Milliók kereshetők a virtuális világ hibáival
Úgy tűnik, hogy a virtualizáció biztonsága a korábbiaknál is fontosabb kérdéseket vet fel. Akár 500 ezer dollárt is lehet keresni virtualizációs szoftverekben kimutatott hibák felfedezésével.A biztonsági résekkel kapcsolatos információkat "felvásárló" Zerodiumról elmondható, hogy immár rendszeresen emeli az árakat. Ez pedig azt jelenti, hogy a sebezhetőségek után kutató szakemberek zsebébe is egyre nagyobb összegek kerülhetnek. A vállalat éppen az év elején döntött úgy, hogy a csúcsjutalmat 2 millió dollárra növeli. (Ennyi pénzt az kaphat, aki az iOS-ben távolról kivitelezhető jailbreakelést mutat be egy vagy több sérülékenységen keresztül.) Mindezek mellett jelezte, hogy 1 millió dollárra emeli a WhatsApp, az iMessage és egyes SMS/MMS-küldő appokban kimutatott, súlyos - távoli kódfuttatást lehetővé tevő - sebezhetőségek után járó jutalmat.
Forrás: Zerodium
A biztonsági résekért fizetett díjak növekedése ebben a hónapban sem állt meg. Ezúttal a virtualizációs technológiákban kimutatott sérülékenységek értéke nőtt jelentősen. Jelesül a VMWare ESXi és a Microsoft Hyper-V került terítékre.
A Zerodium hibavadász programjában már eddig is szerepelt a VMware ESXi, amelynek esetében az odaítélhető jutalom év elején 100 ezer dollár volt, de januárban ezt megduplázta a cég. Úgy tűnik, hogy még ez sem volt igazán vonzó összeg ahhoz, hogy még több biztonsági kutató kezdjen el foglalkozni a VMware megoldásaiban potenciálisan rejlő hibák felderítésével. Ezért aztán a Zerodium immár 500 ezer dollárra növelte a maximális díjat, bízva abban, hogy ezzel sikerül felkelteni az érdeklődést. A félmilliós jutalom akkor jár, ha valaki olyan sebezhetőséget mutat ki az ESXi kapcsán, amelynek kihasználásával a vendég rendszerekről teljes körű jogosultsággal rendelkező hozzáférést lehet szerezni a hoszt rendszerhez. Mindezt alapértelmezett konfigurációs beállítások mellett, és megbízható exploit révén kell teljesíteniük a hibavadászoknak. Természetesen a felfedezéseiket ezúttal is a szabályoknak megfelelően, etikus módon kell kezelniük.
Következik a Hyper-V
A Zerodium úgy nyilatkozott, hogy eddig az ügyfelei körében - akik elsősorban kormányzati szervek - nem mutatkozott komolyabb igény Hyper-V sebezhetőségekkel kapcsolatos információk iránt. Az utóbbi időben azonban mindez megváltozni látszik, ezért új szereplőként immár a Microsoft virtualizációs technológiája is bekerült a hibavadász programba. A VMware-hez hasonlóan itt is 500 ezer dollár a maximális jutalom.
A megemelt díjazás a jelenlegi tervek szerint néhány hónapig lesz elérhető, de ha ennél korábban nagyobb számú biztonsági résről érkezik értékelhető bejelentés, akkor lehet, hogy előbb visszaállnak az eredeti árak.
-
Kritikus fontosságú hibajavítás vált elérhetővé a ChromeOS-hez.
-
A ClamAV kapcsán egy közepes veszélyeségű sebezhetőségre derült fény.
-
Az IBM két sebezhetőségről számolt be a WebSphere Application Server kapcsán.
-
Az Oracle 71 hibajavítást adott ki az Oracle Linux operációs rendszerhez.
-
Több mint egy tucat biztonsági javítással bővült a Google Chrome.
-
Letölthető a VirtualBox legújabb kiadása benne 13 biztonsági javítással.
-
Az Oracle nyolc olyan biztonsági résről számolt be, amelyeket a Database Server kapcsán kellett orvosolnia.
-
A MySQL három tucat biztonsági frissítéssel gyarapodott.
-
Az Java több mint egy tucat biztonsági frissítést kapott.
-
A Microsoft három biztonsági rést foltozott be az Edge webböngészőn.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.