Tags

50 stron

Luki Bezpieczeństwa

Ivanti, Fortinet i SAP wydają poprawki krytycznych luk bezpieczeństwa

Fortinet, Ivanti i SAP wydają poprawki dla krytycznych luk. Zaktualizuj swoje systemy!

Firmy Fortinet, Ivanti i SAP opublikowały aktualizacje bezpieczeństwa łatające wiele krytycznych podatności, które mogłyby prowadzić do wykonania dowolnego kodu i ujawnienia informacji. Łatki dotyczą luk w produktach takich jak FortiSandbox, Ivanti Sentry oraz platformach SAP NetWeaver i SAP Commerce Cloud, z których niektóre mają bardzo wysoki wskaźnik CVSS, a ich wykorzystanie może prowadzić do zdalnego wykonania kodu czy uzyskania pełnego dostępu administracyjnego.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐⭐ (9/10)

Microsoft łata rekordowe 206 luk, w tym trzy zero-day i krytyczne podatności RCE

Microsoft załatał rekordowe 206 luk bezpieczeństwa, w tym 3 zero-day. Odkryj krytyczne podatności RCE i dowiedz się, jak AI wpływa na wykrywanie błędów.

Microsoft opublikował aktualizacje łatające rekordową liczbę 206 luk bezpieczeństwa, z czego trzy były publicznie znane przed wydaniem poprawek, a 39 oznaczono jako krytyczne. Pośród załatanych luk znalazły się krytyczne podatności pozwalające na zdalne wykonanie kodu (RCE), eskalację uprawnień oraz obejście mechanizmów bezpieczeństwa, w tym trzy luki typu zero-day, co stanowi znaczący wzrost wykrywania błędów, częściowo przypisywany wykorzystaniu sztucznej inteligencji.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐⭐ (9/10)

Sześć luk Proto6 w protobuf.js zagraża aplikacjom Node.js zdalnym wykonaniem kodu i atakami DoS

Sześć krytycznych luk Proto6 w protobuf.js dla Node.js umożliwia RCE i DoS. Aplikacje i procesy CI/CD zagrożone. Zastosuj poprawki!

Odkryto sześć luk bezpieczeństwa (Proto6) w bibliotece protobuf.js, implementacji Protocol Buffers dla JavaScript i TypeScript, które mogą pozwolić atakującym na zdalne wykonanie kodu (RCE) oraz ataki typu denial-of-service (DoS) na aplikacje Node.js, a także na procesy CI/CD i biblioteki chmurowe. Dwie z nich, o wysokim wskaźniku CVSS 8.1 i 8.7, umożliwiają wykonywanie kodu poprzez zanieczyszczenie prototypu lub wstrzyknięcie kodu w wyniku manipulacji nazwami schematów, podczas gdy pozostałe prowadzą do awarii lub zakłócenia działania systemu.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Cisco łata lukę CVE-2026-20230 w Unified CM po ujawnieniu kodu exploita

Cisco załatało krytyczną lukę CVE-2026-20230 w Unified CM. Umożliwia ona nieautoryzowany zapis plików i eskalację do roota.

Cisco załatało krytyczną lukę (CVE-2026-20230) w Unified Communications Manager, która pozwala nieautoryzowanemu atakującemu na zapisywanie plików w systemie i eskalację uprawnień do poziomu root. Choć Cisco nie odnotowało jeszcze ataków wykorzystujących tę podatność, publiczne udostępnienie kodu proof-of-concept znacząco zwiększa ryzyko. Luka jest typu SSRF i pozwala na zapisywanie dowolnych plików, co stanowi pierwszy krok do pełnego przejęcia kontroli nad systemem.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Google w czerwcu 2026 załata 124 luki w Androidzie, w tym jedną aktywnie wykorzystywaną

Google załatało 124 luki w Androidzie w czerwcu 2026, w tym jedną krytyczną, aktywnie wykorzystywaną podatność eskalacji uprawnień.

Google wydało w czerwcu 2026 poprawki bezpieczeństwa dla 124 luk w systemie Android, z czego jedna, oznaczona jako CVE-2025-48595, jest krytyczną luką eskalacji uprawnień o CVSS 8.4, która już jest przedmiotem ograniczonej, celowanej eksploatacji i nie wymaga interakcji użytkownika. Dodatkowo, załatano szereg innych podatności w komponentach System i Framework, a także luki od partnerów takich jak Qualcomm i MediaTek, z których jedna została wpisana do wykazu CISA Known Exploited Vulnerabilities.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

AI-sterowane ataki niszczą zarządzanie podatnościami. Jak sobie z tym radzić?

AI drastycznie skraca czas wykorzystania luk. Artykuł wyjaśnia, jak proaktywnie zarządzać podatnościami w obliczu nowych zagrożeń.

Sztuczna inteligencja radykalnie skraca czas od odkrycia luki do jej masowego wykorzystania, co stanowi ogromne wyzwanie dla tradycyjnego zarządzania podatnościami. Szybkie łatanie jest niewystarczające, ponieważ proces ten jest zbyt powolny w porównaniu do tempa ataków, dlatego kluczowe staje się proaktywne identyfikowanie zagrożeń, walidacja ekspozycji i autonomiczna minimalizacja ryzyka, zanim atakujący zdołają wykorzystać luki.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐⭐ (9/10)

Microsoft grozi działaniami prawnymi za ujawnianie luk bezpieczeństwa

Microsoft grozi działaniami prawnymi za ujawnianie luk, co budzi kontrowersje wśród ekspertów ds. cyberbezpieczeństwa i rodzi pytania o standardy firmy.

Microsoft znalazł się pod krytyką za swoje podejście do zero-day exploitów, grożąc działaniami prawnymi badaczowi bezpieczeństwa, który publicznie udostępnił kod wykorzystujący luki. Firma zablokowała również jego konta, co zdaniem ekspertów utrudnia przyszłe zgłaszanie problemów, zwłaszcza że Microsoft zatrudniał osoby o podobnej przeszłości i kupował exploity od pośredników.

Źródło: The Verge
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐ (7/10)

Microsoft krytykuje publiczne ujawnianie luk zero-day, GitHub usuwa konto badacza

Microsoft ostro krytykuje badaczy za publiczne ujawnianie luk zero-day bez wcześniejszego kontaktu, co doprowadziło do usunięcia konta na GitHubie.

Microsoft stanowczo opowiada się za skoordynowanym ujawnianiem luk (CVD), apelując do społeczności badaczy o dzielenie się odkryciami i dawanie producentom czasu na adresowanie problemów przed ich publicznym ogłoszeniem. Decyzja ta nastąpiła po tym, jak badacz o pseudonimie Chaotic Eclipse ujawnił szczegóły wielu luk typu zero-day w komponentach Windows, w tym w Defenderze i BitLockerze, co doprowadziło do usunięcia jego konta na GitHubie, mimo jego wcześniejszych prób kontaktu z firmą w celu zgłoszenia błędów.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐ (7/10)

Tygodniowe Podsumowanie: Luki w Linuksie, Zeroday w Defenderze, Botnety Routerów i Chaos w Łańcuchach Dostaw

Przegląd kluczowych zagrożeń tygodnia: luki w Linuksie i Defenderze, botnety routerów, chaos w łańcuchach dostaw.

Tydzień przyniósł liczne zagrożenia cybernetyczne, w tym wyciek danych z GitHub przez zainfekowane rozszerzenie VS Code, odkrycie 9-letniej luki w jądrze Linuksa, aktywne wykorzystanie luk w Microsoft Defender oraz krytyczne problemy w Drupal Core. Odnotowano także rozwój botnetów, ataków na routery oraz ewolucję technik phishingowych, a także wyzwania związane z bezpieczeństwem OAuth i wykorzystaniem AI w cyberatakach. Organizacje nadal zmagają się z zaległymi łatkami i nowymi zagrożeniami.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

CISA dodaje exploatowane luki w Langflow i Trend Micro Apex One do katalogu KEV

CISA dodaje luki w Langflow i Trend Micro Apex One do katalogu KEV z powodu aktywnego wykorzystania. Wymagane pilne łatanie.

Amerykańska Agencja ds. Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) dodała dwie luki w zabezpieczeniach, które dotyczą Langflow i Trend Micro Apex One, do swojego katalogu Znanych Eksploatowanych Podatności (KEV), powołując się na dowody aktywnego wykorzystania. Luka CVE-2025-34291 w Langflow, z krytycznym wynikiem CVSS 9.4, pozwala na wykonanie dowolnego kodu i pełne przejęcie systemu, podczas gdy CVE-2026-34926 w wersjach on-premise Trend Micro Apex One umożliwia lokalnemu atakującemu modyfikację kluczowych danych na serwerze.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)