Tech.cert-hungary.hu

A Have I Been Pwned jelentése szerint a ShinyHunters nevű zsarolócsoport több mint 183 ezer ember személyes adataihoz férhetett hozzá, miután áprilisban kompromittálták a 7-Eleven kiskereskedelmi hálózat egyes rendszereit. A vállalat május 1-jén értesítette az érintett ügyfeleket arról, hogy a támadók április elején jogosulatlan hozzáférést szereztek a 7-Eleven bizonyos rendszereihez, és ismeretlen számú ügyfél személyes […]

Az Indian Computer Emergency Response Team (CERT-In) új irányelvet javasol az internethez kapcsolódó rendszerekben fellelhető kritikus sérülékenységek esetében. Javaslatuk szerint – amennyiben ez megvalósítható – a szervezeteket kötelesek 12 órán belül javítani ezeket a hibákat, hogy védelmet nyújthassanak a potenciális fenyegetésekkel szemben, amelyek során a rosszindulatú szereplők AI eszközöket és LLM-eket használnak. Ezzel a sebezhetőségek […]

Az Anthropic bejelentette, hogy hosszabb távon nyilvánosan is elérhetővé kívánja tenni a Mythos sérülékenységkutató MI teljesítményével vetekedő egyéb modelljeit

A Digital Knowledge KnowledgeDeliver LMS súlyos, javítás előtti sérülékenységét támadók webshell telepítésére, jogosultságmódosításra és Cobalt Strike-ot terjesztő hamis biztonsági frissítés kiszolgálására használták ki, rávilágítva a hardcoded titkos kulcsok súlyos kockázataira.

A Microsoft az új Defender for Endpoint funkció tesztelését végzi, amely automatikusan elkülöníti a kompromittált végpontokat, hogy megakadályozza a támadók oldalirányú mozgását a hálózaton. Mostantól előnézeti módban lesz elérhető a funkció és az automatikus támadásmegszakítás részeként fog működni annak érdekében, hogy megfékezzék a támadásokat, csökkentsék azok lehetséges hatásait, illetve hogy több időt biztosítsanak a biztonsági […]

A CISA elrendelte, hogy az amerikai kormányzati szerveknek legkésőbb szerdáig frissíteniük kell rendszereiket a Drupal tartalomkezelő rendszer (CMS) egy aktívan kihasznált SQL injection sérülékenység miatt. A Drupal-t jellemzően olyan nagy szervezetek használják, amelyek hatalmas adatstruktúrákat és több telephelyes telepítéseket kezelnek. Ilyenek például a kormányzati szervek, oktatási szervezetek, nagyobb kutatóegyetemek és magas rangú vállalatok és médiaszervezetek. […]

A Ghost tartalomkezelő rendszer (CMS) egy néhány hónappal ezelőtt javított sebezhetőségét kihasználva több száz weboldalt feltörtek, köztük olyan nagyobb szervezetek weboldalait is, mint a Harvard, az Oxford és a DuckDuckGo. A Ghost egy széles körben használt, nyílt forráskódú CMS (content management system), amelyet kifejezetten blogoláshoz, hírlevelekhez és publikáláshoz terveztek, továbbá beépített lehetőségeket kínál a részvételi […]

A Krebs állítása szerint a CISA számos felhőszolgáltatásához kapcsolódó digitális kulcsot hagyott szabadon, plain text formátumban – egyes esetekben nem tudni, hogy mennyi ideje lehettek ott. Ezt a problémát végül az elmúlt hétvégén orvosolták. Az adattároló egyes jelentések szerint „Private-CISA” néven volt megtalálható, és .CSV fájltípusban jelszavakat, bejelentkezési kulcsokat és tokeneket tartalmazott. A Krebs-nek adott […]

A Drupal egy nagyon súlyos core sérülékenységre adott ki javítást, amely a leírás szerint távoli kódfuttatáshoz, jogosultságemeléshez vagy információszivárgáshoz is vezethet. A hiba CVE-2026-9082 azonosítót kapta, és a PostgreSQL-t használó Drupal oldalak érintettek. A probléma azért különösen érzékeny, mert nem bejelentkezett támadók is ki tudják használni. A támadási felület egy API, amely a Drupal Core-ban […]

Az NGINX 1.31.0-ban egy új, javítatlan zero-day sérülékenységet azonosítottak, amelyet „nginx-poolslip” néven emlegetnek. A leírás szerint a hiba lehetővé teheti az ASLR megkerülését, majd végső soron távoli kódfuttatást is eredményezhet. Mivel az NGINX a világ aktív webhelyeinek nagyjából egyharmadát szolgálja ki, az érintett rendszerek száma potenciálisan rendkívül magas lehet. A hiba különösen aggasztó, mert a […]

Ismét reflektorfénybe került egy 2020-ban azonosított Windows-sebezhetőség, és a jelek szerint a legfrissebb biztonsági frissítésekkel ellátott rendszereken is működőképes.

Az App Store továbbra is kiemelt célpontja a különféle online visszaéléseknek, ezért az Apple az elmúlt években nemcsak emberi erőforrásokkal, hanem a mesterséges intelligencia segítségével is növelte a biztonsági és moderációs kapacitásait. A 2025-ös adatok alapján több mint 2,2 milliárd dollár értékű rosszindulatú tevékenységekkel összefüggő tranzakciót akadályozott meg, miközben a vállalat több millió gyanús alkalmazást, […]

Magára vállalta a GitHub belső rendszereit érintő súlyos adatszivárgást a TeamPCP nevű kiberbűnözői csoport. A szivárgásban feltehetően érzékeny forráskódok és a GitHub saját szervezeti adatai érintettek. A csoport jelenleg 50.000 USD-ért árulja a lopott adatbázist az erre megfelelő kiberbűnözői fórumokon. Több sötét webet monitorozó platform, a támadók állítására alapozott véleménye szerint mintegy 4000 GitHub belső […]

A hiba sikeres kihasználása az alapértelmezett beállítások esetén a szerver újraindulását is előidézheti, ami így DoS állapotot okozhat; az Address Space Layout Randomization (ASLR) letiltott állapota esetén pedig akár távoli kódfuttatáshoz is vezethet. A CVE-2026-42945 sérülékenységet – melyet múlt héten patchelt az NGINX – a hétvége folyamán aktívan kihasználták. A hibát NGINX Rift néven emlegetik, […]

A Discord bejelentette, hogy a platformon keresztül folytatott hang- és videóhívásokat mostantól alapértelmezés szerint végpontok közötti titkosítással (E2EE) védik. Az E2EE támogatás bevezetése még márciusban fejeződött be. A Discord egy népszerű online közösségi platform, amely az üzenetek küldésén túl, illetve a hang-és videóhívások mellett közösségi szervereket kínál játékok, alkotók, vállalkozások és egyéb érdeklődési körön alapuló […]

Ismét megrendezésre került a Pwn2Own Berlin kiberbiztonsági verseny, ahol ezúttal is biztonsági kutatók mérhették össze tudásukat valós rendszerek feltörésén keresztül. A háromnapos esemény végére a résztvevők összesen több mint 1,29 millió dollár jutalmat vihettek haza, miután 47 zero-day sérülékenységet sikerült kihasználniuk. A verseny az OffensiveCon konferencián zajlott május 14. és 16. között, és kifejezetten modern, […]

2026 áprilisa és májusa között a Linux kernel közössége egy szokatlan eseménysorozatot élt át. Néhány hét leforgása alatt öt súlyos kernelsérülékenység vált ismertté, amelyek mindegyike a legnépszerűbb Linux disztribúciókat érinti. A Copy Fail, a Dirty Frag, a Fragnesia, ssh-keysign-pwn és a DirtyDecrypt egymástól eltérő technikai mechanizmusokon alapulnak, de közös vonásuk, hogy helyi, alacsony jogosultságú felhasználók […]

A Microsoft csütörtökön kockázatcsökkentő intézkedéseket adott ki egy súlyos Microsoft Exchange Server sérülékenységgel kapcsolatban, amelyet a támadók már aktívan kihasználnak. A hiba lehetővé teheti, hogy a támadók speciálisan kialakított webes tartalmak segítségével rosszindulatú kódot futtassanak az Outlook on the Web (OWA) felhasználóinak böngészőjében. A CVE-2026-42897 azonosítójú sérülékenység az Exchange Server 2016, Exchange Server 2019, valamint […]

Az elmúlt napokban számos adatvédelmi incidens került fel az Egyesült Államok Egészségügyi és Humán Szolgáltatások Minisztériuma (HHS) által vezetett egészségügyi adatvédelmi incidenseket figyelemmel kísérő nyilvántartásba. Bár az incidensek az elmúlt hónapokban következtek be, az általuk érintett személyek számát csak most hozta nyilvánosságra a HHS. A legsúlyosabbak között szerepel a még márciusában bejelentett New York City […]

Az elmúlt hetek ellátásiláncokat célzó támadási kampánya során több nyílt forráskódú projekt is célkeresztbe került, a kiberbűnözők az eltérített legitim alkalmazások frissítéseivel terjesztik rosszindulatú programjaikat. Múlt hét szerdán az OpenAI megerősítette, hogy két alkalmazottjának eszköze is érintett a támadásban, a vizsgálatok szerint azonban nem szereztek hozzáférést a felhasználói adatokhoz és a rendszerhez, illetve nem került […]