Rá kell feküdni az Arc webböngésző védelmére
Az Arc webböngésző fejlesztője is kihirdette a saját hibavadász programját.
Az Arc webböngésző egyre nagyobb népszerűségre tesz szert a felhasználók körében, ami egyben azzal is jár, hogy a hackerek is mind komolyabb erőforrásokat szentelnek az alkalmazás biztonsági hibáinak feltárására, kihasználására. Ezért nem meglelő, hogy a fejlesztőcégre is egyre intenzívebb nyomás hárul a biztonság terén.
Az Arc kapcsán augusztusban derült fény egy súlyos, jogosulatlan távoli kódfuttatásra és rendszerkompromittálásra lehetőséget adó sérülékenységre (CVE-2024-45489). Szerencsére ezt egy etikus hacker fedezte fel, és jelezte azt a fejlesztőknek, akik egy napon belül javították a hibát. A bejelentőt pedig kétezer dollárral jutalmazták.
Az eset apropóján a Browser Company úgy határozott, hogy szabályozni fogja a hibabejelentéseket, és egyben megpróbálja ösztönözni az etikus hackereket további problémák feltárására. Ezért elindította a saját hibavadász kezdeményezését. Ennek keretében a felfedezett sebezhetőségek kockázati besorolása alapján díjazza a résztvevőket. A legsúlyosabb biztonsági rendellenességeket kimutatók akár 10-20 ezer dollárral is gazdagodhatnak.
Az Arc esetében négy veszélyességi besorolással dolgoznak a fejlesztők:
- kritikus: olyan sebezhetőségek, amelyek teljes körű hozzáférést biztosítanak a fájlrendszerhez, és felhasználói közreműködés nélkül is kihasználhatók
- magas: a munkamenetek biztonságát jelentősen veszélyeztető, érzékeny adatok kiszivárogtatására alkalmas sérülékenységek
- közepes: munkamenetekhez limitált, jogosulatlan hozzáférést biztosító hibák
- alacsony: kevés kockázattal járó, kihasználásukhoz jelentős felhasználói közreműködést igénylő biztonsági rések.
A Browser Company a hibavadász program elindítása mellett további lépéseket tett annak érdekében, hogy fokozza az Arc biztonságát. Új kódolási irányelveket dolgozott ki, amelyek az eddigieknél nagyobb hangsúlyt helyeznek az auditálásra és a kódvizsgálatokra. Emellett az incidensreagálási folyamatokat is átalakította, hogy az egyes biztonsági problémákra gyorsabban és hatékonyabban tudjanak reagálni a fejlesztők. Nem utolsó sorban pedig elkezdte bővíteni a belső biztonsági csoportjának létszámát, hogy emberi erőforrásokban se legyen hiány e téren.
-
A Google Chrome egy fontos biztonsági hibajavítást kapott.
-
Fél tucat biztonsági hiba vált kimutathatóvá a PHP-ben.
-
A Nextcloud Desktop esetében két biztonsági rést kell befoltozni.
-
Az Apple két sebezhetőséget szüntetett meg egyes operációs rendszereiben.
-
A FortiClient kapcsán egy nulladik napi sebezhetőségre derült fény.
-
A Palo Alto PAN-OS egy kritikus veszélyességű sebezhetőséget tartalmaz.
-
Az Apache Tomecat három sérülékenység miatt kapott frissítést.
-
A Fortinet számos hibajavítást adott ki a hálózatbiztonság megoldásaihoz.
-
A Citrix a virtualizációs megoldásaihoz egy biztonsági frissítést tett elérhetővé.
-
Az SAP kiadta a novemberi biztonsági frissítéseit.
Az ESET HOME Security legújabb verziója új és továbbfejlesztett funkciókkal véd a személyazonosságlopás, az adathalászat és más fenyegetések ellen.
Az ESET Magyarországon is elérhetővé tette az ESET Servicest, amely többek között biztosítja a gyors, felügyelt EDR (XDR) szolgáltatást is.
