működési problémákat okoz a Microsoft #meltdown javítása.

Frissítve: hivatalos Microsoft figyelmeztető: Windows operating system security update block for some AMD based devices

[Folyamatosan frissítve #4] Meltdown és Spectre - kihatások a teljesítményre patchelés után

Címkék

syslog-ng fordítás

[Folyamatosan frissítve #17] Minden, amit a #meltdown / #spectre processzorbugokkal kapcsolatban tudni érdemes

Címkék

Google

Ismét a Google biztonsági csapata jeleskedett, elérhető az igazi technikai leírás

Google: napjaink CPU sebezhetőségei: amit tudnod érdmes

Red Hat

Red Hat tájékoztatás a problémákkal kapcsolatban

IOHIDeous - "One tiny, ugly bug. Fifteen years. Full system compromise."

Címkék
A macOS kernel exploit based on an IOHIDFamily 0day. [...] One tiny, ugly bug. Fifteen years. Full system compromise. [...] The prefetch timing attack I'm using for hid for some reason doesn't work on High Sierra 10.13.2 anymore, and I don't feel like investigating that. Maybe patched, maybe just the consequence of a random change, I neither know nor care. The vuln is still there and my code does both info leak and kernel r/w, just not in the same binary - reason is explained in the write-up. If you want that feature, consider it an exercise for the reader.

[ IOHIDeous @ GitHub | IOHIDeous - teljes leírás ]