Címlap /Hírolvasó

Hírolvasó

A Google bevezetett egy MI-hez kapcsolódó adatbiztonsági beállítást

Tech.cert-hungary.hu - 7 óra 59 perc
A Google egy új adatvédelmi beállítást vezet be, amiről sok felhasználó valószínűleg még csak nem is hallott.

Új macOS-kártevő próbálja megtéveszteni az MI-alapú malware-elemző rendszereket

Tech.cert-hungary.hu - p, 06/26/2026 - 12:54
Egy újonnan azonosított, „Gaslight” névre keresztelt macOS-kártevőt kifejezetten úgy terveztek, hogy megtévessze a mesterséges intelligenciával támogatott malware-elemző eszközöket.

Kiberfenyegetések az androidos banki kártevőktől az ellátási láncig – heti összefoglaló

Tech.cert-hungary.hu - p, 06/26/2026 - 10:39
Rokarolla: banki kártevő androidos készülékek teljes átvételéreA Rokarolla egy új, Androidot célzó banki kártevő, amely több mint 200 banki és kriptovaluta-alkalmazást céloz. Hamis alkalmazásoldalakon terjed, majd Google Play Protect-nek álcázott dropper komponenssel éri el, hogy a felhasználó engedélyezze számára a kisegítő lehetőségek használatát. Hamis képernyőrétegekkel, zárolási képernyős trükkökkel, billentyűleütés-naplózással, képernyőfigyeléssel, SMS- és értesítéslopással, valamint vágólap-eltérítéssel […]

Kelet-Európa továbbra is kulcsterep a rosszindulatú infrastruktúráknak

Tech.cert-hungary.hu - p, 06/26/2026 - 09:50
A Hunt.io friss elemzése szerint Kelet-Európa 2026 tavaszán is meghatározó bázisa maradt a rosszindulatú digitális infrastruktúrának. A vizsgált három hónapban több mint 3900 aktív C2-szervert azonosítottak, 302 különböző szolgáltató környezetében. A kép azonban nem csak a mennyiség miatt figyelemre méltó, hanem azért is, mert az aktivitás rendkívül erősen koncentrálódik. Egyetlen bolgár szolgáltató önmagában a teljes […]

Több mint 140 ezer fertőzött gép nyomán csaptak le a hatóságok

Tech.cert-hungary.hu - cs, 06/25/2026 - 15:06
Nemzetközi bűnüldöző akció keretében több száz domaint és szervert kapcsoltak le a hatóságok az elmúlt két hétben,hogy megbénítsák azokat a digitális „összeszerelő üzemeket”, amelyekre a kiberbűnözők zsarolóvírus-támadások, pénzügyi csalások és kritikus infrastruktúrák elleni akciók során támaszkodnak. Az akció eredményeként 326 szervert és 142 domaint számoltak fel, emellett a nyomozók mintegy 41 millió euró értékű, bűncselekményekből […]

Újabb Cisco zero-day sérülékenységgel támadtak a hackerek

Tech.cert-hungary.hu - cs, 06/25/2026 - 14:11
A Mandiant egy blogbejegyzésben írta le, hogy egy támadó az év elején kihasználta a Cisco egy korábban ismeretlen és még nem javított sebezhetőségét, hogy behatolhasson egy távközlési szolgáltató rendszerébe, és megszerezze a lehetséges legmagasabb szintű hozzáférést. A Cisco azóta kijavította a hibát, amely egyike volt az idei év hét nulladik napi sérülékenységeinek az SD-WAN szoftverében. […]

Squidbleed: a 29 éves sebezhetőség hitelesítő adatokat szivárogtat

Tech.cert-hungary.hu - cs, 06/25/2026 - 13:52
Egy közel három évtizede rejtőző memóriaolvasási hiba a Squid Proxy szoftverben lehetővé teszi, hogy egy támadó más felhasználók hitelesítő adatait, munkamenet-tokenjeit és HTTP-kéréseit olvassa ki. A CVE-2026-47729 azonosítójú sérülékenységet Squidbleed névre keresztelték, és a 2014-es Heartbleed sebezhetőséghez hasonló mechanizmuson alapul. A sérülékenység forrása egy 1997-ben bekerült kódsor, amelyet a NetWare FTP-szerverek sajátos könyvtárlistázási formátumának kezelésére […]

WhatsAppon terjed a legújabb malware kampány

Tech.cert-hungary.hu - cs, 06/25/2026 - 13:46
Egy aktív malware kampány során a támadók rosszindulatú VBScript fájlokat terjesztenek WhatsApp üzenetekben. Az elemzés idején a kampány még aktív, ami arra utal, hogy nem elszigetelt incidensről, hanem folyamatosan működő terjesztési műveletről van szó. A rosszindulatú mellékletek kompromittált WhatsApp fiókokból érkeznek, és több esetben kizárólag a fertőző csatolmányt tartalmazták, minden kísérőszöveg nélkül. A rendelkezésre álló […]

DMG fájlokat csatol láthatatlanul az új macOS ClickFix támadás

Tech.cert-hungary.hu - sze, 06/24/2026 - 13:30
Egy új, macOS rendszereket célzó ClickFix kampány során a támadók Terminál-parancsokat használnak arra, hogy észrevétlenül töltsenek le, csatoljanak és indítsanak el egy információlopó kártevőt rosszindulatú lemezképfájlokból.

Anthropic Mythos 5: kiberbiztonsági képességek, NSA-teszt és szabályozói leállítás

Tech.cert-hungary.hu - sze, 06/24/2026 - 13:24
Az elmúlt hónapokban több alkalommal is foglalkoztunk az Anthropic kiberbiztonsági célokra fejlesztett, Claude Mythos nevű modelljével. Korábban beszámoltunk arról, hogy az Anthropic bejelentette a Claude Mythost, kiberbiztonsági AI-áttörésként értékelve azt. Május elején külön elemeztük, hogy új korszakot vagy inkább tempóváltást jelent-e a Claude Mythos a kiberbiztonságban. A modell képességei kapcsán kitértünk arra is, hogy a […]

A Microsoft javította az AutoGen Studio hibáját, ami kódfuttatást tett lehetővé

Tech.cert-hungary.hu - sze, 06/24/2026 - 09:18
A Microsoft AutoGen Studio nevű, AI-ügynökök prototípus-készítésére szolgáló felületében azonosított, AutoJack névre keresztelt sérülékenységi lánc lehetővé tehette, hogy a támadók egy ügynököt tetszőleges parancsok futtatására vegyenek rá a hosztrendszeren, pusztán azáltal, hogy az ügynök meglátogat egy rosszindulatú weboldalt.

Egyetlen videófájllal tesz lehetővé távoli kódfuttatást egy Kritikus FFmpeg sérülékenység

Tech.cert-hungary.hu - k, 06/23/2026 - 14:20
A JFrog Security Research kutatója által felfedezett CVE-2026-8461, más néven „PixelSmash”, egy súlyos (CVSS 8,8) heap típusú memóriakezelési sérülékenység az FFmpeg MagicYUV videodekóderében. A hiba egy speciálisan kialakított, akár mindössze 50 KB méretű AVI, MKV vagy MOV fájl feldolgozásakor aktiválható, és alapvetően egy heap out-of-bounds write állapotot idéz elő. Mivel a MagicYUV dekóder alapértelmezetten engedélyezve […]

HTTP/2 DoS-sérülékenység a Zimbrában

Tech.cert-hungary.hu - k, 06/23/2026 - 14:14
A Zimbra Collaboration Suite 10.1.18-as kiadása komoly biztonsági javítást, egy Denial-of-Service (DoS) sérülékenység orvoslását tartalmazza, amelyet a Hong Kong CERT (HKCERT) 2026. június 22-én külön biztonsági közleményben is kiemelt figyelmeztetésként tett közzé. A CVE-2026-49975 egy erőforrás-kimerítési (resource exhaustion) sérülékenység, amelynek gyökere az Apache HTTP Server mod_http2 moduljában található. A sebezhetőség a HTTP/2 protokoll kérelemfeldolgozási logikájában, […]

Aktívan kihasznált, kritikus RCE-sérülékenység az Oracle PeopleSoftban

Tech.cert-hungary.hu - k, 06/23/2026 - 14:12
A CVE-2026-35273 egy 9.8-as CVSS-pontszámú, kritikus Remote Code Execution (RCE) sérülékenység az Oracle PeopleSoft Enterprise PeopleTools termékben, amelyet a ShinyHunters (UNC6240) zsarolói csoport már zero-dayként aktívan kihasznált. A sérülékenység az Updates Environment Management komponensben található, és egy hiányzó hitelesítési ellenőrzésre vezethető vissza. Ez azt jelenti, hogy egy nem hitelesített, hálózaton elérhető támadó HTTP-n keresztül, minimális […]

Elszabadult az adathalászat 2026 elején: új célpontok és kifinomultabb támadások

Tech.cert-hungary.hu - k, 06/23/2026 - 13:55
Meredeken megugrott az adathalász kísérletek száma 2026 első negyedévében, derül ki az Anti-Phishing Working Group (APWG) friss gyorsjelentéséből. A szervezet 971 181 esetet regisztrált három hónap alatt, ami közel 14%-os növekedés az előző negyedévhez képest. A több mint 2200 piaci és kormányzati szereplőt tömörítő szervezet statisztikái mögött egyértelmű mintázat látszik: a bűnözők nemcsak több támadást […]

Új adatzsaroló csoport jelent meg: a Pink kifinomult adathalász infrastruktúrával vadászik nagyvállalati célpontokra

Tech.cert-hungary.hu - k, 06/23/2026 - 13:33
Egy új, Pink néven azonosított adatzsaroló csoport került a biztonsági kutatók látóterébe, amely jól példázza, hogyan alakul át a zsarolóvírusos fenyegetések világa. A támadók ugyanis nem a hagyományos ransomware-modellt követik, hanem a gyors adatlopásra és az azt követő zsarolásra építenek. A SOCRadar és a Palo Alto Networks Unit 42 elemzése szerint a csoport elsődleges fegyvere […]

Nemzetközi akció bénította meg a SocGholish botnet infrastruktúráját

Tech.cert-hungary.hu - k, 06/23/2026 - 10:50
Nemzetközi bűnüldöző szervek és kiberbiztonsági cégek közös akcióban bénították meg az Evil Corp kiberbűnözői csoporthoz köthető SocGholish (más néven FakeUpdates) infrastruktúrát. A művelet során 106 szervert és domaint kapcsoltak le, és 14 971 fertőzött WordPress-alapú weboldalt tisztítottak meg, amivel sikerült megszakítani egy évek óta működő, rendkívül veszélyes támadássorozatot. A SocGholish egy 2017 óta aktív kártékony […]

VU#936962: Multiple file parsing vulnerabilities in FastStone Image Viewer 8.3.0.0

US-CERT.gov - h, 06/22/2026 - 20:41
Overview

Two vulnerabilities have been identified in FastStone Image Viewer 8.3 that may allow remote code execution or control-flow corruption when processing specially crafted image files. The affected components include the JPEG 2000 (JP2) parser and the PSD file parser. An attacker can exploit these vulnerabilities by causing the application to automatically or interactively process malicious image files.

Description

FastStone Image Viewer is a software tool for browsing, editing, and managing images, offering features like full‑screen viewing, batch processing, red‑eye removal, and a wide range of editing effects. It supports virtually all major image and RAW formats and includes conveniences like slideshows, comparison tools, scanner support, and screen capture.

CVE-2026-30040 A critical heap-based buffer overflow vulnerability exists in FastStone Image Viewer, versions 8.3 and earlier. The issue is triggered during the parsing of JPEG 2000 (JP2) files due to a malformed QCD (quantization default, 0xFF5C) marker in the FSViewer.exe process. By exploiting this flaw, a remote attacker can overwrite the EIP (instruction pointer) and execute arbitrary code in the context of the current process via a crafted JP2 file.

Notably, this issue does not require the victim to directly open the crafted JP2 file. When the application enumerates directories during automatic thumbnail generation, files within two directory levels are parsed by the JP2 decoder. If the malicious JP2 file is present within this enumeration range (for example in the user’s Downloads folder), the vulnerability is triggered automatically.

CVE-2026-30041 An integer overflow vulnerability exists in the PSD parser of FastStone Image Viewer, versions 8.3 and earlier. The vulnerability is caused by a lack of proper validation for the height value in PSD files, leading to a subsequent heap-based buffer overflow. Successful exploitation could allow a remote attacker to execute arbitrary code or cause a persistent denial-of-service (crash) via a crafted PSD file.

Impact

Successful exploitation of CVE-2026-30040 could allow arbitrary code execution in the context of the user running FastStone Image Viewer. Additionally, an attacker could exploit CVE-2026-30041 to overwrite the instruction pointer and control the program's execution flow, crashing the application or potentially enabling arbitrary code execution. The impact severity depends on the privileges of the user running the application. Code executed under elevated permissions would result in significantly higher risk.

Solution

Unfortunately, we were unable to reach the vendor for coordination, and a patch is not yet available. To limit the risk of this vulnerability, run the software using a restricted local account and enforce policies that prevent users from downloading or saving JP2 or PSD files from untrusted sources.

Acknowledgements

This vulnerability was disclosed by Sunghun Oh. This document was written by Bob Kemerer.

Kategóriák: Biztonsági hírek

VU#226679: Microsoft WinRE allows for bypass of UEFI/BIOS password enforcement

US-CERT.gov - h, 06/22/2026 - 18:16
Overview

Microsoft Windows Recovery Environment (WinRE) provides a mechanism for recovering and repairing Windows systems using an alternate boot environment. Under certain platform implementations, access to WinRE may allow an attacker to bypass firmware security controls, including administrator-configured UEFI/BIOS passwords. An attacker with physical or administrative access to a device may be able to leverage WinRE-related boot mechanisms to circumvent firmware protections and gain unauthorized access to system resources.

Description

Microsoft Windows versions 10 and 11 include the WinRE capability, a recovery platform that supports features such as the F11 recovery menu and the Reset this PC functionalities. WinRE is commonly used for system recovery, troubleshooting, and remote support scenarios.

When WinRE is invoked, the system reboots into a recovery environment that may use an alternate boot path from the standard operating system startup sequence. Depending on the platform and firmware implementation, the alternate boot path may not consistently enforce the same UEFI/BIOS security controls that are applied during a normal boot process.

A security concern has been identified in certain WinRE implementations where administrative UEFI/BIOS passwords may not be enforced during specific recovery operations. This inconsistency in the boot execution path may allow an attacker with physical access to a device to bypass firmware-level protections. Such scenarios are commonly associated with "Evil Maid" attacks, in which an attacker gains temporary physical access to an unattended system and modifies its boot configuration or security settings.

In UEFI-based systems, the UEFI boot manager supports the BootNext variable, which specifies a one-time boot target stored in non-volatile memory (NVRAM). The UEFI trust model assumes that only privileged software or the platform owner can modify NVRAM variables; however, the BootNext variable itself is not authenticated and takes precedence over the normal BootOrder configuration during the next boot cycle. When Secure Boot is enabled, firmware validates the integrity and signature of the boot application specified by BootNext before execution. The UEFI specification does not explicitly mandate a full platform reset when the BootNext variable is configured, leaving reset-handling and user authentication flows to the specific implementation. Consequently, the effectiveness of pre-boot security controls (such as UEFI/BIOS password protections and BitLocker full-disk encryption) can be bypassed via recovery environments like WinRE, provided a user has the privileges required to initiate such recovery.

Organizations with high security requirements for their devices should not rely solely on UEFI/BIOS passwords to protect systems where WinRE or such recovery environments are accessible to untrusted users. Additional controls should be implemented to protect against both physical-access and privileged-user attacks.

Impact

An attacker with access to the Windows Recovery Environment may be able to bypass administrator-configured UEFI/BIOS password protections on affected systems. Depending on the device configuration and firmware implementation, an attacker may also be able to perform actions that weaken or circumvent BitLocker full-disk encryption protections, potentially resulting in unauthorized access to sensitive data.

Solution

Microsoft has published an advisory related to recovery-environment hardening and secure boot configurations, including mitigations for vulnerabilities affecting WinRE mechanisms. Organizations should review applicable vendor guidance and evaluate whether their systems are susceptible to WinRE-based firmware security bypasses.

In addition to standard recommendations (e.g., enabling Secure Boot), the following mitigations are advised for highly sensitive systems:

  1. Disable or restrict WinRE on systems where recovery functionality is not operationally required.
  2. Require administrative authorization with ephemeral one-time access before enabling or invoking recovery environments.
  3. Enable BitLocker with TPM + PIN or TPM + Startup Key to ensure additional authentication is required during recovery and pre-boot scenarios.
  4. Enable restrictions of pluggable media with EFI System Partitions (ESP) and any modifications to sensitive items in UEFI NVRAM such as BootNext and BootOrder.
  5. Deploy endpoint detection and response (EDR) solutions or end-point restrictions that support pre-boot security along with remote attestation and measured boot technologies to detect or block unauthorized boot modifications.
  6. Implement physical security controls, including device locks, secure storage, tamper-evident protections, and chain-of-custody procedures for high-value systems.

These recommendations should be evaluated in accordance with organizational recovery requirements and operational constraints. Some of the recommendations were adapted from Eclypsium research blog

Acknowledgements

Thanks to Beatriz Fresno Naumova for reporting this vulnerability. This document was written by Vijay Sarvepalli.

Kategóriák: Biztonsági hírek

D-Link routereket fertőz meg az AryStinger botnet

Tech.cert-hungary.hu - h, 06/22/2026 - 15:16
Egy újonnan azonosított, korábban nem dokumentált malware botnet, az AryStinger több mint 4 000 elavult routert kompromittált...

Oldalak

Feliratkozás Anaheim.hu hírolvasó csatornájára