Az NGINX 1.31.0-ban egy új, javítatlan zero-day sérülékenységet azonosítottak, amelyet „nginx-poolslip” néven emlegetnek. A leírás szerint a hiba lehetővé teheti az ASLR megkerülését, majd végső soron távoli kódfuttatást is eredményezhet. Mivel az NGINX a világ aktív webhelyeinek nagyjából egyharmadát szolgálja ki, az érintett rendszerek száma potenciálisan rendkívül magas lehet. A hiba különösen aggasztó, mert a […]
Ismét reflektorfénybe került egy 2020-ban azonosított Windows-sebezhetőség, és a jelek szerint a legfrissebb biztonsági frissítésekkel ellátott rendszereken is működőképes.
Az App Store továbbra is kiemelt célpontja a különféle online visszaéléseknek, ezért az Apple az elmúlt években nemcsak emberi erőforrásokkal, hanem a mesterséges intelligencia segítségével is növelte a biztonsági és moderációs kapacitásait. A 2025-ös adatok alapján több mint 2,2 milliárd dollár értékű rosszindulatú tevékenységekkel összefüggő tranzakciót akadályozott meg, miközben a vállalat több millió gyanús alkalmazást, […]
Magára vállalta a GitHub belső rendszereit érintő súlyos adatszivárgást a TeamPCP nevű kiberbűnözői csoport. A szivárgásban feltehetően érzékeny forráskódok és a GitHub saját szervezeti adatai érintettek. A csoport jelenleg 50.000 USD-ért árulja a lopott adatbázist az erre megfelelő kiberbűnözői fórumokon. Több sötét webet monitorozó platform, a támadók állítására alapozott véleménye szerint mintegy 4000 GitHub belső […]
A hiba sikeres kihasználása az alapértelmezett beállítások esetén a szerver újraindulását is előidézheti, ami így DoS állapotot okozhat; az Address Space Layout Randomization (ASLR) letiltott állapota esetén pedig akár távoli kódfuttatáshoz is vezethet. A CVE-2026-42945 sérülékenységet – melyet múlt héten patchelt az NGINX – a hétvége folyamán aktívan kihasználták. A hibát NGINX Rift néven emlegetik, […]
A Discord bejelentette, hogy a platformon keresztül folytatott hang- és videóhívásokat mostantól alapértelmezés szerint végpontok közötti titkosítással (E2EE) védik. Az E2EE támogatás bevezetése még márciusban fejeződött be. A Discord egy népszerű online közösségi platform, amely az üzenetek küldésén túl, illetve a hang-és videóhívások mellett közösségi szervereket kínál játékok, alkotók, vállalkozások és egyéb érdeklődési körön alapuló […]
Az elmúlt napokban számos adatvédelmi incidens került fel az Egyesült Államok Egészségügyi és Humán Szolgáltatások Minisztériuma (HHS) által vezetett egészségügyi adatvédelmi incidenseket figyelemmel kísérő nyilvántartásba. Bár az incidensek az elmúlt hónapokban következtek be, az általuk érintett személyek számát csak most hozta nyilvánosságra a HHS. A legsúlyosabbak között szerepel a még márciusában bejelentett New York City […]
A Microsoft csütörtökön kockázatcsökkentő intézkedéseket adott ki egy súlyos Microsoft Exchange Server sérülékenységgel kapcsolatban, amelyet a támadók már aktívan kihasználnak. A hiba lehetővé teheti, hogy a támadók speciálisan kialakított webes tartalmak segítségével rosszindulatú kódot futtassanak az Outlook on the Web (OWA) felhasználóinak böngészőjében. A CVE-2026-42897 azonosítójú sérülékenység az Exchange Server 2016, Exchange Server 2019, valamint […]
Ismét megrendezésre került a Pwn2Own Berlin kiberbiztonsági verseny, ahol ezúttal is biztonsági kutatók mérhették össze tudásukat valós rendszerek feltörésén keresztül. A háromnapos esemény végére a résztvevők összesen több mint 1,29 millió dollár jutalmat vihettek haza, miután 47 zero-day sérülékenységet sikerült kihasználniuk. A verseny az OffensiveCon konferencián zajlott május 14. és 16. között, és kifejezetten modern, […]
2026 áprilisa és májusa között a Linux kernel közössége egy szokatlan eseménysorozatot élt át. Néhány hét leforgása alatt öt súlyos kernelsérülékenység vált ismertté, amelyek mindegyike a legnépszerűbb Linux disztribúciókat érinti. A Copy Fail, a Dirty Frag, a Fragnesia, ssh-keysign-pwn és a DirtyDecrypt egymástól eltérő technikai mechanizmusokon alapulnak, de közös vonásuk, hogy helyi, alacsony jogosultságú felhasználók […]