Tavis Ormandy beszámolt az első nagy eredményükről az új CPU kutatási projektükkel kapcsolatban. Egy felszabadítás utáni használat (use-after-free) hibára bukkatak az AMD ZEN2 processzoraiban. Ez a kifejezés olyan programozási hiba típusra utal, amikor egy program egy már felszabadított memóriaterületre hivatkozik, ami súlyos biztonsági problémákat okozhat. Az AMD frissített mikrokódot adott ki az érintett ZEN2 alapú rendszerekhez a Zenbleed-nek nevezett sebezhetőséghez.
A VMware cég biztonsági frissítéseket adott ki, hogy orvosolja azokat a nulladik napi (zero-day) sebezhetőségeket, amelyeket egymásba fűzve felhasználva kód végrehajtása érhető el azokon a Workstation és Fusion rendszereken, amelyeket nem frissítettek a legújabb javításokkal. A két hiba része volt a Pwn2Own Vancouver 2023 rendezvényen bemutatott sérülékenységi láncnak, amelyet a STAR Labs csapata biztonsági kutatói mutattak be egy hónapja a hackerverseny második napján.
A Canonical új Linux kernel biztonsági frissítéseket tett közzé az összes támogatott Ubuntu kiadáshoz, amelyek több, különböző biztonsági kutatók által a közelmúltban felfedezett biztonsági rést orvosolnak. Három héttel az előző biztonsági frissítések után, amelyek 17 sebezhetőséget orvosoltak, az új Linux kernel biztonsági javítások elérhetőek:
A Canonical új Linux kernel biztonsági frissítéseket tett közzé az összes támogatott Ubuntu kiadáshoz, amelyek 10, különböző biztonsági kutatók által a közelmúltban felfedezett biztonsági rést orvosolnak.
Három héttel az előző biztonsági frissítések után, amelyek 16 sebezhetőséget orvosoltak, az új Linux kernel biztonsági javítások elérhetőek:
Az NVIDIA biztonsági frissítést (és bejelentést) adott ki a Linux-hoz és a Windows-hoz készült GPU-kijelző-illesztőprogramjához, amely egy olyan súlyos hiba javítását tartalmazza, amelyet a fenyegető szereplők többek között kódfuttatásra és jogosultságnövelésre használhatnak ki.
A kritikus hiba végül inkább csak magas besorolásúvá szelídült, de így is mindenki, aki OpenSSL-t 3.0.0-3.0.6 közötti verziókat használ valamilyen formában, frissítse az OpenSSL szoftverkönyvtárat a 2022. november elsejétől elérhető verziókra – így két CVE javítását is megkapja.
A Canonical új Linux kernel biztonsági frissítéseket tett közzé az összes támogatott Ubuntu kiadáshoz, amelyek több, különböző biztonsági kutatók által a közelmúltban felfedezett biztonsági rést orvosolnak.
Három héttel az előző biztonsági frissítések után, amelyek 16 sebezhetőséget orvosoltak, az új Linux kernel biztonsági javítások elérhetőek:
Egy kollégám megosztott egy történetet a Windows XP terméktámogatásáról. Egy nagy számítógép gyártója felfedezte, hogy Janet Jackson “Rhythm Nation” című zenei videójának lejátszása tönkretesz bizonyos laptopmodelleket. Nem szerettem volna ott lenni abban a laboratóriumban, amelyet biztosan azért hoztak létre, hogy ezt a problémát vizsgálják. Ez nem művészi ítélet.
A vizsgálat során kiderült, hogy a klip lejátszása néhány versenytársuk laptopját is tönkretette.
A Canonical új Linux kernel biztonsági frissítéseket tett közzé az összes támogatott Ubuntu kiadáshoz, amelyek több, különböző biztonsági kutatók által a közelmúltban felfedezett biztonsági rést orvosolnak.
Két héttel az előző biztonsági frissítések után, amelyek összesen 3 kisebb horderejű sebezhetőséget orvosoltak, az új Linux kernel biztonsági javítások elérhetőek:
az Ubuntu 22.04 LTS (Jammy Jellyfish)
az Ubuntu 21.10 (Impish Indri),
az Ubuntu 20. 04 LTS (Focal Fossa), így a Linux Mint 20.x sorozathoz is,
az Ubuntu 18.04 LTS (Bionic Beaver), így a Linux Mint 19.x sorozathoz is,
illetve az ESM fázisban lévő kernelekhez az Ubuntu 16.04 ESM (Xenial Xerus), és
az Ubuntu 14.04 ESM (Trusty Tahr) kiadásokhoz.
Több mint 30 biztonsági rést javítottak ki ebben a hatalmas Ubuntu kernel frissítésben. Az összes Ubuntu kiadásban közös a CVE-2022-1966, egy Aaron Adams által felfedezett use-after-free sebezhetőség a netfilter alrendszerben, amely lehetővé teszi egy helyi támadó számára, hogy szolgáltatásmegtagadást (rendszerösszeomlás) okozzon vagy tetszőleges kódot futtasson, valamint a CVE-2022-21499, egy kernelhiba, amely lehetővé teszi, hogy a kiváltságos támadók megkerüljék az UEFI Secure Boot korlátozásait, valamint a CVE-2022-28390, egy kettős szabad sebezhetőség, amelyet az EMS CAN/USB interfész implementációjában fedeztek fel, és amely lehetővé teszi, hogy a helyi támadó szolgáltatásmegtagadást (memória kimerülése) okozzon.
A Binarly nevű firmware-védelmi megoldásokat fejlesztő vállalat kutatói kritikus sebezhetőségeket fedeztek fel az InsydeH2O UEFI firmware-ében, amelyet több számítógépgyártó, például a Fujitsu, az Intel, az AMD, a Lenovo, a Dell, az ASUS, a HP, a Siemens, a Microsoft és az Acer használ gépeikben.
Az UEFI (Unified Extensible Firmware Interface) szoftver egy interfész az eszköz firmware-e és az operációs rendszer között, amely a rendszerindítási folyamatot, a rendszerdiagnosztikát és a javítási funkciókat kezeli.
A Binarly összesen 23 hibát talált az InsydeH2O UEFI firmware-ében, a legtöbbet a szoftver System Management Mode (SMM) funkciójában, amely olyan rendszerszintű funkciókat biztosít, mint az energiagazdálkodás és a hardver vezérlése.
A Canonical új Linux kernel biztonsági frissítéseket tett közzé az összes támogatott Ubuntu kiadáshoz, amelyek több, különböző biztonsági kutatók által a közelmúltban felfedezett biztonsági rést orvosolnak.
Három héttel az előző biztonsági frissítések után, amelyek 13 sebezhetőséget orvosoltak, az új Linux kernel biztonsági javítások elérhetőek:
Az elmúlt napokban megismert CPU hibáit (Intel CPU hiba: Downfall és AMD CPU hiba: Inception) javítandó a Linux kernelen dolgozó mérnökök biztonsági frissítéseket tettek közzé az összes támogatott Linux kernel verzióhoz. Ezek a frissítések már valószínűleg elérhetőek a legtöbb GNU + Linux terjesztésben, így érdemes frissíteni. A hibajavítást tartalmazó új kernelverziók:
A Canonical új Linux kernel biztonsági frissítéseket tett közzé az összes támogatott Ubuntu kiadáshoz, amelyek három, különböző biztonsági kutatók által a közelmúltban felfedezett biztonsági rést orvosolnak.
Az új Linux kernel biztonsági javítások elérhetőek:
Intel a héten 38 új biztonsági figyelmeztetést tett közzé február óta az első Patch Tuesday keretében. A ma közzétett új hibabejelentések között szerepel a CVE-2023-28410, amely egy i915 Linux kernel grafikus illesztőprogram sebezhetőségét jelenti, és helyi privilégium emelkedéséhez vezethet. Az Intel péntek délután CPU mikrokód-frissítéseket tett közzé az összes támogatott processzorcsalád számára, visszamenőleg a Coffee Lake „Gen 8”-ig, biztonsági frissítésekkel.