Firmware szinten javulhat az Android védelme
A Google olyan fejlesztéseken dolgozik, amelyek az androidos készülékek biztonságát firmware szinten növelnék.Az elmúlt években többször bizonyosodott be, hogy az okostelefonokban, táblagépekben helyet kapó megannyi chip és vezérlő kiszolgáltatottá tudja tenni a készülékeket egyes támadástípusokkal szemben. Ilyen támadásokat egyebek mellett korábban a Pwn2Own hackerverseny résztvevői is mutattak már be.
A Google szerint a hardver alapú károkozások számára a legkomolyabb támadási felületet jelenleg a mobilkommunikációs és WiFi vezérlők jelentik, amelyek távolról is kihasználható sebezhetőségek révén jogosulatlan kódfuttatást segíthetnek elő. Ezért a cég mérnökei most olyan megoldások fejlesztésén dolgoznak, amelyek a dedikált feladatokra rendszeresített (kommunikációs, média, biztonsági stb.) vezérlőket, modulokat teszik rendszer szinten védettebbé.
Noha a fejlesztések mélyrehatóan egyelőre nem ismeretek, annyi kezd körvonalazódni, hogy a firmware szintű, új védelmi technikák elsősorban a memóriakezelési rendellenességekből fakadó hibák, valamint az exploitok kockázatainak csökkentését hivatottak elősegíteni.
A vállalat szerint a firmware szintű védelmi technológiák implementálása során az egyik legnagyobb kihívást az jelenti, hogy az alkalmazott módszerek esetenként a teljesítmény és a sebesség rovására mennek. Ezért ezek bevetése előtt még optimalizációkra van szükség. Ez elsősorban azzal érhető el, hogy a fejlesztők pontosan meghatározzák, hogy az egyes technológiáknak mikor és pontosan mely rendszerkomponensek esetében kell aktiválódniuk ahhoz, hogy a kockázatcsökkentési célok elérhetők maradjanak anélkül, hogy mindez észrevehetően a teljesítmény rovására menne.
Egyelőre még kérdés, hogy az új firmware szintű biztonsági fejlesztések mikor válhatnak elérhetővé a mobil készülékeken.
-
Az IBM Db2 egy újabb biztonsági javítással bővült.
-
A Docker fejlesztői egy több éve létező biztonsági rést foltoztak be.
-
A Trend Micro VPN Proxy One Pro egy biztonsági hiba miatt kapott frissítést.
-
Négy biztonsági hiba látott napvilágot az ISC BIND kapcsán.
-
Több mint egy tucat biztonsági javítással érkezett meg a legújabb Chrome verzió.
-
A Zyxel számos vezeték nélküli hozzáférési ponthoz adott ki biztonsági frissítést.
-
A Juniper több hibát javított a Junos OS-ben.
-
A Vtiger CRM két biztonsági hiba miatt kapott frissítést.
-
Az IBM WebSphere Application Serverhez egy biztonsági frissítés vált letölthetővé.
-
A SolarWinds kritikus sebezhetőségeket is orvosolt az ARM esetében.
A hibás CrowdStrike-frissítés okozta széleskörű informatikai leállások előtérbe helyezték a szoftverfrissítések kérdését. Frissítsünk vagy inkább ne?
Az ESET legújabb Threat Report jelentése átfogó képet ad az ESET szakértői csapata által 2023 decemberétől 2024 májusáig megfigyelt fenyegetettségi trendekről.