Az Ubuntu 25.10 újításai között kiemelt figyelmet kapott, hogy a rendszer immár Rust nyelven írt Coreutils eszközkészletet használja alapértelmezetten a GNU Coreutils helyett. A váltás azonban nem ment zökkenőmentesen: egy kritikus hiba miatt a „unattended-upgrades”, vagyis az automatikus biztonsági frissítések funkció teljesen leállt.
Ezen a héten vált nyilvánossá a CVE-2025-62518, közismert nevén TARmageddon, egy súlyos biztonsági sérülékenység a népszerű async-tar Rust könyvtárban és annak forkjaiban, például a tokio-tar-ban. A sérülékenység közvetett hatással van más szoftverekre is, például a Python uv csomagkezelőre és egyéb, a könyvtárat használó projektekre.
Az Ubuntu 25.10 friss kiadása – amely több újdonságot hozott, például a Rust-alapú Coreutils bevezetését – sajnos egy komoly hibával jelent meg: megsérült a Flatpak-támogatás. Bár a hibát már szeptember elején jelentették, a végleges verzió megjelenéséig nem sikerült teljes körűen kijavítani. A Canonical azonban már dolgozik a megoldáson: egy frissített AppArmor-profil már tesztelés alatt áll, és várhatóan hamarosan megérkezik a felhasználókhoz. Az Ubuntu 25.10 fejlesztési ciklusa során a közösség már korán jelezte, hogy a Flatpak csomagok telepítése és futtatása hibát eredményez. A hiba forrása a biztonsági keretrendszer (security framework) szerepét betöltő AppArmor egyik profiljához köthető, egészen pontosan a fusermount3 profilhoz. A hibás profil miatt a Flatpak alkalmazások nem tudtak megfelelően hozzáférni a szükséges fájlrendszer-erőforrásokhoz, ami telepítési hibákat és futtatási problémákat eredményezett. Bár a közösség többféle kerülőmegoldást (workaround) is közzétett, ezek nem jelentettek végleges megoldást a problémára. A helyzetet súlyosbította, hogy az Ubuntu fejlesztői párhuzamosan dolgoztak a Rustban újraíródott Coreutils bevezetésén is, ami szintén okozott néhány kompatibilitási problémát bizonyos binárisokkal – így a Flatpak-hiba is egy időben került a figyelem középpontjába.
A CVE-2025-9844 azonosítón nyomon követett sérülékenység a Salesforce CLI telepítőjét (sf-x64.exe) érinti. A sebezhetőség lehetővé teszi a támadók számára, hogy tetszőleges kódot futtassanak rendszer szintű jogosultságokkal Windows környezetben, különösen akkor, ha a felhasználó nem megbízható forrásból telepítette a Salesforce CLI-t.
A Phoronix beszámolója szerint az Ubuntu 25.10 fejlesztői kiadásában a GNU Coreutils csomagot felváltó Rust Coreutils komoly kompatibilitási problémákat okoz. Több népszerű benchmark és telepítőcsomag is hibásan működik, elsősorban az md5sum parancs eltérő viselkedése miatt.
1945. szeptember 9-én a Harvard Mark II számítógép üzemeltetői egy apró, de történelmi jelentőségű felfedezést tettek: egy lepke akadt a relébe, amely a számítógép működését akadályozta. Ez az esemény örökre beírta magát a számítástechnika történetébe, hiszen innen származik a „debugolás” (debug) kifejezés.
A Xerox nemrég két súlyos sérülékenységet javított a FreeFlow Core nyomtatási munkafolyamat-automatizálási platformjában, amelyeket a Horizon3 penetrációs teszteléssel foglalkozó kiberbiztonsági vállalat kutatói fedeztek fel. A FreeFlow Core-t érintő két sebezhetőség:
Az autóipar egyik legkomolyabb biztonsági válságát idézheti elő az a nemrég felfedezett firmware, amely a népszerű Flipper Zero eszköz számára lehetővé teszi, hogy teljes mértékben megkerülje a rolling kódos védelmi rendszereket, amelyek jelenleg több millió modern jármű kulcsnélküli hozzáférését biztosítják világszerte.
Kedden több tucat biztonsági közleményt adott ki az Intel, az AMD és az Nvidia, melyek a közelmúltban azonosított biztonsági hibákról tájékoztatták az ügyfeleket.
2025 nyarán két népszerű fájlarchiváló szoftver, a WinRAR és a 7-Zip is komoly biztonsági problémák miatt került reflektorfénybe. A feltárt sérülékenységek lehetővé teszik, hogy a támadók rosszindulatú archívumokkal tetszőleges fájlokat írjanak a célrendszerre, vagy akár kódot futtassanaka felhasználó tudta nélkül.
WinRAR: VE-2025-8088 és CVE-2025-6218
A WinRAR esetében két egymáshoz kapcsolódó, de különálló biztonsági hiba került nyilvánosságra:
Kevés olyan technológiai úttörő akad a történelemben, aki nemcsak a tudományos hozzájárulásával, hanem a személyiségével is maradandót alkotott. Grace Murray Hopper, az informatika egyik legendás alakja, ilyen volt. Az amerikai haditengerészet „szoftveres nagyasszonya” (angolul: The Grand Old Lady of Software) 61 évesen tért vissza az aktív szolgálatba, hogy vezető szerepet vállaljon a COBOL nyelv egységesítésében – és ezzel ismét történelmet írt.
Több mint 200 000 WordPress-alapú weboldal használ egy olyan sérülékeny Post SMTP plugin verziót, amely lehetővé teszi a támadók számára az adminisztrátori fiókok átvételét. A Post SMTP egy népszerű e-mailküldő WordPress-bővítmény, amelyet jelenleg több mint 400 000 weboldal használ aktívan.
Újra elérhető a PROHARDVER! lapcsalád. Most próbáltam, pár perce, és már megjelent az oldal, be is tudtam jelentkezni.
Információk a PROHARDVER! részéről:
Tájékoztatás a szerverleállásról, az adatvesztésről, a problémák felénk történő jelzéséről és a fizetős szolgáltatások helyreállításáról
Szerverleállás és adatvesztés
Július 22. kb. 10:20-tól július 29. 19:00-ig leállt a lapcsalád minden szolgáltatása, portáljaink nem voltak elérhetőek. A szerverleállással párhuzamosan adatvesztés is történt.
A PROHARDVER! lapcsalád – ahogyan sokan ismerjük: a hazai tech közösség szíve – jelenleg sajnos nem elérhető. A háttérben komoly hardveres probléma áll, amely az adatbázisszerver egyik frissen cserélt processzorához köthető. A hiba nem csupán a szervert, hanem a teljes könyvtárstruktúrát is magával rántotta, így egy fájdalmasan lassú, de rendkívül precíz helyreállítási folyamat zajlik éppen. A csapat folyamatosan dolgozik azon, hogy újraindítsa az oldalt, de ez időigényes: órákig tartanak az adatmásolások, és csak ezután derülhet ki, hogy sikerült-e minden adatot megmenteni. Az eszközök újratelepítése és a tesztelés is hátravan, így a teljes visszatérés időpontja még nem ismert – de minden egyes percben közelebb kerülünk hozzá. A probléma nem csupán a főoldalt, a PROHARDVER!-t érinti, hanem a teljes lapcsaládot is. Így jelenleg nem elérhetők az olyan fontos és népszerű oldalak, mint a Mobilarena, az IT café, a LOGOUT, a HardverApró és az ezekhez kapcsolódó fórumok, felhasználói blogok, valamint az apróhirdetési rendszer sem. A központi adatbázis hiánya miatt gyakorlatilag minden funkció szünetel, amely a háttérrendszerre támaszkodik. #prohardver
Hat évnyi viszonylagos nyugalom után ismét támadhatóvá váltak az Intel modern processzorai egy új, kritikus biztonsági rés révén. A Branch Privilege Injection (BPI) névre keresztelt sebezhetőséget (CVE-2024-45332 és CVE-2024-43420) a kutatók a Spectre-BTI (Branch Target Injection) típusú oldalsávos támadások új generációjaként azonosították – és ezzel gyakorlatilag visszatértek a 2018-ban felfedezett Spectre sebezhetőségek legsúlyosabb formái.