Az OX Security februárban bejelentette az Open Software Supply Chain Attack Reference (OSC&R), az első és egyetlen nyílt keretrendszer bevezetését, amely a teljes ellátási lánc biztonságát veszélyeztető fenyegetések értékelésére és megértésére szolgál. A kezdeményezéshez többek között csatlakozott a Microsoft, a Google, a GitLab, a Check Point, az OWASP-, és a Fortinet jelenlegi…
Az Ausztrál Védelmi Minisztérium a múlt héten bejelentette, hogy a kormányzati épületekben országszerte le fogják cserélni a kínai Hikvision és Dahua cégek által gyártott biztonsági kamerákat. Az indoklás szerint a gyártók túlságosan szoros kapcsolatban állnak a kínai állammal, ezért elővigyázatosságól eltávolítják az eszközöket.
Informatikai támadás érte a Pepsi Bottling Ventures LLC-t, az Egyesült Államok legnagyobb Pepsi italok palackozó üzemét, amely során az elkövetők bizalmas adatokhoz szereztek hozzáférést egy információlopó kártevő segítségével. A Pepsi Bottling Ventures LLC felelős a Pepsi italok gyártásáért, értékesítéséért és forgalmazásáért. Összesen 18 palackozó üzemet működtetnek Észak-és Dél-Karolinában, Virginiában, Marylandben…
Az Apple zero-day sérülékenységet javított az iOS 16.3.1-es, az iPadOS 16.3.1-es és a macOS Ventura 13.2.1-es verzióiban. Javasolt a frissítések mielőbbi telepítése.
A Google múlt héten adta ki az Android 2023 februári frissítő csomagját, amelyben összesen 40 sérülékenység, köztük 17 súlyos besorolású biztonsági hiba került javításra. A Google biztonsági közleménye szerint a sérülékenységek közül a legsúlyosabb a Framework összetevőben található, kihasználása pedig lehetővé teszi a támadók számára a helyi jogosultsági szintek kiterjesztését….
A Microsoft letiltott több olyan ellenőrzött Microsoft Partner Network fiókot, amelyeket támadók arra használtak fel, hogy hitelesített OAuth-alkalmazásokat hozzanak létre az Azure AD-ban, ezáltal betörhessenek a szervezetek felhőkörnyezetébe és adatokat lopjanak el onnan.
A CISA és az FBI a jelenleg is zajló, “ESXiArgs” néven ismert zsarolóvírus kampányra reagálva útmutatót adott ki a fájlok helyreállításához, azonban a bűnözők közben változtattak a tikosítási módszeren.
A Money Lover pénzügyi alkalmazás egy hibája lehetővé tette, hogy a bejelentkezett felhasználók láthassák a többi felhasználó megosztott pénztárcájához társított e-mail címét és az élő tranzakciókra vonatkozó metaadatokat. A hiba az alkalmazás Android, iOS és Windows verzióit is érintette.
A Nemzeti Szabványügyi és Technológiai Intézet (NIST) az ASCON névre keresztelt algoritmust választotta a korlátozott hardvererőforrásokkal rendelkező IoT eszközök védelmére. Egyre több olyan IoT eszköz kerül a piacra, amik számos személyes adatot tárolnak felhasználóikról, viszont a készülékekben elhelyezett gyenge chipeknek köszönhetően olyan titkosítási algoritmusra van szükségük, ami a kis számítási…
A QNAP Systems kritikus sebezhetőséget (CVE-2022-27596) javított NAS termékeinek szoftverében, javasolt mielőbb frissíteni a legújabb verzióra.
Az olasz és francia nemzeti kibervédelmi ügynökségek a hétvége során VMware ESXi szerverek elleni tömeges ransomware támadásokról adtak ki figyelmeztetést.
Újabb kritikus sérülékenységekkel bővült az amerikai kiberbiztonsági ügynökség (Cybersecurity and Infrastructure Security Agency – CISA) által vezetett ismert sérülékenységek listája. Az egyik ilyen aktívan kihasznált sérülékenység a CVE-2022-21587 számon nyomon követett hiba, ami (CVSS pontszám: 9,8) az Oracle E-Business Suite-ot érinti. Ez egy olyan vállalati alkalmazáskészlet, ami lehetővé teszi a…