Angol cím: 
Juniper Multiple Vulernabilities
CERT-Hungary ID: 
CH-14346
Összefoglaló: 

A Juniper termékek számos sérülékenységét jelentették, amiket kihasználva a helyi felhasználók emelt szintű jogosultságokat szerezhetnek, a távoli felhasználók bizalmas információkhoz juthatnak hozzá, XSS támadást hajthatnak végre, megkerülhetik a biztonsági előírásokat, szolgáltatás megtagadást idézhetnek elő, tetszőleges kódot hajthatnak végre, vagy a rendszer összeomlását idézhetik elő.

Angol cím: 
Lenovo Discovers and Removes Backdoor in Networking Switches
CERT-Hungary ID: 
CH-14345
Összefoglaló: 

A mérnökök a RackSwitch és a BladeCenter hálózati switch-ek firmware-ében találtak rá a backdoor-ra, amelyet egy frissítéssel lehet eltávolítani onnan. A cég bejelentése szerint a probléma csak a RackSwitch és BladeCenter eszközöket érinti, amelyek az ENOS (Enterprise Network Operating System) rendszert futtatják. A backdoor 2004-ben került a szoftverbe, amikor még a Nortel gyártotta a hardware-t.

Angol cím: 
Oracle Fusion Middleware Oracle WebLogic Server Component Arbitrary Code Execution Vulnerability
CERT-Hungary ID: 
CH-14344
Összefoglaló: 

Az Oracle Fusion Middleware szoftver Oracle Weblogic Server komponensének kritikus hibája miatt egy nem hitelesített, távoli támadó tetszőleges kódot hajthat végre a rendszeren.

Angol cím: 
phpMyAdmin Access Control Flaw Lets Remote Users Conduct Cross-Site Request Forgery Attacks
CERT-Hungary ID: 
CH-14343
Összefoglaló: 

A phpMyAdmin egy olyan kritikus sérülékenységét jelentették, amit kihasználva a támadók cross-site request forgery (XSRF) támadásokat hajthatnak végre.

Angol cím: 
CPU hardware vulnerability
CERT-Hungary ID: 
CH-14334
Összefoglaló: 

A modern mikroprocesszorok spekulatív végrehajtás algoritmusának hardveres implementációját érintően sérülékenységek (Meltdown és Spectre) váltak ismertté, melyeket kihasználva egy felhasználó ún. mellékcsatornás támadásokat (side channel attacks) hajthat végre és jogosulatlanul érzékeny adatokhoz férhet hozzá.

A Microsoft Office Dynamic Data Exchange (DDE) az Office egyik legitim funkciója, melyet az utóbbi időben egyre többször használnak olyan dokumentumok elkészítéséhez, amikkel a támadók kártékony kódot juttathatnak a felhasználó számítógépére, ezzel helyettesítve a széles körben elterjedt "makrós támadásokat."

Az idei két nagy zsarolóvírus (ransomware) kampányt követően (WannaCry, ExPetr) egy újabb hasonló kártékony kód fertőzését észlelték. Az új malware-t a biztonsági kutatók "BadRabbit"-ként emlegetik a zsaroló üzenetben szereplő "darknet"-es weboldal hivatkozás alapján.

A BadRabbit mögött álló kiberbűnözők 0.05 bitcoin-t követelnek a letitkosított fájlok visszaállításáért.

Angol cím: 
Google Chrome Stable Channel Update for October, 2017
CERT-Hungary ID: 
CH-14271
Összefoglaló: 

A Google Chrome több magas kockázati besorolású sérülékenysége vált ismertté, amelyek a legújabb, 62.0.3202.62 verziószámú frissítés alkalmazásával kiküszöbölhetők.

Angol cím: 
WPA2 vulnerability
CERT-Hungary ID: 
CH-14265
Összefoglaló: 

A WPA2 protokoll magas kockázati besorolású sérülékenysége vált ismertté, amely lehetővé teszi a támadók számára, hogy közbeékelődéses (man-in-the-middle) módszer használatával visszafejtsék a számítógépek és a hozzáférési pontok közötti, egyéb módon nem titkosított (pl.: HTTPS, SSH, VPN) forgalmat, ezáltal szenzitív adatokhoz jussanak.

Angol cím: 
Microsoft Security Updates - October 2017
CERT-Hungary ID: 
CH-14261
Összefoglaló: 

A Microsoft kiadta a 2017. október havi biztonsági frissítéseit. Az újonnan elérhető frissítések több szoftverükben javítanak kritikus biztonsági hibákat, amelyek jellemzően távoli kódfuttatást, információszivárgást és memória korrupciót tesznek lehetővé.