Rá kell feküdni az Arc webböngésző védelmére
Az Arc webböngésző fejlesztője is kihirdette a saját hibavadász programját.Az Arc webböngésző egyre nagyobb népszerűségre tesz szert a felhasználók körében, ami egyben azzal is jár, hogy a hackerek is mind komolyabb erőforrásokat szentelnek az alkalmazás biztonsági hibáinak feltárására, kihasználására. Ezért nem meglelő, hogy a fejlesztőcégre is egyre intenzívebb nyomás hárul a biztonság terén.
Az Arc kapcsán augusztusban derült fény egy súlyos, jogosulatlan távoli kódfuttatásra és rendszerkompromittálásra lehetőséget adó sérülékenységre (CVE-2024-45489). Szerencsére ezt egy etikus hacker fedezte fel, és jelezte azt a fejlesztőknek, akik egy napon belül javították a hibát. A bejelentőt pedig kétezer dollárral jutalmazták.
Az eset apropóján a Browser Company úgy határozott, hogy szabályozni fogja a hibabejelentéseket, és egyben megpróbálja ösztönözni az etikus hackereket további problémák feltárására. Ezért elindította a saját hibavadász kezdeményezését. Ennek keretében a felfedezett sebezhetőségek kockázati besorolása alapján díjazza a résztvevőket. A legsúlyosabb biztonsági rendellenességeket kimutatók akár 10-20 ezer dollárral is gazdagodhatnak.
Az Arc esetében négy veszélyességi besorolással dolgoznak a fejlesztők:
- kritikus: olyan sebezhetőségek, amelyek teljes körű hozzáférést biztosítanak a fájlrendszerhez, és felhasználói közreműködés nélkül is kihasználhatók
- magas: a munkamenetek biztonságát jelentősen veszélyeztető, érzékeny adatok kiszivárogtatására alkalmas sérülékenységek
- közepes: munkamenetekhez limitált, jogosulatlan hozzáférést biztosító hibák
- alacsony: kevés kockázattal járó, kihasználásukhoz jelentős felhasználói közreműködést igénylő biztonsági rések.
A Browser Company a hibavadász program elindítása mellett további lépéseket tett annak érdekében, hogy fokozza az Arc biztonságát. Új kódolási irányelveket dolgozott ki, amelyek az eddigieknél nagyobb hangsúlyt helyeznek az auditálásra és a kódvizsgálatokra. Emellett az incidensreagálási folyamatokat is átalakította, hogy az egyes biztonsági problémákra gyorsabban és hatékonyabban tudjanak reagálni a fejlesztők. Nem utolsó sorban pedig elkezdte bővíteni a belső biztonsági csoportjának létszámát, hogy emberi erőforrásokban se legyen hiány e téren.
-
A novemberi hibajavító kedden újabb fontos frissítésekkel gyarapodott a Windows.
-
Hat biztonsági frissítést kapott az Office szoftvercsomag.
-
A Microsoft az SQL Serverhez 31 patch-et tett letölthetővé.
-
A Microsoft Exchange Serveren egy biztonsági rés vált befoltozhatóvá.
-
A Veeam Backup Enterprise Manager egy veszélyes biztonsági hibát tartalmaz.
-
A D-Link egyes régebbi NAS-adattárolóit egy kritikus hiba sújtja.
-
A Microsoft Edge két sebezhetőség miatt szorul frissítésre.
-
A HPE kritikus biztonsági hibákat javíott az Aruba AP-k kapcsán.
-
A Red Hat három biztonsági hibáról számolt be az OpenShift Container Platform kapcsán.
-
Az IBM fontos patch-eket adott ki az AIX és VIOS kapcsán.
Az ESET Magyarországon is elérhetővé tette az ESET Servicest, amely többek között biztosítja a gyors, felügyelt EDR (XDR) szolgáltatást is.
Az ESET kutatói felfedtek egy vadonatúj számítógépes kártevő programmal végrehajtott, úgynevezett crimeware kampányt, amely három cseh bank ügyfeleit vette célba.