Az Egyesült Államok Belbiztonsági Minisztériuma azt javasolja mindenkinek, hogy kapcsolják ki az elterjedt Universal Plug and Play (UPnP) protokollt. A felhívás oka az volt, hogy a Rapid7 biztonsági kutatói szerint több tízmillió olyan hálózati eszköz van világszerte, amely a protokoll implementációjában lévő hiba miatt támadható válik. Bár a US Computer Emergency Readiness Team (US-CERT) kimondottan az olyan eszközökről beszélt, amelyek a libupnp-t, az 1.6.18 előtti UPnP software development kit (SDK) verziót használják, az UPnP eddig is az volt, most is az, és ezután is egy biztonsági rémálom lesz. Az első komolyabb problémák még 2001-ben bukkantak fel, és azóta folyamatosan jönnek az újabb és újabb esetek.

Több tízmillió hálózati eszközt - ide értve a router-eket, nyomtatókat, média szervereket, IP kamerákat, okos TV-ket, stb. - lehet támadni az Interneten keresztül, mivel egy veszélyes hibát fedeztek fel az UPnP (Universal Plug and Play) protokoll megvalósításban, állítják a Rapid7 biztonsági kutatói egy kedden megjelent cikkben. Az UPnP lehetővé teszi a hálózati eszközök számára, hogy megkeressék a többi eszközt a hálózaton, és automatikusan kapcsolódjanak össze, hogy adatokat tudjanak megosztani, média adatfolyamokat továbbítani és más szolgáltatásokat használni.

A Java több, az elmúlt hónapokban nagy nyilvánosságot kapott sérülékenységtől szenved(ett), és jelenleg úgy tűnik, hogy az Oracle képtelen megfelelően kijavítani ezeket a hibákat, ezért a gyártónak muszáj lesz erőteljes lépéseket tennie a biztonság növelése érdekében. "Az Oracle-nek lépéseket kell tennie, és újra kell terveznie a Java-t, mielőtt az emberek teljesen elvesztik beléje vetett hitüket, és mielőtt ez az aggodalom átszivárogna más Oracle termékekbe is", mondta Andrew Storms az nCircle Security vezetője. Storms és mások is azután reagáltak, hogy közel két héttel ezelőtt felbukkant egy új 0-day sérülékenység a Java böngésző bővítményében, és amit azóta már számos exploit kit képes kihasználni. Az Oracle kiadott egy javítást, de a szakértők szerint ebben is van még hiba.

Azok a felhasználók, akik harmadik féltől származó web vagy mobil alkalmazásokkal használják a Twitter fiókjukat, tudtukon kívül hozzáférést adhattak a felhasználói fiókjuk "direct" üzeneteihez is, állítja az IOActive vezető kutatója Cesar Cerrudo. A problémát a Twitter API (application programming interface - olyan programkönyvtár, amely segítségével a Twitter szolgáltatásait lehet használni) okozza, mert az nem megfelelően informálja a felhasználókat arról, hogy milyen jogosultságai vannak az alkalmazásnak, miután engedélyezte a hozzáférést. Minden alkalmazást, amely hozzáférhet a Twitter fiókhoz, regisztrálni kell a https://dev.twitter.com/apps weboldalon. A regisztráció folyamán a fejlesztőnek meg kell adnia a hozzáférési szintet, amellyel a program hozzáférhet a felhasználó fiókjához. Ez lehet "read only", "read and write" vagy "read, write and access to direct messages.".

Kevesebb mint 24 órával azután, hogy az Oracle kiadta a Java szoftverben lévő rendkívül veszélyes biztonsági hibának a javítást - amellyel a támadók át tudják venni az irányítást az áldozat számítógépe felett - egyes fórumokon már egy újabb, és a korábbitól teljesen eltérő exploit bukkant fel, amelyet a Java egy jelenleg is kihasználható 0-day sérülékenységére készítettek. Vasárnap az Oracle versenyt futott az idővel, hogy kijavítsa a nyilvánosságra került súlyos hibát, amely időközben már bekerült az elterjedt exploit kit-ekbe, majd hétfőn egy exkluzív, kiberbűnözők által látogatott fórumon az egyik adminisztrátor azt írta, hogy 5000 dollárért adott egy vadonatúj Java 0-day sérülékenységet.

Elképzelhető, hogy a felhasználók által nem frissített Java futtató környezet is segített a Red October káros szoftver terjedésében, amelyet a Kaspersky Lab kutatói derítettek fel az elmúlt napokban. A malware elsősorban olyan email-ben érkező káros csatolmányokat használt a terjedésre, amelyek a Microsoft Word és Excel programok sérülékenységeit használta ki. Azok a felhasználók, akik megnyitottak egy ilyen dokumentumot, áldozatává váltak a kiberkémkedésre szakosodott programnak. A Seculert további vizsgálatai kiderítette, hogy a Red October tervezőjének volt egy tartalék terve is - úgy is tudta telepíteni a kártevőt, hogy az áldozatot egy olyan weboldalra csalta, amely a böngészőkben lévő Java bővítmény egy ismert hibáját használta ki.

A Microsoft hétfőn fogja kiadni azt a javítást, amely a régebbi Internet Explorer böngészők nemrégiben felfedezett kritikus sérülékenységét fogja javítani. A gyártó a probléma súlyossága miatt tér el a normális hibajavítási menetrendtől. A sérülékenység, amely a böngésző 6, 7 és 8 verzióját veszélyezteti, egy memória korrupciós hiba, amelyet a támadó az ún. drive-by download módszerrel tud kihasználni, amely a gyakorlatban azt jelenti, hogy ha a felhasználó meglátogat egy káros weboldalt, akkor egy rosszindulatú kód fog lefutni a böngészőjében. A gyártó a hónap elején már kiadott egy gyors javítást, de a végleges nem készült el a szokásos patch keddig.

Egy lenyűgöző eredményekkel "büszkélkedő" csoportot nevezett meg a Symantec a legfrissebb, a Microsoft Internet Explorer régebbi verzióit érintő 0-day sérülékenység szerzőjének. A Symantec-nél csak Elderwood csoportként ismert társaság által felfedezett sérülékenység lehetővé teszi, hogy a látogató számítógépét minden egyéb beavatkozás nélkül, csak egy káros tartalmú weboldal meglátogatása útján is meg lehessen fertőzni. A biztonsági szakértők a támadásban használt kód segítségével ismerték fel a sérülékenységet, és vették észre a hasonlóságokat az Elderwood által használt korábbi kódokkal, amelyekkel más, régebben ismertté vált 0-day sérülékenységeket használtak ki Microsoft szoftverekben.

A Ruby on Rails karbantartói egy SQL befecskendezéses (SQL injection) sérülékenységre hívták fel a felhasználók figyelmét, amely a népszerű webes keretrendszer összes verzióját érinti. A megjelent figyelmeztetés javasolja, hogy haladéktalanul telepítsék a kiadott javításokat. A készítők szerint a sérülékenység a metódus paraméterek Active Record általi feldolgozásakor jelentkezik, amelynek következtében az átadott értékeket más érvényességi tartományban lehet felhasználni.

Peter Winter-Smith biztonsági tanácsadó nemrégiben az NVIDIA Display Driver Service egy sérülékenységének részleteit hozta nyilvánosságra a Pastebin segítségével (azóta törölték a bejegyzést). A szakember szerint a hibát kihasználva adminisztrátori jogosultságot lehet szerezni a Windows operációs rendszeren. Magyarázata szerint a sérülékenység egy verem alapú túlcsordulásos hiba, amely segítségével meg lehet kerülni a data execution prevention (DEP) és az address space layout randomization (ASLR) védelmeket, amelyek az operációs rendszer részei a Vista megjelenése óta.